JP6350548B2 - 受信装置及び受信方法 - Google Patents

受信装置及び受信方法 Download PDF

Info

Publication number
JP6350548B2
JP6350548B2 JP2015562683A JP2015562683A JP6350548B2 JP 6350548 B2 JP6350548 B2 JP 6350548B2 JP 2015562683 A JP2015562683 A JP 2015562683A JP 2015562683 A JP2015562683 A JP 2015562683A JP 6350548 B2 JP6350548 B2 JP 6350548B2
Authority
JP
Japan
Prior art keywords
program
information
cas
protection unit
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015562683A
Other languages
English (en)
Other versions
JPWO2015122020A1 (ja
Inventor
清之 小檜山
清之 小檜山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2015122020A1 publication Critical patent/JPWO2015122020A1/ja
Application granted granted Critical
Publication of JP6350548B2 publication Critical patent/JP6350548B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Description

本発明は、例えば、機密情報を扱うプログラムを受信する受信装置及びそのようなプログラムの受信方法に関する。
近年、デジタルテレビ放送のように、映像信号といった情報を暗号化して伝送するサービスが提供されている。このようなサービスで用いられる受信装置は、伝送される情報が不正利用されることを防止するために、外部から容易にアクセスできないプロセッサ及びメモリを有する、安全性の高い機器を用いて暗号化された情報を復号する。暗号化された映像信号を扱うこのような方式は、Conditional Access System(CAS)あるいはDigital Rights Management(DRM)と呼ばれる。そしてCASは、例えば、カード型の形態を持つ、いわゆるセキュリティーカードとして実装される。
例えば、デジタルテレビ放送では、圧縮された映像ストリームがスクランブル鍵Ksを用いて暗号化されているとともに、放送される映像ストリームの中に数秒毎に更新されるその映像ストリームの復号に利用されるスクランブル鍵Ksが含まれる。スクランブル鍵Ksは、ワーク鍵Kwで暗号化され、一般に、Entitlement Control Message(ECM)と呼ばれるデジタル信号パケットに挿入される。また、ワーク鍵Kwは、個別の視聴者毎の放送局と視聴者しか知らないマスター鍵Kmで暗号化され、一般に、Entitlement Management Message(EMM)と呼ばれるデジタル信号パケットに挿入される。ECM及びEMMは、例えば、時分割多重方式でデジタル・ストリームに組み込まれた上で伝送される。マスター鍵Kmは、受信装置が有するセキュリティーカードに内蔵されているメモリに記憶されており、マスター鍵Kmには、セキュリティーカードの外部からアクセスすることは困難になっている。そしてチューナーにより選択された番組(チャンネル)情報(上記のストリーム)の一部は、システムLSIのメインプロセッサ上で動作するプログラムによってセキュリティーカードに入力される。そしてセキュリティーカードから復号されたスクランブル鍵Ksが出力される。復号されたスクランブル鍵Ksをメインプロセッサが受け取り、例えば、暗号回路に入力する。暗号回路には、スクランブル鍵Ksとともにスクランブル鍵Ksで暗号化された圧縮映像ストリームが入力され、その暗号回路は、圧縮映像ストリームを復号して出力する。復号された圧縮映像ストリームは、映像処理回路に入力されて伸長処理され、YPbPr映像信号、あるいはRGB映像信号に変換される。その映像信号がグラフィックス回路に入力される。グラフィックス回路は、例えば、番組タイトルなどの付加情報をその映像信号に合成して、最終的に得られた映像がモニターに出力される。モニターは、その映像を表示する。
上記のように、マスター鍵Km、ワーク鍵Kw及びスクランブル鍵Ksという3種類の暗号鍵を用いて情報を伝送する方式は、3重鍵方式と呼ばれる。マスター鍵Kmは、固有鍵、すなわち、個別の視聴者に与えられた唯一無二の鍵である。すなわち、個別の視聴者しか保持しないマスター鍵Kmで暗号化されたワーク鍵Kwが伝送されることで、個別の視聴者は伝送される情報にアクセスすることが可能になる。ワーク鍵Kwの使い方は限定されないが、一般的には、特定のチャンネルに対する視聴権を与えるために用いられる。例えば、有料放送チャンネルの視聴権を契約視聴者に付与するため、その視聴者固有のマスター鍵Kmで暗号化されたワーク鍵Kwが伝送される。スクランブル鍵Ksは、例えば、特定のチャンネルの映像信号を暗号化するために使われる。例えば、視聴者が有料放送チャンネルを視聴する際には、受信装置が、そのチャンネルに対応するワーク鍵Kwで暗号化されたスクランブル鍵Ksを復号することで、そのチャンネルの映像信号を復号する。
上記のセキュリティーカードの処理がメインプロセッサ上で動作するプログラムによって制御されると、そのプログラムがハッキングされた場合、マスター鍵Kmまたはワーク鍵Kwが盗難されるおそれがある。例えば、プログラムが無断で改ざんされ(書き換えられ)、セキュリティーカード内に記憶されているマスター鍵Kmまたはワーク鍵Kwが無断でコピーされると、最悪の場合、マスター鍵Kmまたはワーク鍵Kwがインターネット上で公開されるおそれがある。このような場合、無断で誰もが有料放送を視聴できるようになる可能性がある。
メインプロセッサ上で動作するプログラムがハッキングされてもマスター鍵Km及びワーク鍵Kwが第3者に知られないことが好ましい。そこで、マスター鍵Km及びワーク鍵Kwは、メインプロセッサから容易にアクセスしたり改ざん出来ない、セキュリティーカード専用のハードウェアに保存される。
しかし、上記のようなセキュリティー・システムもハッキングされる可能性が顕在化し、上記よりもさらに安全性が高いCASあるいはDRMの実装方法が研究されている。例えば、受信装置が、CASあるいはDRM機能を有するプログラムをダウンロードして、そのプログラムを、セキュリティー情報を扱う機器内で更新し、あるいはセキュリティー情報を扱う機器に新規に登録することが提案されている(例えば、非特許文献1を参照)。これにより、特定のCASあるいはDRMがハッキングされても、受信装置は、新規、あるいは、改善されたCASまたはDRM機能を持つプログラムをダウンロードすることで、そのハッキングによる情報漏えいの危険を解消できる。
非特許文献1に開示された方式では、ダウンロードされるCASプログラムまたはDRMプログラムも、3重鍵方式により暗号化された上で伝送される。
川喜田他、「ダウンローダブルCAS方式の開発」、社団法人映像情報メディア学会技術報告、ITE Technical Report Vol.36, No.6、2012年2月9日
CASなどの機能を持つプログラムが放送経由で伝送される場合において、放送局がそのようなプログラムを常時放送すると、放送帯域に占めるプログラムの割合が高過ぎて、通常の放送に影響を及ぼすおそれがある。そこで、予め、プログラムが放送される時刻を告知する情報を示すSoftware Download Trigger Table(SDTT)が、放送されるデジタルストリーム中に時分割多重方式で挿入された上で伝送される。受信装置は、SDTTを確認することでプログラムが伝送される放送予定時刻を事前に知って、その放送予定時刻にあわせてプログラムの受信準備をすることができる。
このプログラムの更新または新規登録に関する処理全てをセキュリティーカード側で処理するには、セキュリティーカード側の処理能力を過剰に高める必要が有り、コストが高くなる。一方、プログラムの更新または新規登録に関する処理をメインプロセッサ側で不用意に実行すると、せっかく更新したプログラムがハッキングされるおそれがある。そこで、機密情報を扱うプログラムの更新または新規登録する処理を実行するハードウェアの役割を適切に決定することが望まれる。
そこで本明細書は、機密情報を扱うプログラムの更新または登録の際の情報漏えいの危険性を抑制しつつ、機密情報を扱うユニットの演算負荷を軽減できる受信装置を提供することを目的とする。
一つの実施形態によれば、受信装置が提供される。この受信装置は、暗号化され、機密情報を扱い、かつ、適用対象を特定するための識別情報を含むプログラムと、そのプログラムの配信を予告し、そのプログラムの配信先を特定するための配信先情報を含む予告信号を受信する受信部と、予告信号に含まれる配信先情報に基づいて、自装置がそのプログラムの配信対象か否かを判定し、プログラムの配信対象である場合、そのプログラムの受信準備をするプロセッサと、そのプログラムに含まれる識別情報を参照して、自装置がそのプログラムの適用対象か否かを判定し、そのプログラムの適用対象である場合、そのプログラムを復号する情報保護部とを有する。
本発明の目的及び利点は、請求項において特に指摘されたエレメント及び組み合わせにより実現され、かつ達成される。
上記の一般的な記述及び下記の詳細な記述の何れも、例示的かつ説明的なものであり、請求項のように、本発明を制限するものではないことを理解されたい。
本明細書に開示された受信装置は、機密情報を扱うプログラムの更新または登録の際の情報漏えいの危険性を抑制しつつ、機密情報を扱うユニットの演算負荷を軽減できる。
図1は、一つの実施形態による受信装置の概略構成図である。 図2は、情報保護部のハードウェア構成図である。 図3は、CASプログラムの受信手順の概要を示す図である。 図4は、予告信号に含まれる情報の一覧を表す図である。 図5は、CASプログラムの一例を示す図である。 図6は、CASプログラム受信処理の動作フローチャートである。
以下、図を参照しつつ、一つの実施形態による受信装置について説明する。この受信装置は、例えば、システムLSIとして実装され、その一部に、メインプロセッサと別個に、機密情報を扱う情報保護部を有する。情報保護部の外部からは、情報保護部へのアクセスが制限され、情報保護部内で機密情報を扱うプログラムが動作するようになっている。
この受信装置は、機密情報を扱うプログラムの更新または新規登録に際し、放送局といった他の機器から、暗号化された最新版の機密情報を扱うプログラムを受信して、そのプログラムを復号して利用する。ここで、この受信装置は、機密情報を扱うプログラムが配信されることを示す予告信号を受信すると、メインプロセッサが、その予告信号を参照して、受信装置が有する情報保護部がそのプログラムの配信対象となっているか否かを判断する。そして情報保護部がそのプログラムの配信対象となっている場合、メインプロセッサは、暗号化された最新版の機密情報を扱うプログラムの受信準備を行う。一方、情報保護部は、受信装置がそのプログラムを受信すると、そのプログラムを復号して利用可能にする。これにより、この受信装置は、プログラムの更新または新規登録の際に機密情報が漏えいする危険性を抑制しつつ、プログラムの更新または新規登録についての情報保護部の処理負荷を軽減する。
図1は、一つの実施形態による受信装置の概略構成図である。
受信装置1は、例えば、通信回路2と、無線処理回路3と、映像処理回路4と、グラフィックス処理回路5と、揮発性メモリ回路6と、不揮発性メモリ回路7と、メインプロセッサ8と、情報保護部9とを有する。受信装置1が有するこれらの各部は、例えば、一つまたは複数の集積回路として実装される。そして受信装置1が有するこれらの各部は、バス10を介して互いに通信可能に接続されている。この受信装置1は、例えば、携帯電話機、携帯情報端末、コンピュータまたはテレビ受信機といった様々な装置に実装可能である。
通信回路2は、受信部の一例であり、受信装置1をインターネットなどの通信回線と接続するためのインターフェース回路であり、その通信回線の規格に従って情報を送信または受信する。通信回線の規格は、例えば、Ethernet(登録商標)とすることができる。そして通信回路2は、通信回線を介して受信した情報を、メインプロセッサ8または情報保護部9へ渡す。あるいは、通信回路2は、メインプロセッサ8または情報保護部9から受け取った情報を通信回線へ出力する。
無線処理回路3は、受信部の他の一例であり、無線電波によって搬送され、アンテナ(図示せず)を介して受信した無線信号に含まれる情報を取り出して、メインプロセッサ8または情報保護部9へ渡す。無線電波は、例えば、デジタルテレビジョン放送(以下、デジタルTV放送と呼ぶ)の電波であり、無線信号は、例えば、1以上のチャネルについての、暗号化され、かつ、圧縮された映像ストリームを含む。この場合、無線処理回路3は、チューナーであり、無線信号から、メインプロセッサ8からの制御に従って選択されたチャネルの暗号化され、かつ、圧縮された映像ストリームを取り出す。そして無線処理回路3は、その暗号化され、かつ、圧縮された映像ストリームをメインプロセッサ8へ渡す。
あるいは、無線処理回路3は、所定の無線通信規格に従って、基地局から受信した無線信号に含まれる各種の情報を取り出したり、受信装置1が実装された装置から基地局へ送信する無線信号を生成する回路であってもよい。
さらに、通信回路2及び無線処理回路3は、暗号化された映像ストリームを復号するための暗号鍵、暗号化された機密情報を扱うプログラム、またはそのプログラムを復号するための暗号鍵を含むストリームを受信してもよい。さらにまた、通信回路2及び無線処理回路3は、最新版の暗号化された機密情報を扱うプログラムが配信される予定であることを示す予告信号を受信する。
映像処理回路4は、メインプロセッサ8により復号された、圧縮された映像ストリームを、その映像ストリームを圧縮するのに用いられた圧縮符号化方式に従って伸長し、映像データを再現する。映像処理回路4は、例えば、Moving Picture Experts Group (MPEG)-2、MPEG-4、H.264 MPEG-4 AVCなどの圧縮符号化方式で圧縮された映像ストリームを伸長する。映像処理回路4は、再現された映像ストリームに含まれる各ピクチャを表示順序に従ってグラフィックス処理回路5へ渡す。
グラフィックス処理回路5は、映像処理回路4から受け取った各ピクチャを、表示順序に従って、受信装置1が実装された装置の表示装置(図示せず)に表示させる。
揮発性メモリ回路6は、例えば、ダイナミックメモリを有し、受信装置1上で実行される様々なプログラムによって扱われる情報を一時的に記憶する。
不揮発性メモリ回路7は、例えば、フラッシュメモリ(登録商標)といった、不揮発性のランダムアクセス可能なメモリ回路及びマスクROMといった読み出し専用のメモリ回路を有する。そして不揮発性メモリ回路7は、受信装置1への電力供給が停止されても消去されないことが望まれる様々な情報及び受信装置1で動作する様々なプログラムを記憶する。
さらに、不揮発性メモリ回路7は、情報保護部9で扱われる機密情報(例えば、暗号化された映像ストリームの復号に利用される暗号鍵など)、及び、情報保護部9のサブプロセッサ18で動作して機密情報を扱うプログラムを記憶する。機密情報及び機密情報を処理するプログラムは、例えば、情報保護部9内で生成または記憶される固有鍵を用いて暗号化された上で、不揮発性メモリ回路7に記憶される。これらの機密情報及びプログラムが使用される場合、一旦情報保護部9に読み込まれ、情報保護部9内で認証され、復号された上で用いられる。したがって、これらの機密情報及びプログラムも、情報保護部9を介さずに利用することは困難となっている。なお、以下では、機密情報を扱うプログラムを、便宜上、CASプログラムと呼ぶ。なお、CASプログラムの詳細については後述する。
さらに、不揮発性メモリ回路7は、機密情報に関する改ざん検出用のスキャン演算値を記憶していてもよい。
メインプロセッサ8は、例えば、論理演算回路及び数値演算回路を有し、受信装置1で動作する様々なプログラムを実行する。またメインプロセッサ8は、機密情報を扱う場合、情報保護部9へ、所定のコマンドを送信する。情報保護部9へアクセスするためのコマンドは、例えば、所定長または可変長の持つビット列であり、その先頭部分に、情報保護部9へのコマンドであることを表す、所定長(例えば、4〜8ビット)のビット列で表されたコマンド識別情報を含む。さらに、そのコマンドは、例えば、コマンド識別情報に後続して、コマンドの種類を表す所定長(例えば、4〜8ビット)のビット列と、そのコマンドの実行に必要な情報を含む。コマンドの種類を表すビット列は、コマンドの種類ごとに一意に定められる。またメインプロセッサ8は、情報保護部9からそのプログラムの実行に必要な情報を受け取る。そしてメインプロセッサ8は、その情報を用いて所定の処理を実行する。例えば、メインプロセッサ8は、情報保護部9からスクランブル鍵Ksを受け取って、暗号化された映像ストリームを復号してもよい。
さらに、受信装置1が予告信号を受信すると、メインプロセッサ8は、その予告信号を参照し、必要に応じて、最新版のCASプログラムの受信準備を行う。
情報保護部9は、機密情報に関する処理を行う装置であり、外部から情報保護部9内に記憶されている各種の機密情報またはプログラムにアクセスしたり、それら機密情報及びプログラムの改ざんが困難な耐Tamperモジュールである。
情報保護部9は、情報保護部9内に個人情報、暗号復号に利用する固有鍵といった機密情報を保持する。さらに、情報保護部9は、機密情報及びCASプログラムを固有鍵で暗号化して、不揮発性メモリ回路7に記憶する。そして情報保護部9は、登録されている(すなわち、不揮発性メモリ回路7に記憶され、かつ、利用可能となっている)CASプログラムにしたがって、その機密情報を利用した処理(例えば、ワーク鍵Kw及びスクランブル鍵Ksの復号など)を実行する。
また、情報保護部9は、暗号化された最新版のCASプログラムを受信すると、必要に応じてそのCASプログラムを復号して、使用可能なCASプログラムを更新または登録する。
本実施形態では、メインプロセッサ8は、情報保護部9について特定の制御のみ許可される。例えば、情報保護部9が扱う固有鍵などをメインプロセッサ8上で動作するプログラムが取得できるような、メインプロセッサ8と情報保護部9間の命令は存在せず、情報保護部9は、特定の命令にしか応答しない。そしてメインプロセッサ8が情報保護部9から読み出さる情報も限定される。
メインプロセッサ8が情報保護部9から読み出せる情報は、例えば、情報保護部9が扱える CAS/DRMバージョンの一覧、情報保護部9の識別情報、情報保護部9で動作するプログラムモジュールのmajorバージョン数及びminorバージョン数である。さらに、メインプロセッサ8は、機密情報を扱うプログラムのバージョンアップが成功したか否かを表す情報及びバージョンアップ内容も情報保護部9から取得できてもよい。なお、上記の情報の詳細については後述する。
図2は、情報保護部9のハードウェア構成図である。情報保護部9は、インターフェース回路11と、乱数発生回路12と、固有鍵生成回路13と、暗号回路14と、タイミング回路15と、揮発性メモリ回路16と、改ざん検出回路17と、サブプロセッサ18とを有する。情報保護部9が有するこれらの各部は、情報保護部9内に形成されたバス20を介して互いに通信可能に接続される。また、乱数発生回路12、固有鍵生成回路13、暗号回路14、タイミング回路15、揮発性メモリ回路16、及び改ざん検出回路17は、サブプロセッサ18は参照可能となっているが、情報保護部9の外部から参照不可能となっている。具体的には、サブプロセッサ18のみが、乱数発生回路12、固有鍵生成回路13、暗号回路14、タイミング回路15、揮発性メモリ回路16、及び改ざん検出回路17にアクセスするためのアドレス情報を知っている。一方、メインプロセッサ8など、情報保護部9の外部にあるユニットは、情報保護部9内のこれらの回路のアドレス情報を知らない。そしてサブプロセッサ18は、情報保護部9内の回路の何れかにアクセスする場合には、そのアクセスする回路のアドレス情報を含むコマンドを生成してバス20に出力する。
インターフェース回路11は、情報保護部9を受信装置1のバス10に接続するためのインターフェースである。そしてインターフェース回路11は、バス10を介して受け取ったビット列の先頭部分のビット列が、情報保護部9に対するコマンドであることを表すコマンド識別情報と一致すると、そのビット列をバス20を介してサブプロセッサ18へ渡す。またインターフェース回路11は、サブプロセッサ18からバス20を介して受け取った情報などをバス10へ出力する。ただし、インターフェース回路11は、情報保護部9内のサブプロセッサ18以外の各部が出力する信号は情報保護部9の外へ出力しないように形成されてもよい。そのために、例えば、サブプロセッサ18から情報保護部9の外へ出力される情報を含むビット列の先頭に、情報保護部9の外の機器を宛先とすることを表す所定長の識別ビット列がサブプロセッサ18により付される。そしてインターフェース回路11は、バス20を流れるビット列のうち、その識別ビット列を含むビット列のみを情報保護部9の外へ出力する。
またインターフェース回路11は、情報保護部9を初期化または旧バージョンのCASプログラムを使用可能にするための秘密の番号を含む初期化コマンドをバス10を介して受け取ると、その初期化コマンドをサブプロセッサ18へ渡す。なお、初期化コマンドには、コマンドの種類を表すビット列として、情報保護部9を初期化するコマンドであることを表すビット列が含まれる。
なお、受信装置1が有する複数の端子のうちの何れかの端子が、秘密の番号入力用に、サブプロセッサ18と接続されていてもよい。この場合には、その秘密の番号入力用の端子を介して秘密の番号が入力されることにより、情報保護部9は初期化されたり、あるいは、旧バージョンのCASプログラムの使用が可能になる。
乱数発生回路12は、所定の乱数発生方法に従って乱数を発生させる。なお、乱数発生回路12によって採用される乱数発生方法は、ハードウェアまたはソフトウェアによって乱数を発生させる様々な乱数発生方法のうちの何れの方法であってもよい。
固有鍵生成回路13は、所定のビット列で表される1以上の固有鍵を生成する。固有鍵は、機密情報の一例であり、例えば、機密情報を暗号化または復号したり、あるいはCASプログラムを復号あるいは暗号化するために用いられる。また固有鍵は、情報保護部9の個別鍵などの安全性を保つために、その個別鍵を固有鍵とともに暗号化するためにも利用可能である。例えば、固有鍵生成回路13は、固有鍵として、例えば、CASプログラムを暗号化する際に利用する固有鍵を生成する。そしてマスター鍵Km及びCASプログラムを復号するために利用される鍵Kbは、固有鍵で暗号化されて、不揮発性メモリ回路7に記憶されてもよい。また、固有鍵生成回路13は、不揮発性のメモリ回路を有していてもよく、その不揮発性のメモリ回路に固有鍵と、マスター鍵Km及びCASプログラムを復号するために利用される鍵Kbが記憶されていてもよい。
暗号回路14は、所定の暗号化方式に従って、情報保護部9が扱う機密情報またはCASプログラムを暗号化し、または、暗号化された機密情報またはCASプログラムを復号する。なお、暗号回路14で採用される暗号化方式は、DES暗号またはAES暗号といった様々な共通鍵暗号方式の何れであってもよく、あるいは、RSA暗号または楕円DSAといった、様々な公開鍵暗号方式の何れであってもよい。また暗号回路14は、複数の暗号化方式に対応していてもよい。さらに、暗号回路14は、ハッシュ関数に従って様々な情報のハッシュ値を演算する回路を有していてもよい。
なお、サブプロセッサ18が、サブプロセッサ18上で動作するプログラムに従って、機密情報及びCASプログラムの暗号化、復号またはハッシュ値の算出などの処理を行う場合、暗号回路14は省略されてもよい。
タイミング回路15は、情報保護部9内の各部にタイミング信号を供給する回路である。例えば、受信装置1全体を駆動するクロック信号がタイミング回路15の入力用端子を介して入力されることにより、タイミング回路15は、そのクロック信号によって駆動される。情報保護部9の外部から直接タイミング回路15にアクセスできないので、タイミング回路15から供給されるタイミング信号は、改ざんが困難な信頼性が高い信号となる。そのため、タイミング回路15から供給されるタイミング信号は、情報保護部9の外部で利用されてもよい。
タイミング回路15が供給するタイミング信号(以下では、便宜上、高信頼タイミング信号と呼ぶ)は、例えば、コンテンツの視聴期限などを確認するために、サブプロセッサ18により利用される。あるいは、高信頼タイミング信号は、サブプロセッサ18上で動作するCASプログラムまたは他のプログラムによって利用されてもよい。
揮発性メモリ回路16は、例えば、スタティックメモリを有し、情報保護部9で扱われる情報及び実行中のプログラムの少なくとも一部を一時的に記憶する。
改ざん検出回路17は、不揮発性メモリ回路7から情報保護部9が情報を読み出す度に、その読み出された情報が改ざんされているか否かを判定する。例えば、改ざん検出回路17は、所定のスキャンプログラムを実行することによって読み込んだ情報に対して所定の演算を行って、スキャン演算値を算出する。そして改ざん検出回路17は、得られたスキャン演算値と、過去にその情報について得られたスキャン演算値とを比較する。改ざん検出回路17は、その二つのスキャン演算値が一致する場合、読み出された情報は改ざんされていないと判断する。一方、改ざん検出回路17は、その二つのスキャン演算値が異なる場合、読み出された情報が改ざんされていると判断し、サブプロセッサ18に、読み出された情報が改ざんされていることを通知する。サブプロセッサ18は、メインプロセッサ8に対して、実行中のプログラムを停止させる命令を出力する。
なお、スキャンプログラムは、改ざん検出回路17に、読み出された情報のハッシュ値をスキャン演算値として算出させる。あるいは、スキャンプログラムは、改ざん検出回路17に、読み出された情報に対して、数値演算、論理演算、または数値演算と論理演算の組み合わせを実行させることでスキャン演算値を算出する。
なお、スキャン演算値は上記の例に限らず、情報が改ざんされているか否かを検出するために、その情報に基づいて算出される様々な値の何れかであってもよい。
サブプロセッサ18が、機密情報またはCASプログラムを不揮発性メモリ回路7に記憶する際、改ざん検出回路17は、その機密情報またはCASプログラムのスキャン演算値を求める。そして、そのスキャン演算値は、サブプロセッサ18及びメインプロセッサ8を介して不揮発性メモリ回路7に記憶される。なお、情報保護部9がその内部に不揮発性メモリ回路を有する場合、スキャン演算値は、情報保護部9内の不揮発性メモリ回路に記憶されてもよい。
サブプロセッサ18は、例えば、論理演算回路及び数値演算回路を有し、サブプロセッサ18上で動作するCASプログラムに従って、機密情報に関する処理を実行する。
例えば、受信装置1がCAS方式に従って暗号化された映像信号を受信し、その映像信号を再生する場合、サブプロセッサ18は、メインプロセッサ8から受信した、暗号化されたワーク鍵Kwを、マスター鍵Kmを用いて復号する。そしてサブプロセッサ18は、そのワーク鍵Kwを用いて、暗号化されたスクランブル鍵Ksを復号する。そしてサブプロセッサ18は、スクランブル鍵Ksをメインプロセッサ8へ出力する。なお、サブプロセッサ18は、ワーク鍵Kw及びスクランブル鍵Ksの一方または両方の復号を、暗号回路14に実行させてもよい。
またサブプロセッサ18は、受信装置1が、暗号化された最新版のCASプログラムを受信した際に、必要に応じて、そのCASプログラムを復号し、復号したCASプログラムで従来使用していたCASプログラムを更新するか、または復号したCASプログラムを登録する。
以下、受信装置1がCASプログラムを受信する際の処理の詳細について説明する。
図3は、CASプログラムの受信手順の概要を示す図である。
まず、放送局100から、CASプログラムが送信される前に、CASプログラムの送信を予告する予告信号が配信される。予告信号は、例えば、放送デジタル・ストリームに時分割多重により組み込まれて送信される。受信装置1は、無線処理回路3にて予告信号が含まれた放送デジタル・ストリームを受信し、無線処理回路3は、その放送デジタル・ストリームをメインプロセッサ8に渡す。この場合、予告信号は、例えば、SDTTとすることができる。なお、放送局100は、予告信号を、一定の周期あるいは不定期に複数回送信してもよい。
あるいは、予告信号は、インターネットなどの通信回線を通じて送信されるデータストリームに時分割多重により組み込まれて送信されてもよい。この場合には、受信装置1は、通信回路2にて予告信号が含まれたデータストリームを受信し、通信回路2は、そのデータストリームをメインプロセッサ8に渡す。
図4は、予告信号に含まれる情報の一覧を表す。予告信号400には、maker ID及びplatform IDといった、送信するCASプログラムの配信対象を特定する情報401が含まれる。なお、maker IDは、情報保護部9のメーカの識別情報である。また、platform IDは、情報保護部9が対応するプラットフォームの識別情報である。以下では、maker ID、platform ID、及び、情報保護部9ごとに一意に設定される情報保護部9自身の識別情報である情報保護部9の個別識別情報を、便宜上、CAS基盤IDと呼ぶ。
また、予告信号400には、CASプログラムのバージョン情報が含まれてもよい。バージョン情報は、該当する情報保護部9に対してCASプログラムのバージョン・アップの可能性を示唆する情報である。ただし、情報保護部9は、CASプログラムを絶対にバージョン・アップしなければならないというものでない。さらに、予告信号400には、CASプログラムが配信される予定日時を表す送信日時情報402が含まれる。
予告信号を受けた受信装置1のメインプロセッサ8は、情報保護部9からCAS基盤IDを読み出す。そしてメインプロセッサ8は、読み出したCAS基盤IDと、予告信号に含まれるCAS基盤IDとを比較する。
読み出した情報保護部9のCAS基盤IDと、予告信号に含まれるCAS基盤IDとが一致した場合、メインプロセッサ8は、CASプログラムのバージョンアップが必要と判断する。なお、予告信号に、CASプログラムのバージョン情報が含まれている場合、メインプロセッサ8は、読み出した情報保護部9のCAS基盤IDと、予告信号に含まれるCAS基盤IDとが一致すると、情報保護部9から、登録されている(すなわち、現在使用中の)CASプログラムのバージョン情報を読み出す。そしてメインプロセッサ8は、読み出したCASプログラムのバージョン情報と、予告信号に含まれるCASプログラムのバージョン情報とを比較して、CASプログラムのバージョンアップが必要か否か判断する。例えば、予告信号に含まれるCASプログラムのバージョン情報に示された番号が、情報保護部9から読み出したCASプログラムのバージョン情報に示された番号以上である場合、メインプロセッサ8は、CASプログラムのバージョンアップが必要と判断する。一方、予告信号に含まれるCASプログラムのバージョン情報に示された番号が、情報保護部9から読み出したCASプログラムのバージョン情報に示された番号より小さい場合、メインプロセッサ8は、CASプログラムのバージョンアップは不要と判断する。
メインプロセッサ8は、CASプログラムのバージョンアップが必要と判断した場合、配信予定のCASプログラムを受信するための準備を行う。放送により配信されるCASプログラムを受信する場合、CASプログラムの受信準備として、メインプロセッサ8は、予告信号に含まれる送信日時情報に示された予定日時を受信装置1内のタイマー回路(図示せず)にセットする。そして予定日時になると、受信装置1は自動的にパワーオンする。また、メインプロセッサ8は、不揮発性メモリ回路7に、タイマー回路によって受信装置1がパワーオンした場合の処理内容なども記憶させる。なお、インターネットなどの通信回線を介してCASプログラムが配信される場合は、メインプロセッサ8は、予定日時をタイマー回路に設定せず、通信回線経由で任意時刻にCASプログラムを受信してもよい。この場合、メインプロセッサ8は、CASプログラムの受信準備として、任意の時刻を受信予定時刻として設定し、その受信予定時刻に、通信回線を介してCASプログラムを配信するサーバへアクセスしてもよい。
CASプログラムは、放送により伝送される場合は、通常、データ・カルーセルと呼ばれる、所定時刻に繰り返し送信される方法により、受信装置1へ伝送される。また、放送局100が、通信回線を介してCASプログラムを配信する場合、受信装置1は、インターネット通信回線を介して、CASプログラムを受信してもよい。
再度図3を参照すると、放送局100は、CASプログラムを3重鍵方式により暗号化して送信する。例えば、放送局100は、CASプログラムを伝送路保護鍵Ktで暗号化する。また放送局100は、伝送路保護鍵Ktをダウンロード鍵Kdlで暗号化する。さらに、放送局100は、ダウンロード鍵Kdlを、情報保護部9の固有鍵(以下、便宜上、CAS基盤鍵と呼ぶ)Kbで暗号化する。なお、情報保護部9の識別情報、あるいは情報保護部9の識別情報に連動するCAS基盤鍵Kbは、例えばメーカー単位またはplatform単位で割り当てられる。
放送局100は、暗号化されたCASプログラムとは別個に、その暗号化されたCASプログラムを復号するための情報、例えば、伝送路保護鍵Kt及びダウンロード鍵Kdlを送信する。例えば、放送局100は、CAS基盤IDと、CAS基盤鍵Kbで暗号化されたダウンロード鍵Kdlと、ダウンロード鍵Kdlを特定するKdl特定番号などとを、Download Management Message(DMM)と呼ばれるパケットに含める。また、放送局100は、ダウンロード鍵Kdlで暗号化された伝送路保護鍵KtとKdl特定番号などとを、Download Control Message(DCM)と呼ばれるパケットに含める。このDMM及びDCMは、復号用信号の一例である。そして放送局100は、DMMパケット及びDCMパケットを複数個、それぞれ異なる時刻に、放送デジタル・ストリームあるいは通信回線を通じて送信されるデータストリームに時分割多重方式により組み込んで送信する。DMMパケット及びDCMパケットの情報容量は小さいので、繰り返し送信しても、それらのパケットが伝送容量に占める割合が小さく、暗号化されたCASプログラムのように「予告信号」を出し「予告時刻」に伝達する必要がないためである。
受信装置1がDMMを受信すると、メインプロセッサ8は、そのDMMに含まれるCAS基盤ID、暗号化されたダウンロード鍵Kdl及びKdl特定番号を情報保護部9へ渡す。情報保護部9のサブプロセッサ18は、不揮発性メモリ回路7から、予め登録されているCAS基盤IDを読み込み、DMMに含まれるCAS基盤IDと比較する。そしてサブプロセッサ18は、予め登録されているCAS基盤IDと、DMMに含まれるCAS基盤IDとが一致した場合は、固有鍵生成回路13からCAS基盤鍵Kbを取得し、CAS基盤鍵Kbでダウンロード鍵Kdlを復号する。なお、サブプロセッサ18は、暗号回路14に、暗号化されたダウンロード鍵Kdl及びCAS基盤鍵Kbを渡して、暗号回路14にダウンロード鍵Kdlを復号させてもよい。そしてサブプロセッサ18は、復号されたダウンロード鍵Kdlを揮発性メモリ回路16に記憶する。またサブプロセッサ18は、Kdl特定番号を揮発性メモリ回路16に記憶する。
次に、受信装置1がDCMを受信すると、メインプロセッサ8は、DCMから、ダウンロード鍵Kdlで暗号化された伝送路保護鍵KtとKdl特定番号を取り出して、情報保護部9へ渡す。
サブプロセッサ18は、DMM受信時に記憶したKdl特定番号とDCMに含まれるKdl特定番号を比較する。そして、DMM受信時に記憶したKdl特定番号とDCMに含まれるKdl特定番号が一致した場合、サブプロセッサ18は、ダウンロード鍵Kdlを用いて、DCMに含まれる伝送路保護鍵Ktを復号する。そしてサブプロセッサ18は、伝送路保護鍵Ktを揮発性メモリ回路16に記憶する。
次に、受信装置1は、暗号化されたCASプログラムを、放送局から、放送、あるいは通信回線を通じて受信する。メインプロセッサ8は、受信した、暗号化されたCASプログラムを情報保護部9へ渡す。
図5は、CASプログラムの一例を示す図である。CASプログラム500は、付属情報501とプログラム本体502とに分割される。付属情報501は、情報保護部9がCASプログラムを管理するための情報である。図5に示されるように、付属情報501には、例えば、下記のものが含まれる。
(1)CASプログラム発行日時(date) 、CASプログラムの正当性を証明する情報(デジタル署名またはハッシュ値といった改ざん検出用の情報など)
(2)CASプログラムによる機密情報処理の方式名称(例えば、CASあるいはDRMの方式名称)及びバージョン情報
(3)CAS基盤ID(maker ID、platform ID、情報保護部9の個別識別情報)
(4)CASプログラムに含まれる、個々のプログラムモジュール(firmware)の名称及びMajorバージョン数及びMinorバージョン数
情報保護部9は、上記の付属情報を用いて、自装置が、受信したCASプログラムの適用対象となっているか否か判定し、必要に応じて、CASプログラムに含まれる個々のプログラムモジュール単位で更新するか否かを決定できる。
例えば、情報保護部9は、CAS基盤IDを利用して、自装置が受信したCASプログラムの適用対象となっているか否かを判定できる。なお、CASプログラムが複数種類の情報保護部に対応する場合、CASプログラムは、それら複数種類の情報保護部9のそれぞれごとに個別に適用対象であることを示す。そこで本実施形態では、付属情報には、CAS基盤IDが複数含まれていてもよい。例えば、付属情報501には、CAS基盤IDとして、「maker ID、platform ID、個別ID 1」、「maker ID、platform ID、個別ID 2」などが示されている。情報保護部9は、付属情報に含まれる複数のCAS基盤IDの何れかと、自装置のCAS基盤IDが一致すれば、自装置が受信したCASプログラムの適用対象であると判定できる。
また付属情報501には、CASプログラムに含まれるプログラムモジュールのリスト5011が含まれる。リスト5011には、更新されるプログラムモジュールごとに、個別機能番号fi(i=1,2,3,...)、Majorバージョン数Mi及びMinorバージョン数Niが含まれる。リスト5011を参照することにより、サブプロセッサ18は、受信したCASプログラムに含まれるプログラムモジュールの数を知ることができる。さらに、サブプロセッサ18は、各プログラムモジュールのMajorバージョン数及びMinorバージョン数を参照することにより、個々のプログラムモジュールを更新または登録するか否かを判断できる。
なお、付属情報全体がCASプログラム本体とともに暗号化されていてもよく、あるいは、付属情報の一部もしくは全部が暗号化されていなくてもよい。例えば、図5に示された例では、付属情報501のうち、リスト5011のみ暗号化されていてもよい。付属情報が暗号化されていなければ、情報保護部9のサブプロセッサ18は、CASプログラム全体を復号せずに、受信したCASプログラムが自装置に関係するか否かを判断できる。そしてもし、受信したCASプログラムが自装置に関係なければ、サブプロセッサ18は、プログラム本体を復号せずに受信したCASプログラムを破棄できるので、処理量を軽減できる。
なお、サブプロセッサ18は、CASプログラムを破棄した後、その旨をメインプロセッサ8に通知するようにしてもよい。
プログラム本体502は、暗号化されて伝送される。プログラム本体502には、必要に応じて1個または複数個の暗号化されたプログラムモジュールが含まれる。
放送局が配信するCASプログラムは、伝送路保護鍵Ktで暗号化されている。そこで、サブプロセッサ18は、暗号化されたCASプログラムを、伝送路保護鍵Ktを用いて復号する。そしてサブプロセッサ18は、復号したCASプログラムを、固有鍵生成回路13で生成された固有鍵で再暗号化して、不揮発性メモリ回路7に保存する。上記のように、CASプログラムには、プログラム本体と付属情報が含まれる。そこで、サブプロセッサ18は、CASプログラムを復号して得られた付属情報を参照して、プログラム本体の復号または保存の際に下記の処理を実行する。
まずサブプロセッサ18は、付属情報に含まれる、CASプログラム全体の正当性を証明する情報を確認する。この情報は、デジタル署名または改ざん検出用の情報である。CASプログラム全体の正当性を証明する情報が、受信したCASプログラムの正当性を証明できない場合は、サブプロセッサ18は、復号などの処理を中止し、中止したことをメインプロセッサ8に知らせる。メインプロセッサ8は、例えば、不正なCASプログラムを受信したことを表すメッセージを、グラフィックス処理回路5へ出力する。グラフィックス処理回路5は、映像処理回路4から出力される映像にそのメッセージを重畳して、不正なCASプログラムを受信したことを視聴者に通知する。
一方、CASプログラム全体の正当性を証明する情報が、受信したCASプログラムの正当性を証明できる場合、サブプロセッサ18は、事前登録されている(すなわち、不揮発性メモリ回路7に記憶されている)CAS基盤IDと、付属情報に含まれるCAS基盤IDを比較する。例えば、CAS基盤IDのうちのmaker ID及びPlatform IDの少なくとも一方が一致しない場合、サブプロセッサ18は、CASプログラム本体の復号処理を中止する。そしてサブプロセッサ18は、メインプロセッサ8に、受信装置1を対象としない不適切な情報を受信したことを通知する。
一方、maker ID及びplatform IDの両方が一致する場合、サブプロセッサ18は、受信したCASプログラムの付属情報に示されたCASあるいはDRM方式名称とそれに関連するバージョン数を確認する。もしCASあるいはDRM方式名称が、事前登録されているものと異なっているか、あるいは、バージョン数が、事前登録されているCASプログラムのバージョン数よりも大きければ、サブプロセッサ18は、上記の方式名称を不揮発性メモリ回路7に記憶する。さらに、サブプロセッサ18は、復号した個々のプログラムモジュールを固有鍵で再暗号化して不揮発性メモリ回路7に記憶する。さらに、サブプロセッサ18は、復号したCASプログラムに含まれる、個々のプログラムモジュールのMajorバージョン数及びMinorバージョン数を不揮発性メモリ回路7に記憶する。
一方、付属情報に含まれる上記の方式名称及びバージョン数が事前登録されているものと一致した場合、サブプロセッサ18は、付属情報に含まれる、個々のプログラムモジュールのバージョン数(Major及びMinorの両方)を、事前登録されている対応するプログラムモジュールのバージョン数と比較する。そしてサブプロセッサ18は、付属情報に含まれるMajorバージョン数及びMinorバージョン数のうちの少なくとも一方が事前登録されているMajorバージョン数及びMinorバージョン数よりも大きいプログラムモジュールを更新する。
個々のプログラムモジュールは、CASプログラムの複数の機能のうちの何れか一つまたは幾つかを実現するプログラムである。なお、CASプログラムが単一機能のみを有する場合には、一つのプログラムモジュールのみが定義されればよい。また、従来登録されていない新たな個別機能番号が付属情報に含まれる場合は、その個別機能番号は、CASプログラムに新たな機能が追加されたことを示す。なお、個々のプログラムモジュールについては後述する。
本実施形態では、Majorバージョン数及びMinorバージョン数は下記の意味を持つ。
すなわち、付属情報に含まれるMajorバージョン数が事前登録されているMajorバージョン数よりも大きい場合、サブプロセッサ18は、旧バージョンのプログラムモジュールを保持したままとする。そしてサブプロセッサ18は、受信したCASプログラムに含まれる新バージョンのプログラムモジュールも不揮発性メモリ回路7に記憶する。これにより、新バージョンのCASプログラムに問題が生じた場合に、受信装置1は、旧バージョンのCASプログラムを使用することができる。なお、新バージョンのCASプログラムの動作確認後に旧バージョンのCASプログラムは削除されてもよい。
一方、付属情報に含まれるMinorバージョン数が事前登録されているMinorバージョン数よりも大きくなった場合、サブプロセッサ18は、旧バージョンのプログラムモジュールを直ちに削除、あるいは、任意に削除する。そしてサブプロセッサ18は、新バージョンのCASプログラムを不揮発性メモリ回路7に記憶する。
個々のプログラムモジュールは、例えば、CASプログラムがB-CASに準拠する場合、以下の機能に対応する。
(1)映像ストリームの復号に利用されるスクランブル鍵Ks及びワーク鍵Kw復号機能
(2)個別契約表示(B-CASの場合は登録されるワーク鍵Kwの数により契約チャンネル数などが分かる)機能
(3)B-CAS critical data(重要秘密情報)の設定機能。なお、B-CAS方式の場合のcritical dataは、例えば、B-CAS 個別視聴者ID (通称カードID)、ワーク鍵Kw、またはマスター鍵Kmである。critical data設定機能は、これらcritical dataの一部あるいは全部を更新する機能である。
Critical dataの更新のケースとして、例えばB-CASカードがハッキングされ、そのB-CASカードのマスター鍵Kmが漏えいした場合が考えられる。マスター鍵Kmで暗号化してワーク鍵Kwが送られるので、マスター鍵Kmが漏えいした場合、そのマスター鍵Kmが与えられた視聴者と契約した1以上の有料チャンネルを視聴するためのワーク鍵Kwが盗難される可能性が顕在化する。そしてワーク鍵Kwがインターネット上などで公開された場合は、誰もがそのワーク鍵Kwと関連する有料チャンネルを無料視聴できるようになる可能性がある。この場合の対策はマスター鍵Km更新しかない。この際、CASプログラムのダウンロード機能でマスター鍵Kmを更新することが考えられる。
CASプログラムによるマスター鍵Kmの更新を実現するためには、B-CAS方式などではCASを視聴者ごとに個別に指定する必要がある。そのため、CASプログラムは、例えば、B-CAS個別視聴者IDを流用できる。すなわち、critical data更新用のプログラムモジュールは、そのプログラムモジュール中で規定されたB-CAS個別視聴者IDと不揮発性メモリ回路7に記憶されたB-CAS個別視聴者IDを比較する。そしてそのプログラムモジュールは、両者が一致した場合に限り、サブプロセッサ18に、マスター鍵Kmを新たなマスター鍵に更新させる。
なお、critical data更新用のプログラムモジュールは、B-CAS個別視聴者IDの代わりに、個別に情報保護部9を特定できる情報、例えば、情報保護部9の個別識別情報を利用してもよい。
以下に、Critical data更新プログラムモジュールの一例を示す。
If CAS基盤個別識別= xxxxxx then Km=yyyyy
If CAS基盤個別識別= xxxxx1 then Km=yyyy1
If CAS基盤個別識別= xxxxx2 then Km=yyyy2
If CAS基盤個別識別= xxxxx3 then Km=yyyy3
If CAS基盤個別識別= ・・・ then Km=・・・
If CAS基盤個別識別= ・・・ then Km=・・・
If CAS基盤個別識別= xxxxxn then Km=yyyyn
なお、上記のプログラムモジュールは、CAS基盤個別識別(すなわち、情報保護部9の個別識別情報)が所定のID(例えば、xxxxx1)であった場合に、マスター鍵Kmをその個別識別情報に対応するもの(例えば、yyyy1)に更新する。受信装置1がこのようなプログラムモジュールを含むCASプログラムを受信して、情報保護部9において復号された場合、サブプロセッサ18は、情報保護部9の個別識別情報が指定された何れかの個別識別情報と一致した場合は、対応するマスター鍵Kmを更新する。
なおこの場合、個別視聴者だけが影響されるので、プログラムモジュールのバージョン数として、Minorバージョン数が更新されてもよい。
別のケースとして、CASプログラムのマイナーなバグの修正(例えば、CASプログラム処理の高速化など)を含むプログラムモジュールの更新についても、更新されるバージョン数はMinorバージョン数とすることができる。
一方、Majorバージョン数の修正は、例えば、多くの視聴者に影響するCASプログラムの修正に対して行われる。例えば、CAS方式に大きな問題(例えば、CASプログラム開発ミスでマスター鍵をMain CPUから読み出せるようになる命令が存在するといったセキュリティーホール)が発覚し、視聴者全員のCASプログラムを修正する必要がある場合が該当する。様々に異なる場所にいる視聴者全員が所持する受信装置のCASプログラムを同時に修正することは現実的でない。新規のCASプログラムが一斉配信されても、そのCASプログラムを受信しない視聴者がある程度存在する可能性が高い。また、新規のCASプログラムとして、複数のCAS基盤(maker, platform)のそれぞれごとに、別個のCASプログラムが存在し、それらCASプログラム全てが新規であるために、CASプログラムの一部が正常動作しないおそれがある。そこで、新規のCASプログラムとともに、旧バージョンのCASプログラムを、情報保護部9を介して不揮発性メモリ回路7に保存することで、新規のCASプログラムに不具合があっても、視聴者の不都合を極力避けることができる。
上記のようなCASプログラムの重大な問題が発覚した場合、具体的には以下のような修正運用が考えられる。
まず、Majorバージョン数が更新されたCASプログラムが受信装置1で受信され、情報保護部9により復号される。
次に、Majorバージョン数が更新されたCASプログラムに対応するEMM(暗号化されたワーク鍵Kwを含む)及びECM(暗号化されたスクランブル鍵Ksを含む)が放送される。そして情報保護部9のサブプロセッサ18はそのCASプログラムを実行して、それらの鍵を復号する。
その際、旧バージョンンのCASプログラムしか持たない受信装置、または新規であるが動作不良のCASプログラムを持つ受信装置では、サブプロセッサ18が、ワーク鍵などを復号できないことがある。
この場合、視聴者は、ワーク鍵などを復号できない受信装置で突然映像を視聴できなる。そのため、視聴者は、関連する放送事業者に問い合わせ、問題解決を依頼する。
依頼された放送事業者は、視聴者の問い合わせに応じて、その視聴者の持つ受信装置に組み込まれた情報保護部9の識別情報、CASプログラムのプログラムモジュールのMajorバージョン数及びMinorバージョン数を確認する。そして放送事業者は、即座に対応できない場合、旧バージョンンCASプログラムを有効にするための秘密の番号などを視聴者に通知する。視聴者が受信装置1の操作ボタンなどのユーザインターフェース(図示せず)経由で秘密の番号を入力する。あるいは、秘密の番号を含むパケットが、放送あるいは通信回線経由で伝達され、メインプロセッサ8が、その秘密の番号を含む初期化コマンドを情報保護部9に入力してもよい。あるいはまた、CASプログラムの配信時に、放送局が、秘密の番号をCASプログラムの何処かに含めてもよい。
なお「秘密の番号」は、視聴者ごとに別々の番号であることが好ましい。秘密の番号は、例えば、視聴者のB-CAS 個別視聴者ID (通称カードID)に予め定められた所定の演算(例えば、ハッシュ演算)を施して得られる値とすることができる。秘密の番号を視聴者ごとの番号とすることで、対象視聴者以外の視聴者がその秘密の番号を利用して勝手にCASプログラムを旧バージョンのものに戻すといった不具合を防止できる。これにより、問題のある旧バージョンのCASプログラムを放送局の意志で新バージョンのCASプログラムに更新できなくなる事態が防止されるとともに、視聴者が勝手に問題のある旧バージョンのCASプログラムを使い続けることが防止される。
また、同様の理由により、秘密の番号により旧バージョンのCASプログラムが使える期間も限定されることが好ましい。旧バージョンのCASプログラムが使える期間は、例えば、その秘密の番号が情報保護部9に入力されてから所定の期間とすることが好ましい。放送信号には、現時刻を示す時刻情報が重畳されており、この時刻情報を利用して、上記の「期間限定」機能は実現できる。すなわち、サブプロセッサ18は、秘密の番号が入力された時刻を放送信号から特定し、その時刻に、例えば、予め指定された期間(例えば、数週間)に所望の期間を付加した期間を、旧バージョンのCASプログラムを使える期間とすることができる。サブプロセッサ18は、旧バージョンのCASプログラム利用中は常に放送信号にある時刻情報を監視し、使用可能期間を過ぎたときは、メインプロセッサ8にその旨を通知して、旧バージョンのCASプログラムの使用を禁止する。
なお、上記のケースでは、旧バージョンのCASプログラムが利用できる旧バージョン用のEMM及びECMによってワーク鍵などが送信される必要がある。そこで、放送局は、例えば、新バージョンのCASプログラム用のECM及びEMMとともに、旧バージョンのCASプログラム用のECM及びEMMを配信する。さらに、放送局は、情報保護部9に対して、ECM及びEMMなどの鍵情報伝送用デジタル信号パケットの識別番号を指定する機能を設ける。
ECM及びEMMなどの鍵情報伝送用デジタル信号パケットには、一般に、パケット先頭付近にパケット識別番号が含まれる。メインプロセッサ8は、そのパケット識別番号を参照して、デジタル放送信号の中のデジタルAV情報、ECM,EMMなどの情報を識別する。通常、情報保護部9に送られるECM及びEMMは、メインプロセッサ8が識別したパケットである。
本実施形態では、旧バージョンのCASプログラムの使用可能期間中では、情報保護部9からメインプロセッサ8に、使用するバージョンのCASプログラムについての鍵情報伝送用デジタル信号パケット識別番号を通知する。メインプロセッサ8は、その識別番号のついたデジタル信号パケットを情報保護部9に渡す。これにより、情報保護部9は、メインプロセッサ8から旧バージョンのCASプログラム用のECM及びEMMを受け取り、旧バージョンのCASプログラムに従ってワーク鍵などを復号する。なお、旧バージョンのCASプログラムの使用可能期間が過ぎた後は、情報保護部9は、新バージョンのCASプログラムを用いて、新バージョンのCASプログラム用のECM及びEMMに含まれるワーク鍵などの復号動作を行う。ただし、受信装置1は、旧バージョンのCASプログラムの使用可能期間が過ぎるまでに、正常動作する新バージョンのCASプログラムを受信して、情報保護部9は、そのCASプログラムを利用可能とする。なお、新バージョンのCASプログラムの動作確認後、旧バージョンのCASプログラムは、不揮発性メモリ回路7から消去されてもよい。
なお、変形例によれば、メインプロセッサ8が、情報保護部9から伝送路保護鍵Ktを受け取って、暗号化されたCASプログラムを復号し、その復号されたCASプログラムを情報保護部9に渡してもよい。この場合も、上記の実施形態と同様に、情報保護部9のサブプロセッサ18が、復号されたCASプログラム本体及び付属情報を固有鍵を用いて再暗号化して、不揮発性メモリ回路7に記憶する。
また、他の変形例によれば、CASプログラムは伝送路保護鍵Ktだけでなく、内部暗号鍵Kxを用いて2重に暗号化されて放送局から配信されてもよい。この場合、内部暗号鍵Kxも、伝送路保護鍵Ktの伝送方法と同じ方法で受信装置1に伝送され、情報保護部9で復号されてもよい。例えば、暗号化された内部暗号鍵KxもDCMパケット中に伝送路保護鍵Ktとともに含まれ、伝送路保護鍵Ktがダウンロード鍵Kdlで復号されるのと同じように内部暗号鍵Kxもダウンロード鍵Kdlで復号される。
あるいは、内部暗号鍵Kxは、一つのDCMにて伝送路保護鍵Ktとともに伝送されるのではなく、内部暗号鍵Kx専用のDCMで伝送されてもよい。この場合、伝送路保護鍵Ktは、伝送路保護鍵Kt用のDCMで伝送され、内部暗号鍵Kxは内部暗号鍵Kx用のDCMで伝送される。
さらに、一つのDCMが内部暗号鍵Kxと伝送路保護鍵Ktの両方を含む場合でも、伝送路保護鍵Ktを復号するアルゴリズムと内部暗号鍵Kxを復号するアルゴリズムが互いに異なるものであってもよい。例えば、伝送路保護鍵KtはDES暗号で暗号化され、内部暗号鍵KxはAES暗号で暗号化されることで、伝送路保護鍵Ktと内部暗号鍵Kxの独立性が高められる。これにより、CASプログラムの伝送におけるセキュリティーが向上する。
なお、伝送路保護鍵Ktと内部暗号鍵Kxの2重暗号方式は、伝送路保護鍵Ktを暗号化されたCASプログラムの伝送路上での保護に使い、内部暗号鍵Kxを受信装置1内での保護に使うといった用途に有効である。これにより、伝送路上のセキュア処理と受信端末内のセキュア処理を切り分けることが可能になる。
例えば、内部暗号鍵Kxを、情報保護部9外に一切出ることのない情報保護部9専用鍵とすることが可能になる。なお、情報保護部9外に出ないとは、情報保護部9内のみで用いられる固有鍵で暗号化された状態で、情報保護部9から出力あるいは情報保護部9外の不揮発性メモリ回路7などに記憶されることも含む。一方、伝送路保護鍵Ktは、伝送路保護用として受信装置1の情報保護部9外で使用される。メインプロセッサ8は、伝送路保護鍵Ktを利用して伝送路関係の大容量セキュア処理(例えば、伝送エラー訂正など)を行い、情報保護部9は、内部暗号鍵Kxを使用して、より処理量の少ないCASプログラム関連の処理を行ってもよい。
なお、通信回線で利用される伝送路保護(TLS Transport Layer Securityなど)が存在する。そのため、インターネットなど通信回線経由で暗号化されたCASプログラムが伝送される場合には、伝送路保護鍵KtによるCASプログラムの暗号化は省略されてもよい。この場合、CASプログラムは、内部暗号鍵Kxのみにより暗号化された状態で伝送され、情報保護部9に渡されてもよい。
図6は、CASプログラム受信処理の動作フローチャートである。
メインプロセッサ8は、予告信号を受信すると、予告信号に含まれるCAS基盤IDに基づいて、受信装置1が有する情報保護部9が配信予定のCASプログラムの配信対象であるか否か判定する(ステップS101)。情報保護部9がCASプログラムの配信対象でない場合(ステップS101−No)、メインプロセッサ8は、CASプログラム受信処理を終了する。
一方、情報保護部9がCASプログラムの配信対象である場合(ステップS101−Yes)、メインプロセッサ8は、予告信号にCASプログラムのバージョン情報が含まれる場合、そのバージョン情報に示された番号が事前登録されているCASプログラムのバージョン情報に示された番号以上か否か判定する(ステップS102)。予告信号に含まれるCASプログラムのバージョン情報に示された番号が、事前登録されたCASプログラムのバージョン情報に示された番号未満である場合(ステップS102−No)、情報保護部9は、配信予定のCASプログラムより新しいバージョンのCASプログラムを利用している。そこでメインプロセッサ8は、CASプログラム受信処理を終了する。
一方、予告信号に含まれるCASプログラムのバージョン情報に示された番号が、情報保護部9から読み出したCASプログラムのバージョン情報に示された番号以上である場合(ステップS102−Yes)、メインプロセッサ8は、CASプログラムの受信準備を行う(ステップS103)。
また、受信装置1がCASプログラムを復号するために利用される暗号鍵を含む、DCM及びDMMなどのパケットを受信すると、メインプロセッサ8は、情報保護部9にそのパケットを渡す。そして情報保護部9のサブプロセッサ18は、そのパケットから暗号鍵を取出し、その暗号鍵を復号する(ステップS104)。
さらに、受信装置1が暗号化されたCASプログラムを受信すると、メインプロセッサ8は、情報保護部9にその暗号化されたCASプログラムを渡す。そして情報保護部9のサブプロセッサ18は、CASプログラムの付属情報に含まれるCASプログラム全体の正当性を証明する情報に基づいて、受信したCASプログラムの正当性が証明されるか否か判断する(ステップS105)。受信したCASプログラムの正当性が証明されない場合(ステップS105−No)、サブプロセッサ18は、CASプログラム更新処理を終了する。
一方、受信したCASプログラムの正当性が証明された場合(ステップS105−Yes)、サブプロセッサ18は、付属情報に含まれるmaker ID及びplatform IDと事前登録されたmaker ID及びplatform IDが一致するか否か判定する(ステップS106)。maker ID及びplatform IDの何れか一方でも一致しない場合(ステップS106−No)、サブプロセッサ18は、CASプログラム更新処理を終了する。
一方、maker ID及びPlatform IDの両方が一致する場合(ステップS106−Yes)、サブプロセッサ18は、付属情報に示されたCASあるいはDRM方式名称とそれに関連するバージョン数に基づいてCASプログラムの更新が必要か否か判定する(ステップS107)。CASプログラムの更新が不要である場合(ステップS107−No)、サブプロセッサ18は、CASプログラム更新処理を終了する。
一方、CASプログラムの更新が必要である場合(ステップS107−Yes)、サブプロセッサ18は、個々のプログラムモジュールのうち、付属情報に示されるMajorバージョン数及びMinorバージョン数のうちの少なくとも一方が事前登録されているバージョン数よりも大きいものを復号する。そしてサブプロセッサ18は、復号したプログラムモジュールで対応するプログラムモジュールを更新する(ステップS108)。なお、付属情報に示された方式名称が新規なものであることを示していたり、あるいは、CASプログラム全体のバージョンがアップしている場合には、サブプロセッサ18は、全てのプログラムモジュールを復号すればよい。またサブプロセッサ18は、更新したプログラムモジュール及びCASプログラムのバージョン数などを登録する(ステップS109)。そして受信装置1は、CASプログラム更新処理を終了する。
以上に説明してきたように、この受信装置は、メインプロセッサが予告信号に基づいて自装置がCASプログラムの更新対象か否かを判断し、情報保護部がCASプログラムの復号、更新及び登録を行う。そのため、この受信装置は、CASプログラムの更新または登録の際の情報漏えいの危険性を抑制しつつ、情報保護部の処理負荷を軽減できる。
変形例によれば、情報保護部9で行われる処理を、メインプロセッサ8上で動作するプログラムにより実装してもよい。なお、以下では、便宜上、情報保護部9で行われる処理を実行するプログラムをCAS基盤プログラムと呼ぶ。例えば、メインプロセッサ8上で動作するオペレーションシステムにより、メインプロセッサ8上で動作する複数の他のプログラムとともに、タイムシェアリングにより、CAS基盤プログラムも動作する。ここで、メインプロセッサ8上で動作する他のプログラムは、場合によっては、正当性が検証されないプログラムである可能性もある。そこでメインプロセッサ8上で動作する他のプログラムによるCAS基盤プログラムのハッキングを防ぐため、CAS基盤プログラムのプログラムコードは難読化されることが好ましい。
なお、難読化とは、実行された動作により得られる結果を変えずに、プログラムコードを複雑にして、ハッキングの大前提であるプログラム解析を複雑にしたものである。
また、受信装置1の電源がオフの状態では、CAS基盤プログラムは、不揮発性メモリ回路7に暗号化された状態で記憶される。
さらに、CAS基盤プログラムを起動するプログラム及びCAS基盤プログラムを更新するプログラムが不揮発性メモリ回路7に記憶されていてもよい。それぞれのプログラムは、ハッキングを困難にするために、難読化処理が施されていることが好ましい。
次に、CAS基盤プログラムの動作手順を説明する。
受信装置1の電源がオンになると、不揮発性メモリ回路7に記憶された起動プログラムをメインプロセッサ8が読み込んで、その起動プログラムを動作させる。そしてメインプロセッサ8は、暗号化された状態のCAS基盤プログラムを起動プログラムに含まれる難読化された復号鍵で復号し、復号したCAS基盤プログラムを揮発性メモリ回路6に書き込む。なお、復号鍵の難読化は、例えば、復号鍵を求める情報が、起動プログラムのプログラムコード中の複数の箇所に埋め込まれ、それらの情報に対して所定の演算をすることで復号鍵が求められるようにすることで行われる。また復号されたCAS基盤プログラムは、情報保護部9の各部と同様の動作をする。
さらに、メインプロセッサ8は、起動プログラムにしたがって更新プログラムを起動する。メインプロセッサ8は、更新プロラムにしたがって、定期的に放送あるいは通信回線を介して、CAS基盤プログラムの更新を確認する。そして、メインプロセッサ8は、更新されたCAS基盤プログラムを受信可能であれば、そのCAS基盤プログラムを受信して、CAS基盤プログラムを更新する。これにより、受信装置1は、CAS基盤プログラムが解析されたりハッキングされる可能性を軽減できる。
ここに挙げられた全ての例及び特定の用語は、読者が、本発明及び当該技術の促進に対する本発明者により寄与された概念を理解することを助ける、教示的な目的において意図されたものであり、本発明の優位性及び劣等性を示すことに関する、本明細書の如何なる例の構成、そのような特定の挙げられた例及び条件に限定しないように解釈されるべきものである。本発明の実施形態は詳細に説明されているが、本発明の精神及び範囲から外れることなく、様々な変更、置換及び修正をこれに加えることが可能であることを理解されたい。
1 受信装置
2 通信回路
3 無線処理回路
4 映像処理回路
5 グラフィックス処理回路
6 揮発性メモリ回路
7 不揮発性メモリ回路
8 メインプロセッサ
9 情報保護部
10 バス
11 インターフェース回路
12 乱数発生回路
13 固有鍵生成回路
14 暗号回路
15 タイミング回路
16 揮発性メモリ回路
17 改ざん検出回路
18 サブプロセッサ
20 バス

Claims (4)

  1. 暗号化され、かつ、機密情報を扱うプログラムと、前記プログラムの配信を予告し、前記プログラムの配信先を特定するための配信先情報を含む予告信号を受信する受信部と、
    前記予告信号に含まれる前記配信先情報に基づいて、自装置が前記プログラムの配信対象か否かを判定し、前記プログラムの配信対象である場合、前記プログラムの受信準備をするプロセッサと、
    前記プログラムに含まれる識別情報を参照して、自装置が前記プログラムの適用対象か否かを判定し、前記プログラムの適用対象である場合、前記プログラムを復号する情報保護部と、
    記憶部とを有し、
    前記受信部は、前記プログラムの適用対象を特定するための識別情報と、前記プログラムの暗号化に利用され、かつ、前記情報保護部の外部から参照できない固有鍵で暗号化された暗号鍵を含む復号用信号を受信し、
    前記情報保護部は、前記固有鍵を用いて前記プログラムを暗号化し、当該暗号化された前記プログラムを前記記憶部に記憶し、かつ、前記復号用信号に含まれる前記識別情報を参照して、自装置が前記プログラムの適用対象であると判定した場合、前記固有鍵を用いて前記暗号鍵を復号する、受信装置。
  2. 暗号化され、かつ、機密情報を扱うプログラムと、前記プログラムの配信を予告し、前記プログラムの配信先を特定するための配信先情報を含む予告信号を受信する受信部と、
    前記予告信号に含まれる前記配信先情報に基づいて、自装置が前記プログラムの配信対象か否かを判定し、前記プログラムの配信対象である場合、前記プログラムの受信準備をするプロセッサと、
    前記プログラムに含まれる識別情報を参照して、自装置が前記プログラムの適用対象か否かを判定し、前記プログラムの適用対象である場合、前記プログラムを復号する情報保護部と、
    前記情報保護部で動作する、前記機密情報を扱う少なくとも一つの機能のそれぞれごとに、当該機能を実現するプログラムモジュールと、各プログラムモジュールの第1のバージョン番号及び第2のバージョン番号を記憶する記憶部とを有し、
    前記プログラムは、前記各プログラムモジュールのうちの更新対象となるプログラムモジュールについての新バージョンのプログラムモジュールと、当該新バージョンのプログラムモジュールについての前記第1のバージョン番号及び前記第2のバージョン番号を含み、
    前記情報保護部は、前記受信したプログラムに含まれる前記更新対象のプログラムモジュールについての前記第1のバージョン番号が、前記記憶部に記憶されている対応するプログラムモジュールの前記第1のバージョン番号よりも大きい場合、前記記憶部に記憶されている前記更新対象のプログラムモジュールを消去せずに、対応する前記新バージョンのプログラムモジュールを復号して前記記憶部に記憶し、一方、前記受信したプログラムに含まれる前記更新対象のプログラムモジュールについての前記第2のバージョン番号が、前記記憶部に記憶されている対応するプログラムモジュールの前記第2のバージョン番号よりも大きい場合、前記記憶部に記憶されている前記更新対象のプログラムモジュールを消去し、かつ、対応する前記新バージョンのプログラムモジュールを復号して前記記憶部に記憶する、受信装置。
  3. 前記記憶部に、互いに異なる前記第1のバージョン番号を持つ複数の第1のプログラムモジュールが記憶されている場合、前記情報保護部は、前記複数の第1のプログラムモジュールのうちの動作させるプログラムモジュールを特定するモジュール識別情報を前記プロセッサへ出力し、
    前記受信部は、前記モジュール識別情報と、当該モジュール識別情報で特定されるプログラムモジュールで扱われる機密情報とを含む信号パケットを受信し、
    前記プロセッサは、前記信号パケットに含まれる前記モジュール識別情報と、前記情報保護部から受け取った前記モジュール識別情報が一致する場合、前記信号パケットに含まれる前記機密情報を前記情報保護部に渡す、請求項2に記載の受信装置。
  4. 受信部が、暗号化され、かつ、機密情報を扱うプログラムと、前記プログラムの配信を予告し、前記プログラムの配信先を特定するための配信先情報を含む予告信号を受信するとともに、前記プログラムの適用対象を特定するための識別情報と、前記プログラムの暗号化に利用され、かつ、前記機密情報を扱う処理を実行する情報保護部の外部から参照できない固有鍵で暗号化された暗号鍵を含む復号用信号を受信し、
    プロセッサが、前記予告信号に含まれる前記配信先情報に基づいて、自装置が前記プログラムの配信対象か否かを判定し、前記プログラムの配信対象である場合、前記プログラムの受信を準備し、
    記情報保護部が、前記プログラムに含まれる識別情報を参照して、自装置が前記プログラムの適用対象か否かを判定し、前記プログラムの適用対象である場合、前記プログラムを復号し、前記固有鍵を用いて当該復号されたプログラムを暗号化し、当該暗号化された前記プログラムを記憶部に記憶し、
    前記情報保護部が、前記復号用信号に含まれる前記識別情報を参照して、自装置が前記プログラムの適用対象であると判定した場合、前記固有鍵を用いて前記暗号鍵を復号する、
    ことを含む受信方法。
JP2015562683A 2014-02-17 2014-02-17 受信装置及び受信方法 Expired - Fee Related JP6350548B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/053672 WO2015122020A1 (ja) 2014-02-17 2014-02-17 受信装置及び受信方法

Publications (2)

Publication Number Publication Date
JPWO2015122020A1 JPWO2015122020A1 (ja) 2017-03-30
JP6350548B2 true JP6350548B2 (ja) 2018-07-04

Family

ID=53799782

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015562683A Expired - Fee Related JP6350548B2 (ja) 2014-02-17 2014-02-17 受信装置及び受信方法

Country Status (4)

Country Link
US (1) US10397203B2 (ja)
EP (1) EP3109791A4 (ja)
JP (1) JP6350548B2 (ja)
WO (1) WO2015122020A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10015236B2 (en) * 2015-01-30 2018-07-03 Ricoh Company, Ltd. Cloud application activation and update service
US10348501B2 (en) * 2015-07-10 2019-07-09 Inside Secure Method and apparatus for a blackbox programming system permitting downloadable applications and multiple security profiles providing hardware separation of services in hardware constrained devices
US11362824B2 (en) * 2018-05-25 2022-06-14 Intertrust Technologies Corporation Content management systems and methods using proxy reencryption
US11258704B2 (en) * 2018-06-29 2022-02-22 Intel Corporation Technologies for managing network traffic through heterogeneous networks

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6105134A (en) * 1995-04-03 2000-08-15 Scientific-Atlanta, Inc. Verification of the source of program information in a conditional access system
EP0989743A1 (en) * 1998-09-25 2000-03-29 CANAL+ Société Anonyme Application data table for a multiservice digital transmission system
CN101241735B (zh) * 2003-07-07 2012-07-18 罗威所罗生股份有限公司 重放加密的视听内容的方法
JP4561082B2 (ja) * 2003-11-18 2010-10-13 ソニー株式会社 情報処理システムおよび方法、データ生成装置および方法、記録媒体、並びにプログラム
JP5177939B2 (ja) 2004-11-10 2013-04-10 株式会社東芝 情報処理装置
JP2007201911A (ja) * 2006-01-27 2007-08-09 Sharp Corp ケーブルテレビ受信システム
US20070265966A1 (en) * 2006-05-15 2007-11-15 The Directv Group, Inc. Content delivery systems and methods to operate the same
JP5049862B2 (ja) * 2008-04-23 2012-10-17 日本放送協会 送信装置及び限定受信装置
KR100969668B1 (ko) * 2008-11-25 2010-07-14 충남대학교산학협력단 디지털 방송용 제한수신장치를 다운로드하는 방법
US20110010543A1 (en) * 2009-03-06 2011-01-13 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
EP2273405A1 (en) * 2009-07-07 2011-01-12 Irdeto Access B.V. Processing recordable content in a stream
KR101303754B1 (ko) * 2009-12-16 2013-09-04 한국전자통신연구원 아이피티비 방송 시스템에서의 수신권한 구매 및 전달 장치, 셋탑박스, 및 그 방법
US8789088B2 (en) * 2010-03-31 2014-07-22 Electronics And Telecommunications Research Institute Method and apparatus for remotely installing and updating different security clients for broadcasting or communication channels
JP5676946B2 (ja) * 2010-07-14 2015-02-25 日本放送協会 デジタル放送送信装置およびデジタル放送受信装置
GB2486002A (en) * 2010-11-30 2012-06-06 Youview Tv Ltd Media Content Provision
JP2013070247A (ja) * 2011-09-22 2013-04-18 Nippon Hoso Kyokai <Nhk> デジタル放送送信装置、デジタル放送受信装置およびデジタル放送システム

Also Published As

Publication number Publication date
US20160352711A1 (en) 2016-12-01
EP3109791A4 (en) 2017-02-08
US10397203B2 (en) 2019-08-27
JPWO2015122020A1 (ja) 2017-03-30
WO2015122020A1 (ja) 2015-08-20
EP3109791A1 (en) 2016-12-28

Similar Documents

Publication Publication Date Title
US9015495B2 (en) Telecommunications device security
US8589685B2 (en) Apparatus and method for dynamic update of software-based IPTV conditional access system
EP2705662B1 (en) Tv receiver device with multiple decryption modes
US11250170B2 (en) Secure activation of client receiver by host receiver smart card
US11259065B2 (en) Securely paired delivery of activation codes between removable and integrated security processors
US10476883B2 (en) Signaling conditional access system switching and key derivation
CN105409234A (zh) 用于执行输送i/o的系统及方法
CA3044661C (en) Smart card authenticated download
JP6146476B2 (ja) 情報処理装置及び情報処理方法
US10397203B2 (en) Reception device and reception method
JP2013070247A (ja) デジタル放送送信装置、デジタル放送受信装置およびデジタル放送システム
US20170270308A1 (en) Security device and control method
JP4876654B2 (ja) ソフトウェアダウンロードシステムと放送受信装置とサーバおよびソフトウェアダウンロード方法
CN106488321B (zh) 电视解密方法及系统
EP3568785A1 (en) Signaling conditional access system switching and key derivation
KR20110066826A (ko) 신뢰 플랫폼 모듈 기능을 이용한 cas/drm 소프트웨어의 다운로드 방법
KR101110678B1 (ko) 다운로드 가능한 제한수신시스템에서 제한수신시스템 소프트웨어의 보안 방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171031

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180406

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180521

R150 Certificate of patent or registration of utility model

Ref document number: 6350548

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees