JP5912615B2 - 放送通信連携受信装置及び放送通信連携システム - Google Patents
放送通信連携受信装置及び放送通信連携システム Download PDFInfo
- Publication number
- JP5912615B2 JP5912615B2 JP2012024838A JP2012024838A JP5912615B2 JP 5912615 B2 JP5912615 B2 JP 5912615B2 JP 2012024838 A JP2012024838 A JP 2012024838A JP 2012024838 A JP2012024838 A JP 2012024838A JP 5912615 B2 JP5912615 B2 JP 5912615B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- certificate
- signature
- general
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、放送と、インターネット、専用IP(Internet Protocol)回線等の通信ネットワークとを利用した放送通信連携システムにおいて、放送通信連携受信装置でのアプリケーション認証技術に関する。
近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信を連携した様々なサービス(以降、「放送通信連携サービス」)が検討されている(例えば、非特許文献1,2参照)。この放送通信連携サービスでは、放送番組に関連する多様な情報を通信ネットワーク経由で取得し、放送と組み合わせて提示することが想定されている。また、受信機では、放送通信連携サービスを享受するため、この放送通信連携サービスに適応したアプリケーションを用いることが想定されている。
「技研における放送通信連携技術研究の概要」、NHK技研R&D、No.124、2010.11、P4−P9
「HybridcastTMの概要と技術」、NHK技研R&D、No.124、2010.11、P10−P17
この放送通信連携サービスにおいて、視聴者にとってより魅力的なサービスを実現するためには、放送事業者等が制作した放送局アプリケーションだけでなく、様々なサービス事業者や個人が一定のルールに基づいて制作した一般アプリケーションも視聴者に提供できる環境が望まれている。
また、インターネット等のネットワーク上には、放送局アプリケーション及び一般アプリケーション以外の外部アプリケーションが数多く存在する。しかし、この外部アプリケーションは、放送通信連携システムで期待する動作が保証されていないため、受信機における放送通信連携サービスのアプリケーション実行環境で起動することが一切認められない。
そこで、本発明は、放送と通信を連携した放送通信連携サービスにおいて、安全性を確保できる放送局アプリケーション及び一般アプリケーションを視聴者に提供でき、安全性の確保が困難な外部アプリケーションの起動を禁止する放送通信連携受信装置及び放送通信連携システムを提供することを課題とする。
前記した課題に鑑みて、本願第1発明に係る放送通信連携受信装置は、汎用検証鍵が含まれる汎用証明書と、放送事業者検証鍵が含まれる放送事業者証明書と、放送事業者検証鍵に対応する放送事業者署名鍵とを発行する認証局と、放送波を介して、放送番組と、汎用証明書とを送信する放送送信装置と、アプリケーション用検証鍵が含まれるアプリケーション用証明書と、アプリケーション用検証鍵に対応するアプリケーション用署名鍵とを発行する署名鍵・証明書発行装置と、放送事業者署名鍵による署名及び放送事業者証明書、又は、アプリケーション用署名鍵による署名及びアプリケーション用証明書をアプリケーションに付加するアプリケーション登録装置と、署名及び証明書が付加されたアプリケーションと、署名及び証明書が付加されていないアプリケーションとの少なくとも一方を記憶するアプリケーションサーバと、を含む放送通信連携システムで使用され、放送番組を受信する放送通信連携受信装置であって、アプリケーション取得手段と、証明書記憶手段と、証明書判定手段と、署名検証手段と、起動制御手段と、リソースアクセス制御手段と、リソース管理手段とを備えることを特徴とする。
かかる構成によれば、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、アプリケーションサーバから、アプリケーションを取得する。このアプリケーション取得手段が取得したアプリケーションには、署名及び証明書が付加された放送局アプリケーション及び一般アプリケーションと、署名及び証明書が付加されていない外部アプリケーションとがある。
また、放送通信連携受信装置は、証明書記憶手段によって、放送送信装置から送信された汎用証明書を予め記憶する。そして、放送通信連携受信装置は、証明書判定手段によって、汎用証明書の汎用検証鍵を用いて、取得したアプリケーションに証明書が付加されているか否かと、付加されている証明書が有効であるか否かとを判定する。
また、放送通信連携受信装置は、署名検証手段によって、証明書判定手段で有効と判定された証明書の検証鍵を用いて、取得したアプリケーションに付加された署名が正当であるか否かを検証し、放送事業者証明書が付加された放送局アプリケーション、アプリケーション用証明書が付加された一般アプリケーション、又は、証明書が付加されていない外部アプリケーションの何れかを示す属性が含まれる認証結果を出力する。そして、放送通信連携受信装置は、起動制御手段によって、証明書判定手段で証明書が付加されていない若しくは有効でないと判定されたとき、又は、署名検証手段で署名が正当でないと検証されたとき、取得したアプリケーションを起動させない。さらに、放送通信連携受信装置は、リソースアクセス制御手段によって、放送局アプリケーション、一般アプリケーションおよび外部アプリケーションのそれぞれがアクセスできるリソースとアクセスできないリソースとを予め設定したリソースアクセス制御テーブルに基づいて、認証結果の属性に応じて、取得したアプリケーションにリソースの割り当てが可能であるか否かを判定する。さらに、さらに、放送通信連携受信装置は、リソース管理手段によって、取得したアプリケーションにリソースアクセス制御手段で割り当て可能と判定されたリソースを割り当てる。これによって、放送通信連携受信装置は、放送局アプリケーション及び一般アプリケーションを起動させて、外部アプリケーションの起動を禁止することができる。
また、本願第2発明に係る放送通信連携受信装置は、署名鍵・証明書発行装置で発行された、失効したアプリケーション用証明書の一覧である失効リストを予め記憶する失効リスト記憶手段、をさらに備え、証明書判定手段が、さらに、取得したアプリケーションの証明書が失効リストで失効している場合、証明書が有効でないと判定することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、既に提供されたアプリケーションであっても、失効リストにより、そのアプリケーションの証明書を失効させることで、その起動を制御することができる。例えば、放送通信連携受信装置は、あるアプリケーションが提供された後、その提供元が信頼できなくなった場合、失効リストにより、そのアプリケーションの起動を事後的に禁止することができる。
また、本願第3発明に係る放送通信連携受信装置は、証明書記憶手段が、汎用証明書として、ARIB STD−B24に規定された汎用ルート証明書を記憶し、放送事業者証明書(放送事業者汎用証明書)として、ARIB STD−B24に規定された事業者専用ルート証明書を記憶することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、既存のデジタル放送システムで運用されている汎用ルート証明書及び事業者専用ルート証明書を流用することができる。
かかる構成によれば、放送通信連携受信装置は、既存のデジタル放送システムで運用されている汎用ルート証明書及び事業者専用ルート証明書を流用することができる。
また、前記した課題に鑑みて、本願第4発明に係る放送通信連携受信装置は、汎用検証鍵が含まれる汎用証明書と、放送事業者専用検証鍵が含まれる放送事業者専用証明書と、放送事業者専用検証鍵に対応する放送事業者専用署名鍵と、放送事業者汎用検証鍵が含まれる放送事業者汎用証明書と、放送事業者汎用検証鍵に対応する放送事業者汎用署名鍵とを発行する認証局と、放送波を介して、放送番組と、汎用証明書と、放送事業者汎用証明書とを送信する放送送信装置と、放送事業者専用署名鍵による署名と、放送事業者専用証明書とをアプリケーションに付加する放送事業者用アプリケーション登録装置と、アプリケーション用検証鍵が含まれるアプリケーション用証明書と、アプリケーション用検証鍵に対応するアプリケーション用署名鍵とを発行する署名鍵・証明書発行装置と、アプリケーション用署名鍵による署名と、アプリケーション用証明書とをアプリケーションに付加するサービス事業者用アプリケーション登録装置と、署名及び証明書が付加されたアプリケーションと、署名及び証明書が付加されていないアプリケーションとの少なくとも一方を記憶するアプリケーションサーバと、放送番組を受信する放送通信連携受信装置と、を備える放送通信連携システムであって、放送通信連携受信装置が、アプリケーション取得手段と、証明書記憶手段と、証明書判定手段と、署名検証手段と、起動制御手段と、リソースアクセス制御手段と、リソース管理手段とを備えることを特徴とする。
かかる構成によれば、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、アプリケーションサーバから、アプリケーションを取得する。また、放送通信連携受信装置は、証明書記憶手段によって、放送送信装置から送信された汎用証明書及び放送事業者汎用証明書を予め記憶する。そして、放送通信連携受信装置は、証明書判定手段によって、汎用証明書の汎用検証鍵と放送事業者汎用証明書の放送事業者汎用検証鍵とを用いて、取得したアプリケーションに放送事業者専用証明書又はアプリケーション用証明書が付加されているか否かと、付加されている証明書が有効であるか否かとを判定する。
また、放送通信連携受信装置は、署名検証手段によって、証明書判定手段で有効と判定された証明書の検証鍵を用いて、取得したアプリケーションに付加された署名が正当であるか否かを検証し、放送事業者専用証明書が付加された放送局アプリケーション、アプリケーション用証明書が付加された一般アプリケーション、又は、証明書が付加されていない外部アプリケーションの何れかを示す属性が含まれる認証結果を出力する。そして、放送通信連携受信装置は、起動制御手段によって、証明書判定手段で証明書が付加されていない若しくは有効でないと判定されたとき、又は、署名検証手段で署名が正当でないと検証されたとき、取得したアプリケーションを起動させない。さらに、放送通信連携受信装置は、リソースアクセス制御手段によって、放送局アプリケーション、一般アプリケーションおよび外部アプリケーションのそれぞれがアクセスできるリソースとアクセスできないリソースとを予め設定したリソースアクセス制御テーブルに基づいて、認証結果の属性に応じて、取得したアプリケーションにリソースの割り当てが可能であるか否かを判定する。さらに、さらに、放送通信連携受信装置は、リソース管理手段によって、取得したアプリケーションにリソースアクセス制御手段で割り当て可能と判定されたリソースを割り当てる。これによって、放送通信連携受信装置は、放送局アプリケーション及び一般アプリケーションを起動させて、外部アプリケーションの起動を禁止することができる。
本発明によれば、以下のような優れた効果を奏する。
本願第1,4発明によれば、放送事業者が制作した放送局アプリケーションだけでなく、様々なサービス事業者や個人が制作した一般アプリケーションも安全に提供できると共に、動作が保証されず安全性の確保が困難な外部アプリケーションの起動を禁止することができる。これによって、本願第1,4発明によれば、放送局アプリケーションだけでなく、一般アプリケーションも安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
本願第1,4発明によれば、放送事業者が制作した放送局アプリケーションだけでなく、様々なサービス事業者や個人が制作した一般アプリケーションも安全に提供できると共に、動作が保証されず安全性の確保が困難な外部アプリケーションの起動を禁止することができる。これによって、本願第1,4発明によれば、放送局アプリケーションだけでなく、一般アプリケーションも安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
本願第2発明によれば、既に提供されたアプリケーションであっても、失効リストにより、そのアプリケーションの証明書を失効させることで、起動を制御することができる。
本願第3発明によれば、既存のデジタル放送システムで運用されている汎用ルート証明書及び事業者専用ルート証明書を流用することができる。このため、本願第3発明によれば、放送通信連携受信装置の実装コストを低減すると共に、放送通信連携受信装置の処理負荷を軽減することができる。
本願第3発明によれば、既存のデジタル放送システムで運用されている汎用ルート証明書及び事業者専用ルート証明書を流用することができる。このため、本願第3発明によれば、放送通信連携受信装置の実装コストを低減すると共に、放送通信連携受信装置の処理負荷を軽減することができる。
以下、本発明の各実施形態について、適宜図面を参照しながら詳細に説明する。なお、各実施形態において、同一の機能を有する手段及び同一のステップ(処理)には同一の符号を付し、説明を省略した。
[放送通信連携システムの構成]
図1を参照して、本発明の実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波を介して、放送番組を放送通信連携受信装置(受信機)80に送信すると共に、ネットワークを介して、様々なサービスに適応したアプリケーションを受信機80に送信する。そして、放送通信連携システム1は、受信機80において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機80において、安全性(セキュリティ)や放送の公共性の観点から、提供元が正当でないアプリケーションの起動を禁止する。
図1を参照して、本発明の実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波を介して、放送番組を放送通信連携受信装置(受信機)80に送信すると共に、ネットワークを介して、様々なサービスに適応したアプリケーションを受信機80に送信する。そして、放送通信連携システム1は、受信機80において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機80において、安全性(セキュリティ)や放送の公共性の観点から、提供元が正当でないアプリケーションの起動を禁止する。
「アプリケーション」とは、HTML(HyperText Markup Language)5のブラウザ上で動作するソフトウェアを含む、受信機80で利用可能なソフトウェアである。ここで、アプリケーションは、提供元が正当な放送局アプリケーション及び一般アプリケーションと、提供元が正当でない外部アプリケーションとに分類される。
なお、アプリケーションを「アプリ」と略記することがある。
なお、アプリケーションを「アプリ」と略記することがある。
「放送局アプリケーション」とは、放送事業者(放送局)又は放送事業者が知り得る第三者が制作するアプリケーションであり、放送事業者がその動作内容を把握するものをいう。本実施形態では、図1の放送局が提供するアプリケーションを放送局アプリケーションとする。
「一般アプリケーション」とは、放送事業者がその動作内容を必ずしも把握していないが、放送事業者又は放送事業者を代表する組織によって提供されるSDK(Software Development Kit)を用いて、予め定められた仕様に従って制作され、放送事業者によって受信機80での基本的な動作が保証されているものをいう。本実施形態では、図1のサービス事業者Bが提供するアプリケーションを一般アプリケーションとする。
「外部アプリケーション」とは、放送局アプリケーション及び一般アプリケーション以外のアプリケーションであり、放送通信連携システム1で期待する動作が保証されないため、受信機80での起動が禁止されるものをいう。本実施形態では、図1のサービス事業者Aが提供するアプリケーションを外部アプリケーションとする。
「放送局」とは、編成を伴う番組を送出しているものであり、放送波又はネットワークにより放送番組をユーザ(視聴者)に配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
図1に示すように、放送通信連携システム1は、CA局(認証局)10と、放送送信装置20と、アプリケーション登録装置(放送事業者用アプリケーション登録装置)30と,アプリケーション登録装置(サービス事業者用アプリケーション登録装置)30Bと、アプリケーション制作装置40,40A,40Bと、コンテンツ配信サーバ50,50A,50Bと、ID・署名鍵・証明書発行装置(署名鍵・証明書発行装置)60と、アプリケーションサーバ70,70Aと、受信機80とを備える。
CA局10は、放送局からの証明書の発行申請に応じて、汎用証明書CCA(以後、「証明書CCA」)と、放送事業者証明書CN(以後、「証明書CN」)と、放送事業者署名鍵SN(以後、「署名鍵SN」)とを発行するものである。
本実施形態では、CA局10は、証明書CNとして、放送事業者専用証明書CN1(以後、「証明書CN1」)と、放送事業者汎用証明書CN2(以後、「証明書CN2」)とを発行することとする。
また、本実施形態では、CA局10は、署名鍵SNとして、放送事業者専用署名鍵SN1(以後、「署名鍵SN1」)と、放送事業者汎用署名鍵SN2(以後、「署名鍵SN2」)とを発行することとする。
また、本実施形態では、CA局10は、検証鍵PNとして、放送事業者専用検証鍵PN1(以後、「検証鍵PN1」)と、放送事業者汎用検証鍵PN2(以後、「検証鍵PN2」)とを生成することとする。
また、本実施形態では、CA局10は、署名鍵SNとして、放送事業者専用署名鍵SN1(以後、「署名鍵SN1」)と、放送事業者汎用署名鍵SN2(以後、「署名鍵SN2」)とを発行することとする。
また、本実施形態では、CA局10は、検証鍵PNとして、放送事業者専用検証鍵PN1(以後、「検証鍵PN1」)と、放送事業者汎用検証鍵PN2(以後、「検証鍵PN2」)とを生成することとする。
ここで、CA局10は、DSA、RSA、楕円曲線等の一般的な公開鍵暗号方式により、汎用署名鍵SCA(以後、「署名鍵SCA」)と、汎用検証鍵PCA(以後、「検証鍵PCA」)との鍵ペアを生成する。例えば、CA局10は、署名鍵SCA及び検証鍵PCAを1ペアだけ生成する。そして、CA局10は、この検証鍵PCAを証明書CCAに格納して、放送局(放送送信装置20)に発行する。一方、署名鍵SCAは、CA局10で記憶、管理される。
また、CA局10は、前記した公開鍵暗号方式により、署名鍵SN1と、検証鍵PN1との鍵ペアを生成する。例えば、CA局10は、署名鍵SN1及び検証鍵PN1を、放送局(正確には、アプリケーション登録装置30)と同数のペアだけ生成する。そして、CA局10は、署名鍵SCAにより署名を生成して、この署名及び検証鍵PN1を証明書CN1に格納する。さらに、CA局10は、証明書CN1と、署名鍵SN1とを放送局(アプリケーション登録装置30)に発行する。
また、CA局10は、前記した公開鍵暗号方式により、署名鍵SN2と、検証鍵PN2との鍵ペアを生成する。例えば、CA局10は、署名鍵SN2及び検証鍵PN2を、サービス事業者B(正確には、ID・署名鍵・証明書発行装置60)と同数のペアだけ生成する。そして、CA局10は、署名鍵SCAにより署名を生成して、この署名及び検証鍵PN2を証明書CN2に格納する。さらに、CA局10は、証明書CN2を放送局(放送送信装置20)に発行し、署名鍵SN2を放送局(ID・署名鍵・証明書発行装置60)に発行する。
このとき、CA局10は、証明書CCAとして、ARIB STD−B24に規定された汎用ルート証明書を発行してもよい。さらに、CA局10は、証明書CN1,CN2として、ARIB STD−B24に規定された事業者専用ルート証明書をそれぞれ発行してもよい。
なお、CA局10は、一般的な構成のため、詳細な説明を省略する。
なお、CA局10は、一般的な構成のため、詳細な説明を省略する。
放送送信装置20は、放送局で管理され、放送波を介して、放送番組を受信機80に送信するものである。また、放送送信装置20は、DSM−CC(Digital storage media command and control)データカルーセル等の伝送手段により、CA局10で発行された証明書CCA,CN2を受信機80に送信する。さらに、放送送信装置20は、ID・署名鍵・証明書発行装置60から失効リストが入力された場合、放送波(カルーセル)を介して、この失効リストを受信機80に送信する。
なお、放送送信装置20は、放送番組を放送波として送信する形態で説明するが、ケーブル(図示せず)や、ネットワークを介して送信してもよい。
また、放送送信装置20は、一般的な番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備であるため、詳細な説明を省略する。
また、放送送信装置20は、一般的な番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備であるため、詳細な説明を省略する。
アプリケーション登録装置30は、放送局で管理され、アプリケーションを一意に識別するアプリケーションIDを生成し、CA局10から発行された署名鍵SN1により署名を生成するものである。また、アプリケーション登録装置30は、アプリケーション制作装置40から入力された放送局アプリに、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とを付加する。そして、アプリケーション登録装置30は、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とが付加された放送局アプリを、アプリケーションサーバ70に出力(登録)する。
なお、アプリケーション登録装置30の構成は、後記する。
なお、アプリケーション登録装置30の構成は、後記する。
アプリケーション登録装置30Bは、サービス事業者Bで管理され、放送局(ID・署名鍵・証明書発行装置60)から、アプリケーションIDと、アプリケーション用署名鍵SB(以後、「署名鍵SB」)と、アプリケーション用証明書CB(以後、「証明書CB」)とが発行されるものである。そして、アプリケーション登録装置30Bは、署名鍵SBにより署名を生成する。さらに、アプリケーション登録装置30Bは、アプリケーション制作装置40Bから入力された一般アプリに、アプリケーションIDと、署名鍵SBによる署名と、証明書CBとを付加するものである。
なお、アプリケーション登録装置30Bの構成は、後記する。
なお、アプリケーション登録装置30Bの構成は、後記する。
アプリケーション制作装置40,40A,40Bは、アプリを制作するための開発環境である。ここで、アプリケーション制作装置40,40Bは、放送局等によって提供されるSDKがインストールされ、それぞれ、放送局アプリと、一般アプリとを制作可能である。一方、アプリケーション制作装置40Aは、放送局等によって提供されるSDKがインストールされておらず、外部アプリしか制作できない。
なお、アプリケーション制作装置40,40A,40Bは、一般的な構成のため、詳細な説明を省略する。
なお、アプリケーション制作装置40,40A,40Bは、一般的な構成のため、詳細な説明を省略する。
コンテンツ配信サーバ50,50A,50Bは、受信機80のアプリケーションからの要求により、ネットワークを介して、コンテンツを受信機80に提供するものである。このコンテンツ配信サーバ50,50A,50Bとしては、例えば、VOD(ヒデオオンデマンド)配信サーバ、字幕配信サーバ、マルチビュー配信サーバ等があげられる。
本実施形態では、コンテンツ配信サーバ50が放送局で管理され、コンテンツ配信サーバ50Aがサービス事業者Aで管理され、コンテンツ配信サーバ50Bがサービス事業者Bで管理されることとする。
なお、コンテンツ配信サーバ50,50A,50Bは、一般的な構成のため、詳細な説明省略する。
また、図1では、図面を見やすくするため、コンテンツ配信サーバ50,50A,50Bから受信機80へのコンテンツ配信を示す実線を省略した。
なお、コンテンツ配信サーバ50,50A,50Bは、一般的な構成のため、詳細な説明省略する。
また、図1では、図面を見やすくするため、コンテンツ配信サーバ50,50A,50Bから受信機80へのコンテンツ配信を示す実線を省略した。
ID・署名鍵・証明書発行装置60は、放送局で管理され、サービス事業者BからのアプリケーションIDの申請に応じて、アプリケーションIDと、署名鍵SBと、証明書CBとを、サービス事業者B(アプリケーション登録装置30B)に発行するものである。
また、ID・署名鍵・証明書発行装置60は、失効した証明書CBの一覧である失効リスト(CRL(Certificate Revocation List):証明書破棄リスト)を発行する。例えば、放送波を介して失効リストを受信機80に送信する場合、ID・署名鍵・証明書発行装置60は、この失効リストを放送送信装置20に出力する。一方、ID・署名鍵・証明書発行装置60は、ネットワークを介して、この失効リストを放送送信装置20に出力してもよい。
なお、ID・署名鍵・証明書発行装置60の構成は、後記する。
なお、ID・署名鍵・証明書発行装置60の構成は、後記する。
アプリケーションサーバ70は、放送局が制作した放送局アプリと、サービス事業者Bが制作した一般アプリとを記憶、管理するサーバである。このアプリケーションサーバ70は、受信機80からの要求に応じて、ネットワークを介して、放送局アプリ及び一般アプリを受信機80に送信する。
アプリケーションサーバ70Aは、サービス事業者Aで管理され、サービス事業者Aが制作した外部アプリを記憶、管理するサーバである。このアプリケーションサーバ70Aは、受信機80からの要求に応じて、ネットワークを介して、外部アプリを受信機80に送信する。
なお、図1では、アプリケーションサーバ70,70Aは、独立したサーバとしたが、1台のサーバであってもよい。
なお、図1では、アプリケーションサーバ70,70Aは、独立したサーバとしたが、1台のサーバであってもよい。
受信機80は、各ユーザの自宅等に設置され、地上デジタル放送、BSデジタル放送、データ放送等の放送番組が視聴可能であると共に、ネットワークを介して、アプリケーションを受信可能な受信装置である。そして、受信機80は、証明書及び署名を用いて、受信したアプリケーションが外部アプリであるか否かを認証する。さらに、受信機80は、受信したアプリケーションが外部アプリの場合、この外部アプリの起動を禁止する。
この受信機80では、アプリケーション起動情報に基づいて、アプリケーションの取得、起動、終了等の制御が行われるため、アプリケーション起動情報の概略について説明する。
この「アプリケーション起動情報」とは、アプリケーションの識別子(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションを制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
この「アプリケーション起動情報」とは、アプリケーションの識別子(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションを制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
[アプリケーション登録装置の構成]
図2、図3を参照して、アプリケーション登録装置30,30Bの構成について説明する(適宜図1参照)。
図2に示すように、アプリケーション登録装置30は、アプリ入力手段301と、アプリID生成手段302と、アプリID付加手段303と、署名鍵入力手段304と、署名生成手段305と、署名付加手段306と、証明書付加手段307と、アプリ出力手段308とを備える。
図2、図3を参照して、アプリケーション登録装置30,30Bの構成について説明する(適宜図1参照)。
図2に示すように、アプリケーション登録装置30は、アプリ入力手段301と、アプリID生成手段302と、アプリID付加手段303と、署名鍵入力手段304と、署名生成手段305と、署名付加手段306と、証明書付加手段307と、アプリ出力手段308とを備える。
アプリ入力手段301は、アプリケーション制作装置40から放送局アプリが入力されるものである。そして、アプリ入力手段301は、入力された放送局アプリを、アプリID付加手段303に出力する。
アプリID生成手段302は、放送局アプリに付加するアプリケーションIDを生成するものである。例えば、アプリID生成手段302は、予め設定した命名規約に従って、アプリケーションIDを生成する。この命名規約は、例えば、放送局の事業者IDと、この放送局内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとする。そして、アプリID生成手段302は、生成したアプリケーションIDを、アプリID付加手段303に出力する。
アプリID付加手段303は、アプリ入力手段301から入力された放送局アプリに、アプリID生成手段302から入力されたアプリケーションIDを付加するものである。そして、アプリID付加手段303は、アプリケーションIDが付加された放送局アプリを、署名付加手段306に出力する。さらに、アプリID付加手段303は、後記する署名元メッセージとして、入力されたアプリケーションID、放送局アプリ、又は、アプリケーションIDが付加された放送局アプリの何れかを、署名生成手段305に出力する。
署名鍵入力手段304は、CA局10から証明書CN1と、署名鍵SN1とが入力されるものである。そして、署名鍵入力手段304は、入力された署名鍵SN1を署名生成手段305に出力する。さらに、署名鍵入力手段304は、入力された証明書CN1を証明書付加手段307に出力する。
署名生成手段305は、署名鍵入力手段304から署名鍵SN1が入力され、この署名鍵SN1を用いて、署名を生成するものである。例えば、署名生成手段305は、アプリID付加手段303から入力されたアプリケーションID、放送局アプリ、又は、アプリケーションIDが付加された放送局アプリの何れかを、署名の元となる署名元メッセージとする。そして、署名生成手段305は、この署名元メッセージに署名アルゴリズム(例えば、DSA署名)を適用して署名を生成して、署名付加手段306に出力する。
なお、署名生成手段305は、署名元メッセージにハッシュ関数(例えば、SHA−1アルゴリズム)を用いて署名元メッセージを容量の少ないデータに変換してから、署名アルゴリズムを適用することが好ましい。
なお、署名生成手段305は、署名元メッセージにハッシュ関数(例えば、SHA−1アルゴリズム)を用いて署名元メッセージを容量の少ないデータに変換してから、署名アルゴリズムを適用することが好ましい。
すなわち、署名生成手段305は、以下の式(1)で表される署名を生成する。この式(1)では、Sigが署名であり、Signature_Ksが署名鍵SN1(秘密鍵)による署名生成であり、Mesが署名元メッセージである。
Sig=Signature_Ks(Mes)・・・式(1)
Sig=Signature_Ks(Mes)・・・式(1)
署名付加手段306は、アプリID付加手段303から入力された放送局アプリに、署名生成手段305から入力された署名を付加するものである。そして、署名付加手段306は、署名が付加された放送局アプリを、証明書付加手段307に出力する。
証明書付加手段307は、署名付加手段306から入力された放送局アプリに、署名鍵入力手段304から入力された証明書CN1を付加するものである。そして、証明書付加手段307は、証明書CN1が付加された放送局アプリを、アプリ出力手段308に出力する。
アプリ出力手段308は、証明書付加手段307から入力された放送局アプリを、アプリケーションサーバ70に出力(登録)するものである。つまり、アプリ出力手段308が出力する放送局アプリは、放送局アプリ本体と、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とがパッケージ化されたものである。
なお、図3のアプリケーション登録装置30Bは、アプリケーションIDを生成しない点と、アプリケーションID及びアプリケーションIDが付加された放送局アプリを署名元メッセージにしない点と、署名鍵SN1の代わりに署名鍵SBを用いる点とが、図2のアプリケーション登録装置30と異なる。これ以外、アプリケーション登録装置30Bは、図2の各手段と同様のため、詳細な説明を省略する。
つまり、アプリケーション登録装置30Bが出力する一般アプリは、一般アプリ本体と、署名鍵SBによる署名と、証明書CBとがパッケージ化されたものである。
つまり、アプリケーション登録装置30Bが出力する一般アプリは、一般アプリ本体と、署名鍵SBによる署名と、証明書CBとがパッケージ化されたものである。
[ID・署名鍵・証明書発行装置の構成]
図4を参照して、ID・署名鍵・証明書発行装置60の構成について説明する(適宜図1参照)。
図4に示すように、ID・署名鍵・証明書発行装置60は、署名鍵入力手段601と、アプリID生成手段602と、署名鍵・検証鍵生成手段603と、証明書生成手段604と、証明書管理手段605と、署名鍵管理手段606とを備える。
図4を参照して、ID・署名鍵・証明書発行装置60の構成について説明する(適宜図1参照)。
図4に示すように、ID・署名鍵・証明書発行装置60は、署名鍵入力手段601と、アプリID生成手段602と、署名鍵・検証鍵生成手段603と、証明書生成手段604と、証明書管理手段605と、署名鍵管理手段606とを備える。
署名鍵入力手段601は、CA局10から署名鍵SN2が入力されるものである。そして、署名鍵入力手段601は、入力された署名鍵SN2を証明書生成手段604に出力する。
アプリID生成手段602は、一般アプリに付加するアプリケーションIDを生成するものである。例えば、アプリID生成手段602は、予め設定した命名規約に従って、アプリケーションIDを生成する。この命名規約は、例えば、サービス事業者Bの事業者IDと、このサービス事業者B内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとする。そして、アプリID生成手段602は、生成したアプリケーションIDを、証明書生成手段604に出力する。
署名鍵・検証鍵生成手段603は、署名鍵SBと、アプリケーション用検証鍵PB(以後、「検証鍵PB」)とを生成するものである。ここで、署名鍵・検証鍵生成手段603は、CA局10と同様の公開鍵暗号方式により、署名鍵SBと検証鍵PBとの鍵ペアを生成する。そして、署名鍵・検証鍵生成手段603は、生成した検証鍵PBを証明書生成手段604に出力する。さらに、署名鍵・検証鍵生成手段603は、生成した署名鍵SBを署名鍵管理手段606に出力する。
証明書生成手段604は、一般アプリに付加する証明書CBを生成するものである。例えば、証明書生成手段604は、図5に示すように、ITU(International Telecommunication Union)のX.509に準拠した証明書CBを生成する。
具体的には、証明書生成手段604は、署名鍵・検証鍵生成手段603から入力された検証鍵PBを証明書CBに付加する。また、証明書生成手段604は、アプリID生成手段602から入力されたアプリケーションIDを、証明書CBに付加する。そして、証明書生成手段604は、一般アプリであることを識別する情報(属性)を証明書CBに付加する。
具体的には、証明書生成手段604は、署名鍵・検証鍵生成手段603から入力された検証鍵PBを証明書CBに付加する。また、証明書生成手段604は、アプリID生成手段602から入力されたアプリケーションIDを、証明書CBに付加する。そして、証明書生成手段604は、一般アプリであることを識別する情報(属性)を証明書CBに付加する。
また、証明書生成手段604は、署名鍵入力手段601から入力された署名鍵SN2を用いて、証明書CBの署名前証明書(図5)に該当するデータを署名元メッセージとして、署名を生成する。このとき、証明書生成手段604は、署名生成手段305(図2)と同様の署名アルゴリズムを用いることができる。そして、証明書生成手段604は、アプリケーションIDと、署名鍵SN2による署名と、署名鍵SN2による署名の生成に用いた署名アルゴリズムの名称とを、証明書CBに付加して、証明書管理手段605に出力する。
<証明書の具体例>
図5を参照して、証明書生成手段604が生成した証明書CBの具体例について、説明する。
図5に示すように、署名前証明書の各項目のうち、バージョン、シリアル番号及び有効期間(開始、終了)は、ITUのX.509に準拠して記述するため、詳細な説明を省略する。
また、署名前証明書の公開鍵情報には、検証鍵PBが格納され、この検証鍵PBを生成したアルゴリズムの名称が記述される。
また、署名前証明書には、発行者として放送局の名前が記述され、発行者の識別子として放送局の事業者ID(ユニークID)が記述される。
また、署名前証明書には、主体者としてサービス事業者Bの名前が記述され、主体者の識別子としてサービス事業者Bの事業者ID(ユニークID)が記述される。
また、署名前証明書の拡張項目には、アプリケーションIDと、一般アプリであることを示すアプリケーションの属性とが記述される。
そして、証明書CBには、署名前証明書の各項目に加えて、署名鍵SN2による署名(放送局の署名)と、この放送局の署名の生成に用いた署名アルゴリズムの名称とが格納される。
図5を参照して、証明書生成手段604が生成した証明書CBの具体例について、説明する。
図5に示すように、署名前証明書の各項目のうち、バージョン、シリアル番号及び有効期間(開始、終了)は、ITUのX.509に準拠して記述するため、詳細な説明を省略する。
また、署名前証明書の公開鍵情報には、検証鍵PBが格納され、この検証鍵PBを生成したアルゴリズムの名称が記述される。
また、署名前証明書には、発行者として放送局の名前が記述され、発行者の識別子として放送局の事業者ID(ユニークID)が記述される。
また、署名前証明書には、主体者としてサービス事業者Bの名前が記述され、主体者の識別子としてサービス事業者Bの事業者ID(ユニークID)が記述される。
また、署名前証明書の拡張項目には、アプリケーションIDと、一般アプリであることを示すアプリケーションの属性とが記述される。
そして、証明書CBには、署名前証明書の各項目に加えて、署名鍵SN2による署名(放送局の署名)と、この放送局の署名の生成に用いた署名アルゴリズムの名称とが格納される。
図4に戻り、ID・署名鍵・証明書発行装置60の構成について、説明を続ける。
証明書管理手段605は、証明書生成手段604から入力された証明書CBを記憶、管理するものである。そして、証明書管理手段605は、サービス事業者BからのアプリケーションIDの申請に応じて、記憶した証明書CBを、アプリケーション登録装置30Bに出力する。
証明書管理手段605は、証明書生成手段604から入力された証明書CBを記憶、管理するものである。そして、証明書管理手段605は、サービス事業者BからのアプリケーションIDの申請に応じて、記憶した証明書CBを、アプリケーション登録装置30Bに出力する。
また、証明書管理手段605は、失効リストを発行する。例えば、サービス事業者Bが信頼できなくなった場合、放送局は、サービス事業者Bの証明書CBを失効させるため、サービス事業者Bの事業者IDを証明書管理手段605に入力する。すると、証明書管理手段605は、このサービス事業者Bに発行した証明書CBのシリアル番号等が格納された失効リストを生成する。そして、証明書管理手段605は、ネットワークを介して、失効リストを受信機80に送信する。
なお、証明書管理手段605は、放送送信装置20に失効リストを出力することで、放送波を介して、失効リストを受信機80に送信してもよい。
なお、証明書管理手段605は、放送送信装置20に失効リストを出力することで、放送波を介して、失効リストを受信機80に送信してもよい。
署名鍵管理手段606は、署名鍵・検証鍵生成手段603から入力された署名鍵SBを記憶、管理するものである。そして、署名鍵管理手段606は、サービス事業者BからのアプリケーションIDの申請に応じて、記憶した署名鍵SBを、アプリケーション登録装置30Bに出力する。
[受信機の構成]
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機(放送通信連携受信装置)80は、放送受信手段801と、放送信号解析手段802と、映像・音声復号手段803と、データ放送復号手段804と、通信送受信手段805と、アプリ起動情報取得手段806と、アプリ起動情報記憶手段807と、リスト制御手段808と、アプリ管理・実行制御手段809と、起動アプリ識別情報記憶手段810と、アプリ取得手段(アプリケーション取得手段)811と、アプリ記憶手段812と、アプリ実行手段813と、操作制御手段814と、合成表示手段815と、セキュリティ管理手段816と、リソース管理手段819とを備える。
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機(放送通信連携受信装置)80は、放送受信手段801と、放送信号解析手段802と、映像・音声復号手段803と、データ放送復号手段804と、通信送受信手段805と、アプリ起動情報取得手段806と、アプリ起動情報記憶手段807と、リスト制御手段808と、アプリ管理・実行制御手段809と、起動アプリ識別情報記憶手段810と、アプリ取得手段(アプリケーション取得手段)811と、アプリ記憶手段812と、アプリ実行手段813と、操作制御手段814と、合成表示手段815と、セキュリティ管理手段816と、リソース管理手段819とを備える。
放送受信手段801は、アンテナAを介して、放送波として送信される放送データを受信するものである。この放送受信手段801は、放送データを受信、復調し、誤り訂正やTMCC(Transmission and Multiplexing Configuration Control)復号等の復号を行い、MPEG2のトランスポートストリーム(TS)として、放送信号解析手段802に出力する。
なお、この放送受信手段801は、アンテナAを介して、電波によって放送信号を受信するものに限定されず、ケーブルを介して、放送信号を受信するものであってもよい。
なお、この放送受信手段801は、アンテナAを介して、電波によって放送信号を受信するものに限定されず、ケーブルを介して、放送信号を受信するものであってもよい。
放送信号解析手段802は、放送受信手段801で復調されたストリームデータ(トランスポートストリーム)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出するものである。なお、選局は、後記する操作制御手段814から通知されるチャンネル切替指示に基づいて行われる。
この放送信号解析手段802は、抽出した映像、音声等のデータであるPES(Packetized Elementary Stream)形式のデータについては、映像・音声復号手段803に出力し、抽出したデータ放送等のデータであるセクション形式のデータについては、データ放送復号手段804に出力する。
このとき、放送信号解析手段802は、放送受信手段801で復調されたストリームデータから、SI(番組配列情報)の一つであるAITの記述子(アプリケーション起動情報記述子)に含まれているアプリケーション起動情報を抽出してもよい。そして、放送信号解析手段802は、抽出したアプリケーション起動情報をアプリ起動情報記憶手段807に書き込み記憶する。さらに、放送信号解析手段802は、アプリケーション起動情報を抽出した場合、アプリケーション起動情報が通知された旨(起動情報通知)を、アプリケーションを識別する情報(アプリケーションID)と共に、アプリ管理・実行制御手段809に通知する。
映像・音声復号手段803は、放送信号解析手段802で抽出された映像・音声(映像ストリーム及び音声ストリーム)を復号するものである。この映像・音声復号手段803は、映像・音声が例えば、MPEG2の符号化方式によって符号化されている場合、MPEG2の復号を行い表示可能な出力形式の映像・音声データとして、合成表示手段815に出力する。
データ放送復号手段804は、放送信号解析手段802で抽出されたデータ放送のデータを復号するものである。このデータ放送復号手段804は、カルーセルを復号し、BMLを解析し、当該BMLを表示可能な出力形式に変換するBMLブラウザの機能を有し、変換した表示データ(データ放送データ)を、合成表示手段815に出力する。
また、データ放送復号手段804は、カルーセルで送信されたアプリケーション起動情報を抽出してもよい。そして、データ放送復号手段804は、抽出したアプリケーション起動情報をアプリ起動情報記憶手段807に書き込む。
ここで、データ放送復号手段804は、証明書抽出手段804aをさらに備える。
証明書抽出手段804aは、カルーセルで送信された失効リストと、証明書CCA,CN2とを抽出する。また、証明書抽出手段804aは、抽出した失効リストを、CRL管理手段817aに書き込む。そして、証明書抽出手段804aは、抽出した証明書CCA,CN2を証明書管理手段817bに書き込む。
証明書抽出手段804aは、カルーセルで送信された失効リストと、証明書CCA,CN2とを抽出する。また、証明書抽出手段804aは、抽出した失効リストを、CRL管理手段817aに書き込む。そして、証明書抽出手段804aは、抽出した証明書CCA,CN2を証明書管理手段817bに書き込む。
通信送受信手段805は、ネットワークを介して、放送局アプリ、一般アプリ、外部アプリ等のデータを受信するものである。
ここで、通信送受信手段805は、CRL抽出手段805aをさらに備える。
CRL抽出手段805aは、ネットワークで送信されたデータから、失効リストを抽出する。そして、CRL抽出手段805aは、抽出した失効リストを、CRL管理手段817aに書き込む。
ここで、通信送受信手段805は、CRL抽出手段805aをさらに備える。
CRL抽出手段805aは、ネットワークで送信されたデータから、失効リストを抽出する。そして、CRL抽出手段805aは、抽出した失効リストを、CRL管理手段817aに書き込む。
アプリ起動情報取得手段806は、通信送受信手段805を介して、放送局アプリ及び一般アプリに対応する起動情報を取得するものである。
例えば、アプリ起動情報取得手段806は、起動時(電源ON時)に予め定めたサーバ(アプリケーション起動情報サーバ)からアプリケーション起動情報を取得し、取得したアプリケーション起動情報をアプリ起動情報記憶手段807に書き込み記憶する。あるいは、アプリ起動情報取得手段806は、ユーザによって、後記する操作制御手段814を介して、アプリケーションのリストを表示させる指示(リスト表示指示)が通知された段階で、アプリケーション起動情報を取得することとしてもよい。
例えば、アプリ起動情報取得手段806は、起動時(電源ON時)に予め定めたサーバ(アプリケーション起動情報サーバ)からアプリケーション起動情報を取得し、取得したアプリケーション起動情報をアプリ起動情報記憶手段807に書き込み記憶する。あるいは、アプリ起動情報取得手段806は、ユーザによって、後記する操作制御手段814を介して、アプリケーションのリストを表示させる指示(リスト表示指示)が通知された段階で、アプリケーション起動情報を取得することとしてもよい。
アプリ起動情報記憶手段807は、アプリケーション起動情報を記憶するものであって、メモリ、ハードディスク等の記憶媒体である。ここでは、アプリ起動情報記憶手段807は、放送信号解析手段802によって、抽出されたアプリケーション起動情報が書き込まれる。また、アプリ起動情報記憶手段807は、アプリ起動情報取得手段806によって、取得されたアプリケーション起動情報が書き込まれる。
リスト制御手段808は、起動可能なアプリケーションのリストの表示及びアプリケーションの選択の制御を行うローンチャー(Launcher)である。
このリスト制御手段808は、起動可能なアプリケーションのリストを表示する。つまり、リスト制御手段808は、ユーザから操作制御手段814を介してリスト表示を指示されることで、アプリ起動情報記憶手段807に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段815に出力する。
このリスト制御手段808は、起動可能なアプリケーションのリストを表示する。つまり、リスト制御手段808は、ユーザから操作制御手段814を介してリスト表示を指示されることで、アプリ起動情報記憶手段807に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段815に出力する。
また、リスト制御手段808は、表示したアプリケーションのリストにおいて、操作制御手段814を介して指示される、ユーザからのリスト選択指示に基づいて、アプリケーションを選択するものである。そして、リスト制御手段808は、選択されたアプリケーションを識別する番号(アプリケーションID)を含んだ選択アプリケーション通知をアプリ管理・実行制御手段809に出力する。
アプリ管理・実行制御手段809は、アプリケーションのライフサイクル(アプリケーションがロード、実行されて終了するまでの過程)を制御するものである。
具体的には、アプリ管理・実行制御手段809は、後記するアプリ実行手段813からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段819に出力(転送)する。
具体的には、アプリ管理・実行制御手段809は、後記するアプリ実行手段813からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段819に出力(転送)する。
また、アプリ管理・実行制御手段809は、リソース管理手段819からリソース割当要求の応答が入力されると、このリソース割当要求の応答をアプリ実行手段813に出力(転送)する。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリ管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリ管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリ管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリ管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
また、アプリ管理・実行制御手段809は、後記するアプリ認証手段817から認証結果が入力される。この認証結果は、アプリケーションのIDと、属性とが含まれる。この属性は、放送局アプリ、一般アプリ、外部アプリ又は認証失敗を示す情報であり、例えば、0:放送局アプリを示し、1:一般アプリを示し、2:外部アプリを示し、3:認証失敗を示す。そして、アプリ管理・実行制御手段809は、入力された認証結果を、起動中のアプリケーションIDに対応づけてセキュリティ情報テーブルに書き込む。
これによって、アプリ管理・実行制御手段809は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、及び、認証結果を記憶、管理することができる。
これによって、アプリ管理・実行制御手段809は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、及び、認証結果を記憶、管理することができる。
ここで、アプリ管理・実行制御手段809は、起動制御手段809aと、終了制御手段809bと、蓄積管理手段809cとを備えている。
起動制御手段809aは、入力された認証結果に基づいて、アプリ取得手段811が取得したアプリケーションの起動を制御するものである。
起動制御手段809aは、入力された認証結果に基づいて、アプリ取得手段811が取得したアプリケーションの起動を制御するものである。
ここで、起動制御手段809aは、放送信号解析手段802から起動情報通知が通知された場合、又は、リスト制御手段808から選択アプリケーション通知が通知された場合、認証結果に基づいて、アプリケーションの起動を制御する。
認証結果が放送局アプリ又は一般アプリの場合、起動制御手段809aは、アプリ実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、放送局アプリ及び一般アプリが、起動することになる。
一方、認証結果が外部アプリ又は認証失敗の場合、起動制御手段809aは、アプリケーションを実行させない旨、アプリ実行手段813に指示する。これによって、外部アプリの起動が禁止されることになる。
なお、起動制御手段809aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリ識別情報記憶手段810に起動中のアプリケーションIDを書き込むこととする。
認証結果が放送局アプリ又は一般アプリの場合、起動制御手段809aは、アプリ実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、放送局アプリ及び一般アプリが、起動することになる。
一方、認証結果が外部アプリ又は認証失敗の場合、起動制御手段809aは、アプリケーションを実行させない旨、アプリ実行手段813に指示する。これによって、外部アプリの起動が禁止されることになる。
なお、起動制御手段809aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリ識別情報記憶手段810に起動中のアプリケーションIDを書き込むこととする。
終了制御手段809bは、起動中のアプリケーションの終了制御を行うものである。
具体的には、終了制御手段809bは、放送信号解析手段802から起動情報通知が通知された際、アプリ起動情報記憶手段807に記憶されている、起動情報通知と共に通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードに応じて、アプリケーションを終了させる。
具体的には、終了制御手段809bは、放送信号解析手段802から起動情報通知が通知された際、アプリ起動情報記憶手段807に記憶されている、起動情報通知と共に通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードに応じて、アプリケーションを終了させる。
蓄積管理手段809cは、受信機80内(具体的には、アプリ記憶手段812)にアプリケーションを予め蓄積(インストール)する制御を行うものである。
具体的には、蓄積管理手段809cは、リスト制御手段808から、起動可能なアプリケーションのリストの中で、ユーザが選択した選択アプリケーションを特定する情報(アプリケーションID)と共に、アプリ記憶手段812にアプリケーションを蓄積させる旨を通知された場合に、アプリケーション起動情報に記述されているアプリケーションの所在からそのアプリケーションを取得し、アプリ記憶手段812に書き込む旨(アプリケーション取得指示)を、アプリ取得手段811に通知する。
これによって、アプリ記憶手段812には、ユーザが選択したアプリケーションが蓄積される。
具体的には、蓄積管理手段809cは、リスト制御手段808から、起動可能なアプリケーションのリストの中で、ユーザが選択した選択アプリケーションを特定する情報(アプリケーションID)と共に、アプリ記憶手段812にアプリケーションを蓄積させる旨を通知された場合に、アプリケーション起動情報に記述されているアプリケーションの所在からそのアプリケーションを取得し、アプリ記憶手段812に書き込む旨(アプリケーション取得指示)を、アプリ取得手段811に通知する。
これによって、アプリ記憶手段812には、ユーザが選択したアプリケーションが蓄積される。
また、蓄積管理手段809cは、アプリケーションをアプリ記憶手段812に蓄積(インストール)した場合、アプリ起動情報記憶手段807にアプリケーションが蓄積されている旨の状態を書き込み管理することとする。
一方、蓄積管理手段809cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。すなわち、アプリ記憶手段812に記憶されているアプリケーションは、蓄積管理手段809c内の蓄積アプリケーションリスト表示手段(不図示)によってリスト表示され、アプリケーション選択削除手段(不図示)によって、ユーザからの選択により、アプリ記憶手段812から削除される。このとき、アプリケーション選択削除手段(不図示)は、アプリ起動情報記憶手段807において、対応するアプリケーション蓄積状態を“未蓄積”とする。
一方、蓄積管理手段809cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。すなわち、アプリ記憶手段812に記憶されているアプリケーションは、蓄積管理手段809c内の蓄積アプリケーションリスト表示手段(不図示)によってリスト表示され、アプリケーション選択削除手段(不図示)によって、ユーザからの選択により、アプリ記憶手段812から削除される。このとき、アプリケーション選択削除手段(不図示)は、アプリ起動情報記憶手段807において、対応するアプリケーション蓄積状態を“未蓄積”とする。
起動アプリ識別情報記憶手段810は、起動中のアプリケーションの識別情報(アプリケーションID)を記憶するものであって、半導体メモリ等の記憶媒体である。この起動アプリ識別情報記憶手段810は、起動制御手段809aによって、アプリケーションが起動された際にアプリケーションIDが書き込まれ、終了制御手段809bによって、アプリケーションが終了する際に削除される。
アプリ取得手段811は、通信送受信手段805を介して、アプリケーションサーバ70,70Aに記憶されたアプリケーションを取得するものである。
このアプリ取得手段811は、蓄積管理手段809cからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションを蓄積管理手段809cに書き込み蓄積する。
このアプリ取得手段811は、蓄積管理手段809cからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションを蓄積管理手段809cに書き込み蓄積する。
また、アプリ取得手段811は、アプリケーションを取得したとき、放送局アプリ、一般アプリ又は外部アプリの何れであるかの認証(判定)を指示する認証指示を、アプリ認証手段817に出力する。
これによって、受信機80は、アプリケーションを起動する都度、認証を行う場合に比べて、その回数を低減でき、受信機80の処理負荷を軽減することができる。
アプリ取得手段811が出力した認証指示は、図6には「認証指示1」と図示した。なお、「認証指示2」については、説明を後記する。
これによって、受信機80は、アプリケーションを起動する都度、認証を行う場合に比べて、その回数を低減でき、受信機80の処理負荷を軽減することができる。
アプリ取得手段811が出力した認証指示は、図6には「認証指示1」と図示した。なお、「認証指示2」については、説明を後記する。
アプリ記憶手段812は、アプリ取得手段811で取得されたアプリケーションを記憶するもので、ハードディスク等の記憶媒体である。このアプリ記憶手段812に記憶されているアプリケーションは、アプリ実行手段813によって読み出され、実行される。
なお、アプリ記憶手段812に記憶されているアプリケーションが放送局アプリ又は一般アプリであれば、放送通信連携システム1が想定するアプリケーションIDと、署名と、証明書とが付加されている。一方、アプリ記憶手段812に記憶されているアプリケーションが外部アプリであれば、放送通信連携システム1が想定するアプリケーションIDと、署名と、証明書との何れも付加されていない。
なお、アプリ記憶手段812に記憶されているアプリケーションが放送局アプリ又は一般アプリであれば、放送通信連携システム1が想定するアプリケーションIDと、署名と、証明書とが付加されている。一方、アプリ記憶手段812に記憶されているアプリケーションが外部アプリであれば、放送通信連携システム1が想定するアプリケーションIDと、署名と、証明書との何れも付加されていない。
アプリ実行手段813は、アプリ管理・実行制御手段809からの指示(起動制御指示)に基づいて、アプリケーションの起動及び終了を行うものである。
このアプリ実行手段813は、起動制御手段809aからアプリケーションを実行する旨が指示された場合、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーション及びアプリケーションを実行する際に必要となるデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。
そして、アプリ実行手段813は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーション(放送局アプリ及び一般アプリ)を実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段815に出力される。
このアプリ実行手段813は、起動制御手段809aからアプリケーションを実行する旨が指示された場合、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーション及びアプリケーションを実行する際に必要となるデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。
そして、アプリ実行手段813は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーション(放送局アプリ及び一般アプリ)を実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段815に出力される。
また、アプリ実行手段813は、起動制御手段809aからアプリケーションを実行させない旨が指示された場合、合成表示手段815を介して、アプリケーションを実行できない旨のメッセージを表示してもよい。このように、外部アプリ又は認証失敗の場合、アプリ実行手段813に起動制御指示が入力されないため、その起動が禁止される。
また、アプリ実行手段813は、終了制御手段809bからアプリケーションを終了する旨が指示された場合、指示されたアプリケーションを終了させる。
また、アプリ実行手段813は、終了制御手段809bからアプリケーションを終了する旨が指示された場合、指示されたアプリケーションを終了させる。
ここで、アプリ実行手段813は、起動中のアプリケーションがリソースにアクセスするAPI(Application Program Interface)を呼び出した場合、アプリ管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力する。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
また、アプリ実行手段813は、アプリ管理・実行制御手段809からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリ実行手段813は、APIを呼び出して、リソース管理手段819によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリ実行手段813は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリ実行手段813は、APIを呼び出して、リソース管理手段819によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリ実行手段813は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
ここで、アプリ実行手段813は、終了制御手段809bから通常終了あるいは強制終了であるかを、例えば、割り込み信号等によって起動中のアプリケーションに通知し、アプリケーションを終了させる。
なお、アプリ実行手段813は、アプリ管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力することとして説明したが、これに限定されない。具体的には、アプリ実行手段813は、リソース割当要求をリソース管理手段819に直接出力してもよい(不図示)。
操作制御手段814は、外部のリモコン装置Ri等の入力手段を介して、受信機80に対するユーザの操作(例えば、チャンネル変更等)を制御するものである。
この操作制御手段814は、リモコン装置Riを介してユーザからチャンネルの変更が指示された場合、選択されたチャンネルのチャンネル番号を含んだチャンネル切替指示を放送信号解析手段802に通知する。これによって、現在視聴中のチャンネルが選局されることになる。
この操作制御手段814は、リモコン装置Riを介してユーザからチャンネルの変更が指示された場合、選択されたチャンネルのチャンネル番号を含んだチャンネル切替指示を放送信号解析手段802に通知する。これによって、現在視聴中のチャンネルが選局されることになる。
合成表示手段815は、映像・音声を合成して表示するものである。この合成表示手段815は、映像・音声復号手段803で復号された映像データ・音声データ、データ放送復号手段804で復号されたデータ放送の表示データ、リスト制御手段808で生成されたリストの表示データ及びアプリ実行手段813で生成されたアプリケーションの表示データをそれぞれ合成して表示する。
なお、合成表示手段815は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
なお、合成表示手段815は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
セキュリティ管理手段816は、受信機80のセキュリティを管理するものであり、アプリケーション認証手段(アプリケーション判定手段)817と、リソースアクセス制御手段818とを備える。
アプリ認証手段817は、アプリ取得手段811から入力された認証指示に応じて、アプリ取得手段811が取得したアプリケーションが放送局アプリ、一般アプリ、外部アプリ又は認証失敗の何れであるかを認証(判定)するものである(アプリケーション認証)。
<アプリケーション認証>
以下、アプリケーション認証の具体例について説明する。
図6に示すように、アプリ認証手段817は、アプリ取得手段811から認証指示が入力されると、アプリ記憶手段812から、アプリケーションと、アプリケーションに付加されたアプリケーションIDと、署名と、証明書CN1,CBとを抽出する。
以下、アプリケーション認証の具体例について説明する。
図6に示すように、アプリ認証手段817は、アプリ取得手段811から認証指示が入力されると、アプリ記憶手段812から、アプリケーションと、アプリケーションに付加されたアプリケーションIDと、署名と、証明書CN1,CBとを抽出する。
アプリ認証手段817は、CRL管理手段(失効リスト記憶手段)817aと、証明書管理手段817bと、証明書確認手段(証明書判定手段)817cと、署名検証手段817dとを備える。
CRL管理手段817aは、証明書抽出手段804a又はCRL抽出手段805aから入力された失効リストを記憶、管理するものである。
証明書管理手段817bは、証明書抽出手段804aから入力された証明書CCA,CN2を記憶、管理するものである。このとき、証明書管理手段817bは、証明書CCAとして、汎用ルート証明書を記憶してもよい。さらに、証明書管理手段817bは、証明書CN2として、事業者専用ルート証明書を記憶してもよい。
CRL管理手段817aは、証明書抽出手段804a又はCRL抽出手段805aから入力された失効リストを記憶、管理するものである。
証明書管理手段817bは、証明書抽出手段804aから入力された証明書CCA,CN2を記憶、管理するものである。このとき、証明書管理手段817bは、証明書CCAとして、汎用ルート証明書を記憶してもよい。さらに、証明書管理手段817bは、証明書CN2として、事業者専用ルート証明書を記憶してもよい。
証明書確認手段817cは、アプリケーションに付加された証明書CN1,CBと、証明書管理手段817bに記憶された証明書CN2とが有効であるか否かを確認(判定)するものである。
具体的には、証明書確認手段817cは、アプリケーションに証明書CN1,CBの何れかが付加されているか否か、つまり、アプリケーションから証明書CN1,CBの何れかを抽出できたか否かを確認する。
また、証明書確認手段817cは、証明書管理手段817bに記憶された証明書CCAの検証鍵PCAを用いて、アプリケーションから抽出した証明書CN1と、証明書管理手段817bに記憶された証明書CN2とが有効であるか否かを確認する。
なお、証明書CN1、CN2が有効か否かの確認とは、例えば、検証鍵PCAを用いて、証明書CN1、CN2に付加された署名(署名鍵SCAで生成した署名)を復号し、復号した署名と署名元メッセージとが一致するか否かを検証することである。
具体的には、証明書確認手段817cは、アプリケーションに証明書CN1,CBの何れかが付加されているか否か、つまり、アプリケーションから証明書CN1,CBの何れかを抽出できたか否かを確認する。
また、証明書確認手段817cは、証明書管理手段817bに記憶された証明書CCAの検証鍵PCAを用いて、アプリケーションから抽出した証明書CN1と、証明書管理手段817bに記憶された証明書CN2とが有効であるか否かを確認する。
なお、証明書CN1、CN2が有効か否かの確認とは、例えば、検証鍵PCAを用いて、証明書CN1、CN2に付加された署名(署名鍵SCAで生成した署名)を復号し、復号した署名と署名元メッセージとが一致するか否かを検証することである。
また、証明書確認手段817cは、アプリケーションから抽出した証明書CBが、CRL管理手段817aに記憶された失効リストで失効しているか否かを確認する。例えば、証明書確認手段817cは、この失効リストに、証明書CBのシリアル番号が含まれるか否かを確認する。そして、証明書CBが失効していない場合、証明書確認手段817cは、有効な証明書CN2の検証鍵PN2を用いて、証明書CBが有効であるか否かを確認する。
なお、証明書CBが有効か否かの確認とは、例えば、検証鍵PN2を用いて、証明書CBに付加された署名(署名鍵SN2による署名)を復号し、復号した署名と署名元メッセージとが一致するか否かを検証することである。
なお、証明書CBが有効か否かの確認とは、例えば、検証鍵PN2を用いて、証明書CBに付加された署名(署名鍵SN2による署名)を復号し、復号した署名と署名元メッセージとが一致するか否かを検証することである。
ここで、外部アプリの場合、証明書確認手段817cは、所定の証明書が付加されていないことを確認した結果(認証結果)を、アプリ管理・実行制御手段809及びリソースアクセス制御手段818に出力する。これによって、アプリ管理・実行制御手段809(起動制御手段809a)は、アプリケーションを実行させない旨、アプリ実行手段813に指示することになる。
一方、外部アプリでない場合、証明書確認手段817cは、署名検証手段817dに署名の検証を指示(署名検証指示)する。
なお、証明書確認手段817cの詳細は、後記する受信機80の動作で説明する(図10参照)。
一方、外部アプリでない場合、証明書確認手段817cは、署名検証手段817dに署名の検証を指示(署名検証指示)する。
なお、証明書確認手段817cの詳細は、後記する受信機80の動作で説明する(図10参照)。
署名検証手段817dは、アプリケーションから抽出した署名が正当であるか否かを検証するものである。ここで、署名検証手段817dは、証明書確認手段817cから署名検証指示が入力されると、証明書CN1,CBの検証鍵PN1,PBを用いて、署名が正当であるか否かを検証する。
すなわち、署名検証手段817dは、署名元メッセージに署名検証アルゴリズムを適用して、アプリケーションから抽出した署名を検証する(式(2)参照)。この式(2)では、Verify_Kpが検証鍵(公開鍵)PN1,PBを使用した署名検証である。
Verify_Kp(Mes、Sig)<=>1・・・式(2)
Verify_Kp(Mes、Sig)<=>1・・・式(2)
ここで、Verifyの結果が1である場合、署名が正当といえる。従って、検証鍵PN1で検証できた場合、署名検証手段817dは、取得したアプリケーションが放送局アプリであると認証する。また、検証鍵PBで検証できた場合、署名検証手段817dは、取得したアプリケーションが一般アプリであると認証する。
一方、Verifyの結果が1でない場合、署名が正当でないので、署名検証手段817dは、取得したアプリケーションが外部アプリであると認証する。
一方、Verifyの結果が1でない場合、署名が正当でないので、署名検証手段817dは、取得したアプリケーションが外部アプリであると認証する。
そして、署名検証手段817dは、署名を検証したアプリケーションのIDと属性とが含まれる認証結果を、アプリ管理・実行制御手段809及びリソースアクセス制御手段818に出力する。この認証結果に応じて、アプリ管理・実行制御手段809(起動制御手段809a)は、起動制御指示又はアプリケーションを実行させない旨の何れかを、アプリ実行手段813に指示することになる。
なお、署名検証手段817dの詳細は、後記する受信機80の動作で説明する(図10参照)。
なお、署名検証手段817dの詳細は、後記する受信機80の動作で説明する(図10参照)。
リソースアクセス制御手段818は、アプリ認証手段817から入力された認証結果に応じて、アプリ取得手段811が取得したアプリケーションに対して、リソースアクセス制御を行うものである。本実施形態では、リソースアクセス制御手段818は、予め設定されたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。
<リソースアクセス制御>
図7を参照して、リソースアクセス制御手段818によるリソースアクセス制御を具体的に説明する(適宜図6参照)。
このリソースアクセス制御テーブルは、放送局アプリ、一般アプリ及び外部アプリのそれぞれが、アクセスできるリソースとアクセスできないリソースとを示すテーブルである。また、リソースアクセス制御テーブルは、図7に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
図7を参照して、リソースアクセス制御手段818によるリソースアクセス制御を具体的に説明する(適宜図6参照)。
このリソースアクセス制御テーブルは、放送局アプリ、一般アプリ及び外部アプリのそれぞれが、アクセスできるリソースとアクセスできないリソースとを示すテーブルである。また、リソースアクセス制御テーブルは、図7に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
API識別子は、リソースにアクセスするAPIを一意に識別する識別子である。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、放送局アプリ、一般アプリ及び外部アプリのそれぞれが、そのリソースにアクセスできるか否かを示す。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、放送局アプリ、一般アプリ及び外部アプリのそれぞれが、そのリソースにアクセスできるか否かを示す。
このリソースは、アプリケーションの動作に必要となるコンテンツ要素及び受信機資源であり、例えば、放送リソース、通信リソース、受信機リソースがある。
この放送リソースは、放送波で扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機80のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
この放送リソースは、放送波で扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機80のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
図7のリソースアクセス制御テーブルでは、リソースごとに、そのリソースにアクセスする専用のAPIが規定されている。この例では、リソース「映像」にアクセスするAPIが「subA()」であり、リソース「音声」にアクセスするAPIが「subB()」であり、リソース「字幕」にアクセスするAPIが「subC()」であり、リソース「SI」にアクセスするAPIが「subD()」である。
また、このリソースアクセス制御テーブルでは、放送局アプリが、「映像」、「音声」、「字幕」、「SI」の全リソースについて、アクセス権限が「○」であるため、アクセスできることを示す。
また、このリソースアクセス制御テーブルでは、一般アプリが、リソース「映像」、「音声」、「字幕」について、アクセス権限が「×」であるため、アクセスできないことを示す。一方、このリソースアクセス制御テーブルでは、一般アプリであっても、リソース「SI」にアクセスできることを示す。
つまり、図7のリソースアクセス制御テーブルは、放送局アプリが、一般アプリに比べて、幅広いリソースにアクセスできるように設定されている。言い換えるなら、このリソースアクセス制御テーブルでは、一般アプリが、安全性や放送の公共性の観点から、放送リソースにアクセスできないように設定されている。
なお、リソースアクセス制御テーブルは、外部アプリが放送通信連携システム1で管理されるリソースにアクセスしようとした場合を考慮して、外部アプリが全リソースにアクセスできないように設定されている。
なお、リソースアクセス制御テーブルは、外部アプリが放送通信連携システム1で管理されるリソースにアクセスしようとした場合を考慮して、外部アプリが全リソースにアクセスできないように設定されている。
ここで、放送局等の権限を有する者が、このリソースアクセス制御テーブルを作成して、放送波又はネットワークを介して受信機80に送信して、受信機80に記憶されることとしてもよい。これによって、受信機80では、放送局により、各アプリケーションがアクセスできるリソースを管理でき、メンテナンス性が向上する。
なお、リソースアクセス制御テーブルは、図7の例に限定されない。例えば、リソースアクセス制御テーブルには、放送リソース以外のリソース(例えば、「TCP」等の通信リソース)を設定することもできる。
リソースアクセス制御手段818は、アプリ認証手段817から認証結果が入力される。そして、リソースアクセス制御手段818は、リソース管理手段819からリソース割当可否問合が入力されると、このリソース割当可否問合に応じて、リソースの割り当てが可能であるか否かを判定する。
具体的には、認証結果(判定結果)が放送局アプリの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、放送局アプリのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、放送局アプリが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。そして、リソースアクセス制御手段818は、リソースの割り当てが可能であることを示すリソース割当可能を、リソース管理手段819に出力する。
なお、放送局アプリのアクセス権限が「×」の場合、リソースアクセス制御手段818は、放送局アプリであっても、そのリソースにアクセスすることを禁止する。
なお、放送局アプリのアクセス権限が「×」の場合、リソースアクセス制御手段818は、放送局アプリであっても、そのリソースにアクセスすることを禁止する。
一方、認証結果(判定結果)が一般アプリの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、一般アプリのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、一般アプリが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「×」のため、リソースの割り当てが不可と判定する。また、一般アプリが「subD()」を呼び出した場合、リソースアクセス制御手段818は、リソース「SI」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。その後、リソースアクセス制御手段818は、この判定結果に基づいて、リソースの割り当てが不可であることを示すリソース割当不可、または、リソース割当可能の何れかを、リソース管理手段819に出力する。
図6に戻り、受信機80の構成について説明を続ける。
リソース管理手段819は、各種リソースを管理するものである。ここで、リソース管理手段819は、アプリ実行手段813からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段818に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段818に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
リソース管理手段819は、各種リソースを管理するものである。ここで、リソース管理手段819は、アプリ実行手段813からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段818に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段818に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
また、リソース管理手段819は、リソースアクセス制御手段818からリソース割当可否問合の応答が入力される。
ここで、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段819は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリ管理・実行制御手段809に出力する。
一方、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリ管理・実行制御手段809に出力する。
ここで、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段819は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリ管理・実行制御手段809に出力する。
一方、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリ管理・実行制御手段809に出力する。
[放送通信連携システムの動作:放送局アプリの起動]
図1の放送通信連携システム1で放送局アプリを起動する動作(図8)と、放送通信連携システム1で一般アプリを起動する動作(図9)と、受信機80でのアプリケーション認証(図10)とを順に説明する。
図1の放送通信連携システム1で放送局アプリを起動する動作(図8)と、放送通信連携システム1で一般アプリを起動する動作(図9)と、受信機80でのアプリケーション認証(図10)とを順に説明する。
図8を参照して、放送通信連携システム1で放送局アプリを起動する動作について、説明する(適宜図1参照)。
この図8の説明では、証明書CCA、CN1が有効であり、放送局アプリの署名が正当であることとする。
図8に示すように、CA局10は、放送局から、証明書の発行が申請される。この証明書の発行申請は、ネットワーク等のオンライン、又は、郵送等のオフラインで行われる(ステップS1)。
この図8の説明では、証明書CCA、CN1が有効であり、放送局アプリの署名が正当であることとする。
図8に示すように、CA局10は、放送局から、証明書の発行が申請される。この証明書の発行申請は、ネットワーク等のオンライン、又は、郵送等のオフラインで行われる(ステップS1)。
CA局10は、署名鍵SCAと検証鍵PCAとの鍵ペアを生成すると共に、署名鍵SN1と検証鍵PN1との鍵ペアを生成する。
CA局10は、署名鍵SCAによる署名及び検証鍵PN1を証明書CN1に格納し、証明書CN1と署名鍵SN1とをアプリケーション登録装置30に発行する(ステップS2)。
CA局10は、検証鍵PCAを証明書CCAに格納し、放送送信装置20に発行する。そして、放送送信装置20は、放送波を介して、CA局10から発行された証明書CCAを受信機80に送信する(ステップS3)。
CA局10は、署名鍵SCAによる署名及び検証鍵PN1を証明書CN1に格納し、証明書CN1と署名鍵SN1とをアプリケーション登録装置30に発行する(ステップS2)。
CA局10は、検証鍵PCAを証明書CCAに格納し、放送送信装置20に発行する。そして、放送送信装置20は、放送波を介して、CA局10から発行された証明書CCAを受信機80に送信する(ステップS3)。
アプリケーション登録装置30は、アプリケーションIDを生成する(ステップS4)。
アプリケーション登録装置30は、CA局10から入力された署名鍵SN1を用いて、署名を生成する(ステップS5)。
アプリケーション登録装置30は、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とを放送局アプリに付加(パッケージ化)し、この送局アプリをアプリケーションサーバ70に登録する(ステップS6、S7)。
アプリケーション登録装置30は、CA局10から入力された署名鍵SN1を用いて、署名を生成する(ステップS5)。
アプリケーション登録装置30は、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とを放送局アプリに付加(パッケージ化)し、この送局アプリをアプリケーションサーバ70に登録する(ステップS6、S7)。
受信機80は、アプリケーションサーバ70に放送局アプリを要求する(ステップS8)。
受信機80は、要求した放送局アプリをアプリケーションサーバ70から取得する(ステップS9)。
受信機80は、放送局アプリから、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とを抽出する(ステップS10)。
受信機80は、要求した放送局アプリをアプリケーションサーバ70から取得する(ステップS9)。
受信機80は、放送局アプリから、アプリケーションIDと、署名鍵SN1による署名と、証明書CN1とを抽出する(ステップS10)。
受信機80は、証明書CCAの検証鍵PCAを用いて、放送局アプリから抽出した証明書CN1が有効であるか否かを確認する(ステップS11)。
受信機80は、証明書CN1の検証鍵PN1を用いて、放送局アプリから抽出した、署名鍵SN1による署名が正当であるか否かを検証する(ステップS12)。
受信機80は、認証結果が放送局アプリとなるため、取得した放送局アプリを起動する(ステップS13)
このように、受信機80は、証明書CCA、CN1が有効、かつ、放送局アプリの署名が正当な場合、放送局アプリを起動する。
受信機80は、証明書CN1の検証鍵PN1を用いて、放送局アプリから抽出した、署名鍵SN1による署名が正当であるか否かを検証する(ステップS12)。
受信機80は、認証結果が放送局アプリとなるため、取得した放送局アプリを起動する(ステップS13)
このように、受信機80は、証明書CCA、CN1が有効、かつ、放送局アプリの署名が正当な場合、放送局アプリを起動する。
[放送通信連携システムの動作:一般アプリの起動]
図9を参照して、放送通信連携システム1で一般アプリを起動する動作について、説明する(適宜図1参照)。
この図9の説明では、証明書CCA,CN2,CBが有効であり、一般アプリの署名が正当であることとする。
図9に示すように、CA局10は、放送局から、証明書の発行が申請される(ステップS21)。
なお、ステップS21の処理は、図8のステップS1と同様のため、詳細な説明を省略する。
図9を参照して、放送通信連携システム1で一般アプリを起動する動作について、説明する(適宜図1参照)。
この図9の説明では、証明書CCA,CN2,CBが有効であり、一般アプリの署名が正当であることとする。
図9に示すように、CA局10は、放送局から、証明書の発行が申請される(ステップS21)。
なお、ステップS21の処理は、図8のステップS1と同様のため、詳細な説明を省略する。
CA局10は、署名鍵SCAと検証鍵PCAとの鍵ペアを生成すると共に、署名鍵SN2と検証鍵PN2との鍵ペアを生成する。
CA局10は、署名鍵SN2をID・署名鍵・証明書発行装置60に発行する(ステップS22)。
CA局10は、検証鍵PCAを証明書CCAに格納し、署名鍵SCAによる署名及び検証鍵PN2を証明書CN2に格納し、証明書CCA,CN2を放送送信装置20に発行する。そして、放送送信装置20は、放送波を介して、CA局10から発行された証明書CCA,CN2を受信機80に送信する(ステップS23)。
CA局10は、署名鍵SN2をID・署名鍵・証明書発行装置60に発行する(ステップS22)。
CA局10は、検証鍵PCAを証明書CCAに格納し、署名鍵SCAによる署名及び検証鍵PN2を証明書CN2に格納し、証明書CCA,CN2を放送送信装置20に発行する。そして、放送送信装置20は、放送波を介して、CA局10から発行された証明書CCA,CN2を受信機80に送信する(ステップS23)。
放送局(ID・署名鍵・証明書発行装置60)は、サービス事業者Bから、アプリケーションIDが申請される。このアプリケーションIDの申請は、オンライン又はオフラインで行われる(ステップS24)。
ID・署名鍵・証明書発行装置60は、アプリケーションIDを生成し、署名鍵SBと検証鍵PBとの鍵ペアを生成し、アプリケーションID及び検証鍵PBが格納された証明書CBを生成する(ステップS25)。
ID・署名鍵・証明書発行装置60は、アプリケーションID及び検証鍵PBが格納された証明書CBと、署名鍵SBとをアプリケーション登録装置30Bに発行する(ステップS26)。
ID・署名鍵・証明書発行装置60は、アプリケーションID及び検証鍵PBが格納された証明書CBと、署名鍵SBとをアプリケーション登録装置30Bに発行する(ステップS26)。
アプリケーション登録装置30Bは、ID・署名鍵・証明書発行装置60から入力された署名鍵SBを用いて、署名を生成する(ステップS27)。
アプリケーション登録装置30Bは、署名鍵SBによる署名と、証明書CBとを一般アプリに付加(パッケージ化)し、この一般アプリをアプリケーションサーバ70に登録する(ステップS28、S29)。
アプリケーション登録装置30Bは、署名鍵SBによる署名と、証明書CBとを一般アプリに付加(パッケージ化)し、この一般アプリをアプリケーションサーバ70に登録する(ステップS28、S29)。
受信機80は、アプリケーションサーバ70に一般アプリを要求する(ステップS30)。
受信機80は、要求した一般アプリをアプリケーションサーバ70から取得する(ステップS31)。
受信機80は、一般アプリから、署名鍵SBによる署名と、証明書CBとを抽出する(ステップS32)。
受信機80は、要求した一般アプリをアプリケーションサーバ70から取得する(ステップS31)。
受信機80は、一般アプリから、署名鍵SBによる署名と、証明書CBとを抽出する(ステップS32)。
受信機80は、証明書CCAの検証鍵PCAを用いて、証明書CN2が有効であるか否かを確認する(ステップS33)。
受信機80は、証明書CN2の検証鍵PN2を用いて、一般アプリから抽出した証明書CBが有効であるか否かを確認する(ステップS34)。
受信機80は、証明書CN2の検証鍵PN2を用いて、有効な証明書CBから、アプリケーションIDを抽出する(ステップS35)。
受信機80は、証明書CBの検証鍵PBを用いて、一般アプリから抽出した、署名鍵SBによる署名が正当であるか否かを検証する(ステップS36)。
受信機80は、認証結果が一般アプリとなるため、取得した一般アプリを起動する(ステップS37)
このように、受信機80は、証明書CCA,CN2,CBが有効、かつ、一般アプリの署名が正当な場合、一般アプリを起動する。
受信機80は、証明書CN2の検証鍵PN2を用いて、一般アプリから抽出した証明書CBが有効であるか否かを確認する(ステップS34)。
受信機80は、証明書CN2の検証鍵PN2を用いて、有効な証明書CBから、アプリケーションIDを抽出する(ステップS35)。
受信機80は、証明書CBの検証鍵PBを用いて、一般アプリから抽出した、署名鍵SBによる署名が正当であるか否かを検証する(ステップS36)。
受信機80は、認証結果が一般アプリとなるため、取得した一般アプリを起動する(ステップS37)
このように、受信機80は、証明書CCA,CN2,CBが有効、かつ、一般アプリの署名が正当な場合、一般アプリを起動する。
[受信機の動作:アプリケーション認証]
図10を参照して、受信機80でアプリケーション認証の動作について、説明する(適宜図6参照)。
この図10の説明では、証明書CCA,CN2が証明書管理手段817bに記憶されていることとする。また、証明書CN2が証明書CCAの検証鍵PCAで有効と確認されていることとする(つまり、検証鍵PN2が正しいとして扱われる)。
また、図10では、「証明書」とは、受信機80が取得したアプリケーションに付加された証明書のことであり、証明書CN1,CBの何れかである。
また、図10では、説明をわかり易くするため、「放送局アプリ」、「一般アプリ」、「外部アプリ」という認証結果を破線で図示した。
図10を参照して、受信機80でアプリケーション認証の動作について、説明する(適宜図6参照)。
この図10の説明では、証明書CCA,CN2が証明書管理手段817bに記憶されていることとする。また、証明書CN2が証明書CCAの検証鍵PCAで有効と確認されていることとする(つまり、検証鍵PN2が正しいとして扱われる)。
また、図10では、「証明書」とは、受信機80が取得したアプリケーションに付加された証明書のことであり、証明書CN1,CBの何れかである。
また、図10では、説明をわかり易くするため、「放送局アプリ」、「一般アプリ」、「外部アプリ」という認証結果を破線で図示した。
受信機80は、証明書確認手段817cによって、アプリケーションに証明書が付加されているか否か(アプリケーションから証明書を抽出できたか否か)を確認する(ステップS101)。
証明書が付加されている場合(ステップS101でYes)、受信機80は、ステップS102の処理に進む。
証明書が付加されていない場合(ステップS101でNo)、受信機80は、認証結果を外部アプリとして、アプリケーション認証を終了する。
証明書が付加されている場合(ステップS101でYes)、受信機80は、ステップS102の処理に進む。
証明書が付加されていない場合(ステップS101でNo)、受信機80は、認証結果を外部アプリとして、アプリケーション認証を終了する。
受信機80は、証明書確認手段817cによって、証明書管理手段817bに記憶された証明書CCAの検証鍵PCAを用いて、アプリケーションに付加された証明書が有効であるか否かを確認する(ステップS102)。
証明書が有効な場合(ステップS102でYes)、アプリケーションに証明書CN1が付加されており、受信機80は、ステップS103の処理に進む。
証明書が有効でない場合(ステップS102でNo)、アプリケーションに証明書CN1が付加されておらず、受信機80は、ステップS104の処理に進む。
証明書が有効な場合(ステップS102でYes)、アプリケーションに証明書CN1が付加されており、受信機80は、ステップS103の処理に進む。
証明書が有効でない場合(ステップS102でNo)、アプリケーションに証明書CN1が付加されておらず、受信機80は、ステップS104の処理に進む。
受信機80は、署名検証手段817dによって、アプリケーションに付加された証明書CN1の検証鍵PN1を用いて、アプリケーションに付加された署名(署名鍵SN1による署名)が正当であるか否かを検証する(ステップS103)。
署名が正当な場合(ステップS103でYes)、署名鍵SN1による署名が放送局アプリに付加されており、受信機80は、認証結果を放送局アプリとして、アプリケーション認証を終了する。
署名が正当でない場合(ステップS103でNo)、受信機80は、認証結果を認証失敗(改ざんあり)として、アプリケーション認証を終了する。
署名が正当な場合(ステップS103でYes)、署名鍵SN1による署名が放送局アプリに付加されており、受信機80は、認証結果を放送局アプリとして、アプリケーション認証を終了する。
署名が正当でない場合(ステップS103でNo)、受信機80は、認証結果を認証失敗(改ざんあり)として、アプリケーション認証を終了する。
受信機80は、証明書確認手段817cによって、証明書管理手段817bに記憶された証明書CN2の検証鍵PN2を用いて、アプリケーションに付加された証明書が有効であるか否かを確認する(ステップS104)。
証明書が有効な場合(ステップS104でYes)、アプリケーションに証明書CBが付加されており、受信機80は、ステップS105の処理に進む。
証明書が有効でない場合(ステップS104でNo)、受信機80は、認証結果を外部アプリとして、アプリケーション認証を終了する。
証明書が有効な場合(ステップS104でYes)、アプリケーションに証明書CBが付加されており、受信機80は、ステップS105の処理に進む。
証明書が有効でない場合(ステップS104でNo)、受信機80は、認証結果を外部アプリとして、アプリケーション認証を終了する。
受信機80は、署名検証手段817dによって、アプリケーションに付加された証明書CBの検証鍵PBを用いて、アプリケーションに付加された署名(署名鍵SBによる署名)が正当であるか否かを検証する(ステップS105)。
署名が正当な場合(ステップS105でYes)、署名鍵SBによる署名が一般アプリに付加されており、受信機80は、認証結果を一般アプリとして、アプリケーション認証を終了する。
署名が正当でない場合(ステップS105でNo)、受信機80は、認証結果を認証失敗(改ざんあり)として、アプリケーション認証を終了する。
署名が正当な場合(ステップS105でYes)、署名鍵SBによる署名が一般アプリに付加されており、受信機80は、認証結果を一般アプリとして、アプリケーション認証を終了する。
署名が正当でない場合(ステップS105でNo)、受信機80は、認証結果を認証失敗(改ざんあり)として、アプリケーション認証を終了する。
以上のように、本発明の実施形態に係る放送通信連携システム1は、放送局が制作した放送局アプリだけでなく、様々なサービス事業者や個人が制作した一般アプリも安全に提供できると共に、動作が保証されず安全性の確保が困難な外部アプリの起動を受信機80で禁止することができる。これによって、放送通信連携システム1は、放送局アプリだけでなく、一般アプリも安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
また、放送通信連携システム1は、署名及び証明書を用いることにより、アプリケーションの真正性(改ざんがないこと)、及び、その提供元を正しく確認することができ、アプリケーションの信頼性を確保できる。さらに、放送通信連携システム1は、サービス事業者等によるアプリケーションIDや属性の改ざんを防止することができ、安全性を確保することができる。
また、放送通信連携システム1は、求められる安全性に応じて柔軟に、放送局単位又は個々のアプリケーション単位など、様々な単位で署名鍵(秘密鍵)を運用することを可能とする。さらに、放送通信連携システム1は、例えば、受信機80に格納する検証鍵(証明書に含まれる公開鍵)の個数が1個〜数個程度でよく、安全性の確保と受信機80の実装負荷低減との両立を図ることができる。
また、放送通信連携システム1は、既存のデジタル放送受信機で運用されている汎用ルート証明書及び事業者専用ルート証明書を流用できるため、受信機80の実装コストを低減すると共に、受信機80の処理負荷を軽減することができる。
さらに、放送通信連携システム1は、失効リストを受信機80に送信することで、効率的かつ効果的に、アプリケーションの起動を制御することができる。例えば、放送通信連携システム1は、あるアプリケーションが提供された後、その提供元が信頼できなくなった場合でも、そのアプリケーションの起動を事後的に禁止することができる。
なお、本実施形態では、放送局にID・署名鍵・証明書発行装置(署名鍵・証明書発行装置)60が備えられることとして説明したが、本発明は、これに限定されない。
例えば、サービス事業者Bのアプリケーション制作装置40Bが、ID・署名鍵・証明書発行装置60の全手段を備えることとする。
また、アプリケーション制作装置40Bが、ID・署名鍵・証明書発行装置60のうち、アプリID生成手段602(図4)以外の全手段を備えてもよい。この場合、サービス事業者Bは、放送局にアプリケーションIDを申請すると、放送局からアプリケーションIDだけを受け取り、署名及び証明書CBを自ら生成することになる。
例えば、サービス事業者Bのアプリケーション制作装置40Bが、ID・署名鍵・証明書発行装置60の全手段を備えることとする。
また、アプリケーション制作装置40Bが、ID・署名鍵・証明書発行装置60のうち、アプリID生成手段602(図4)以外の全手段を備えてもよい。この場合、サービス事業者Bは、放送局にアプリケーションIDを申請すると、放送局からアプリケーションIDだけを受け取り、署名及び証明書CBを自ら生成することになる。
なお、本実施形態では、証明書CBにアプリケーションIDが含まれることとして説明したが、本発明は、証明書CBにアプリケーションIDを含めなくともよい。これによって、放送通信連携システム1は、アプリケーションごとに証明書CBを発行する必要がなく、処理負荷を軽減することができる。一方、放送通信連携システム1は、サービス事業者BによるアプリケーションIDの改ざんを防止できず、安全性が低下することもある。
ここで、サービス事業者Bでの署名生成及び受信機80での署名検証の手順は、放送局アプリの手順と同様のため、説明を省略する。
ここで、サービス事業者Bでの署名生成及び受信機80での署名検証の手順は、放送局アプリの手順と同様のため、説明を省略する。
なお、本実施形態では、アプリケーション取得時にアプリケーション認証を行うこととして説明したが、本発明は、アプリケーション起動時にアプリケーション認証を行うこともできる。この場合、起動制御手段809aがアプリケーションを起動する都度、認証指示がアプリ認証手段817に出力されて(図6の「認証指示2」)、アプリケーション認証が行われることになり、安全性がより向上する。
このように、アプリケーション取得時またはアプリケーション起動時の何れかのタイミングで署名を検証すればよいので、受信機80の設計自由度を向上させることができる。
このように、アプリケーション取得時またはアプリケーション起動時の何れかのタイミングで署名を検証すればよいので、受信機80の設計自由度を向上させることができる。
なお、本実施形態では、放送局アプリ、一般アプリ及び外部アプリの制作者をそれぞれ1つとして説明したが、複数であってもよい。また、同一のサービス事業者が一般アプリ及び外部アプリの両方を制作してもよい。さらに、放送局がサービス事業者として、一般アプリ及び外部アプリを制作してもよい。
なお、本実施形態では、証明書CN1,CN2と、署名鍵SN1,SN2と、検証鍵PN1,PN2とを個別のものとして説明したが、本発明は、これらを共通化してもよい。つまり、放送通信連携システム1は、放送局とサービス事業者との間で、共通の証明書CNと、署名鍵SNと、検証鍵PNとを用いる。
1 放送通信連携システム
10 CA局(認証局)
20 放送送信装置
30 アプリケーション登録装置(放送事業者用アプリケーション登録装置)
30B アプリケーション登録装置(サービス事業者用アプリケーション登録装置)
301 アプリ入力手段
302 アプリID生成手段
303 アプリID付加手段
304 署名鍵入力手段
305 署名生成手段
306 署名付加手段
307 証明書付加手段
308 アプリ出力手段
40,40A,40B アプリケーション制作装置
50,50A,50B コンテンツ配信サーバ
60 ID・署名鍵・証明書発行装置(署名鍵・証明書発行装置)
601 署名鍵入力手段
602 アプリID生成手段
603 署名鍵・検証鍵生成手段
604 証明書生成手段
605 証明書管理手段
606 署名鍵管理手段
70,70A アプリケーションサーバ
80 放送通信連携受信装置(受信機)
801 放送受信手段
802 放送信号解析手段
803 映像・音声復号手段
804 データ放送復号手段
804a 証明書抽出手段
805 通信送受信手段
805a CRL抽出手段
806 アプリ起動情報取得手段
807 アプリ起動情報記憶手段
808 リスト制御手段
809 アプリ管理・実行制御手段
809a 起動制御手段
809b 終了制御手段
809c 蓄積管理手段
810 起動アプリ識別情報記憶手段
811 アプリ取得手段(アプリケーション取得手段)
812 アプリ記憶手段
813 アプリ実行手段
814 操作制御手段
815 合成表示手段
816 セキュリティ管理手段
817 アプリ認証手段
817a CRL管理手段(失効リスト記憶手段)
817b 証明書管理手段(証明書記憶手段)
817c 証明書確認手段(証明書判定手段)
817d 署名検証手段
818 リソースアクセス制御手段
819 リソース管理手段
10 CA局(認証局)
20 放送送信装置
30 アプリケーション登録装置(放送事業者用アプリケーション登録装置)
30B アプリケーション登録装置(サービス事業者用アプリケーション登録装置)
301 アプリ入力手段
302 アプリID生成手段
303 アプリID付加手段
304 署名鍵入力手段
305 署名生成手段
306 署名付加手段
307 証明書付加手段
308 アプリ出力手段
40,40A,40B アプリケーション制作装置
50,50A,50B コンテンツ配信サーバ
60 ID・署名鍵・証明書発行装置(署名鍵・証明書発行装置)
601 署名鍵入力手段
602 アプリID生成手段
603 署名鍵・検証鍵生成手段
604 証明書生成手段
605 証明書管理手段
606 署名鍵管理手段
70,70A アプリケーションサーバ
80 放送通信連携受信装置(受信機)
801 放送受信手段
802 放送信号解析手段
803 映像・音声復号手段
804 データ放送復号手段
804a 証明書抽出手段
805 通信送受信手段
805a CRL抽出手段
806 アプリ起動情報取得手段
807 アプリ起動情報記憶手段
808 リスト制御手段
809 アプリ管理・実行制御手段
809a 起動制御手段
809b 終了制御手段
809c 蓄積管理手段
810 起動アプリ識別情報記憶手段
811 アプリ取得手段(アプリケーション取得手段)
812 アプリ記憶手段
813 アプリ実行手段
814 操作制御手段
815 合成表示手段
816 セキュリティ管理手段
817 アプリ認証手段
817a CRL管理手段(失効リスト記憶手段)
817b 証明書管理手段(証明書記憶手段)
817c 証明書確認手段(証明書判定手段)
817d 署名検証手段
818 リソースアクセス制御手段
819 リソース管理手段
Claims (4)
- 汎用検証鍵が含まれる汎用証明書と、放送事業者検証鍵が含まれる放送事業者証明書と、前記放送事業者検証鍵に対応する放送事業者署名鍵とを発行する認証局と、
放送波を介して、放送番組と、前記汎用証明書とを送信する放送送信装置と、
アプリケーション用検証鍵が含まれるアプリケーション用証明書と、前記アプリケーション用検証鍵に対応するアプリケーション用署名鍵とを発行する署名鍵・証明書発行装置と、
前記放送事業者署名鍵による署名及び前記放送事業者証明書、又は、前記アプリケーション用署名鍵による署名及び前記アプリケーション用証明書をアプリケーションに付加するアプリケーション登録装置と、
署名及び証明書が付加されたアプリケーションと、前記署名及び前記証明書が付加されていないアプリケーションとの少なくとも一方を記憶するアプリケーションサーバと、
を含む放送通信連携システムで使用され、前記放送番組を受信する放送通信連携受信装置であって、
ネットワークを介して、前記アプリケーションサーバから、前記アプリケーションを取得するアプリケーション取得手段と、
前記放送送信装置から送信された汎用証明書を予め記憶する証明書記憶手段と、
前記汎用証明書の汎用検証鍵を用いて、取得した前記アプリケーションに前記証明書が付加されているか否かと、付加されている当該証明書が有効であるか否かとを判定する証明書判定手段と、
前記証明書判定手段で有効と判定された証明書の検証鍵を用いて、前記取得したアプリケーションに付加された署名が正当であるか否かを検証し、前記放送事業者証明書が付加された放送局アプリケーション、前記アプリケーション用証明書が付加された一般アプリケーション、又は、前記証明書が付加されていない外部アプリケーションの何れかを示す属性が含まれる認証結果を出力する署名検証手段と、
前記証明書判定手段で証明書が付加されていない若しくは有効でないと判定されたとき、又は、前記署名検証手段で署名が正当でないと検証されたとき、前記取得したアプリケーションを起動させない起動制御手段と、
前記放送局アプリケーション、前記一般アプリケーションおよび前記外部アプリケーションのそれぞれがアクセスできるリソースとアクセスできないリソースとを予め設定したリソースアクセス制御テーブルに基づいて、前記認証結果の属性に応じて、前記取得したアプリケーションにリソースの割り当てが可能であるか否かを判定するリソースアクセス制御手段と、
前記取得したアプリケーションに前記リソースアクセス制御手段で割り当て可能と判定されたリソースを割り当てるリソース管理手段と、
を備えることを特徴とする放送通信連携受信装置。 - 前記署名鍵・証明書発行装置で発行された、失効した前記アプリケーション用証明書の一覧である失効リストを予め記憶する失効リスト記憶手段、をさらに備え、
前記証明書判定手段は、さらに、前記取得したアプリケーションの証明書が前記失効リストで失効している場合、当該証明書が有効でないと判定することを特徴とする請求項1に記載の放送通信連携受信装置。 - 前記証明書記憶手段は、前記汎用証明書として汎用ルート証明書を記憶し、前記放送事業者証明書として事業者専用ルート証明書を記憶することを特徴とする請求項1又は請求項2に記載の放送通信連携受信装置。
- 汎用検証鍵が含まれる汎用証明書と、放送事業者専用検証鍵が含まれる放送事業者専用証明書と、前記放送事業者専用検証鍵に対応する放送事業者専用署名鍵と、放送事業者汎用検証鍵が含まれる放送事業者汎用証明書と、前記放送事業者汎用検証鍵に対応する放送事業者汎用署名鍵とを発行する認証局と、
放送波を介して、放送番組と、前記汎用証明書と、前記放送事業者汎用証明書とを送信する放送送信装置と、
前記放送事業者専用署名鍵による署名と、前記放送事業者専用証明書とをアプリケーションに付加する放送事業者用アプリケーション登録装置と、
アプリケーション用検証鍵が含まれるアプリケーション用証明書と、前記アプリケーション用検証鍵に対応するアプリケーション用署名鍵とを発行する署名鍵・証明書発行装置と、
前記アプリケーション用署名鍵による署名と、前記アプリケーション用証明書とをアプリケーションに付加するサービス事業者用アプリケーション登録装置と、
署名及び証明書が付加されたアプリケーションと、前記署名及び前記証明書が付加されていないアプリケーションとの少なくとも一方を記憶するアプリケーションサーバと、
前記放送番組を受信する放送通信連携受信装置と、を備える放送通信連携システムであって、
前記放送通信連携受信装置が、
ネットワークを介して、前記アプリケーションサーバから、前記アプリケーションを取得するアプリケーション取得手段と、
前記放送送信装置から送信された汎用証明書及び放送事業者汎用証明書を予め記憶する証明書記憶手段と、
前記汎用証明書の汎用検証鍵と前記放送事業者汎用証明書の放送事業者汎用検証鍵とを用いて、取得した前記アプリケーションに前記放送事業者専用証明書又は前記アプリケーション用証明書が付加されているか否かと、付加されている当該証明書が有効であるか否かとを判定する証明書判定手段と、
前記証明書判定手段で有効と判定された証明書の検証鍵を用いて、前記取得したアプリケーションに付加された署名が正当であるか否かを検証し、前記放送事業者専用証明書が付加された放送局アプリケーション、前記アプリケーション用証明書が付加された一般アプリケーション、又は、前記証明書が付加されていない外部アプリケーションの何れかを示す属性が含まれる認証結果を出力する署名検証手段と、
前記証明書判定手段で証明書が付加されていない若しくは有効でないと判定されたとき、又は、前記署名検証手段で署名が正当でないと検証されたとき、前記取得したアプリケーションを起動させない起動制御手段と、
前記放送局アプリケーション、前記一般アプリケーションおよび前記外部アプリケーションのそれぞれがアクセスできるリソースとアクセスできないリソースとを予め設定したリソースアクセス制御テーブルに基づいて、前記認証結果の属性に応じて、前記取得したアプリケーションにリソースの割り当てが可能であるか否かを判定するリソースアクセス制御手段と、
前記取得したアプリケーションに前記リソースアクセス制御手段で割り当て可能と判定されたリソースを割り当てるリソース管理手段と、
を備えることを特徴とする放送通信連携システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012024838A JP5912615B2 (ja) | 2012-02-08 | 2012-02-08 | 放送通信連携受信装置及び放送通信連携システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012024838A JP5912615B2 (ja) | 2012-02-08 | 2012-02-08 | 放送通信連携受信装置及び放送通信連携システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013162445A JP2013162445A (ja) | 2013-08-19 |
| JP5912615B2 true JP5912615B2 (ja) | 2016-04-27 |
Family
ID=49174334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012024838A Expired - Fee Related JP5912615B2 (ja) | 2012-02-08 | 2012-02-08 | 放送通信連携受信装置及び放送通信連携システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5912615B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3021517B1 (en) * | 2013-07-10 | 2021-04-28 | Saturn Licensing LLC | Reception device, reception method, and transmission method |
| JP2015103225A (ja) * | 2013-11-28 | 2015-06-04 | 富士通株式会社 | 判定プログラム,判定装置,判定方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0411861D0 (en) * | 2004-05-27 | 2004-06-30 | Koninkl Philips Electronics Nv | Authentication of applications |
| JP2006254234A (ja) * | 2005-03-11 | 2006-09-21 | Matsushita Electric Ind Co Ltd | メタデータ利用制御システム |
-
2012
- 2012-02-08 JP JP2012024838A patent/JP5912615B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013162445A (ja) | 2013-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8924731B2 (en) | Secure signing method, secure authentication method and IPTV system | |
| JP6423067B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
| JP5961164B2 (ja) | 放送通信連携受信装置及びリソースアクセス制御プログラム | |
| WO2013056622A1 (zh) | 验证机顶盒接入身份的方法和认证服务器 | |
| GB2505322A (en) | Host Device Authentication Using Mutual Authentication | |
| US9722992B2 (en) | Secure installation of software in a device for accessing protected content | |
| JP6213197B2 (ja) | 情報処理装置および受信方法 | |
| US20140096154A1 (en) | Integrated broadcasting communications receiver and resource managing device | |
| JP5952638B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
| JP5912615B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
| JP6053323B2 (ja) | 放送送信装置、放送通信連携受信装置およびそのプログラム、ならびに、放送通信連携システム | |
| KR101094275B1 (ko) | 아이피티비 환경에서 이동 단말을 위한 인증 방법 및 장치 | |
| JP2019050601A (ja) | 送信装置および送信方法 | |
| JP5941356B2 (ja) | 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム | |
| KR20120072030A (ko) | 원격인증을 수행하는 시스템 및 방법 | |
| JP7334772B2 (ja) | 情報処理装置及び受信方法 | |
| JP2003209542A (ja) | デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム | |
| JP2019165485A (ja) | 受信装置および受信方法 | |
| KR101248828B1 (ko) | 교환가능형 제한수신 시스템에서 cas클라이언트에 대한 고유 식별자 할당 시스템 및 방법 | |
| KR101110679B1 (ko) | 다운로드 가능한 제한수신시스템 환경에서의 인증서 배포 방법 및 시스템 | |
| JP2018023145A (ja) | 送信システム及び送信方法 | |
| KR20080021313A (ko) | 데이터 방송에 대한 인증 방법 및 데이터 방송 수신기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140326 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150714 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160308 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160401 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5912615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |