JP2003174441A - Contents encrypting method and device and contents decoding method and device - Google Patents

Contents encrypting method and device and contents decoding method and device

Info

Publication number
JP2003174441A
JP2003174441A JP2001371463A JP2001371463A JP2003174441A JP 2003174441 A JP2003174441 A JP 2003174441A JP 2001371463 A JP2001371463 A JP 2001371463A JP 2001371463 A JP2001371463 A JP 2001371463A JP 2003174441 A JP2003174441 A JP 2003174441A
Authority
JP
Japan
Prior art keywords
key
encryption
array
encrypted
content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001371463A
Other languages
Japanese (ja)
Inventor
Daisuke Ando
大介 安藤
Naohiko Yuki
直彦 結城
Takako Sato
孝子 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001371463A priority Critical patent/JP2003174441A/en
Publication of JP2003174441A publication Critical patent/JP2003174441A/en
Pending legal-status Critical Current

Links

Abstract

<P>PROBLEM TO BE SOLVED: To realize encryption corresponding to multi-cast for changing a cryptographic key in every second order, and for facilitating countermeasures to terminal equipment whose processing capability is low in distributing the contents of an IP stream or the like. <P>SOLUTION: An encrypting server 2 encrypts and transmits a cryptographic key (key array) Kcn for encrypting the IP stream to a terminal 3 in each transmission interval of a prescribed cryptographic key, and encrypts and transmits the packet of the IP stream by using one cryptographic key Kcn in each prescribed encryption interval. Also, the encrypting server 2 encrypts and transmits the updated new cryptographic key (key array) Kcn to the terminal 3 in each update interval of the prescribed cryptographic key. When the received packet are data, the terminal 3 decodes the packet by one cryptographic key (key array) Kcn, and when the packet are associated with the cryptographic key, the terminal 3 decodes and stores the packet. <P>COPYRIGHT: (C)2003,JPO

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【発明の属する技術分野】本発明は,IP(Internet Pr
otocol) 等を通信プロトコルとするネットワークにおけ
るコンテンツの暗号化に関し,特にマルチキャストに対
応した暗号化,復号化を実現するためのコンテンツ暗号
化方法,復号化方法およびそれらの装置に関するもので
ある。TECHNICAL FIELD The present invention relates to an IP (Internet Pr
The present invention relates to content encryption in a network using a communication protocol such as otocol), and more particularly to a content encryption method, a decryption method and devices for realizing multicast-compatible encryption and decryption.

【0002】[0002]

【従来の技術】IPによるコンテンツ配信において,ユ
ーザが要求したときに初めてサービスが開始されるオン
デマンド的なサービスと,IPストリームは既にネット
ワーク上を流れていて,ユーザが要求したときに,ネッ
トワーク上を流れているIPストリームを受信するとい
ったライブ的なサービスが考えられる。2. Description of the Related Art In content distribution by IP, an on-demand service in which a service is first started when a user requests it, and an IP stream is already flowing on the network, and when the user requests it, the service is on the network. A live service, such as receiving an IP stream flowing through, can be considered.

【0003】上記のような2つのサービスを考える場
合,オンデマンドサービスにはユニキャストが,ライブ
的なサービスにはマルチキャストが使用される。When considering the above two services, unicast is used for on-demand service and multicast is used for live service.

【0004】また,コンテンツ配信において課金を伴う
サービスを行うためには,著作権保護技術が重要にな
る。著作権保護技術としては,電子透かしの技術やコン
テンツの不正視聴を防ぐための暗号化技術がある。[0004] In addition, copyright protection technology is important in order to provide a service with billing in content distribution. Copyright protection technologies include digital watermark technology and encryption technology for preventing unauthorized viewing of content.

【0005】ここで,IP通信において使用されている
暗号化技術を考えてみる。IP通信における暗号化技術
としては,SSL(Secure Socket Layer) やTLS(Tra
nsport Layer Securty) といった主にHTTP(Hyperte
xt Transfer Protocol) 通信において使用される技術
や,IPsec(IP Securty Protocol) のようなインタ
ーネットを使用したIP−VPN(IP-Virtual Private
Network)を構築する際にポイント・トゥ・ポイント間の
通信の暗号化に使用される技術等がある。Now, consider the encryption technique used in IP communication. As encryption technology in IP communication, SSL (Secure Socket Layer) and TLS (Tra
Mainly HTTP (Hyperte) such as nsport Layer Securty)
xt Transfer Protocol (IP-Virtual Private), which is a technology used in communication and Internet (IPsec (IP Securty Protocol)).
There are technologies used for encryption of point-to-point communication when constructing (Network).

【0006】SSLやTLSは,暗号鍵の交換を行う,
ハンドシェイク・プロトコルがRFC(Reqest For Comm
ent)に規定されており,このプロトコルを使用して暗号
鍵交換を行うことが,ほぼ前提条件となっている。IP
secの場合には,鍵交換としてIKE(Internet Key
Exchange) が使用される場合が多いが,必ずしもIKE
を使用する必要はなく,鍵交換とは分離したプロトコル
と言える。SSL and TLS exchange encryption keys,
The handshake protocol is RFC (Reqest For Comm).
ent), and it is almost a prerequisite that cryptographic key exchange is performed using this protocol. IP
In the case of sec, IKE (Internet Key
Exchange) is often used, but not necessarily IKE
Need not be used and can be said to be a protocol separate from key exchange.

【0007】これらの暗号化技術をコンテンツ配信に適
用することは可能である。しかし,適用するためには3
つの課題がある。It is possible to apply these encryption techniques to content distribution. But to apply 3
There are two challenges.

【0008】第1の課題は,SSL,TLS,IPse
cは,主にユニキャスト通信を念頭においたプロトコル
であり,マルチキャスト通信に対応していないというこ
とである。The first problem is SSL, TLS, and IPse.
c is a protocol mainly for unicast communication and does not support multicast communication.

【0009】第2の課題は,著作権管理の厳しいコンテ
ンツを暗号化するための技術としては,不十分な点があ
ることである。映像のディジタル放送においては,圧縮
映像を暗号化する際に,強度を高める仕組みとして暗号
鍵を秒オーダで一定時間毎に変更する仕組みが具備され
ている。The second problem is that there is an insufficient point as a technique for encrypting contents whose copyright management is strict. In digital broadcasting of video, when encrypting a compressed video, a mechanism for increasing the strength is provided with a mechanism for changing an encryption key at regular time intervals of the order of seconds.

【0010】SSL,TLS,IPsecの際に使用さ
れるIKEには鍵を変更する仕組みはあるが,暗号化を
行っているサーバとクライアントとの間で,鍵を交換す
ることにより変更を行うため,秒オーダといった短い時
間間隔での鍵の変更を行うことは困難である。Although there is a mechanism for changing the key in IKE used in SSL, TLS, and IPsec, the change is performed by exchanging the key between the server and the client which are performing encryption. , It is difficult to change keys at short time intervals such as seconds.

【0011】第3の課題は,SSL,TLS,IPse
cは,データのすべてを暗号化する際に使用される方法
であるということである。コンテンツによっては,パケ
ットのすべてを暗号化する必要性が少ないと考えられる
コンテンツもある。そのようなコンテンツにおいてすべ
てのパケットを暗号化するのは,処理能力の低い端末装
置(クライアント装置)にとってはデコードするのが困
難な場合が考えられる。The third problem is SSL, TLS, and IPse.
c is that it is the method used when encrypting all of the data. For some contents, it is considered that it is not necessary to encrypt all the packets. It may be difficult for a terminal device (client device) having low processing capability to decode all of the packets in such content.

【0012】以上のように,従来技術では,マルチキャ
ストに対応していないという課題,短時間に暗号鍵を変
更する仕組みがないという課題,データのすべてを暗号
化する仕組みしかないという課題があった。As described above, the conventional techniques have the problems that they do not support multicast, that there is no mechanism for changing the encryption key in a short time, and that there is only a mechanism that encrypts all data. .

【0013】[0013]

【発明が解決しようとする課題】したがって,本発明が
解決しようとする課題は,コンテンツの不正な視聴を防
ぐために使用するコンテンツの暗号化に関して,マルチ
キャストに対応し,秒オーダといった短い時間間隔で暗
号鍵を変更する仕組みを有し,かつデータの一部を暗号
化する仕組みを有するコンテンツ暗号化方法,復号化方
法を提供することである。SUMMARY OF THE INVENTION Therefore, the problem to be solved by the present invention is that, with regard to the encryption of contents used to prevent unauthorized viewing of contents, it is compatible with multicast and is encrypted at a short time interval such as second order. It is an object of the present invention to provide a content encryption method and a decryption method having a mechanism for changing a key and a mechanism for encrypting a part of data.

【0014】[0014]

【課題を解決するための手段】本発明では,パケット毎
にマルチキャストアドレスを識別してIPストリームの
コンテンツを暗号化する仕組みを有する装置を使用する
ことで,従来技術の課題を解決することを可能とした。
以下,本発明の説明では,通信プロトコルとしてIPを
用いる場合の例について説明するが,本発明で用いる通
信プロトコルは,IPに限られるわけではない。According to the present invention, it is possible to solve the problems of the prior art by using a device having a mechanism for identifying a multicast address for each packet and encrypting the contents of an IP stream. And
In the following description of the present invention, an example in which IP is used as the communication protocol will be described, but the communication protocol used in the present invention is not limited to IP.

【0015】まず,コンテンツの暗号化を行う暗号化装
置に入力されたIPストリームのIPアドレスを判別
し,暗号化される対象として設定されていたマルチキャ
ストアドレスである場合には,暗号化処理を開始する。
ここでは,説明を簡単にするために,IPストリームの
暗号化方法として共通鍵方式を用いるものとする。First, the IP address of the IP stream input to the encryption device for encrypting the content is discriminated, and if the multicast address is set as the object to be encrypted, the encryption process is started. To do.
Here, in order to simplify the explanation, it is assumed that a common key method is used as an IP stream encryption method.

【0016】暗号化装置では,予め設定された時間間
隔,あるいはパケット間隔毎に,コンテンツの暗号化を
パケット単位で行う。また,これも予め設定された時間
間隔,あるいはパケット間隔毎に,暗号化を行う際の暗
号鍵の更新を行う。またさらに,これも予め設定された
時間間隔,あるいはパケット間隔毎にコンテンツを暗号
化した暗号鍵に暗号をかけて,暗号化されたコンテンツ
(以下,暗号化コンテンツという)とともにマルチキャ
ストストリームとして送出する。In the encryption device, the content is encrypted in packet units at preset time intervals or packet intervals. Also, in this case, the encryption key for encryption is updated at preset time intervals or packet intervals. Furthermore, this also applies encryption to an encryption key that encrypts the content at preset time intervals or packet intervals, and sends it out as a multicast stream together with the encrypted content (hereinafter referred to as encrypted content).

【0017】暗号化されたIPストリームを受け取った
端末装置は,まず,暗号化コンテンツを暗号化した暗号
鍵の受信を待つ。受信した暗号化コンテンツを暗号化し
た暗号鍵を,何らかの手段で入手していた暗号鍵を使用
して,コンテンツを暗号化した暗号鍵を取り出す。続い
て,暗号化コンテンツの受信を行い,先ほど取り出した
コンテンツを暗号化した暗号鍵を利用して,コンテンツ
を復号化する。The terminal device that has received the encrypted IP stream first waits for the reception of the encryption key that encrypted the encrypted content. The encryption key obtained by some means is used as the encryption key obtained by encrypting the received encrypted content, and the encryption key obtained by encrypting the content is extracted. Next, the encrypted content is received, and the content is decrypted by using the encryption key that encrypted the content extracted earlier.

【0018】以上により,IPストリームの暗号化にお
いて,マルチキャストに対応し,暗号化コンテンツとと
もに暗号化に使用した暗号鍵を送信することで秒オーダ
の暗号鍵の変更にも対応し,かつ時間毎あるいはパケッ
ト単位で暗号化するIPパケットを選択する仕組みを有
することでIPストリームの一部を暗号化することが可
能となる。As described above, in the encryption of the IP stream, the multicast key is supported, and the encryption key used for the encryption is transmitted together with the encrypted content, so that the encryption key can be changed on the order of seconds and at every hour or By having a mechanism for selecting an IP packet to be encrypted on a packet-by-packet basis, a part of the IP stream can be encrypted.

【0019】本発明を適用することにより,マルチキャ
ストに対応したストリームコンテンツの暗号化が可能と
なる。また,ディジタル放送と同様にセキュリティを高
めるための秒オーダの暗号鍵の変更も可能となる。ま
た,コンテンツの一部を暗号化する仕組みを有するた
め,CPU処理能力の低いクライアイント装置にも本仕
組を具備させることが容易である。By applying the present invention, it is possible to encrypt stream contents compatible with multicast. Also, as with digital broadcasting, it is possible to change the encryption key on the order of seconds to enhance security. Further, since it has a mechanism for encrypting a part of the content, it is easy to equip a client device having a low CPU processing capacity with this mechanism.

【0020】[0020]

【発明の実施の形態】図1および図2は,以下で説明す
るすべての実施の形態に共通のIPネットワーク構成図
および暗号鍵の階層化構成図である。以下,本発明の実
施の形態の説明では,共通鍵方式で暗号化する場合の例
について説明するが,共通鍵方式以外の暗号化方式を用
いた場合でも,同様に本発明を実施することが可能であ
る。1 and 2 are an IP network configuration diagram and a hierarchical configuration diagram of encryption keys common to all the embodiments described below. In the following description of the embodiments of the present invention, an example in which encryption is performed by the common key method will be described, but the present invention can be similarly implemented even when an encryption method other than the common key method is used. It is possible.

【0021】図1に示されるネットワークシステムは,
映像等のIPストリームの配信を行うストリームサーバ
1と,入力されたIPストリームを暗号化して送信する
暗号化サーバ2と,暗号化されたIPストリームを復号
化する端末3と,コンテンツの暗号化を行う暗号鍵を管
理し,暗号化サーバ2および端末3で使用される暗号鍵
を配信する暗号鍵管理サーバ4と,マルチキャストに対
応したルータで構成されるIPネットワーク5とから構
成される。The network system shown in FIG.
A stream server 1 for distributing an IP stream such as a video, an encryption server 2 for encrypting and transmitting an input IP stream, a terminal 3 for decrypting the encrypted IP stream, and content encryption. An encryption key management server 4 that manages the encryption key to be performed and distributes the encryption key used by the encryption server 2 and the terminal 3, and an IP network 5 including a router compatible with multicast.

【0022】また,図中の6は暗号化サーバ2毎に異な
る暗号鍵Kej,7は端末3毎に異なる暗号鍵Kui,8は
暗号鍵KejでIPストリーム毎に異なる暗号鍵Kphを暗
号化したデータ,9は暗号鍵KuiでIPストリーム毎に
異なる暗号鍵Kphを暗号化したデータ,10はストリー
ムサーバ1から出力されたIPストリームの送信方向,
11は暗号化サーバ2により暗号化されたIPストリー
ムの送信方向,12はストリームサーバ1と暗号化サー
バ2間の通信経路,13は暗号鍵管理サーバ4と暗号化
サーバ2間の通信経路,14は暗号鍵管理サーバ4と端
末3間の通信経路を表している。In the figure, 6 is an encryption key Kej different for each encryption server 2, 7 is an encryption key Kui different for each terminal 3, 8 is an encryption key Kej, and an encryption key Kph different for each IP stream is encrypted. Data, 9 is data obtained by encrypting a different encryption key Kph for each IP stream with the encryption key Kui, 10 is a transmission direction of the IP stream output from the stream server 1,
11 is the transmission direction of the IP stream encrypted by the encryption server 2, 12 is the communication path between the stream server 1 and the encryption server 2, 13 is the communication path between the encryption key management server 4 and the encryption server 2, and 14 Represents a communication path between the encryption key management server 4 and the terminal 3.

【0023】図2に示される暗号鍵の階層化構成図にお
いて,図1と同符号のものは図1に示すものに対応す
る。本システムで用いられる暗号鍵の構成は,IPスト
リーム自身を暗号化するために使用される暗号鍵Kcn2
0と,暗号鍵Kcn20を暗号化するために使用される暗
号鍵Kph21と,暗号鍵Kph21をネットワークを通じ
て配信する際に,暗号鍵Kph21を暗号化するために使
用される暗号化サーバ2毎に固有の暗号鍵Kej6および
端末3毎に固有の暗号鍵Kui7の3階層からなる。In the hierarchical structure diagram of the encryption key shown in FIG. 2, the same reference numerals as those in FIG. 1 correspond to those shown in FIG. The configuration of the encryption key used in this system is the encryption key Kcn2 used to encrypt the IP stream itself.
0, an encryption key Kph21 used to encrypt the encryption key Kcn20, and a unique encryption server 2 used to encrypt the encryption key Kph21 when the encryption key Kph21 is distributed through a network. The encryption key Kej6 and the encryption key Kui7 unique to each terminal 3 have three layers.

【0024】図2中の22はIPストリーム,23は暗
号化されたIPストリーム,24は復号化されたIPス
トリーム,25は暗号鍵Kph21により暗号化された暗
号鍵Kcn20のIPストリーム,26は暗号鍵Kej6に
よって暗号化された暗号鍵Kph21の配信,27は暗号
鍵Kui7によって暗号化された暗号鍵Kph21の配信を
表している。In FIG. 2, 22 is an IP stream, 23 is an encrypted IP stream, 24 is a decrypted IP stream, 25 is an IP stream of an encryption key Kcn20 encrypted with an encryption key Kph21, and 26 is an encryption. The distribution of the encryption key Kph21 encrypted by the key Kej6 and the distribution 27 of the encryption key Kph21 encrypted by the encryption key Kui7.

【0025】例えば,暗号化サーバ2が暗号鍵Kph21
を管理している暗号鍵管理サーバ4から暗号鍵Kph21
の配布を受ける際には,暗号化サーバ2が暗号鍵管理サ
ーバ4に対して公開鍵暗号方式を利用して認証要求を行
う。認証が通った場合に暗号鍵管理サーバ4から暗号化
サーバ2へ,暗号化サーバ2毎に固有の暗号鍵Kej6を
用いて暗号化した暗号化暗号鍵Kph21が配布される。For example, the encryption server 2 uses the encryption key Kph21.
Encryption key Kph21 from the encryption key management server 4 that manages
When receiving the distribution, the encryption server 2 makes an authentication request to the encryption key management server 4 using the public key encryption method. When the authentication is successful, the encryption key management server 4 distributes to the encryption server 2 the encryption encryption key Kph21 encrypted using the encryption key Kej6 unique to each encryption server 2.

【0026】また,端末3が暗号鍵Kph21を管理して
いる暗号鍵管理サーバ4から暗号鍵Kph21の配布を受
ける際には,端末3が暗号鍵管理サーバ4に対して認証
要求を行う。認証が通った場合に暗号鍵管理サーバ4か
ら端末3へ,端末3毎に固有の暗号鍵Kui7を用いて暗
号化した暗号化暗号鍵Kph21が配布される。このとき
の認証にも,公開鍵暗号方式を利用することができる。Further, when the terminal 3 receives the distribution of the encryption key Kph21 from the encryption key management server 4 which manages the encryption key Kph21, the terminal 3 makes an authentication request to the encryption key management server 4. When the authentication is successful, the encryption key management server 4 distributes to the terminals 3 the encrypted encryption key Kph21 encrypted using the encryption key Kui7 unique to each terminal 3. The public key cryptosystem can also be used for the authentication at this time.

【0027】さらに詳しくは,以下のとおりである。暗
号化サーバ2が暗号鍵管理サーバ4に対して認証要求を
行う際に,暗号化サーバ2毎に異なる共通鍵である暗号
鍵Kej6を,予め暗号化サーバ2と暗号鍵管理サーバ4
に保持させておき,暗号化サーバ2から暗号鍵管理サー
バ4に暗号鍵Kcn20を暗号化するための暗号鍵Kph2
1の取得要求を行い,暗号鍵管理サーバ4では取得要求
のあった暗号化サーバ2に対応した共通鍵の暗号鍵Kej
6を使用して暗号鍵Kcn20を暗号化するための暗号鍵
Kph21を暗号化することで暗号化された暗号鍵Kej
(Kph)を生成し,その暗号鍵Kej(Kph)を暗号化サ
ーバ2に対して配布する。The details are as follows. When the encryption server 2 makes an authentication request to the encryption key management server 4, the encryption key Kej6, which is a common key different for each encryption server 2, is previously stored in the encryption server 2 and the encryption key management server 4.
Encryption key Kph2 for encrypting the encryption key Kcn20 from the encryption server 2 to the encryption key management server 4
1 is requested, and the encryption key management server 4 uses the common key encryption key Kej corresponding to the encryption server 2 for which the acquisition request is made.
The encryption key Kej encrypted by encrypting the encryption key Kph21 for encrypting the encryption key Kcn20 using 6
(Kph) is generated and the encryption key Kej (Kph) is distributed to the encryption server 2.

【0028】その暗号鍵Kej(Kph)を受信した暗号化
サーバ2では,共通鍵の暗号鍵Kej6を利用して受信し
た暗号鍵Kej(Kph)を復号化することによって,暗号
鍵Kcn20を暗号化するための暗号鍵Kph21を取得す
る。The encryption server 2 that has received the encryption key Kej (Kph) encrypts the encryption key Kcn20 by decrypting the received encryption key Kej (Kph) using the encryption key Kej6 of the common key. To obtain the encryption key Kph21.

【0029】端末3が暗号鍵管理サーバ4から暗号鍵K
cn20を復号化するための暗号鍵Kph21を取得する場
合にも,同様に認証要求を行って取得する。The terminal 3 receives the encryption key K from the encryption key management server 4.
Similarly, when the encryption key Kph21 for decrypting the cn20 is obtained, the same authentication request is made to obtain it.

【0030】〔第1の実施の形態〕図3は,本発明の第
1の実施の形態を説明する図であって,IPoverE
therパケットの概略を示している。コンテンツのI
Pパケット30は,図3に示すように,Etherヘッ
ダ,IPヘッダ,UDPヘッダに加えて,暗号化に関す
る情報が記述される暗号化情報ヘッダ31を含んでい
る。[First Embodiment] FIG. 3 is a diagram for explaining the first embodiment of the present invention.
The outline of a ther packet is shown. Content I
As shown in FIG. 3, the P-packet 30 includes an Ether header, an IP header, a UDP header, and an encryption information header 31 in which information regarding encryption is described.

【0031】暗号化情報ヘッダ31は,本暗号化方式の
バージョン番号を保持するバージョン情報部31a,暗
号化情報ヘッダ31のサイズを示す長さ情報部31b,
メッセージタイプ情報部31c,暗号種別情報部31
d,フラグ部31e,鍵ID部31fを含んでいる。な
お,鍵ID部31fは,主に後述する第2および第4の
実施の形態で用いるものであり,実施の態様に応じて省
略されることもある。The encrypted information header 31 includes a version information section 31a that holds the version number of this encryption method, a length information section 31b that indicates the size of the encrypted information header 31,
Message type information section 31c, encryption type information section 31
d, a flag section 31e, and a key ID section 31f. The key ID portion 31f is mainly used in the second and fourth embodiments described later, and may be omitted depending on the mode of implementation.

【0032】メッセージタイプ部31cには,IPパケ
ットのデータ部がストリームデータである場合には
“1”が格納され,IPパケットのデータ部が暗号鍵K
phで暗号化されたコンテンツ暗号鍵Kcnの配列である場
合には“2”が格納される。暗号種別情報部31dに
は,例えば暗号種別がCamelliaである場合には
“1”が,DESである場合には“2”が格納される。If the data part of the IP packet is stream data, "1" is stored in the message type part 31c, and the data part of the IP packet is the encryption key K.
In the case of the array of the content encryption key Kcn encrypted by ph, "2" is stored. In the encryption type information section 31d, for example, "1" is stored when the encryption type is Camellia, and "2" is stored when the encryption type is DES.

【0033】フラグ部31eは,“0”の場合,本パケ
ットが非暗号化パケットであり,データ部のデータが暗
号化されていないことを示し,“1”または“2”の場
合,本パケットが暗号化パケットであり,データ部のデ
ータが暗号化されていることを示す。また,特に“1”
の場合,データ部のデータを暗号化した暗号鍵が前回か
ら変更されていないことを示し,“2”の場合,データ
部のデータを暗号化した暗号鍵が変更されたことを示
す。鍵ID部31fは,データ部のデータを暗号化した
暗号鍵が,暗号鍵配列の何番目の配列要素であるかを示
す。When the flag part 31e is "0", this packet is an unencrypted packet and the data of the data part is not encrypted. When it is "1" or "2", this packet is Is an encrypted packet and indicates that the data in the data part is encrypted. Also, especially "1"
The case indicates that the encryption key for encrypting the data of the data part has not been changed from the previous time, and the case of “2” indicates that the encryption key for encrypting the data of the data part has been changed. The key ID part 31f indicates which array element of the encryption key array the encryption key obtained by encrypting the data of the data part is.

【0034】図4は,本発明の第1の実施の形態を説明
するための暗号化サーバ2と端末3のブロック構成図で
ある。FIG. 4 is a block diagram of the encryption server 2 and the terminal 3 for explaining the first embodiment of the present invention.

【0035】暗号化サーバ2は,ストリーム暗号化間隔
判別手段40,鍵配列更新間隔判別手段41,鍵配列送
出間隔判別手段42,ストリーム暗号化手段43,鍵配
列更新手段44,鍵配列暗号化手段45,鍵配列記憶手
段46,暗号化情報ヘッダ付加手段47,パケット転送
手段48を備える。The encryption server 2 includes a stream encryption interval determination means 40, a key array update interval determination means 41, a key array transmission interval determination means 42, a stream encryption means 43, a key array update means 44, and a key array encryption means. 45, a key array storage means 46, an encrypted information header adding means 47, and a packet transfer means 48.

【0036】また,コンテンツを受信する端末3は,パ
ケット受信手段50,暗号化情報ヘッダ判別手段51,
鍵配列復号化手段52,鍵配列更新手段53,鍵配列記
憶手段54,ストリーム復号化手段55を備える。Further, the terminal 3 for receiving the content has a packet receiving means 50, an encrypted information header discriminating means 51,
The key array decoding means 52, the key array updating means 53, the key array storing means 54, and the stream decoding means 55 are provided.

【0037】本システムでは,IPを利用したコンテン
ツ配信において,リアルタイムにIPストリームを共通
鍵方式で暗号化し,端末3へ送信する。ある時間t
[i]において入力されたIPストリームを暗号化する
鍵をKcn[i]とし,Kcn[i]が複数個含められてい
る配列として定義したものを鍵配列Kcn[]とし,鍵配
列Kcn[]を暗号化するための暗号鍵をKphとし,暗号
化サーバ2は,これらを用いてIPストリームを暗号化
する。In the present system, in content distribution using IP, the IP stream is encrypted in real time by the common key method and transmitted to the terminal 3. Some time t
Kcn [i] is a key for encrypting the IP stream input in [i], and an array including a plurality of Kcn [i] is defined as a key array Kcn [] and a key array Kcn []. Let Kph be an encryption key for encrypting the encryption key, and the encryption server 2 encrypts the IP stream using these.

【0038】本システムでは,データの一部を暗号化す
るために,パケットの暗号化間隔(または頻度)を定め
るパラメータαと,暗号化に用いる暗号鍵をどれくらい
の周期で変更するかを示す鍵配列Kcnの更新間隔(また
は頻度)を定めるパラメータβと,暗号鍵の鍵配列Kcn
をどれくらいの周期で端末3へ送信するかを示す鍵配列
Kcnの送出間隔(または頻度)を定めるパラメータγ
が,暗号化サーバ2における暗号化制御のパラメータと
して与えられる。これらの間隔は,時間で定めてもよ
く,またパケット数で定めてもよい。In this system, in order to encrypt a part of data, a parameter α for defining the packet encryption interval (or frequency) and a key indicating how often the encryption key used for encryption is changed. Parameter β that determines the update interval (or frequency) of array Kcn and key array Kcn of the encryption key
Parameter γ that determines the transmission interval (or frequency) of the key array Kcn that indicates how often the key sequence is transmitted to the terminal 3.
Is given as a parameter for encryption control in the encryption server 2. These intervals may be determined by time or may be determined by the number of packets.

【0039】まず,暗号化サーバ2は,入力されたIP
ストリームが暗号化の対象であるか否かを判別し,暗号
化の対象でない場合にはそのままパケット転送手段48
からネットワークへ転送する。First, the encryption server 2 uses the input IP
It is determined whether or not the stream is subject to encryption. If the stream is not subject to encryption, the packet transfer means 48 is used as it is.
To the network.

【0040】ストリーム暗号化間隔判別手段40は,入
力されたIPストリームが暗号化の対象である場合に,
IPストリームを暗号化すべきか否かを暗号化間隔によ
り判別する。すなわち,予め定められたパケットの暗号
化間隔αによって,IPストリームを暗号化するかどう
かを決める。The stream encryption interval discriminating means 40, when the input IP stream is an object of encryption,
Whether or not the IP stream should be encrypted is determined by the encryption interval. That is, whether or not to encrypt the IP stream is determined according to a predetermined packet encryption interval α.

【0041】IPストリームの暗号化を行う場合には,
鍵配列更新間隔判別手段41は,IPストリームに暗号
化を施す暗号鍵Kcn[i]の更新間隔を判別する。暗号
鍵Kcn[i]の更新が必要と判別された場合には,鍵配
列更新手段44は,鍵配列Kcn[]の大きさをnとする
場合,暗号鍵Kcn[i+1]と次以降の更新間隔毎に使
用される暗号鍵Kcn[i+1+n]までを新しい鍵配列
Kcn[]として,鍵配列記憶手段46に記憶されている
鍵配列Kcn[]を更新する。When the IP stream is encrypted,
The key array update interval determination means 41 determines the update interval of the encryption key Kcn [i] for encrypting the IP stream. When it is determined that the encryption key Kcn [i] needs to be updated, the key array updating means 44 sets the encryption key Kcn [i + 1] and the subsequent updates when the size of the key array Kcn [] is n. The key array Kcn [] stored in the key array storage means 46 is updated with the new encryption key Kcn [] up to the encryption key Kcn [i + 1 + n] used at each interval.

【0042】ストリーム暗号化手段43は,鍵配列記憶
手段46に記憶されている鍵配列Kcn[]の1番目の暗
号鍵Kcn[i]を用いてIPストリームを暗号化し,暗
号化情報ヘッダ付加手段47によって適切な暗号化情報
ヘッダを追加し,パケット転送手段48から送出する。The stream encryption means 43 encrypts the IP stream using the first encryption key Kcn [i] of the key array Kcn [] stored in the key array storage means 46, and the encrypted information header adding means. Appropriate encrypted information header is added by 47 and sent out from the packet transfer means 48.

【0043】また,鍵配列送出間隔判別手段42は,鍵
配列Kcn[]の送出間隔であるか否かを上記パラメータ
γを参照して判別し,鍵配列Kcn[]の送出が必要な場
合には,鍵配列Kcn[]の大きさをnとする場合,鍵配
列記憶手段46に記憶されている暗号鍵Kcn[i]から
次以降の更新間隔毎に使用される暗号鍵Kcn[i+n]
までの鍵配列Kcn[]を,IPストリーム毎に異なる暗
号鍵Kphを利用して暗号化し,暗号化情報ヘッダ付加手
段47によって適切な暗号化情報ヘッダを追加し,パケ
ット転送手段48から送出する。Further, the key array transmission interval discriminating means 42 discriminates whether or not it is the transmission interval of the key array Kcn [] by referring to the parameter γ, and when it is necessary to transmit the key array Kcn []. When the size of the key array Kcn [] is n, the encryption key Kcn [i + n] used at each subsequent update interval from the encryption key Kcn [i] stored in the key array storage means 46.
The above key array Kcn [] is encrypted using the encryption key Kph different for each IP stream, an appropriate encryption information header is added by the encryption information header adding unit 47, and the packet transfer unit 48 sends it.

【0044】入力されたIPストリームが暗号化の対象
であり,かつIPストリームの暗号化を行う暗号化間隔
αによる判別によりIPストリームの暗号化を行わない
と判別された場合,入力されたIPストリームを暗号化
しないでそのまま,暗号化情報ヘッダ付加手段47によ
って適切な暗号化情報ヘッダを追加し,パケット転送手
段48から送出する。この場合にも鍵配列送出間隔判別
手段42によって鍵配列Kcn[]の送出間隔であるか否
かを判別し,送出が必要ならば,鍵配列記憶手段46に
記憶されている暗号鍵Kcn[i]から次以降の更新間隔
毎に使用される暗号鍵Kcn[i+n]までの鍵配列Kcn
[]を,IPストリーム毎に異なる暗号鍵Kphを利用し
て暗号化し,暗号化情報ヘッダ付加手段47によって適
切な暗号化情報ヘッダを追加し,パケット転送手段48
から送出する。When it is determined that the input IP stream is an encryption target and the IP stream is not encrypted by the determination based on the encryption interval α for encrypting the IP stream, the input IP stream Is encrypted without being encrypted, and an appropriate encrypted information header is added by the encrypted information header adding means 47 and sent from the packet transfer means 48. Also in this case, the key array transmission interval determination means 42 determines whether or not it is the transmission interval of the key array Kcn [], and if transmission is necessary, the encryption key Kcn [i stored in the key array storage means 46. ] To the encryption key Kcn [i + n] used at each subsequent update interval Kcn
[] Is encrypted using an encryption key Kph different for each IP stream, an appropriate encryption information header is added by the encryption information header adding means 47, and the packet transfer means 48 is added.
Sent from.

【0045】端末3では,パケット受信手段50によっ
て暗号化サーバ2からのパケットを受信すると,暗号化
情報ヘッダ判別手段51によってそのパケットの暗号化
情報ヘッダを判別する。In the terminal 3, when the packet receiving means 50 receives the packet from the encryption server 2, the encryption information header determining means 51 determines the encryption information header of the packet.

【0046】暗号化情報ヘッダを判別した結果,入力さ
れたIPストリームが暗号化対象となっていたストリー
ムである場合には,そのIPストリームがデータである
か,暗号鍵Kphで暗号化された鍵配列Kcn[]であるか
を判別する。そのIPストリームがデータである場合に
は,さらにそのIPストリームが暗号化されているか否
かを判別し,そのIPストリームが暗号化されている場
合には,予め保持されている鍵配列Kcn[]の更新が必
要か否かを判別する。As a result of determining the encryption information header, when the input IP stream is the stream to be encrypted, the IP stream is data or a key encrypted with the encryption key Kph. It is determined whether the array is Kcn []. If the IP stream is data, it is further determined whether or not the IP stream is encrypted. If the IP stream is encrypted, the key array Kcn [] held in advance is determined. It is determined whether or not is required to be updated.

【0047】鍵配列Kcn[]の更新が必要な場合には,
鍵配列更新手段53により,鍵配列記憶手段54に保持
していた鍵配列Kcn[]の番号iの配列値Kcn[i]に
番号i+1の配列値Kcn[i+1]の値を格納し,順
次,格納位置を繰り上げて番号n−1の配列値Kcn[n
−1]に番号nの配列値Kcn[n]を格納するまで繰り
返し,鍵配列記憶手段54を更新する。When the key array Kcn [] needs to be updated,
The key array updating means 53 stores the value of the array value Kcn [i + 1] of the number i + 1 in the array value Kcn [i] of the number i of the key array Kcn [] held in the key array storage means 54, and sequentially, The storage position is advanced to the array value Kcn [n of number n-1.
The key array storage means 54 is updated repeatedly until the array value Kcn [n] of number n is stored in [-1].

【0048】その後,ストリーム復号化手段55によっ
て,更新された鍵Kcn[i]を用いて入力されたIPス
トリームの暗号を復号化し,コンテンツの視聴のための
出力処理を行う上位レイヤへ渡す。After that, the stream decryption means 55 decrypts the encryption of the input IP stream using the updated key Kcn [i], and passes it to the upper layer which performs the output process for viewing the content.

【0049】鍵配列Kcn[]の更新が必要ない場合に
は,ストリーム復号化手段55は,鍵配列記憶手段54
に記憶していた鍵配列Kcn[]の番号iの鍵Kcn[i]
を用いて,入力されたIPストリームの暗号を復号化
し,上位レイヤへ渡す。When it is not necessary to update the key array Kcn [], the stream decrypting means 55 has the key array storing means 54.
Key Kcn [i] of number i in the key array Kcn [] stored in
Is used to decrypt the encryption of the input IP stream and pass it to the upper layer.

【0050】そのIPストリームが暗号化されていない
場合には,暗号の復号化を行わずに入力したIPストリ
ームをそのまま上位レイヤへ渡す。When the IP stream is not encrypted, the input IP stream is passed as it is to the upper layer without decrypting the encryption.

【0051】暗号化情報ヘッダを判別した結果,そのI
Pストリームがデータではなく,暗号鍵Kphで暗号化さ
れた鍵配列Kcn[]である場合には,鍵配列復号化手段
52により,暗号鍵Kphを用いて入力されたIPストリ
ームを復号化し,新たに得られた鍵配列Kcn[]を,鍵
配列記憶手段54に記憶されていた鍵配列Kcn[]に上
書きして更新する処理を行う。As a result of discriminating the encrypted information header, its I
If the P stream is not the data but the key array Kcn [] encrypted with the encryption key Kph, the key array decryption means 52 decrypts the input IP stream using the encryption key Kph, The key array Kcn [] obtained in the above step is overwritten on the key array Kcn [] stored in the key array storage means 54 to update it.

【0052】図5は,本発明の第1の実施の形態を説明
するための暗号化サーバ2の処理フローチャート,図6
は,端末3の処理フローチャートである。FIG. 5 is a processing flowchart of the encryption server 2 for explaining the first embodiment of the present invention, FIG.
Is a processing flowchart of the terminal 3.

【0053】まず,図1に示すストリームサーバ1から
暗号化サーバ2にマルチキャストのIPストリームが入
力される(ステップS1)。暗号化サーバ2では,ま
ず,暗号化の対象と設定されている対象のマルチキャス
トのIPストリームであるかどうかを判別する(ステッ
プS2)。暗号化対象のマルチキャストのIPストリー
ムでなかった場合には,そのまま手を加えずにネットワ
ークへ送出する(ステップS3)。First, a multicast IP stream is input from the stream server 1 shown in FIG. 1 to the encryption server 2 (step S1). The encryption server 2 first determines whether or not the target is a multicast IP stream that is set as an encryption target (step S2). If it is not the multicast IP stream to be encrypted, it is sent to the network without any modification (step S3).

【0054】暗号化対象のマルチキャストのIPストリ
ームであった場合には,現在の時間が前に暗号化した時
間t1から予め暗号化サーバ2に設定されていた暗号化
を行う時間間隔α以上経過したかどうかを判別する(ス
テップS4)。In the case of the multicast IP stream to be encrypted, the current time has passed from the time t1 of the previous encryption and the time interval α or more which is set in advance in the encryption server 2 for performing the encryption has passed. It is determined whether or not (step S4).

【0055】暗号化を行う時間間隔α以上経過していた
場合,現在の時間が前に鍵配列Kcnを更新した時間t2
から暗号鍵Kcnの更新時間間隔β以上経過したかどうか
を判別する(ステップS5)。When the time interval α for performing encryption has passed, the current time is the time t2 at which the key array Kcn was previously updated.
It is then determined whether or not the update time interval β of the encryption key Kcn has passed (step S5).

【0056】鍵配列Kcnの更新時間間隔β以上経過して
いた場合,暗号鍵配列Kcn[i](i=0〜n)の更新
動作を行う(ステップS6)。ここで,暗号鍵配列Kcn
[i](i=0〜n)とは,暗号鍵Kcnを複数個含む配
列のことであり,本実施の形態では,現時点におけるコ
ンテンツの暗号化は,この配列の最も若い番号を持つ暗
号鍵を使用することとする。また,ここでの更新動作と
は,暗号鍵配列の大きさがnであり0から配列が始まる
ものとする場合,配列番号が1であった暗号鍵Kcn
[1]を配列番号0に入れ,配列番号が2であった暗号
鍵Kcn[2]を配列番号1に入れ,……といった動作
を,配列番号nの暗号鍵Kcn[n]を配列番号n−1に
入れるまで繰り返し,新たに配列番号nの暗号鍵Kcn
[n]を生成するといった動作である。When the update time interval β of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is updated (step S6). Here, the encryption key array Kcn
[I] (i = 0 to n) is an array including a plurality of encryption keys Kcn, and in the present embodiment, the content encryption at the present time is the encryption key having the smallest number in this array. Will be used. Further, the update operation here means that when the size of the encryption key array is n and the array starts from 0, the encryption key Kcn whose array number is 1
Put [1] in the array number 0, the encryption key Kcn [2] whose array number was 2 in the array number 1, and so on. Repeatedly until -1 is entered, and new encryption key Kcn of array number n
The operation is to generate [n].

【0057】次に,暗号鍵配列の最も番号の若い暗号鍵
Kcn[0]を使用して,入力されたデータを暗号化する
(ステップS7)。続いて,そのデータに適切な暗号化
情報ヘッダ(図3の31)を追加してデータを出力する
(ステップS8)。Next, the input data is encrypted using the encryption key Kcn [0] having the smallest number in the encryption key array (step S7). Then, an appropriate encrypted information header (31 in FIG. 3) is added to the data and the data is output (step S8).

【0058】データを出力した後,更新された暗号鍵配
列Kcn[i](i=0〜n)をマルチキャストストリー
ム種毎に設定された暗号鍵Kphを利用して暗号化し,そ
の暗号化したKph(Kcn[i](i=0〜n))をデー
タとするパケットを生成する(ステップS9)。生成し
たKph(Kcn[i](i=0〜n))の鍵データに適切
な暗号化情報ヘッダを追加して出力する(ステップS1
0)。After outputting the data, the updated encryption key array Kcn [i] (i = 0 to n) is encrypted by using the encryption key Kph set for each multicast stream type, and the encrypted Kph A packet having (Kcn [i] (i = 0 to n)) as data is generated (step S9). An appropriate encryption information header is added to the generated key data of Kph (Kcn [i] (i = 0 to n)) and output (step S1).
0).

【0059】鍵配列Kcnの更新時間間隔β以上経過して
いなかった場合,暗号鍵配列の最も番号の若い暗号鍵K
cn[0]を使用して,入力されたデータを暗号化する
(ステップS11)。続いて,そのデータに適切な暗号
化情報ヘッダを追加してデータを出力する(ステップS
12)。When the update time interval β of the key array Kcn has not elapsed, the encryption key K with the lowest number in the encryption key array K
The input data is encrypted using cn [0] (step S11). Then, an appropriate encryption information header is added to the data and the data is output (step S
12).

【0060】データを出力した後,現在の時間が,前に
鍵配列Kcnを送出した時間t3から鍵配列Kcnの送出時
間間隔γ以上経過したかどうかを判別する(ステップS
13)。経過していない場合には,ステップS1へ戻
り,ストリームサーバ1からの次の入力を待つ。After outputting the data, it is determined whether or not the present time has passed the sending time interval γ of the key array Kcn from the time t3 at which the key array Kcn was sent before (step S).
13). If it has not elapsed, the process returns to step S1 to wait for the next input from the stream server 1.

【0061】鍵配列Kcnの送出時間間隔γ以上経過して
いた場合には,暗号鍵配列Kcn[i](i=0〜n)を
マルチキャストストリーム種毎に設定された暗号鍵Kph
を利用して暗号化し,その暗号化したKph(Kcn[i]
(i=0〜n))をデータとするパケットを生成し(ス
テップS14)。生成したKph(Kcn[i](i=0〜
n))の鍵データに適切な暗号化情報ヘッダを追加して
出力する(ステップS15)。If the transmission time interval γ of the key array Kcn has passed, the encryption key array Kcn [i] (i = 0 to n) is set to the encryption key Kph set for each multicast stream type.
Encrypted by using the encrypted Kph (Kcn [i]
A packet having (i = 0 to n)) as data is generated (step S14). Generated Kph (Kcn [i] (i = 0 to
An appropriate encryption information header is added to the key data of (n)) and output (step S15).

【0062】また,ステップS4の判定において,暗号
化を行う時間間隔α以上経過していなかった場合,入力
されたデータを暗号化しないで,適切な暗号化情報ヘッ
ダを追加し,そのままデータを出力する(ステップS1
6)。その後,ステップS13以降の処理を行う。If it is determined in step S4 that the time interval α for encryption has not elapsed, the input data is not encrypted, an appropriate encryption information header is added, and the data is output as it is. Yes (step S1
6). Then, the processing from step S13 onward is performed.

【0063】以上の操作により,暗号化されたデータ
と,暗号化されていないデータと,暗号化された暗号鍵
配列が生成され,ネットワークに送出される。By the above operation, encrypted data, non-encrypted data, and encrypted encryption key array are generated and sent to the network.

【0064】次に,暗号化サーバ2から送出されたパケ
ットを何らかの手段で受け取った図1に示す端末3の動
作を,図6のフローチャートに従って説明する。Next, the operation of the terminal 3 shown in FIG. 1 which receives the packet sent from the encryption server 2 by some means will be described with reference to the flowchart of FIG.

【0065】まず,復号化の対象である暗号化マルチキ
ャストストリームであるかどうかを判別する(ステップ
S20)。暗号化マルチキャストストリームでなかった
場合,そのまま受信データを処理する上位レイヤへ処理
を渡す。First, it is judged whether or not it is an encrypted multicast stream which is the object of decryption (step S20). If it is not an encrypted multicast stream, the process is passed to the upper layer that processes the received data as it is.

【0066】暗号化マルチキャストストリームであった
場合,暗号化情報ヘッダを見て,そのパケットがデータ
であるか暗号鍵配列であるかを識別する(ステップS2
1)。If the packet is an encrypted multicast stream, the encryption information header is checked to identify whether the packet is data or an encryption key array (step S2).
1).

【0067】暗号鍵配列であった場合,予め何らかの手
段で入手してあった暗号鍵Kphを利用して暗号化された
暗号鍵配列Kph(Kcn[i](i=0〜n))を復号化
し,Kcn[i](i=0〜n)を得る(ステップS2
2)。この更新動作では,図7に示すような新しく得ら
れた鍵配列61を,それまで端末3側で持っていた鍵配
列にそのまま置き換えることで更新を行う(ステップS
23)。更新前のKcnの配列60は,更新後のKcnの配
列61のように更新されることになる。If it is an encryption key array, the encryption key array Kph (Kcn [i] (i = 0 to n)) encrypted by using the encryption key Kph previously obtained by some means is decrypted. To obtain Kcn [i] (i = 0 to n) (step S2)
2). In this update operation, the key array 61 newly obtained as shown in FIG. 7 is replaced by the key array held by the terminal 3 side until then (step S).
23). The array 60 of Kcn before updating is updated like the array 61 of Kcn after updating.

【0068】データであった場合には,暗号化情報ヘッ
ダを見て,暗号化されているかどうかを識別する(ステ
ップS24)。暗号化されていない場合には,そのまま
上位レイヤへ処理を渡す。If it is data, the encrypted information header is checked to identify whether it is encrypted (step S24). If it is not encrypted, the process is passed to the upper layer as it is.

【0069】データが暗号化されている場合には,暗号
化情報ヘッダを見て,暗号鍵配列が更新されているかど
うかを識別する(ステップS25)。If the data is encrypted, the encrypted information header is checked to identify whether the encryption key array has been updated (step S25).

【0070】暗号鍵配列が更新されている場合には,暗
号鍵配列の更新動作を行う(ステップS26)。この更
新動作では,図8に示すように暗号鍵配列を一つずつ繰
り上げる動作を行い更新する。更新前のKcnの配列70
は,更新後のKcnの配列71のように更新されることに
なる。If the encryption key array has been updated, the encryption key array update operation is performed (step S26). In this update operation, as shown in FIG. 8, the encryption key array is updated by carrying it up one by one. Array 70 of Kcn before update
Will be updated as in the updated Kcn array 71.

【0071】次に暗号鍵配列Kcn[i](i=0〜n)
の最も若い配列番号の暗号鍵Kcn[0]を使用して,デ
ータを復号化し(ステップS27),上位レイヤへ処理
を渡す。Next, the encryption key array Kcn [i] (i = 0 to n)
The data is decrypted by using the encryption key Kcn [0] having the youngest array element number (step S27), and the process is passed to the upper layer.

【0072】暗号鍵配列が更新されていない場合には,
暗号鍵配列Kcn[i](i=0〜n)の最も若い配列番
号の暗号鍵Kcn[0]を使用して,データを復号化し
(ステップS27),上位レイヤへ処理を渡す。If the encryption key array has not been updated,
The data is decrypted using the encryption key Kcn [0] having the smallest array number of the encryption key array Kcn [i] (i = 0 to n) (step S27), and the process is passed to the upper layer.

【0073】以上の操作により,暗号化されたデータを
端末3にて復号化することが可能となる。By the above operation, the encrypted data can be decrypted by the terminal 3.

【0074】〔第2の実施の形態〕図9は,本発明の第
2の実施の形態を説明するための暗号化サーバ2の処理
フローチャート,図10は,端末3の処理フローチャー
トである。[Second Embodiment] FIG. 9 is a processing flowchart of the encryption server 2 for explaining the second embodiment of the present invention, and FIG. 10 is a processing flowchart of the terminal 3.

【0075】第2の実施の形態における暗号化サーバ2
と端末3のブロック構成図は,図4に示すものと同様で
あるが,暗号化サーバ2におけるストリーム暗号化手段
43において使用する暗号鍵および端末3におけるスト
リーム復号化手段55において使用する復号鍵の管理方
法が異なる。Encryption server 2 in the second embodiment
4 is similar to that shown in FIG. 4, except that the encryption key used in the stream encryption means 43 in the encryption server 2 and the decryption key used in the stream decryption means 55 in the terminal 3 are The management method is different.

【0076】まず,図1に示すストリームサーバ1から
暗号化サーバ2にマルチキャストのIPストリームが入
力される(ステップS30)。暗号化サーバ2では,ま
ず,暗号化の対象と設定されている対象のマルチキャス
トのIPストリームであるかどうかを判別する(ステッ
プS31)。暗号化対象のマルチキャストのIPストリ
ームでなかった場合には,そのまま手を加えずにネット
ワークへ送出する(ステップS32)。First, a multicast IP stream is input from the stream server 1 shown in FIG. 1 to the encryption server 2 (step S30). The encryption server 2 first determines whether or not the target is a multicast IP stream set as an encryption target (step S31). If it is not the multicast IP stream to be encrypted, it is sent to the network without modification (step S32).

【0077】暗号化対象のマルチキャストのIPストリ
ームであった場合には,現在の時間が前に暗号化した時
間t1から予め暗号化サーバ2に設定されていた暗号化
を行う時間間隔α以上経過したかどうかを判別する(ス
テップS33)。In the case of the multicast IP stream to be encrypted, the current time has passed from the time t1 of the previous encryption and the time interval α for performing the encryption previously set in the encryption server 2 has elapsed. It is determined whether or not (step S33).

【0078】暗号化を行う時間間隔α以上経過していた
場合,現在の時間が前に鍵配列Kcnを更新した時間t2
から暗号鍵Kcnの更新時間間隔β以上経過したかどうか
を判別する(ステップS34)。When the time interval α for performing encryption has passed, the current time is the time t2 at which the key array Kcn was previously updated.
It is then determined whether or not the update time interval β of the encryption key Kcn has elapsed (step S34).

【0079】鍵配列Kcnの更新時間間隔β以上経過して
いた場合,暗号鍵配列Kcn[i](i=0〜n)の更新
動作を行う(ステップS35)。ここで,暗号鍵配列K
cn[i](i=0〜n)とは,暗号鍵Kcnを複数個含む
配列のことであり,その更新動作とは,暗号鍵配列の大
きさがnであり0から配列が始まるものとする場合,配
列番号が1であった暗号鍵Kcn[1]を配列番号0に入
れ,配列番号が2であった暗号鍵Kcn[2]を配列番号
1に入れ,……といった動作を,配列番号nの暗号鍵K
cn[n]を配列番号n−1に入れるまで繰り返し,新た
に配列番号nの暗号鍵Kcn[n]を生成するといった動
作である。When the update time interval β of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is updated (step S35). Here, the encryption key array K
cn [i] (i = 0 to n) is an array including a plurality of encryption keys Kcn, and the update operation is that the size of the encryption key array is n and the array starts from 0. In this case, the encryption key Kcn [1] having the array element number 1 is placed in the array element number 0, the encryption key Kcn [2] having the array element number 2 is placed in the array element number 1, ... Encryption key K with number n
The operation is repeated until cn [n] is placed in the array element number n-1, and a new encryption key Kcn [n] of the array element number n is generated.

【0080】次に,データの暗号化に使用する指標番号
となる鍵ID(使用鍵番号)に1を加えてインクリメン
トする(ステップS36)。次に,その鍵ID(=k)
の指す暗号鍵Kcn[k]を利用して,入力されたデータ
を暗号化する(ステップS37)。続いて,そのデータ
に適切な暗号化情報ヘッダを追加してデータを出力する
(ステップS38)。Next, 1 is added to the key ID (used key number) which is the index number used for data encryption and incremented (step S36). Next, the key ID (= k)
The input data is encrypted using the encryption key Kcn [k] pointed to by (step S37). Then, an appropriate encryption information header is added to the data and the data is output (step S38).

【0081】データを出力した後,更新された暗号鍵配
列Kcn[i](i=0〜n)をマルチキャストストリー
ム種毎に設定された暗号鍵Kphを利用して暗号化し,そ
の暗号化したKph(Kcn[i](i=0〜n))をデー
タとするパケットを生成する(ステップS39)。生成
したKph(Kcn[i](i=0〜n))の鍵データに適
切な暗号化情報ヘッダを追加して出力する(ステップS
40)。After outputting the data, the updated encryption key array Kcn [i] (i = 0 to n) is encrypted using the encryption key Kph set for each multicast stream type, and the encrypted Kph A packet having (Kcn [i] (i = 0 to n)) as data is generated (step S39). An appropriate encryption information header is added to the generated key data of Kph (Kcn [i] (i = 0 to n)) and output (step S
40).

【0082】鍵配列Kcnの更新時間間隔β以上経過して
いなかった場合,現在の鍵ID(=k)の暗号鍵Kcn
[k]を利用して,入力されたデータを暗号化する(ス
テップS41)。続いて,そのデータに適切な暗号化情
報ヘッダを追加してデータを出力する(ステップS4
2)。When the update time interval β of the key array Kcn has not elapsed, the encryption key Kcn of the current key ID (= k)
The input data is encrypted using [k] (step S41). Then, an appropriate encryption information header is added to the data and the data is output (step S4).
2).

【0083】データを出力した後,現在の時間が,前に
鍵配列Kcnを送出した時間t3から鍵配列Kcnの送出時
間間隔γ以上経過したかどうかを判別する(ステップS
43)。経過していない場合には,ステップS30へ戻
り,ストリームサーバ1からの次の入力を待つ。After outputting the data, it is judged whether or not the present time has passed the sending time interval γ of the key array Kcn from the time t3 when the key array Kcn was sent before (step S).
43). If it has not elapsed, the process returns to step S30 and waits for the next input from the stream server 1.

【0084】鍵配列Kcnの送出時間間隔γ以上経過して
いた場合には,暗号鍵配列Kcn[i](i=0〜n)を
マルチキャストストリーム種毎に設定された暗号鍵Kph
を利用して暗号化し,その暗号化したKph(Kcn[i]
(i=0〜n))をデータとするパケットを生成し(ス
テップS44)。生成したKph(Kcn[i](i=0〜
n))の鍵データに適切な暗号化情報ヘッダを追加して
出力する(ステップS45)。When the transmission time interval γ of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is set to the encryption key Kph set for each multicast stream type.
Encrypted by using the encrypted Kph (Kcn [i]
A packet having (i = 0 to n) as data is generated (step S44). Generated Kph (Kcn [i] (i = 0 to
An appropriate encrypted information header is added to the key data of (n)) and output (step S45).

【0085】また,ステップS33の判定において,暗
号化を行う時間間隔α以上経過していなかった場合,入
力されたデータを暗号化しないで,適切な暗号化情報ヘ
ッダを追加し,そのままデータを出力する(ステップS
46)。その後,ステップS43以降の処理を行う。If it is determined in step S33 that the time interval α for encryption has not elapsed, the input data is not encrypted, an appropriate encryption information header is added, and the data is output as it is. Yes (Step S
46). After that, the processing from step S43 is performed.

【0086】以上の操作により,暗号化されたデータ
と,暗号化されていないデータと,暗号化された暗号鍵
配列が生成され,ネットワークに送出される。By the above operation, encrypted data, non-encrypted data, and encrypted encryption key array are generated and sent to the network.

【0087】次に,暗号化サーバ2から送出されたパケ
ットを何らかの手段で受け取った図1に示す端末3の動
作を,図10のフローチャートに従って説明する。Next, the operation of the terminal 3 shown in FIG. 1 which receives the packet sent from the encryption server 2 by some means will be described with reference to the flowchart of FIG.

【0088】まず,復号化の対象である暗号化マルチキ
ャストストリームであるかどうかを判別する(ステップ
S50)。暗号化マルチキャストストリームでなかった
場合,そのまま上位レイヤへ処理を渡す。First, it is determined whether or not it is an encrypted multicast stream which is the object of decryption (step S50). If it is not an encrypted multicast stream, the process is passed to the upper layer as it is.

【0089】暗号化マルチキャストストリームであった
場合,暗号化情報ヘッダを見て,そのパケットがデータ
であるか暗号鍵配列であるかを識別する(ステップS5
1)。If the packet is an encrypted multicast stream, the encryption information header is checked to identify whether the packet is data or an encryption key array (step S5).
1).

【0090】暗号鍵配列であった場合,何らかの手段で
入手してあった暗号鍵Kphを利用して暗号化された暗号
鍵配列Kph(Kcn[i](i=0〜n))を復号化し,
Kcn[i](i=0〜n)を得る(ステップS52)。
この更新動作では,図11に示すような暗号鍵配列80
が新たに得られ,それまで端末3側で持っていた鍵配列
を,そのまま新たに得られた鍵配列に置き換えることで
更新される(ステップS53)。If it is the encryption key array, the encryption key array Kph (Kcn [i] (i = 0 to n)) encrypted by using the encryption key Kph obtained by some means is decrypted. ,
Kcn [i] (i = 0 to n) is obtained (step S52).
In this update operation, the encryption key array 80 as shown in FIG.
Is newly obtained, and the key array held by the terminal 3 side up to that point is replaced by the newly obtained key array as it is to be updated (step S53).

【0091】データであった場合には,暗号化情報ヘッ
ダを見て,暗号化されているかどうかを識別する(ステ
ップS54)。暗号化されていない場合には,そのまま
上位レイヤへ処理を渡す。If it is data, the encrypted information header is checked to identify whether it is encrypted (step S54). If it is not encrypted, the process is passed to the upper layer as it is.

【0092】暗号化されている場合には,入力したパケ
ットの暗号化情報ヘッダから暗号鍵配列Kcn[i](i
=0〜n)のどの暗号鍵を使用するかを示す鍵ID(=
k)を読みとり(ステップS55),その鍵IDが示す
暗号鍵Kcn[k]を使用して,データを復号化し(ステ
ップS56),上位レイヤへ処理を渡す。When encrypted, the encryption key array Kcn [i] (i
Key ID (= 0 to n) indicating which encryption key to use (=
k) is read (step S55), the data is decrypted using the encryption key Kcn [k] indicated by the key ID (step S56), and the process is passed to the upper layer.

【0093】以上の操作により,暗号化されたデータを
端末3にて復号化することが可能となる。By the above operation, the encrypted data can be decrypted by the terminal 3.

【0094】〔第3の実施の形態〕図12は,本発明の
第2の実施の形態を説明するための暗号化サーバ2の処
理フローチャート,図13は,端末3の処理フローチャ
ートである。[Third Embodiment] FIG. 12 is a processing flowchart of the encryption server 2 for explaining the second embodiment of the present invention, and FIG. 13 is a processing flowchart of the terminal 3.

【0095】第3の実施の形態における暗号化サーバ2
と端末3のブロック構成図は図示を省略するが,図4と
ほぼ同様であり,第3の実施の形態において図4と違う
部分は,暗号化サーバ2の暗号化情報ヘッダ付加手段4
7の代わりに,UDP(UserDatagram Protocol)のポー
ト番号の変更手段が用いられ,端末3の暗号化情報ヘッ
ダ判別手段51の代わりに,UDPのポート番号の判別
手段が用いられる点である。Encryption server 2 in the third embodiment
Although the block diagram of the terminal 3 and the terminal 3 is not shown, it is almost the same as that in FIG. 4. The difference from the third embodiment in FIG. 4 is the encrypted information header adding means 4 of the encryption server 2.
7, a UDP (User Datagram Protocol) port number changing means is used, and a UDP port number determining means is used instead of the encrypted information header determining means 51 of the terminal 3.

【0096】まず,図1に示すストリームサーバ1から
暗号化サーバ2にマルチキャストのIPストリームが入
力される(ステップS60)。暗号化サーバ2では,ま
ず,暗号化の対象と設定されている対象のマルチキャス
トのIPストリームであるかどうかを判別する(ステッ
プS61)。暗号化対象のマルチキャストのIPストリ
ームでなかった場合には,そのまま手を加えずにネット
ワークへ送出する(ステップS62)。First, a multicast IP stream is input from the stream server 1 shown in FIG. 1 to the encryption server 2 (step S60). The encryption server 2 first determines whether or not the target is a multicast IP stream set as an encryption target (step S61). If it is not the multicast IP stream to be encrypted, it is sent to the network without any modification (step S62).

【0097】暗号化対象のマルチキャストのIPストリ
ームであった場合には,現在の時間が前に暗号化した時
間t1から予め暗号化サーバ2に設定されていた暗号化
を行う時間間隔α以上経過したかどうかを判別する(ス
テップS63)。In the case of the multicast IP stream to be encrypted, the current time has passed the time t1 previously encrypted, and the time interval α or more previously set in the encryption server 2 for performing the encryption has passed. It is determined whether or not (step S63).

【0098】暗号化を行う時間間隔α以上経過していた
場合,現在の時間が前に鍵配列Kcnを更新した時間t2
から暗号鍵Kcnの更新時間間隔β以上経過したかどうか
を判別する(ステップS64)。If the time interval α for performing encryption has passed, the current time is the time t2 at which the key array Kcn was previously updated.
It is then determined whether or not the update time interval β of the encryption key Kcn has elapsed (step S64).

【0099】鍵配列Kcnの更新時間間隔β以上経過して
いた場合,暗号鍵配列Kcn[i](i=0〜n)の更新
動作を行う(ステップS65)。ここで,暗号鍵配列K
cn[i](i=0〜n)とは,暗号鍵Kcnを複数個含む
配列のことであり,本実施の形態では,現時点における
コンテンツの暗号化は,この配列の最も若い番号を持つ
暗号鍵を使用することとする。また,ここでの更新動作
とは,暗号鍵配列の大きさがnであり0から配列が始ま
るものとする場合,配列番号が1であった暗号鍵Kcn
[1]を配列番号0に入れ,配列番号が2であった暗号
鍵Kcn[2]を配列番号1に入れ,……といった動作
を,配列番号nの暗号鍵Kcn[n]を配列番号n−1に
入れるまで繰り返し,新たに配列番号nの暗号鍵Kcn
[n]を生成するといった動作である。When the update time interval β of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is updated (step S65). Here, the encryption key array K
cn [i] (i = 0 to n) is an array including a plurality of encryption keys Kcn, and in the present embodiment, the current content encryption is the encryption with the lowest number in this array. We will use the key. Further, the update operation here means that when the size of the encryption key array is n and the array starts from 0, the encryption key Kcn whose array number is 1
Put [1] in the array number 0, the encryption key Kcn [2] whose array number was 2 in the array number 1, and so on. Repeatedly until -1 is entered, and a new encryption key Kcn of array element number n
The operation is to generate [n].

【0100】次に,暗号鍵配列の最も番号の若い暗号鍵
Kcn[0]を使用して,入力されたデータを暗号化する
(ステップS66)。続いて,そのデータのUDP(Use
r Datagram Protocol)のポート番号を適切な値に変更し
てデータを出力する(ステップS67)。Next, the input data is encrypted using the encryption key Kcn [0] having the smallest number in the encryption key array (step S66). Then, the UDP (Use
The data number is output after changing the port number of r Datagram Protocol) to an appropriate value (step S67).

【0101】データを出力した後,更新された暗号鍵配
列Kcn[i](i=0〜n)をマルチキャストストリー
ム種毎に設定された暗号鍵Kphを利用して暗号化し,そ
の暗号化したKph(Kcn[i](i=0〜n))をデー
タとするパケットを生成する(ステップS68)。その
後,生成したKph(Kcn[i](i=0〜n))に適切
な値を持ったUDPのポート番号を付加してUDPパケ
ットとして送出する(ステップS69)。After outputting the data, the updated encryption key array Kcn [i] (i = 0 to n) is encrypted using the encryption key Kph set for each multicast stream type, and the encrypted Kph A packet having (Kcn [i] (i = 0 to n)) as data is generated (step S68). After that, a UDP port number having an appropriate value is added to the generated Kph (Kcn [i] (i = 0 to n)) and transmitted as a UDP packet (step S69).

【0102】鍵配列Kcnの更新時間間隔β以上経過して
いなかった場合,暗号鍵配列の最も番号の若い暗号鍵K
cn[0]を使用して,入力されたデータを暗号化する
(ステップS70)。続いて,そのデータのUDP(Use
r Datagram Protocol)のポート番号を適切な値に変更し
てデータを出力する(ステップS71)。When the update time interval β of the key array Kcn has not elapsed, the encryption key K having the lowest number in the encryption key array K
The input data is encrypted using cn [0] (step S70). Then, the UDP (Use
The data number is output after changing the port number of r Datagram Protocol) to an appropriate value (step S71).

【0103】データを出力した後,現在の時間が,前に
鍵配列Kcnを送出した時間t3から鍵配列Kcnの送出時
間間隔γ以上経過したかどうかを判別する(ステップS
72)。経過していない場合には,ステップS60へ戻
り,ストリームサーバ1からの次の入力を待つ。After outputting the data, it is determined whether or not the present time has passed the sending time interval γ of the key array Kcn from the time t3 at which the key array Kcn was sent before (step S).
72). If it has not elapsed, the process returns to step S60 and waits for the next input from the stream server 1.

【0104】鍵配列Kcnの送出時間間隔γ以上経過して
いた場合には,暗号鍵配列Kcn[i](i=0〜n)を
マルチキャストストリーム種毎に設定された暗号鍵Kph
を利用して暗号化し,その暗号化したKph(Kcn[i]
(i=0〜n))をデータとするパケットを生成し(ス
テップS73),生成したKph(Kcn[i](i=0〜
n))に適切な値を持ったUDPのポート番号を付加し
てUDPパケットとして送出する(ステップS74)。When the transmission time interval γ of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is set to the encryption key Kph set for each multicast stream type.
Encrypted by using the encrypted Kph (Kcn [i]
A packet having (i = 0 to n) as data is generated (step S73), and the generated Kph (Kcn [i] (i = 0 to 0) is generated.
The port number of UDP having an appropriate value is added to (n)) and the packet is transmitted as a UDP packet (step S74).

【0105】また,ステップS63の判定において,暗
号化を行う時間間隔α以上経過していなかった場合,入
力されたデータを暗号化しないで,そのデータのUDP
のポート番号を適切な値に変更して出力する(ステップ
S75)。その後,ステップS72以降の処理を行う。If it is determined in step S63 that the time interval α for performing encryption has not elapsed, the input data is not encrypted and the UDP of the data is not encrypted.
The port number is changed to an appropriate value and output (step S75). After that, the processing from step S72 is performed.

【0106】以上の操作により,暗号化されたデータ
と,暗号化されていないデータと,暗号化された暗号鍵
配列が生成され,ネットワークに送出される。By the above operation, the encrypted data, the unencrypted data, and the encrypted encryption key array are generated and sent to the network.

【0107】次に,暗号化サーバ2から送出されたパケ
ットを何らかの手段で受け取った図1に示す端末3の動
作を,図13のフローチャートに従って説明する。Next, the operation of the terminal 3 shown in FIG. 1 which receives the packet sent from the encryption server 2 by some means will be described with reference to the flowchart of FIG.

【0108】まず,復号化の対象である暗号化マルチキ
ャストストリームであるかどうかを判別する(ステップ
S80)。暗号化マルチキャストストリームでなかった
場合,そのまま受信データを処理する上位レイヤへ処理
を渡す。First, it is judged whether or not the encrypted multicast stream is the object of decryption (step S80). If it is not an encrypted multicast stream, the process is passed to the upper layer that processes the received data as it is.

【0109】暗号化マルチキャストストリームであった
場合,UDPのポート番号を見て,そのパケットが暗号
鍵の変更が行われ,かつ暗号化されたデータであるか,
暗号鍵の変更が行われず暗号化されたデータであるか,
暗号鍵配列であるか,非暗号化データであるか,を識別
する(ステップS81)。If the packet is an encrypted multicast stream, the UDP port number is checked to see if the packet is encrypted data with the encryption key changed.
Whether the data is encrypted without changing the encryption key,
Whether it is the encryption key array or the non-encrypted data is identified (step S81).

【0110】非暗号化データであった場合,そのまま上
位レイヤへ処理を渡す。If the data is non-encrypted data, the process is passed to the upper layer as it is.

【0111】暗号鍵配列であった場合,何らかの手段で
入手してあった暗号鍵Kphを利用して暗号化された暗号
鍵配列Kph(Kcn[i](i=0〜n))を復号化し
(ステップS82),Kcn[i](i=0〜n)を得
る。この更新動作では,図7に示すような新しく得られ
た鍵配列を,それまで端末3側で持っていた鍵配列にそ
のまま置き換えることで更新を行う(ステップS8
3)。If it is the encryption key array, the encryption key array Kph (Kcn [i] (i = 0 to n)) encrypted by using the encryption key Kph obtained by some means is decrypted. (Step S82), Kcn [i] (i = 0 to n) is obtained. In this update operation, the key array newly obtained as shown in FIG. 7 is replaced by the key array that the terminal 3 had until then to update (step S8).
3).

【0112】暗号鍵配列の変更が行われ,かつ暗号化さ
れたデータであった場合,暗号鍵配列の更新動作を行
う。この更新動作では,図8に示すように暗号鍵配列を
一つずつ繰り上げる動作によって更新を行う(ステップ
S84)。次に暗号鍵配列Kcn[i](i=0〜n)の
最も若い配列番号の暗号鍵Kcn[0]を使用して,デー
タを復号化し(ステップS85),上位レイヤへ処理を
渡す。When the encryption key array is changed and the data is encrypted, the encryption key array update operation is performed. In this update operation, the encryption key array is updated one by one as shown in FIG. 8 (step S84). Next, the data is decrypted using the encryption key Kcn [0] having the smallest array number of the encryption key array Kcn [i] (i = 0 to n) (step S85), and the process is passed to the upper layer.

【0113】暗号鍵の変更が行われず暗号化されたデー
タであった場合には,暗号鍵配列Kcn[i](i=0〜
n)の最も若い配列番号の暗号鍵Kcn[0]を使用し
て,データを復号化し(ステップS85),上位レイヤ
へ処理を渡す。When the data is encrypted without changing the encryption key, the encryption key array Kcn [i] (i = 0 to 0).
Data is decrypted using the encryption key Kcn [0] having the smallest array element number n) (step S85), and the process is passed to the upper layer.

【0114】以上の操作により,暗号化されたデータを
端末3にて復号化することが可能となる。By the above operation, the encrypted data can be decrypted by the terminal 3.

【0115】〔第4の実施の形態〕図14は,本発明の
第2の実施の形態を説明するための暗号化サーバ2の処
理フローチャート,図15は,端末3の処理フローチャ
ートである。[Fourth Embodiment] FIG. 14 is a process flowchart of the encryption server 2 for explaining the second embodiment of the present invention, and FIG. 15 is a process flowchart of the terminal 3.

【0116】第4の実施の形態における暗号化サーバ2
と端末3のブロック構成図は省略するが,第3の実施の
形態と同様に,図4に示す暗号化サーバ2の暗号化情報
ヘッダ付加手段47の代わりに,UDP(User Datagram
Protocol)のポート番号の変更手段が用いられ,端末3
の暗号化情報ヘッダ判別手段51の代わりに,UDPの
ポート番号の判別手段が用いられる。Encryption server 2 in the fourth embodiment
Although a block diagram of the terminal 3 and the terminal 3 is omitted, a UDP (User Datagram) is used instead of the encrypted information header adding means 47 of the encryption server 2 shown in FIG. 4 as in the third embodiment.
Protocol) port number changing means is used, and the terminal 3
Instead of the encrypted information header discriminating means 51, the UDP port number discriminating means is used.

【0117】まず,図1に示すストリームサーバ1から
暗号化サーバ2にマルチキャストのIPストリームが入
力される(ステップS90)。暗号化サーバ2では,ま
ず,暗号化の対象と設定されている対象のマルチキャス
トのIPストリームであるかどうかを判別する(ステッ
プS91)。暗号化対象のマルチキャストのIPストリ
ームでなかった場合には,そのまま手を加えずにネット
ワークへ送出する(ステップS92)。First, a multicast IP stream is input from the stream server 1 shown in FIG. 1 to the encryption server 2 (step S90). In the encryption server 2, first, it is determined whether or not the multicast IP stream is the target of the encryption set (step S91). If it is not the multicast IP stream to be encrypted, it is sent to the network without any modification (step S92).

【0118】暗号化対象のマルチキャストのIPストリ
ームであった場合には,現在の時間が前に暗号化した時
間t1から予め暗号化サーバ2に設定されていた暗号化
を行う時間間隔α以上経過したかどうかを判別する(ス
テップS93)。In the case of the multicast IP stream to be encrypted, the current time has passed the time t1 previously encrypted and the time interval α or more which is set in advance in the encryption server 2 for performing the encryption has passed. It is determined whether or not (step S93).

【0119】暗号化を行う時間間隔α以上経過していた
場合,現在の時間が前に鍵配列Kcnを更新した時間t2
から暗号鍵Kcnの更新時間間隔β以上経過したかどうか
を判別する(ステップS94)。When the time interval α for performing encryption has passed, the current time is the time t2 at which the key array Kcn was updated before.
It is then determined whether or not the update time interval β of the encryption key Kcn has elapsed (step S94).

【0120】鍵配列Kcnの更新時間間隔β以上経過して
いた場合,暗号鍵配列Kcn[i](i=0〜n)の更新
動作を行う(ステップS95)。ここで,暗号鍵配列K
cn[i](i=0〜n)とは,暗号鍵Kcnを複数個含む
配列のことであり,その更新動作とは,暗号鍵配列の大
きさがnであり0から配列が始まるものとする場合,配
列番号が1であった暗号鍵Kcn[1]を配列番号0に入
れ,配列番号が2であった暗号鍵Kcn[2]を配列番号
1に入れ,……といった動作を,配列番号nの暗号鍵K
cn[n]を配列番号n−1に入れるまで繰り返し,新た
に配列番号nの暗号鍵Kcn[n]を生成するといった動
作である。When the update time interval β of the key array Kcn or more has elapsed, the encryption key array Kcn [i] (i = 0 to n) is updated (step S95). Here, the encryption key array K
cn [i] (i = 0 to n) is an array including a plurality of encryption keys Kcn, and the update operation is that the size of the encryption key array is n and the array starts from 0. In this case, the encryption key Kcn [1] having the array element number 1 is placed in the array element number 0, the encryption key Kcn [2] having the array element number 2 is placed in the array element number 1, ... Encryption key K with number n
The operation is repeated until cn [n] is placed in the array element number n-1, and a new encryption key Kcn [n] of the array element number n is generated.

【0121】次に,データの暗号化に使用する指標番号
となる鍵ID(使用鍵番号)に1を加えてインクリメン
トする(ステップS96)。次に,その鍵ID(=k)
の指す暗号鍵Kcn[k]を利用して,入力されたデータ
を暗号化する(ステップS97)。続いて,そのデータ
のUDPのポート番号を適切な値に変更してデータを出
力する(ステップS98)。Next, 1 is added to the key ID (used key number) which is the index number used for data encryption and incremented (step S96). Next, the key ID (= k)
The input data is encrypted by using the encryption key Kcn [k] pointed to by (step S97). Then, the UDP port number of the data is changed to an appropriate value and the data is output (step S98).

【0122】データを出力した後,更新された暗号鍵配
列Kcn[i](i=0〜n)をマルチキャストストリー
ム種毎に設定された暗号鍵Kphを利用して暗号化し,そ
の暗号化したKph(Kcn[i](i=0〜n))をデー
タとするパケットを生成する(ステップS99)。その
後,生成したKph(Kcn[i](i=0〜n))に適切
な値を持ったUDPのポート番号を付加してUDPパケ
ットとして送出する(ステップS100)。After outputting the data, the updated encryption key array Kcn [i] (i = 0 to n) is encrypted using the encryption key Kph set for each multicast stream type, and the encrypted Kph A packet having (Kcn [i] (i = 0 to n)) as data is generated (step S99). After that, a UDP port number having an appropriate value is added to the generated Kph (Kcn [i] (i = 0 to n)) and the packet is transmitted as a UDP packet (step S100).

【0123】鍵配列Kcnの更新時間間隔β以上経過して
いなかった場合,現在の鍵ID(=k)の暗号鍵Kcn
[k]を利用して,入力されたデータを暗号化する(ス
テップS101)。続いて,そのデータに適切な値を持
ったUDPのポート番号を付加してUDPパケットとし
て送出する(ステップS102)。If the update time interval β of the key array Kcn has not elapsed, the encryption key Kcn of the current key ID (= k)
The input data is encrypted using [k] (step S101). Then, a UDP port number having an appropriate value is added to the data and the data is transmitted as a UDP packet (step S102).

【0124】データを出力した後,現在の時間が,前に
鍵配列Kcnを送出した時間t3から鍵配列Kcnの送出時
間間隔γ以上経過したかどうかを判別する(ステップS
103)。経過していない場合には,ステップS90へ
戻り,ストリームサーバ1からの次の入力を待つ。After outputting the data, it is determined whether or not the current time has passed the sending time interval γ of the key array Kcn from the time t3 at which the key array Kcn was sent before (step S).
103). If it has not elapsed, the process returns to step S90 to wait for the next input from the stream server 1.

【0125】鍵配列Kcnの送出時間間隔γ以上経過して
いた場合には,暗号鍵配列Kcn[i](i=0〜n)を
マルチキャストストリーム種毎に設定された暗号鍵Kph
を利用して暗号化し,その暗号化したKph(Kcn[i]
(i=0〜n))をデータとするパケットを生成する
(ステップS104)。生成したKph(Kcn[i](i
=0〜n))に適切な値を持ったUDPのポート番号を
付加してUDPパケットとして送出する(ステップS1
05)。When the transmission time interval γ of the key array Kcn has passed, the encryption key array Kcn [i] (i = 0 to n) is set to the encryption key Kph set for each multicast stream type.
Encrypted by using the encrypted Kph (Kcn [i]
A packet having (i = 0 to n)) as data is generated (step S104). Generated Kph (Kcn [i] (i
= 0 to n)) and a UDP port number having an appropriate value is added and transmitted as a UDP packet (step S1).
05).

【0126】また,ステップS93の判定において,暗
号化を行う時間間隔α以上経過していなかった場合,入
力されたデータを暗号化しないで,そのデータのUDP
のポート番号を適切な値に変更して出力する(ステップ
S106)。その後,ステップS103以降の処理を行
う。If it is determined in step S93 that the time interval α for performing encryption has not elapsed, the input data is not encrypted and the UDP of the data is not encrypted.
The port number is changed to an appropriate value and output (step S106). After that, the processing from step S103 is performed.

【0127】以上の操作により,暗号化されたデータ
と,暗号化されていないデータと,暗号化された暗号鍵
配列が生成され,ネットワークに送出される。By the above operation, encrypted data, non-encrypted data, and encrypted encryption key array are generated and sent to the network.

【0128】次に,暗号化サーバ2から送出されたパケ
ットを何らかの手段で受け取った図1に示す端末3の動
作を,図15のフローチャートに従って説明する。Next, the operation of the terminal 3 shown in FIG. 1 which receives the packet sent from the encryption server 2 by some means will be described with reference to the flowchart of FIG.

【0129】まず,復号化の対象である暗号化マルチキ
ャストストリームであるかどうかを判別する(ステップ
S110)。暗号化マルチキャストストリームでなかっ
た場合,そのまま上位レイヤへ処理を渡す。First, it is judged whether or not it is an encrypted multicast stream which is the object of decryption (step S110). If it is not an encrypted multicast stream, the process is passed to the upper layer as it is.

【0130】暗号化マルチキャストストリームであった
場合,UDPのポート番号を見て,暗号化されたデータ
であるか,暗号鍵配列であるか,非暗号化データである
か,を識別する(ステップS111)。If it is an encrypted multicast stream, the UDP port number is checked to identify whether it is encrypted data, an encryption key array, or non-encrypted data (step S111). ).

【0131】非暗号化データであった場合,そのまま上
位レイヤへ処理を渡す。If the data is non-encrypted data, the process is passed to the upper layer as it is.

【0132】暗号鍵配列であった場合,何らかの手段で
入手してあった暗号鍵Kphを利用して暗号化された暗号
鍵配列Kph(Kcn[i](i=0〜n))を復号化し
(ステップS112),Kcn[i](i=0〜n)を得
る。この更新動作では,図7に示すような新しく得られ
た鍵配列を,それまで端末3側で持っていた鍵配列にそ
のまま置き換えることで更新を行う(ステップS11
3)。If it is an encryption key array, the encryption key array Kph (Kcn [i] (i = 0 to n)) encrypted by using the encryption key Kph obtained by some means is decrypted. (Step S112), Kcn [i] (i = 0 to n) is obtained. In this update operation, the key array newly obtained as shown in FIG. 7 is replaced with the key array that the terminal 3 side had until then (step S11).
3).

【0133】暗号化されたデータであった場合には,暗
号鍵配列Kcn[i](i=0〜n)の当該ID(=UD
Pポート番号)である暗号鍵Kcn[i]を使用して,デ
ータを復号化し(ステップS114),上位レイヤへ処
理を渡す。When the data is encrypted, the ID (= UD) of the encryption key array Kcn [i] (i = 0 to n)
The data is decrypted using the encryption key Kcn [i] which is the P port number) (step S114), and the process is passed to the upper layer.

【0134】以上の操作により,暗号化されたデータを
端末3にて復号化することが可能となる。By the above operation, the encrypted data can be decrypted by the terminal 3.

【0135】以上の4つの実施の形態では,端末3,暗
号化サーバ2,暗号鍵管理サーバ4,ストリームサーバ
1は1台であるが,この数は限定されないことは勿論で
ある。また,暗号化サーバ2固有の暗号鍵Kejや端末3
固有の暗号鍵Kuiの配布方法は限定されない。また,暗
号鍵Kcnを暗号化する暗号鍵Kphの暗号化サーバ2およ
び端末3への配布方法は限定されない。In the above four embodiments, the number of the terminals 3, the encryption server 2, the encryption key management server 4, and the stream server 1 is one, but the number is of course not limited. Also, the encryption key Kej unique to the encryption server 2 and the terminal 3
The distribution method of the unique encryption key Kui is not limited. Further, the method of distributing the encryption key Kph for encrypting the encryption key Kcn to the encryption server 2 and the terminal 3 is not limited.

【0136】また,暗号化サーバ2側から暗号化したデ
ータを配信または復号化に使用する鍵配列を配信する際
に,それぞれのパケットを別のマルチキャストアドレス
宛に送出し,端末3側にそのマルチキャストアドレスを
識別させることで,パケットがコンテンツデータのパケ
ットであるか鍵配列のパケットであるかを区別させるこ
ともできる。When distributing the encrypted data from the encryption server 2 side or distributing the key array used for decryption, each packet is sent to another multicast address and the multicast is sent to the terminal 3 side. By identifying the address, it is possible to distinguish whether the packet is a content data packet or a key array packet.

【0137】以上の本発明の実施の形態の説明では,共
通鍵方式で暗号化する場合の例について説明したが,共
通鍵方式以外の暗号化方式を用いる場合には,暗号化サ
ーバ2から端末3へ送信する鍵配列を,暗号化サーバ2
が使用する暗号鍵に対応する復号鍵の鍵配列とすること
は言うまでもない。In the above description of the embodiment of the present invention, an example of the case of performing encryption by the common key method has been described. However, when an encryption method other than the common key method is used, the encryption server 2 can The key array to be sent to the encryption server 2
It goes without saying that the key array is a decryption key array corresponding to the encryption key used by.

【0138】[0138]

【発明の効果】以上説明したように,本発明によれば,
IPストリーム等のコンテンツ配信に際して,秒オーダ
で暗号鍵を変更するマルチキャストに対応した暗号化を
実現することにより,セキュリティの確保と安価なサー
ビス提供が可能になるとともに,さらにデータの一部の
みを暗号化することで,処理能力の低い端末装置(クラ
イアント装置)への対応も可能になる。As described above, according to the present invention,
When delivering contents such as IP streams, by implementing encryption that supports multicast that changes the encryption key on the order of seconds, it is possible to ensure security and provide inexpensive services, and further encrypt only part of the data. By adopting this technology, it is possible to support terminal devices (client devices) with low processing capacity.

【図面の簡単な説明】[Brief description of drawings]

【図1】本発明を適用するIPネットワーク構成図であ
る。FIG. 1 is an IP network configuration diagram to which the present invention is applied.

【図2】本発明を適用する際の暗号鍵の階層化構成例を
示す図である。FIG. 2 is a diagram showing an example of a hierarchical structure of encryption keys when the present invention is applied.

【図3】本発明の実施の形態における送信パケットの例
を示す図である。FIG. 3 is a diagram showing an example of a transmission packet in the embodiment of the present invention.

【図4】本発明の実施の形態を説明するための暗号化サ
ーバと端末のブロック構成図である。FIG. 4 is a block configuration diagram of an encryption server and a terminal for explaining an embodiment of the present invention.

【図5】第1の実施の形態における暗号化サーバの処理
フローチャートである。FIG. 5 is a processing flowchart of the encryption server according to the first embodiment.

【図6】第1の実施の形態における端末の処理フローチ
ャートである。FIG. 6 is a processing flowchart of the terminal according to the first embodiment.

【図7】第1および第3の実施の形態における暗号鍵配
列の更新例を示す図である。FIG. 7 is a diagram showing an example of updating an encryption key array in the first and third embodiments.

【図8】第1および第3の実施の形態における暗号鍵配
列の更新例を示す図である。FIG. 8 is a diagram showing an example of updating an encryption key array in the first and third embodiments.

【図9】第2の実施の形態における暗号化サーバの処理
フローチャートである。FIG. 9 is a processing flowchart of an encryption server according to the second embodiment.

【図10】第2の実施の形態における端末の処理フロー
チャートである。FIG. 10 is a processing flowchart of the terminal according to the second embodiment.

【図11】第2および第4の実施の形態において使用さ
れる暗号鍵配列の例を示す図である。FIG. 11 is a diagram showing an example of an encryption key array used in the second and fourth embodiments.

【図12】第3の実施の形態における暗号化サーバの処
理フローチャートである。FIG. 12 is a processing flowchart of an encryption server according to the third embodiment.

【図13】第3の実施の形態における端末の処理フロー
チャートである。FIG. 13 is a processing flowchart of the terminal according to the third embodiment.

【図14】第4の実施の形態における暗号化サーバの処
理フローチャートである。FIG. 14 is a processing flowchart of an encryption server according to the fourth embodiment.

【図15】第4の実施の形態における端末の処理フロー
チャートである。FIG. 15 is a processing flowchart of the terminal according to the fourth embodiment.

【符号の説明】[Explanation of symbols]

1 ストリームサーバ 2 暗号化サーバ 3 端末 4 暗号鍵管理サーバ 5 IPネットワーク 6 暗号化サーバ毎に異なる暗号鍵Kej 7 端末毎に異なる暗号鍵Kui 8 KejでIPストリーム毎に異なる暗号鍵Kphを暗
号化したデータ 9 KuiでIPストリーム毎に異なる暗号鍵Kphを暗
号化したデータ 10 ストリームサーバから出力されたIPストリーム
の送信方向 11 暗号化サーバにより暗号化されたIPストリーム
の送信方向 12 ストリームサーバと暗号化サーバ間の通信経路 13 暗号鍵管理サーバと暗号化サーバ間の通信経路 14 暗号鍵管理サーバと端末間の通信経路 20 IPストリームを暗号化するために使用される暗
号鍵Kcn 21 暗号鍵Kcnを暗号化するために使用される暗号鍵
Kph 22 IPストリーム 23 暗号化されたIPストリーム 24 復号化されたIPストリーム 25 暗号鍵Kphにより暗号化された暗号鍵KcnのIP
ストリーム 26 暗号鍵Kejによって暗号化された暗号鍵Kphの配
信 27 暗号鍵Kuiによって暗号化された暗号鍵Kphの配
信 30 パケット 31 暗号化情報ヘッダ 40 ストリーム暗号化間隔判別手段 41 鍵配列更新間隔判別手段 42 鍵配列送出間隔判別手段 43 ストリーム暗号化手段 44 鍵配列更新手段 45 鍵配列暗号化手段 46 鍵配列記憶手段 47 暗号化情報ヘッダ付加手段 48 パケット転送手段 50 パケット受信手段 51 暗号化情報ヘッダ判別手段 52 鍵配列復号化手段 53 鍵配列更新手段 54 鍵配列記憶手段 55 ストリーム復号化手段1 stream server 2 encryption server 3 terminal 4 encryption key management server 5 IP network 6 encryption key Kej different for each encryption server Kej 7 encryption key Kui 8 Kej different for each terminal encrypted encryption key Kph different for each IP stream Data 9 Kui encrypted with different encryption key Kph for each IP stream 10 Transmission direction of IP stream output from stream server 11 Transmission direction of IP stream encrypted by encryption server 12 Stream server and encryption server Communication path between 13 Communication path between encryption key management server and encryption server 14 Communication path between encryption key management server and terminal 20 Encryption key Kcn used for encrypting IP stream 21 Encryption key Kcn is encrypted Cryptographic key used to do Kph 22 IP stream 23 Encrypted IP stream 2 4 Decrypted IP stream 25 IP of encryption key Kcn encrypted with encryption key Kph
Stream 26 Delivery of encryption key Kph encrypted by encryption key Kej 27 Delivery of encryption key Kph encrypted by encryption key Kui 30 Packet 31 Encryption information header 40 Stream encryption interval determination means 41 Key array update interval determination means 42 Key Array Transmission Interval Discrimination Means 43 Stream Encryption Means 44 Key Array Update Means 45 Key Array Encryption Means 46 Key Array Storage Means 47 Encryption Information Header Addition Means 48 Packet Transfer Means 50 Packet Reception Means 51 Encryption Information Header Discrimination Means 52 Key Array Decoding Means 53 Key Array Updating Means 54 Key Array Storage Means 55 Stream Decoding Means

フロントページの続き (72)発明者 佐藤 孝子 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA16 AA33 AA34 BA03 EA01 EA18 JA03 JA21 JA31 MA01 NA02 PA07 Continued front page    (72) Inventor Takako Sato             2-3-1, Otemachi, Chiyoda-ku, Tokyo             Inside Telegraph and Telephone Corporation F term (reference) 5J104 AA16 AA33 AA34 BA03 EA01                       EA18 JA03 JA21 JA31 MA01                       NA02 PA07

Claims (13)

【特許請求の範囲】[Claims] 【請求項1】 ネットワークを介して端末に配信するコ
ンテンツを暗号化する方法であって,パケットで配信す
るコンテンツのデータを暗号化するための複数個の暗号
鍵を含む鍵配列を記憶する過程と,入力ストリームが暗
号化対象のコンテンツである場合に,そのパケットの暗
号化が必要か否かを,予め定められたパケットの暗号化
間隔または頻度情報に基づいて判別する過程と,そのパ
ケットの暗号化が必要な場合には,前記鍵配列中の一つ
の暗号鍵を用いてデータを暗号化して配信し,暗号化が
必要でない場合には,そのままデータを配信する過程
と,前記鍵配列の更新が必要か否かを,予め定められた
鍵配列の更新間隔または頻度情報に基づいて判別する過
程と,前記鍵配列の更新が必要な場合には,将来使用さ
れる少なくとも一つの暗号鍵を含む鍵配列でもって現在
記憶している鍵配列を更新する過程と,前記鍵配列の送
出が必要か否かを,予め定められた鍵配列の送出間隔ま
たは頻度情報,あるいは前記鍵配列の更新間隔または頻
度情報に基づいて判別する過程と,前記鍵配列の送出が
必要な場合には,現在記憶している暗号鍵の鍵配列また
はその暗号鍵に対応する復号鍵の鍵配列を,予め与えら
れた暗号鍵で暗号化し,暗号化した鍵配列のデータを配
信する過程とを有することを特徴とするコンテンツ暗号
化方法。1. A method for encrypting content distributed to a terminal via a network, the method comprising storing a key array including a plurality of encryption keys for encrypting data of content distributed in packets. , If the input stream is the content to be encrypted, the process of determining whether the packet needs to be encrypted based on the predetermined packet encryption interval or frequency information, and the encryption of the packet. If the encryption is required, the data is encrypted by using one encryption key in the key array and distributed, and if the encryption is not required, the process of distributing the data as it is and the update of the key array Is determined based on predetermined key array update interval or frequency information, and if the key array needs to be updated, at least one A process of updating the currently stored key array with a key array including an encryption key and whether or not it is necessary to send the key array, predetermined sending interval or frequency information of the key array, or the key array And the key array of the currently stored encryption key or the decryption key array corresponding to the encryption key, if it is necessary to transmit the key array, A method for encrypting content, which comprises a step of encrypting with a cryptographic key given in advance and distributing data of the encrypted key array. 【請求項2】 請求項1に記載のコンテンツ暗号化方法
において,暗号化したデータの配信および復号化に使用
する鍵配列の配信の際に,コンテンツデータのパケット
であるか鍵配列のパケットであるかを区別する情報を,
パケットのヘッダに付加して配信することを特徴とする
コンテンツ暗号化方法。2. The content encryption method according to claim 1, which is a packet of content data or a packet of key array when distributing a key array used for distribution and decryption of encrypted data. Information that distinguishes
A content encryption method characterized in that the content is added to the header of the packet for distribution. 【請求項3】 請求項1に記載のコンテンツ暗号化方法
において,暗号化したデータの配信および復号化に使用
する鍵配列の配信の際に,それぞれのパケットを別のマ
ルチキャストアドレス宛に送出し,受信側にそのマルチ
キャストアドレスを識別させることで,パケットがコン
テンツデータのパケットであるか鍵配列のパケットであ
るかを区別させることを特徴とするコンテンツ暗号化方
法。3. The content encryption method according to claim 1, wherein each packet is transmitted to another multicast address when distributing the encrypted data and the key array used for decryption. A content encryption method characterized in that a packet is a packet of content data or a packet of a key arrangement by identifying the multicast address on the receiving side. 【請求項4】 請求項1に記載のコンテンツ暗号化方法
において,暗号化したデータまたは受信側で復号化に使
用する鍵配列のパケットをTCPまたはUDPパケット
として送出する際に,データのパケットおよび暗号鍵の
パケットのそれぞれのポート番号を変更し,受信側にポ
ート番号を識別させることで,パケットがコンテンツデ
ータのパケットであるか鍵配列のパケットであるかを区
別させることを特徴とするコンテンツ暗号化方法。4. The content encryption method according to claim 1, wherein when the encrypted data or a packet of a key array used for decryption on the receiving side is transmitted as a TCP or UDP packet, the data packet and the encryption are transmitted. Content encryption characterized by changing the port number of each key packet and allowing the receiving side to identify the port number to distinguish whether the packet is a content data packet or a key array packet. Method. 【請求項5】 請求項1から請求項4までのいずれか1
項に記載のコンテンツ暗号化方法において,前記鍵配列
を暗号化するための暗号鍵を,コンテンツを暗号化する
暗号化装置に配布する際に,前記暗号化装置が暗号鍵を
管理している暗号鍵管理装置に対して認証要求を行い,
認証が通った場合に前記暗号鍵管理装置から前記暗号化
装置に対して暗号鍵を配布することを特徴とするコンテ
ンツ暗号化方法。5. Any one of claims 1 to 4
In the content encryption method according to the item, when the encryption key for encrypting the key array is distributed to the encryption device that encrypts the content, the encryption device manages the encryption key. Make an authentication request to the key management device,
A content encryption method, wherein an encryption key is distributed from the encryption key management device to the encryption device when authentication is successful. 【請求項6】 請求項5記載のコンテンツ暗号化方法に
おいて,前記暗号化装置が前記暗号鍵管理装置に対して
認証要求を行う際に,前記暗号化装置毎に異なる共通鍵
を,予め前記暗号化装置と前記暗号鍵管理装置に保持さ
せておき,前記暗号化装置から前記暗号鍵管理装置に前
記鍵配列を暗号化するための暗号鍵の取得要求を行い,
前記暗号鍵管理装置では取得要求のあった暗号化装置に
対応した共通鍵を使用して前記鍵配列を暗号化するため
の暗号鍵を暗号化することで暗号化された暗号鍵を生成
し,その暗号鍵を前記暗号化装置に対して配布し,その
暗号化された暗号鍵を受信した暗号化装置では,前記共
通鍵を利用して前記受信した暗号鍵を復号化することに
よって,鍵配列を暗号化する暗号鍵を取得することを特
徴とするコンテンツ暗号化方法。6. The content encryption method according to claim 5, wherein when the encryption device makes an authentication request to the encryption key management device, a different common key for each encryption device is previously stored in the encryption device. Stored in the encryption device and the encryption key management device, the encryption device requests the encryption key management device to obtain an encryption key for encrypting the key array,
The encryption key management device generates an encrypted encryption key by encrypting an encryption key for encrypting the key array using a common key corresponding to the encryption device for which an acquisition request is made, The encryption device, which has distributed the encryption key to the encryption device and has received the encrypted encryption key, decrypts the received encryption key using the common key to obtain a key array. A content encryption method, characterized in that an encryption key for encrypting is acquired. 【請求項7】 請求項5または請求項6記載のコンテン
ツ暗号化方法において,前記暗号化装置が前記暗号鍵管
理装置に対して認証要求を行う際に,認証に公開鍵暗号
方式を利用することを特徴とするコンテンツ暗号化方
法。7. The content encryption method according to claim 5 or 6, wherein when the encryption device makes an authentication request to the encryption key management device, a public key cryptosystem is used for authentication. Content encryption method characterized by. 【請求項8】 ネットワークを介して配信されたコンテ
ンツを復号化する方法であって,配信されたコンテンツ
のパケットを復号化するための複数個の鍵を含む暗号化
された鍵配列を受信し,予め与えられた鍵配列を復号す
るための鍵を用いて復号し,データの復号に用いる鍵配
列として記憶する過程と,入力ストリームが暗号化対象
のコンテンツであった場合に,データが暗号化されてい
るか否かを判別する過程と,データが暗号化されている
場合には,前記記憶している鍵配列の更新が必要か否か
を判別し,鍵配列の更新が必要な場合には,前記鍵配列
を更新した後,鍵配列の更新が必要でない場合には,前
記鍵配列を更新しないで,前記鍵配列中の復号のための
一つの鍵を用いてデータを復号する過程とを有すること
を特徴とするコンテンツ復号化方法。8. A method of decrypting content delivered over a network, comprising: receiving an encrypted key array including a plurality of keys for decrypting a packet of delivered content, The process of decrypting using a key sequence for decrypting the key sequence given in advance and storing it as the key sequence used for decrypting the data, and when the input stream is the content to be encrypted, the data is encrypted. If the data is encrypted, it is determined whether the stored key array needs to be updated. If the key array needs to be updated, After updating the key array, if it is not necessary to update the key array, the key array is not updated, and the data is decrypted using one key for decryption in the key array. Conte characterized by Decryption method. 【請求項9】 請求項8に記載のコンテンツ復号化方法
において,前記鍵配列を復号するための復号鍵を,コン
テンツを復号する端末に配布する際に,前記端末が暗号
鍵を管理している暗号鍵管理装置に対して認証要求を行
い,認証が通った場合に暗号鍵管理装置から端末に対し
て復号鍵を配布することを特徴とするコンテンツ復号化
方法。9. The content decryption method according to claim 8, wherein when a decryption key for decrypting the key array is distributed to a terminal that decrypts the content, the terminal manages an encryption key. A content decryption method characterized in that an authentication request is issued to an encryption key management device, and when the authentication is successful, the encryption key management device distributes the decryption key to the terminal. 【請求項10】 請求項9に記載のコンテンツ復号化方
法において,前記端末が前記暗号鍵管理装置に対して認
証要求を行う際に,前記端末毎に異なる共通鍵を,予め
前記端末と前記暗号鍵管理装置に保持させておき,前記
端末から前記暗号鍵管理装置に前記鍵配列を復号化する
ための復号鍵の取得要求を行い,前記暗号鍵管理装置で
は取得要求のあった端末に対応した共通鍵を使用して前
記鍵配列を復号化するための復号鍵を暗号化することで
暗号化された復号鍵を生成し,その復号鍵を前記端末に
対して配布し,その暗号化された復号鍵を受信した端末
では,前記共通鍵を利用して前記受信した復号鍵を復号
化することによって,鍵配列を復号化する復号鍵を取得
することを特徴とするコンテンツ復号化方法。10. The content decryption method according to claim 9, wherein when the terminal makes an authentication request to the encryption key management device, a common key different for each terminal is preliminarily provided to the terminal and the encryption key. It is held in the key management device, and the terminal requests the encryption key management device to obtain a decryption key for decrypting the key array, and the encryption key management device corresponds to the terminal that has made the acquisition request. An encrypted decryption key is generated by encrypting the decryption key for decrypting the key array using a common key, the decryption key is distributed to the terminal, and the encrypted decryption key is encrypted. A content decryption method, characterized in that a terminal that receives a decryption key obtains a decryption key for decrypting a key array by decrypting the received decryption key using the common key. 【請求項11】 請求項9または請求項10記載のコン
テンツ復号化方法において,前記端末が前記暗号鍵管理
装置に対して認証要求を行う際に,認証に公開鍵暗号方
式を利用することを特徴とするコンテンツ復号化方法。11. The content decryption method according to claim 9 or 10, wherein when the terminal makes an authentication request to the encryption key management device, a public key cryptosystem is used for authentication. Content decryption method. 【請求項12】 ネットワークを介して端末に配信する
コンテンツを暗号化する暗号化装置であって,パケット
で配信するコンテンツのデータを暗号化するための複数
個の暗号鍵を含む鍵配列を記憶する手段と,入力ストリ
ームが暗号化対象のコンテンツである場合に,そのパケ
ットの暗号化が必要か否かを,予め定められたパケット
の暗号化間隔または頻度情報に基づいて判別する手段
と,そのパケットの暗号化が必要な場合には,前記鍵配
列中の一つの暗号鍵を用いてデータを暗号化して配信
し,暗号化が必要でない場合には,そのままデータを配
信する手段と,前記鍵配列の更新が必要か否かを,予め
定められた鍵配列の更新間隔または頻度情報に基づいて
判別する手段と,前記鍵配列の更新が必要な場合には,
将来使用される少なくとも一つの暗号鍵を含む鍵配列で
もって現在記憶している鍵配列を更新する手段と,前記
鍵配列の送出が必要か否かを,予め定められた鍵配列の
送出間隔または頻度情報,あるいは前記鍵配列の更新間
隔または頻度情報に基づいて判別する手段と,前記鍵配
列の送出が必要な場合には,現在記憶している暗号鍵の
鍵配列またはその暗号鍵に対応する復号鍵の鍵配列を,
予め与えられた暗号鍵で暗号化し,暗号化した鍵配列の
データを配信する手段とを備えることを特徴とするコン
テンツ暗号化装置。12. An encryption device for encrypting content to be delivered to a terminal via a network, which stores a key array including a plurality of encryption keys for encrypting data of content to be delivered in packets. And a means for determining whether or not the packet needs to be encrypted when the input stream is content to be encrypted, based on a predetermined packet encryption interval or frequency information, and the packet. If the encryption is required, the data is encrypted by using one encryption key in the key array and delivered, and if the encryption is not required, means for delivering the data as it is, and the key array Means for determining whether or not the key array needs to be updated based on a predetermined key array update interval or frequency information, and when the key array needs to be updated,
A means for updating the currently stored key array with a key array including at least one encryption key to be used in the future, and whether or not it is necessary to send out the key array, and a predetermined key array sending interval or A means for discriminating based on the frequency information or the update interval of the key array or the frequency information, and if the key array needs to be transmitted, it corresponds to the key array of the currently stored encryption key or the encryption key thereof. The key array of the decryption key is
A content encryption device, comprising: a means for encrypting with a cryptographic key given in advance and delivering the encrypted data of the key array. 【請求項13】 ネットワークを介して配信されたコン
テンツを復号化する装置であって,配信されたコンテン
ツのパケットを復号化するための複数個の鍵を含む暗号
化された鍵配列を受信し,予め与えられた鍵配列を復号
するための鍵を用いて復号し,データの復号に用いる鍵
配列として記憶する手段と,入力ストリームが暗号化対
象のコンテンツであった場合に,データが暗号化されて
いるか否かを判別する手段と,データが暗号化されてい
る場合には,前記記憶している鍵配列の更新が必要か否
かを判別し,鍵配列の更新が必要な場合には,前記鍵配
列を更新した後,鍵配列の更新が必要でない場合には,
前記鍵配列を更新しないで,前記鍵配列中の復号のため
の一つの鍵を用いてデータを復号する手段とを備えるこ
とを特徴とするコンテンツ復号化装置。13. A device for decrypting content distributed via a network, which receives an encrypted key array including a plurality of keys for decrypting a packet of distributed content, A means for decrypting using a key for decrypting a key array given in advance and storing it as a key array used for decrypting the data, and when the input stream is the content to be encrypted, the data is encrypted. And if the data is encrypted, it is determined whether or not the stored key array needs to be updated, and if the key array needs to be updated, After updating the key array, if it is not necessary to update the key array,
A content decryption apparatus, comprising means for decrypting data using one key for decryption in the key array without updating the key array.
JP2001371463A 2001-12-05 2001-12-05 Contents encrypting method and device and contents decoding method and device Pending JP2003174441A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001371463A JP2003174441A (en) 2001-12-05 2001-12-05 Contents encrypting method and device and contents decoding method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001371463A JP2003174441A (en) 2001-12-05 2001-12-05 Contents encrypting method and device and contents decoding method and device

Publications (1)

Publication Number Publication Date
JP2003174441A true JP2003174441A (en) 2003-06-20

Family

ID=19180500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001371463A Pending JP2003174441A (en) 2001-12-05 2001-12-05 Contents encrypting method and device and contents decoding method and device

Country Status (1)

Country Link
JP (1) JP2003174441A (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140808A (en) * 2002-09-25 2004-05-13 Denon Ltd Content data transmission/reception system, method therefor content data transmission device, and content data reception device
JP2005017992A (en) * 2003-06-30 2005-01-20 Yamaha Corp Music playing data transmission device, and system and method for playing music
JP2005278189A (en) * 2004-03-23 2005-10-06 Harris Corp Module-type cryptographic device provided with extended communication control function, and method thereof
JP2007013835A (en) * 2005-07-04 2007-01-18 Nippon Telegr & Teleph Corp <Ntt> Encoded data decoding device and its method
JP2007251500A (en) * 2006-03-15 2007-09-27 Nec Corp Wireless lan system
JP2007529914A (en) * 2004-03-15 2007-10-25 松下電器産業株式会社 Encryption device, key distribution device, key distribution system
JP2008034939A (en) * 2006-07-26 2008-02-14 Oki Electric Ind Co Ltd Data distribution system, distribution server, and server and receiving terminal
JP2008521333A (en) * 2004-11-17 2008-06-19 サムスン エレクトロニクス カンパニー リミテッド Content transmission method in home network using user binding
JP2008166861A (en) * 2006-12-26 2008-07-17 Ntt Communications Kk File distribution system, file distribution method, encryption device, decryption key distribution unit, and program
JP2009232034A (en) * 2008-03-21 2009-10-08 Mitsubishi Electric Corp Encryption device, decryption device, encryption method, decryption method, and program
JP2010021887A (en) * 2008-07-11 2010-01-28 Sony Corp Integrated circuit device and data transfer system
US7827417B2 (en) 2004-11-15 2010-11-02 Ikuo Yamaguchi Storage device
JP2013517688A (en) * 2010-01-14 2013-05-16 アルカテル−ルーセント Hierarchical key management for secure communication in multimedia communication systems
JP5301034B2 (en) * 2010-05-19 2013-09-25 三洋電機株式会社 OBE

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140808A (en) * 2002-09-25 2004-05-13 Denon Ltd Content data transmission/reception system, method therefor content data transmission device, and content data reception device
JP2005017992A (en) * 2003-06-30 2005-01-20 Yamaha Corp Music playing data transmission device, and system and method for playing music
US7642446B2 (en) 2003-06-30 2010-01-05 Yamaha Corporation Music system for transmitting enciphered music data, music data source and music producer incorporated therein
JP2007529914A (en) * 2004-03-15 2007-10-25 松下電器産業株式会社 Encryption device, key distribution device, key distribution system
JP4724120B2 (en) * 2004-03-15 2011-07-13 パナソニック株式会社 Encryption device, key distribution device, key distribution system
US7644289B2 (en) 2004-03-23 2010-01-05 Harris Corporation Modular cryptographic device providing enhanced communication control features and related methods
JP2005278189A (en) * 2004-03-23 2005-10-06 Harris Corp Module-type cryptographic device provided with extended communication control function, and method thereof
US7827417B2 (en) 2004-11-15 2010-11-02 Ikuo Yamaguchi Storage device
US8234493B2 (en) 2004-11-17 2012-07-31 Samsung Electronics Co., Ltd. Method for transmitting content in home network using user-binding
JP2008521333A (en) * 2004-11-17 2008-06-19 サムスン エレクトロニクス カンパニー リミテッド Content transmission method in home network using user binding
JP2007013835A (en) * 2005-07-04 2007-01-18 Nippon Telegr & Teleph Corp <Ntt> Encoded data decoding device and its method
JP2007251500A (en) * 2006-03-15 2007-09-27 Nec Corp Wireless lan system
JP4569535B2 (en) * 2006-07-26 2010-10-27 沖電気工業株式会社 Data distribution system and server
JP2008034939A (en) * 2006-07-26 2008-02-14 Oki Electric Ind Co Ltd Data distribution system, distribution server, and server and receiving terminal
JP2008166861A (en) * 2006-12-26 2008-07-17 Ntt Communications Kk File distribution system, file distribution method, encryption device, decryption key distribution unit, and program
JP2009232034A (en) * 2008-03-21 2009-10-08 Mitsubishi Electric Corp Encryption device, decryption device, encryption method, decryption method, and program
JP2010021887A (en) * 2008-07-11 2010-01-28 Sony Corp Integrated circuit device and data transfer system
JP4737243B2 (en) * 2008-07-11 2011-07-27 ソニー株式会社 Integrated circuit device and data transmission system
JP2013517688A (en) * 2010-01-14 2013-05-16 アルカテル−ルーセント Hierarchical key management for secure communication in multimedia communication systems
JP5301034B2 (en) * 2010-05-19 2013-09-25 三洋電機株式会社 OBE
JP2013219804A (en) * 2010-05-19 2013-10-24 Sanyo Electric Co Ltd Radio device
JP2013232909A (en) * 2010-05-19 2013-11-14 Sanyo Electric Co Ltd On-vehicle unit
JP2013243676A (en) * 2010-05-19 2013-12-05 Sanyo Electric Co Ltd On-vehicle device
JP2014003686A (en) * 2010-05-19 2014-01-09 Sanyo Electric Co Ltd Radio device
JP2015111913A (en) * 2010-05-19 2015-06-18 パナソニックIpマネジメント株式会社 Radio device
JP2016040949A (en) * 2010-05-19 2016-03-24 パナソニックIpマネジメント株式会社 Processing device

Similar Documents

Publication Publication Date Title
US7995603B2 (en) Secure digital content delivery system and method over a broadcast network
US8694783B2 (en) Lightweight secure authentication channel
KR101238477B1 (en) Delivering policy updates for protected content
CN101174946B (en) Content transmitting device, content receiving device and content encrypting method
US11785315B2 (en) Secure provisioning, by a client device, cryptographic keys for exploiting services provided by an operator
EP0887982A2 (en) Method and system for secure distribution of cryptographic keys on multicast networks
EP1965538B1 (en) Method and apparatus for distribution and synchronization of cryptographic context information
JP2005143120A (en) Access control to encrypted data service for vehicle entertainment and information processing device
US20090323962A1 (en) Secure multicast content delivery
EP2232398B1 (en) Controlling a usage of digital data between terminals of a telecommunications network
US10218681B2 (en) Home network controlling apparatus and method to obtain encrypted control information
JP2003174441A (en) Contents encrypting method and device and contents decoding method and device
KR20060105862A (en) Method protecting contents supported broadcast service between service provider and several terminals
GB2417652A (en) Generating a content decryption key using a nonce and channel key data in an endpoint device
EP1290885B1 (en) Secure digital content delivery system and method over a broadcast network
KR20060105934A (en) Apparatus and method jointing digital rights management contents between service provider supported broadcast service and terminal, and the system thereof
US20070091914A1 (en) Secure transfer of data
AU2012311701B2 (en) System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers
KR20130096575A (en) Apparatus and method for distributing group key based on public-key
KR20140004703A (en) Controlled security domains
JP4921899B2 (en) ENCRYPTION DEVICE, DECRYPTION DEVICE, AND ENCRYPTION KEY UPDATE METHOD
JP2003174440A (en) Method and system for distributing contents, routing device with authenticating function, and client device
JP2004336392A (en) Data communication system, data transmission apparatus and data transmission method, data reception apparatus and data reception method, and computer program
KR20110028784A (en) A method for processing digital contents and system thereof
IL152435A (en) Secure digital content delivery system and method over a broadcast network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061024

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070306