JP2004166154A - Key control system for multicast distribution - Google Patents
Key control system for multicast distribution Download PDFInfo
- Publication number
- JP2004166154A JP2004166154A JP2002332405A JP2002332405A JP2004166154A JP 2004166154 A JP2004166154 A JP 2004166154A JP 2002332405 A JP2002332405 A JP 2002332405A JP 2002332405 A JP2002332405 A JP 2002332405A JP 2004166154 A JP2004166154 A JP 2004166154A
- Authority
- JP
- Japan
- Prior art keywords
- key
- decryption
- encryption
- management
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて暗号化/復号化で用いられる鍵(暗号鍵/復号鍵)の管理を行うマルチキャスト配信のための鍵管理方式に関する。
【0002】
【従来の技術】
ユニキャスト通信における暗号化データの通信のためのプロトコルとして、IPsec等があるが、これらはそのままではマルチキャスト通信(配信)には適用できない。ユニキャスト通信は一対一で行われるため、二者間で鍵を共有すればよいが、マルチキャスト通信では一対多の通信になるため、ユニキャスト通信と同じ方法では鍵の共有ができないからである。このため、マルチキャスト通信における暗号化では、ユニキャスト通信におけるそれとは別のしくみが必要になる。
【0003】
一般に、複数のマルチキャスト配信が行われている場合に、それぞれを区別するためには、送信元アドレス,マルチキャストアドレス,および送受信ポート番号の組合せによって、その区別が行われている。
【0004】
したがって、従来の技術では、コンテンツサーバが複数あり、それぞれが違う鍵を用いて暗号化されたデータを含むマルチキャストパケットを配信している場合において、クライアント側では、それぞれのマルチキャストパケットに対応した復号鍵を得るために、送信元アドレス,マルチキャストアドレス,および送受信ポート番号の組合せでマルチキャストパケットを区別する必要があった。
【0005】
また、暗号化データ(暗号化されたデータ)のマルチキャスト配信中に鍵(暗号鍵・復号鍵)を変える場合には、なんらかの方法を用いて、コンテンツサーバとクライアントとの間で、使用している暗号鍵・復号鍵の同期をとる必要がある。
【0006】
ここで、従来の技術では、鍵の同期を行う方式として、次のような処理を行う鍵管理サーバを利用して当該同期を実現するシステムが存在した(例えば、特許文献1参照)。
【0007】
すなわち、特許文献1に記載された鍵管理サーバは、送信者(コンテンツサーバ)が送信を始める際か鍵を変更した際に新しい鍵を受け取り、それを受信者(クライアント)に対して通知することで、送信データ(配信対象のデータ)に対応する鍵を受信者に配布している。
【0008】
【特許文献1】
特開2002−111649号公報(第4−5頁、図1)
【0009】
【発明が解決しようとする課題】
上述した従来のマルチキャスト配信のための鍵管理方式には、鍵が変更された際に、鍵管理サーバがクライアントに対して新しい鍵を配布する必要があり、このような鍵の管理を実現するために、現時点でマルチキャストパケット受信中のクライアントを鍵管理サーバが把握しておく必要がある等、鍵の管理が煩雑になるという問題点があった。
【0010】
本発明の目的は、上述の点に鑑み、マルチキャスト配信時に暗号化処理を行うネットワークシステムにおいて、事前に複数の鍵(暗号鍵・復号鍵)を一意に区別するための鍵ID(送信者(コンテンツサーバ)と多数の受信者(クライアント)との間で共有する鍵を区別するID(IDentification))を鍵毎に割り当てておき、マルチキャスト配信の際に、配信対象のデータの暗号化に用いた鍵に対応する鍵IDをマルチキャストパケットに包含して送り、そのような鍵IDを使用して鍵の管理を実現することによって、鍵の管理を容易に行うことを可能にするマルチキャスト配信のための鍵管理方式を提供することにある。
【0011】
すなわち、本発明を用いれば、コンテンツサーバが暗号鍵を変えた時に、コンテンツサーバが暗号化データに添付する鍵IDを変えるだけで、クライアントは受信したマルチキャストパケット中の鍵IDをみることによって、暗号化・復号化に用いる鍵が変わったことを知ることができ、クライアント側から鍵管理サーバ側に新しい鍵を要求できるため、鍵管理サーバ側でクライアントに関する情報を管理する必要がなくなる。
【0012】
なお、IPsec等のプロトコル(ユニキャスト通信のためのプロトコル)でも複数の鍵を区別するためにIDが用いられるが、それはあくまでも二者間で共有されている鍵を区別するためのものである。
【0013】
また、PKI(Public Key Infrastructure)を用いたIPsec通信では公開鍵をCA(Certification Authority)局と呼ばれるサーバにて保存しておき、クライアントが通信に先だってサーバから公開鍵を取得するということが行われるが、この公開鍵は通信のための共有鍵を交換するために用いられており、その公開鍵を使って暗号化通信を行うわけではない(本発明では、復号鍵およびその鍵IDが鍵管理サーバからクライアントに渡される)。
【0014】
【課題を解決するための手段】
本発明のマルチキャスト配信のための鍵管理方式は、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて、暗号鍵・復号鍵(対となる暗号鍵および復号鍵。同じ鍵である場合もある)と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理サーバ内の鍵管理テーブルと、コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵管理サーバ内の鍵生成手段と、クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理サーバ内の復号鍵送付手段と、暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、マルチキャスト配信時に、暗号鍵を取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、マルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段とを有する。
【0015】
ここで、本発明のマルチキャスト配信のための鍵管理方式は、上記の鍵管理サーバを、上記の鍵管理テーブル,鍵生成手段,および復号鍵送付手段として機能させるための鍵管理サーバ用鍵管理プログラムと、上記のコンテンツサーバを、上記の暗号鍵テーブル,暗号鍵取得手段,および暗号化・送信手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、上記のクライアントを、上記の復号鍵テーブル,復号鍵取得手段,および受信・復号化手段として機能させるためのクライアント用鍵管理プログラムとを有する態様で実現することも可能である。
【0016】
また、本発明のマルチキャスト配信のための鍵管理方式は、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理マスタサーバおよび鍵管理スレーブサーバ内の鍵管理テーブルと、コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を鍵管理マスタサーバ内の前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送し、当該暗号鍵・復号鍵と当該鍵IDとの組を有する鍵情報配布メッセージを全ての鍵管理スレーブサーバに配布する鍵管理マスタサーバ内の鍵生成・配布手段と、前記鍵生成・配布手段によって配布された鍵情報配布メッセージ中の暗号鍵・復号鍵と鍵IDとの組を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルに保存する鍵管理スレーブサーバ内の鍵保存手段と、クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理スレーブサーバ内の復号鍵送付手段と、暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、マルチキャスト配信時に、暗号鍵を取得するために鍵管理マスタサーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には全ての鍵管理スレーブサーバのいずれかに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として当該鍵管理スレーブサーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、マルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段とを有するように構成することも可能である。
【0017】
ここで、本発明のマルチキャスト配信のための鍵管理方式は、上記の鍵管理マスタサーバを、上記の鍵管理テーブルおよび鍵生成・配布手段として機能させるための鍵管理マスタサーバ用鍵管理プログラムと、上記の鍵管理スレーブサーバを、上記の鍵管理テーブル,鍵保存手段,および復号鍵送付手段として機能させるための鍵管理スレーブサーバ用鍵管理プログラムと、上記のコンテンツサーバを、上記の暗号鍵テーブル,暗号鍵取得手段,および暗号化・送信手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、上記のクライアントを、上記の復号鍵テーブル,復号鍵取得手段,および受信・復号化手段として機能させるためのクライアント用鍵管理プログラムとを有する態様で実現することも可能である。
【0018】
さらに、本発明のマルチキャスト配信のための鍵管理方式は、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理サーバ内の鍵管理テーブルと、コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵管理サーバ内の鍵生成手段と、クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理サーバ内の復号鍵送付手段と、暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、鍵変更準備時点に達した時に、次に使用する暗号鍵を事前に取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、前記暗号鍵取得手段によって次に使用する暗号鍵の取得が行われた場合に、当該暗号鍵の鍵IDを有する鍵変更予告メッセージのマルチキャスト配信を行うコンテンツサーバ内の鍵変更予告手段と、復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、鍵変更予告メッセージの受信時に、当該鍵変更予告メッセージ中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がない場合に鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、マルチキャストパケットを受信し、前記復号鍵取得手段により事前に取得され前記復号鍵管理テーブルに保持されており当該マルチキャストパケット中の鍵IDに対応する復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段とを有するように構成することも可能である。
【0019】
ここで、本発明のマルチキャスト配信のための鍵管理方式は、上記の鍵管理サーバを、上記の鍵管理テーブル,鍵生成手段,および復号鍵送付手段として機能させるための鍵管理サーバ用鍵管理プログラムと、上記のコンテンツサーバを、上記の暗号鍵テーブル,暗号鍵取得手段,暗号化・送信手段,および鍵変更予告手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、上記のクライアントを、上記の復号鍵テーブル,復号鍵取得手段,および受信・復号化手段として機能させるためのクライアント用鍵管理プログラムとを有する態様で実現することも可能である。
【0020】
なお、本発明のマルチキャスト配信のための鍵管理方式は、より一般的には、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて、コンテンツサーバ群とクライアント群とからアクセス可能となるように配置されており、暗号鍵・復号鍵と当該鍵を一意に識別するための鍵IDとの組を保持することによって鍵を管理する鍵管理サーバと、前記鍵管理サーバから暗号鍵とその鍵IDとの組を受け取り、当該暗号鍵で暗号化されたデータと当該鍵IDとを有するマルチキャストパケットをクライアント群に送信するコンテンツサーバと、前記コンテンツサーバからマルチキャストパケットを受信し、当該マルチキャストパケットに含まれる鍵IDに対応する復号鍵を前記鍵管理サーバから取得し、当該復号鍵によって当該マルチキャストパケットに含まれる暗号化データの復号化を行うクライアントとを有すると表現することができる。
【0021】
ここで、このマルチキャスト配信のための鍵管理方式に関しては、鍵管理サーバを鍵管理マスタサーバと複数の鍵管理スレーブサーバとに分けることによって、負荷分散を可能にすることもできる。また、コンテンツサーバが、使用する鍵を変更するときに、事前に鍵変更予告のマルチキャスト配信を行い、鍵管理サーバからの新たな復号鍵の取得をクライアントに促すことによって、鍵変更時にも遅延なく復号化を行うことを可能にすることもできる。
【0022】
【発明の実施の形態】
次に、本発明について図面を参照して詳細に説明する。
【0023】
(1) 第1の実施の形態
【0024】
図1は、本発明の第1の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0025】
図1を参照すると、本実施の形態に係るマルチキャスト配信のための鍵管理方式は、マルチキャストパケットを送信するコンテンツサーバ11,12,…,1n(nは正整数)と、マルチキャストパケットを受信するクライアント21,22,…,2m(mは正整数)と、鍵(暗号鍵・復号鍵)の管理を行う鍵管理サーバ31と、コンテンツサーバ1i(iは1〜nの正整数),クライアント2j(jは1〜mの正整数),および鍵管理サーバ31を接続するネットワーク100とを含んで構成されている。
【0026】
コンテンツサーバ1iは、マルチキャストパケットで配信されるデータの暗号化に用いる鍵(暗号鍵)とその鍵を識別するための鍵IDとの組を保存する暗号鍵テーブル1i0を持つ。
【0027】
また、各コンテンツサーバ1iは、暗号鍵取得手段1i1と、暗号化・送信手段1i2とを含んで構成されている。
【0028】
クライアント2jは、マルチキャストパケットで配信される暗号化データの復号に用いる鍵(復号鍵)とその鍵を識別するための鍵IDとの組を保存する復号鍵テーブル2j0を持つ。
【0029】
また、各クライアント2jは、復号鍵取得手段2j1と、受信・復号化手段2j2とを含んで構成されている。
【0030】
鍵管理サーバ31は、鍵(暗号鍵・復号鍵)とそれに対応する鍵IDとの組を管理する鍵管理テーブル310を持つ。なお、一対の暗号化・復号化処理で用いられる暗号鍵と復号鍵とは、暗号化方式によって、同一の場合もあり異なる場合もあるが、いずれにしても同一の鍵IDによって識別される。
【0031】
また、鍵管理サーバ31は、鍵生成手段311と、復号鍵送付手段312とを含んで構成されている。
【0032】
図2は、本実施の形態に係るマルチキャスト配信のための鍵管理方式の動作を説明するためのブロック図である。図2に示すように、コンテンツサーバ1iから鍵管理サーバ31に鍵作成要求51が送信され、その応答として、鍵管理サーバ31からコンテンツサーバ1iに鍵情報応答メッセージ52が送信される。また、クライアント2jから鍵管理サーバ31に鍵情報要求61が送信され、その応答として、鍵管理サーバ31からクライアント2jに鍵情報メッセージ62が送信される。
【0033】
図3は、本実施の形態に係るマルチキャスト配信のための鍵管理方式における暗号化・送信処理を示す流れ図である。この処理は、暗号鍵有無判定ステップA1と、鍵作成要求発行ステップA2と、鍵生成ステップA3と、鍵ID割り当てステップA4と、鍵情報鍵管理テーブル保存ステップA5と、鍵情報応答メッセージ送信ステップA6と、鍵情報暗号鍵テーブル保存ステップA7と、データ暗号化ステップA8と、鍵ID保有マルチキャストパケット生成ステップA9と、マルチキャストパケット送信ステップA10とからなる。
【0034】
図4は、本実施の形態に係るマルチキャスト配信のための鍵管理方式における受信・復号化処理を示す流れ図である。この処理は、マルチキャストパケット受信ステップB1と、復号鍵有無判定ステップB2と、鍵情報要求発行ステップB3と、鍵管理テーブル検索ステップB4と、鍵情報メッセージ送信ステップB5と、鍵情報復号鍵テーブル保存ステップB6と、暗号化データ復号化ステップB7とからなる。
【0035】
次に、図1〜図4を参照して、上記のように構成された本実施の形態に係るマルチキャスト配信のための鍵管理方式の全体の動作について詳細に説明する。
【0036】
第1に、コンテンツサーバ側における暗号化・送信処理時の動作について説明する(図3参照)。
【0037】
コンテンツサーバ1i内の暗号化・送信手段1i2は、配信対象のデータを暗号化してその暗号化データを有するマルチキャストパケットを送信する際に、その暗号化のための鍵(暗号鍵)が当該コンテンツサーバ1iの暗号鍵テーブル2i0(自テーブル)に保持されているか否かを判定する(ステップA1)。
【0038】
暗号化・送信手段1i2は、ステップA1で「当該暗号鍵が自テーブルに保持されている」と判定した場合には、その暗号鍵を用いて配信対象のデータの暗号化を行い(ステップA8)、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットを生成し(ステップA9)、ネットワーク100上への当該マルチキャストパケットの送信(マルチキャスト配信)を行う(ステップA10)。
【0039】
一方、暗号化・送信手段1i2は、ステップA1で「当該暗号鍵が自テーブルに保持されていない」と判定した場合には、暗号鍵取得手段1i1に制御を渡す。暗号鍵取得手段1i1は、鍵管理サーバ31に対して鍵作成要求51(図2参照)を発行する(ステップA2)。
【0040】
鍵作成要求51を受け取った鍵管理サーバ31内の鍵生成手段311は、要求された鍵(暗号鍵・復号鍵)を生成し(ステップA3)、その鍵に対して、鍵管理テーブル310内で一意に管理するための鍵IDを割り当てる(ステップA4)。
【0041】
さらに、鍵生成手段311は、ステップA3で生成した鍵とステップA4で割り当てた鍵IDとの組を鍵管理テーブル310に保存し(ステップA5)、鍵作成要求51の発行元のコンテンツサーバ1iに対して当該鍵IDと当該鍵(暗号鍵)との組を有する鍵情報応答メッセージ52(図2参照)を送信する(ステップA6)。
【0042】
鍵情報応答メッセージ52を受信したコンテンツサーバ1i内の暗号鍵取得手段1i1は、受け取った鍵と鍵IDとの組を自身の暗号鍵テーブル1i0に保存する(ステップA7)。
【0043】
さらに、当該コンテンツサーバ1i内の暗号化・送信手段1i2は、鍵管理サーバ31から受け取った暗号鍵を用いて配信対象のデータの暗号化を行い(ステップA8)、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットを生成し(ステップA9)、ネットワーク100上への当該マルチキャストパケットの送信(マルチキャスト配信)を行う(ステップA10)。
【0044】
なお、図2に示すコンテンツサーバ12のように、暗号鍵テーブル(図2では暗号鍵テーブル120)内に複数の鍵が保持されている場合には、マルチキャスト配信の対象となるデータの内容や時刻によって当該複数の鍵を使い分けることも可能である。すなわち、本実施の形態に限らず、本発明では、コンテンツサーバ側で、複数の暗号鍵と鍵IDとの組を同時に保持しておき、マルチキャスト配信において使用する暗号鍵を適時変更することも可能である。
【0045】
第2に、クライアント側における受信・復号化処理時の動作について説明する(図4参照)。
【0046】
クライアント2j内の受信・復号化手段2j2は、コンテンツサーバ1iから配信されたマルチキャストパケットを受信すると(ステップB1)、当該マルチキャストパケットに含まれる鍵IDを参照し、当該鍵IDに対応する鍵(復号鍵)が自身の復号鍵テーブル8j(自テーブル)にあるか否かを判定(検索)する(ステップB2)。
【0047】
受信・復号化手段2j2は、ステップB2の検索で「当該鍵IDに対応する復号鍵がある」と判定した場合には、その復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行う(ステップB7)。
【0048】
一方、受信・復号化手段2j2は、ステップB2の検索で「当該鍵IDに対応する復号鍵がない」と判定した場合には、復号鍵取得手段2j1に制御を渡す。復号鍵取得手段2j1は、当該マルチキャストパケットに含まれる鍵IDを使って(当該鍵IDをキーにして)、鍵情報要求61(図2参照)を鍵管理サーバ31に発行する(ステップB3)。すなわち、当該鍵IDに対応する復号鍵に関する鍵情報(鍵IDと復号鍵との組)を、鍵管理サーバ31に対して要求する。
【0049】
その鍵情報要求61を受け取った鍵管理サーバ31内の復号鍵送付手段312は、鍵情報要求61中の鍵IDを用いて鍵管理テーブル310の検索を行い、当該鍵IDに対応する鍵を取得する(ステップB4)。
【0050】
その上で、復号鍵送付手段312は、鍵管理テーブル310から取得した鍵(復号鍵)とその鍵IDとの組を有する鍵情報メッセージ62(図2参照)を、鍵情報要求61に対する返信として、鍵情報要求61を発行したクライアント2jに送信する(ステップB5)。
【0051】
当該クライアント2j内の復号鍵取得手段2j1は、当該鍵情報メッセージ62を鍵管理サーバ31から受け取ると、以降のマルチキャストパケット受信時の復号化処理の際に用いるために、当該鍵情報メッセージ62中の復号鍵と鍵IDとの組を自身の復号鍵テーブル2j0に保存しておく(ステップB6)。
【0052】
さらに、当該クライアント2j内の受信・復号化手段2j2は、その復号鍵を用いて、ステップB1で受信したマルチキャストパケット中の暗号化データの復号化を行う(ステップB7)。
【0053】
なお、クライアント2jの復号鍵テーブル2j0は、初期状態では1つの鍵情報(鍵IDと鍵との組)も持っていない。また、復号鍵テーブル2j0中の鍵とその鍵IDとの組は、一定時間用いられないと、復号鍵テーブル2j0から消去される。
【0054】
(2) 第2の実施の形態
【0055】
図5は、本発明の第2の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0056】
図5を参照すると、本実施の形態に係るマルチキャスト配信のための鍵管理方式は、マルチキャストパケットを送信するコンテンツサーバ11,12,…,1n(nは正整数)と、マルチキャストパケットを受信するクライアント21,22,…,2m(mは正整数)と、鍵(暗号鍵・復号鍵)の管理を行う鍵管理マスタ(MASTER)サーバ40および鍵管理スレーブ(SLAVE)サーバ41,…,4p(pは正整数)と、コンテンツサーバ1i(iは1〜nの正整数),クライアント2j(jは1〜mの正整数),鍵管理マスタサーバ40,および鍵管理スレーブサーバ4k(kは1〜pの正整数)を接続するネットワーク100とを含んで構成されている。
【0057】
本実施の形態(第2の実施の形態)と第1の実施の形態とを比較すると、第1の実施の形態(図1参照)における鍵管理サーバ31に対応するものとして、本実施の形態では、鍵管理マスタサーバ40と複数の鍵管理スレーブサーバ4kとが分かれて存在している点が異なっている。
【0058】
すなわち、図5に示す本実施の形態の構成は、鍵管理サーバを鍵管理マスタサーバ40と鍵管理スレーブサーバ4kとに分けて、鍵管理スレーブサーバ4kを複数用意することによって、鍵管理サーバの負荷の分散を可能にしている。
【0059】
なお、鍵管理マスタサーバ40は、鍵管理テーブル400を有しており、鍵生成・配布手段401を含んで構成されている。
【0060】
また、鍵管理スレーブサーバ4kは、鍵管理テーブル4k0を有しており、鍵保存手段4k1と、復号鍵送付手段4k2とを含んで構成されている。
【0061】
図6は、本実施の形態に係るマルチキャスト配信のための鍵管理方式の動作を説明するためのブロック図である。図6に示すように、コンテンツサーバ1i(図6では、簡単化のためにコンテンツサーバ11のみを示している)から鍵管理マスタサーバ40に鍵作成要求51が送信され、その応答として、鍵管理マスタサーバ40からコンテンツサーバ1iに鍵情報応答メッセージ52が送信される。このときに、鍵管理マスタサーバ40から鍵管理スレーブサーバ41〜4pに鍵情報配布メッセージ71〜7pが送信される。また、クライアント2jから鍵管理スレーブサーバ41〜4pのいずれかに鍵情報要求61が送信され、その応答として、当該鍵管理スレーブサーバ4kからクライアント2jに鍵情報メッセージ62が送信される。
【0062】
次に、図5および図6を参照して(図1〜図4も適宜参照する)、上記のように構成された本実施の形態に係るマルチキャスト配信のための鍵管理方式の動作について、第1の実施の形態とは異なる点を中心にして説明する。
【0063】
第1に、暗号化・送信処理時の動作について説明する。
【0064】
第1の実施の形態では、コンテンツサーバ1iは、図3中のステップA1で「暗号鍵が自テーブルに保持されていない」と判定した場合に、ステップA2で、鍵管理サーバ31に鍵作成要求51(図2参照)を発行していた。
【0065】
これに対して、本実施の形態では、コンテンツサーバ1i(コンテンツサーバi1内の暗号鍵取得手段1i1)は、鍵管理マスタサーバ40に対して、鍵作成要求51(図6参照)を発行する。
【0066】
そして、鍵作成要求51を受け取った鍵管理マスタサーバ40内の鍵生成・配布手段401は、鍵(暗号鍵・復号鍵)を生成し、その鍵に対して、鍵管理テーブル400内で一意に管理するための鍵IDを割り当てる。
【0067】
また、鍵生成・配布手段401は、生成した鍵とその鍵に割り当てた鍵IDとの組を鍵管理テーブル400に保存し、鍵作成要求51に対する応答として、当該コンテンツサーバ1iに対して当該鍵IDと当該鍵(暗号鍵)との組を有する鍵情報応答メッセージ52(図6参照)を送信する。
【0068】
さらに、鍵管理マスタサーバ40内の鍵生成・配布手段401は、この鍵と鍵IDとの組を有する鍵情報配布メッセージ71〜7p(図6参照)を、全ての鍵管理スレーブサーバ41〜4pに対しても送る。
【0069】
各鍵管理スレーブサーバ4k内の鍵保存手段4k1は、当該鍵と当該鍵IDとの組を、自己の鍵管理テーブル4k0に保存する。
【0070】
第2に、受信・復号化処理時の動作について説明する。
【0071】
第1の実施の形態では、クライアント2jは、図4中のステップB2の検索(判定)で「マルチキャストパケット中の鍵IDに対応する復号鍵が自テーブルにない」と判定した場合には、ステップB3で、コンテンツサーバ1iから受け取ったマルチキャストパケットに含まれている鍵IDを使って、鍵情報要求61(図2参照)を鍵管理サーバ31に発行していた。
【0072】
これに対して、本実施の形態では、クライアント2jは、鍵情報要求61(図6参照)を発行する時に、複数の鍵管理スレーブサーバ41〜4pのいずれかにその鍵情報要求61を送る。このとき、どの鍵管理スレーブサーバ4kに送るかを決める方法としては、例えば、以下のaおよびbに示す2つの方法がある。
【0073】
a.各クライアント2j毎に、どの鍵管理スレーブサーバ4kに鍵情報要求61を送るかを事前に決めておく方法
【0074】
b.クライアント2jが鍵情報要求61を送る1回毎に、送り先の鍵管理スレーブサーバ4kを変える方法(ラウンドロビン法)
【0075】
その鍵情報要求61を受け取った鍵管理スレーブサーバ4k内の復号鍵送付手段4k2は、鍵情報要求61中の鍵IDを用いて自己の鍵管理テーブル4k0の検索を行い、当該鍵IDに対応する鍵を取得し、取得した鍵(復号鍵)とその鍵IDとの組を有する鍵情報メッセージ62(図6参照)を、鍵情報要求61に対する返信として、鍵情報要求61を発行したクライアント2jに送信する。
【0076】
なお、上記以外の動作に関しては、本実施の形態に係るマルチキャスト配信のための鍵管理方式は、第1の実施の形態と同様の動作(処理)を行う(図3および図4参照)。
【0077】
このように、本実施の形態では、クライアント2jからの鍵情報要求61を受ける鍵管理スレーブサーバ4kが複数用意されているため、前述の第1の実施の形態と比べて、鍵管理サーバの負荷を分散することができる。
【0078】
(3) 第3の実施の形態
【0079】
図7は、本発明の第3の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0080】
図7を参照すると、本実施の形態に係るマルチキャスト配信のための鍵管理方式は、図1に示す第1の実施の形態と同様に、マルチキャストパケットを送信するコンテンツサーバ11,12,…,1n(nは正整数)と、マルチキャストパケットを受信するクライアント21,22,…,2m(mは正整数)と、鍵(暗号鍵・復号鍵)の管理を行う鍵管理サーバ31と、コンテンツサーバ1i(iは1〜nの正整数),クライアント2j(jは1〜mの正整数),および鍵管理サーバ31を接続するネットワーク100とを含んで構成されている。ただし、本実施の形態におけるコンテンツサーバ1iは、本実施の形態に特有の構成要素として、鍵変更予告手段1i3を有している。
【0081】
本実施の形態(第3の実施の形態)と第1の実施の形態とを比較すると、本実施の形態の基本的な構成は第1の実施の形態(図1参照)と同じであるが、コンテンツサーバ1iが暗号化に用いる鍵を変更する前に、事前にクライアント2jに対して鍵変更予告として、新たに用いる予定の鍵の鍵IDを通知し、クライアント2j側で新たな鍵情報(復号鍵と鍵IDとの組)を事前に鍵管理サーバ31から取得しておく点が異なっている。
【0082】
このような特有の構成・動作によって、コンテンツサーバ1i側で暗号鍵が変わった時に、クライアント2j側で遅延なく変更後の鍵による暗号化データの復号化が可能になるという特有の効果が生じる。
【0083】
図8は、本実施の形態に係るマルチキャスト配信のための鍵管理方式の具体的な動作を説明するためのシーケンス図である。
【0084】
図9は、本実施の形態に係るマルチキャスト配信のための鍵管理方式における鍵変更予告関連処理を示す流れ図である。この処理は、鍵変更準備時点到達認識ステップC1と、鍵作成要求発行ステップC2と、鍵生成ステップC3と、鍵ID割り当てステップC4と、鍵情報鍵管理テーブル保存ステップC5と、鍵情報応答メッセージ送信ステップC6と、鍵情報暗号鍵テーブル保存ステップC7と、鍵変更予告メッセージマルチキャスト配信ステップC8と、復号鍵有無判定ステップC9と、鍵情報要求発行ステップC10と、鍵管理テーブル検索ステップC11と、鍵情報メッセージ送信ステップC12と、鍵情報復号鍵テーブル保存ステップC13とからなる。
【0085】
次に、図7〜図9を参照して(図1〜図4も適宜参照する)、上記のように構成された本実施の形態に係るマルチキャスト配信のための鍵管理方式の動作について、第1の実施の形態とは異なる点を中心にして説明する。
【0086】
図8に示すように、クライアント2j(図8では、代表としてクライアント21を示している)は、コンテンツサーバ1i(図8では、代表としてコンテンツサーバ11を示している)から、鍵IDと暗号化データとを有するマルチキャストパケットを受信し、その鍵IDに対応する鍵(復号鍵)で当該暗号化データの復号化を行っている。このような動作は、前述の第1の実施の形態における動作と同様である。
【0087】
ここで、図8に示す動作シーケンスでは、期間Aにおいては、鍵ID1を有するマルチキャストパケット91(鍵ID1で識別される暗号鍵で暗号化されたデータを有するマルチキャストパケット)が送受信されており、期間Bにおいては、鍵ID2を有するマルチキャストパケット92(鍵ID2で識別される暗号鍵で暗号化されたデータを有するマルチキャストパケット)が送受信されているものとする。
【0088】
上記のようなマルチキャストパケットの配信が行われていることを前提として、本実施の形態では、以下のような鍵変更予告関連処理が行われる(図9参照)。
【0089】
コンテンツサーバ1i内の暗号鍵取得手段1i1は、ある時点(実際に新たな鍵を使用する時点よりも前の時点の任意的な時点。「鍵変更準備時点」と呼ぶ)に達したことを認識すると(ステップC1)、新たな鍵を得るために、鍵作成要求51を鍵管理サーバ31に送る(ステップC2)。
【0090】
図8の例では、コンテンツサーバ11は、鍵変更準備時点aにおいて、鍵管理サーバ31に鍵作成要求51を送信する。
【0091】
鍵管理サーバ31内の鍵生成手段311は、鍵作成要求51で要求された鍵(暗号鍵および復号鍵)を生成し(ステップC3)、その鍵に鍵IDを割り当て(ステップC4)、その鍵IDとその鍵との組を鍵管理テーブル310に保存し(ステップC5)、その鍵IDとその鍵(暗号鍵)との組を有する鍵情報応答メッセージ52を鍵作成要求51の発行元のコンテンツサーバ1iに送信する(ステップC6)。
【0092】
図8の例では、鍵管理サーバ31は、鍵2を生成し、その鍵2に鍵ID2を割り当て、鍵ID2と鍵2との組を有する鍵情報応答メッセージ52をコンテンツサーバ11に送信する。
【0093】
鍵情報応答メッセージ52を受信したコンテンツサーバ1i内の暗号鍵取得手段1i1は、新たな鍵の鍵情報(受け取った鍵と鍵IDとの組)を自身の暗号鍵テーブル1i0に保存する(ステップC7)。
【0094】
さらに、コンテンツサーバ1i内の鍵変更予告手段1i3は、新たな鍵IDと鍵との組を取得した段階で、変更後の鍵IDと鍵変更予告とを有する鍵変更予告メッセージ81のマルチキャスト配信を行う(ステップC8)。
【0095】
図8の例では、コンテンツサーバ11は、鍵変更予告と鍵ID2とを有する鍵変更予告メッセージ81のマルチキャスト配信を行う。
【0096】
鍵変更予告メッセージ81を受信した各クライアント2j内の復号鍵取得手段2j1は、当該鍵変更予告メッセージ81に含まれている鍵IDによって自身の復号鍵テーブル2j0の検索を行い、当該鍵IDに対応する鍵(復号鍵)が自身の復号鍵テーブル2j0(自テーブル)にあるか否かを判定する(ステップC9)。
【0097】
復号鍵取得手段2j1は、ステップC9の検索で「当該鍵IDに対応する復号鍵がない」と判定した場合には、当該鍵変更予告メッセージ81に含まれる鍵IDを使って、鍵情報要求61を鍵管理サーバ31に発行する(ステップC10)。すなわち、当該鍵IDに対応する復号鍵に関する鍵情報を、鍵管理サーバ31に対して要求する。なお、ステップC9の検索で「当該鍵IDに対応する復号鍵がある」と判定した場合には、ステップC10以降の処理は不要となるので、処理を終了する。
【0098】
図8の例では、クライアント21は、鍵変更予告メッセージ81に含まれている鍵ID2に対応する鍵(復号鍵)を取得するために、鍵ID2を有する鍵情報要求を鍵管理サーバ31に発行する。
【0099】
その鍵情報要求61を受け取った鍵管理サーバ31内の復号鍵送付手段312は、鍵情報要求61中の鍵IDを用いて鍵管理テーブル310の検索を行い、当該鍵IDに対応する鍵を取得する(ステップC11)。
【0100】
その上で、復号鍵送付手段312は、鍵管理テーブル310から取得した鍵(復号鍵)とその鍵IDとの組を有する鍵情報メッセージ62を、鍵情報要求61に対する返信として、鍵情報要求61を発行したクライアント2jに送信する(ステップC12)。
【0101】
当該クライアント2j内の復号鍵取得手段2j1は、当該鍵情報メッセージ62を鍵管理サーバ31から受け取ると、次の期間(例えば、図8中の期間Aに対する期間B)におけるマルチキャストパケット受信時の復号化処理の際に用いるために、当該鍵情報メッセージ62中の復号鍵と鍵IDとの組を自身の復号鍵テーブル2j0に保存しておく(ステップC13)。
【0102】
図8の例では、鍵管理サーバ31は、鍵ID2と鍵2との組を有する鍵情報メッセージ62をクライアント21に返信し、クライアント21は、その鍵(復号鍵)2と鍵ID2との組を自身の復号鍵テーブル210に保存する。
【0103】
その後(期間Bにおいて)、コンテンツサーバ11は、配信対象のデータの暗号化に鍵(暗号鍵)2を用い、鍵2で暗号化したデータと鍵ID2とを有するマルチキャストパケット92を送信する。
【0104】
このマルチキャストパケット92を受信したクライアント21は、鍵管理テーブル210内に保持している鍵ID2に対応する鍵(復号鍵)2を用いて、即座に暗号化データの復号化を行うことが可能になる。
【0105】
なお、上記以外の動作に関しては、本実施の形態においても、第1の実施の形態と同様の動作(処理)が行われる。ただし、図3および図4に示す一連の処理において、あらかじめ暗号鍵および復号鍵の取得が行われているので、上記の変更予告関連処理が正常に行われている限り、図3中のステップA2〜A7の処理および図4中のステップB3〜B6の処理が行われることはない。
【0106】
前述の第1の実施の形態では、クライアント2jは、鍵が変わった時に受信したマルチキャストパケットに含まれる鍵IDを見てはじめて鍵が変わったことを知ることになる。このため、クライアント2jは、多くの場合に、その時点で鍵管理サーバ31に新たな鍵の送付を要求し、その応答によって新たな鍵を取得することになる。このような場合に、クライアント2jは、その応答を受け取るまで、新たな鍵IDを有するマルチキャストパケット中の暗号化データの復号化ができない。
【0107】
これに対して、本実施の形態(第3の実施の形態)では、実際に鍵を変更する前に、コンテンツサーバ1iがクライアント2jに鍵変更予告を出しておき、あらかじめクライアント2jに新たに用いる鍵を取得させておくことによって、鍵変更時に遅延なく新たな鍵による暗号化データの復号化を行うことが可能となっている。
【0108】
(4) 第4の実施の形態
【0109】
図10は、本発明の第4の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0110】
図10を参照すると、本発明の第4の実施の形態に係るマルチキャスト配信のための鍵管理方式は、図1に示した第1の実施の形態に係るマルチキャスト配信のための鍵管理方式に対して、コンテンツサーバ用鍵管理プログラム1001,クライアント用鍵管理プログラム1002,および鍵管理サーバ用鍵管理プログラム1003を備える点が異なっている。
【0111】
コンテンツサーバ用鍵管理プログラム1001は、コンテンツサーバ1iに読み込まれ、当該コンテンツサーバ1iの動作を暗号鍵テーブル1i0,暗号鍵取得手段1i1,および暗号化・送信手段1i2として制御する。コンテンツサーバ用鍵管理プログラム1001の制御によるコンテンツサーバ1iの動作(暗号鍵テーブル1i0,暗号鍵取得手段1i1,および暗号化・送信手段1i2に関する動作)は、第1の実施の形態におけるコンテンツサーバ1iの動作と全く同様になるので、その詳しい説明を割愛する。
【0112】
また、クライアント用鍵管理プログラム1002は、クライアント2jに読み込まれ、当該クライアント2jの動作を復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2として制御する。クライアント用鍵管理プログラム1002の制御によるクライアント2jの動作(復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2に関する動作)は、第1の実施の形態におけるクライアント2jの動作と全く同様になるので、その詳しい説明を割愛する。
【0113】
さらに、鍵管理サーバ用鍵管理プログラム1003は、鍵管理サーバ31に読み込まれ、当該鍵管理サーバ31の動作を鍵管理テーブル310,鍵生成手段311,および復号鍵送付手段312として制御する。鍵管理サーバ用鍵管理プログラム1003の制御による鍵管理サーバ31の動作(鍵管理テーブル310,鍵生成手段311,および復号鍵送付手段312に関する動作)は、第1の実施の形態における鍵管理サーバ31の動作と全く同様になるので、その詳しい説明を割愛する。
【0114】
(5) 第5の実施の形態
【0115】
図11は、本発明の第5の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0116】
図11を参照すると、本発明の第5の実施の形態に係るマルチキャスト配信のための鍵管理方式は、図5に示した第2の実施の形態に係るマルチキャスト配信のための鍵管理方式に対して、コンテンツサーバ用鍵管理プログラム1101,クライアント用鍵管理プログラム1102,鍵管理マスタサーバ用鍵管理プログラム1103,および鍵管理スレーブサーバ用鍵管理プログラム1104を備える点が異なっている。
【0117】
コンテンツサーバ用鍵管理プログラム1101は、コンテンツサーバ1iに読み込まれ、当該コンテンツサーバ1iの動作を暗号鍵テーブル1i0,暗号鍵取得手段1i1,および暗号化・送信手段1i2として制御する。コンテンツサーバ用鍵管理プログラム1101の制御によるコンテンツサーバ1iの動作(暗号鍵テーブル1i0,暗号鍵取得手段1i1,および暗号化・送信手段1i2に関する動作)は、第2の実施の形態におけるコンテンツサーバ1iの動作と全く同様になるので、その詳しい説明を割愛する。
【0118】
また、クライアント用鍵管理プログラム1102は、クライアント2jに読み込まれ、当該クライアント2jの動作を復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2として制御する。クライアント用鍵管理プログラム1102の制御によるクライアント2jの動作(復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2に関する動作)は、第2の実施の形態におけるクライアント2jの動作と全く同様になるので、その詳しい説明を割愛する。
【0119】
さらに、鍵管理マスタサーバ用鍵管理プログラム1103は、鍵管理マスタサーバ40に読み込まれ、当該鍵管理マスタサーバ40の動作を鍵管理テーブル400および鍵生成・配布手段401として制御する。鍵管理マスタサーバ用鍵管理プログラム1103の制御による鍵管理マスタサーバ40の動作(鍵管理テーブル400および鍵生成・配布手段401に関する動作)は、第2の実施の形態における鍵管理マスタサーバ40の動作と全く同様になるので、その詳しい説明を割愛する。
【0120】
加えて、鍵管理スレーブサーバ用鍵管理プログラム1104は、鍵管理スレーブサーバ4kに読み込まれ、当該鍵管理スレーブサーバ4kの動作を鍵管理テーブル4k0,鍵保存手段4k1,および復号鍵送付手段4k2として制御する。鍵管理スレーブサーバ用鍵管理プログラム1104の制御による鍵管理スレーブサーバ4kの動作(鍵管理テーブル4k0,鍵保存手段4k1,および復号鍵送付手段4k2に関する動作)は、第2の実施の形態における鍵管理スレーブサーバ4kの動作と全く同様になるので、その詳しい説明を割愛する。
【0121】
(6) 第6の実施の形態
【0122】
図12は、本発明の第6の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【0123】
図12を参照すると、本発明の第6の実施の形態に係るマルチキャスト配信のための鍵管理方式は、図7に示した第3の実施の形態に係るマルチキャスト配信のための鍵管理方式に対して、コンテンツサーバ用鍵管理プログラム1201,クライアント用鍵管理プログラム1202,および鍵管理サーバ用鍵管理プログラム1203を備える点が異なっている。
【0124】
コンテンツサーバ用鍵管理プログラム1201は、コンテンツサーバ1iに読み込まれ、当該コンテンツサーバ1iの動作を暗号鍵テーブル1i0,暗号鍵取得手段1i1,暗号化・送信手段1i2,および鍵変更予告手段1i3として制御する。コンテンツサーバ用鍵管理プログラム1201の制御によるコンテンツサーバ1iの動作(暗号鍵テーブル1i0,暗号鍵取得手段1i1,暗号化・送信手段1i2,および鍵変更予告手段1i3に関する動作)は、第3の実施の形態におけるコンテンツサーバ1iの動作と全く同様になるので、その詳しい説明を割愛する。
【0125】
また、クライアント用鍵管理プログラム1202は、クライアント2jに読み込まれ、当該クライアント2jの動作を復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2として制御する。クライアント用鍵管理プログラム1202の制御によるクライアント2jの動作(復号鍵テーブル2j0,復号鍵取得手段2j1,および受信・復号化手段2j2に関する動作)は、第3の実施の形態におけるクライアント2jの動作と全く同様になるので、その詳しい説明を割愛する。
【0126】
さらに、鍵管理サーバ用鍵管理プログラム1203は、鍵管理サーバ31に読み込まれ、当該鍵管理サーバ31の動作を鍵管理テーブル310,鍵生成手段311,および復号鍵送付手段312として制御する。鍵管理サーバ用鍵管理プログラム1203の制御による鍵管理サーバ31の動作(鍵管理テーブル310,鍵生成手段311,および復号鍵送付手段312に関する動作)は、第3の実施の形態における鍵管理サーバ31の動作と全く同様になるので、その詳しい説明を割愛する。
【0127】
【発明の効果】
以上説明したように、本発明によると、暗号化データのマルチキャスト配信が行われるネットワークシステムにおいて、複数のマルチキャスト配信の各配信対象データが別々の鍵によって暗号化されている場合に、異なるそれぞれの鍵(暗号鍵・復号鍵)の管理を容易に実現することができるという効果が生じる。
【0128】
このような効果が生じる理由は、コンテンツサーバが暗号化処理で使用する鍵を区別する鍵IDを、暗号化データを有するマルチキャストパケットに含めてクライアントに送り、クライアント側ではその鍵IDによってコンテンツサーバ側で暗号化に用いている鍵が変わったことを知ることができるため、暗号化に用いる鍵が変わった場合にも、クライアント側から鍵管理サーバ側に対して必要に応じて新たな復号鍵を要求することができるので、鍵管理サーバ側やコンテンツサーバ側でクライアントに関する情報の管理を行う必要がなくなるからである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【図2】図1に示すマルチキャスト配信のための鍵管理方式の動作を説明するためのブロック図である。
【図3】図1に示すマルチキャスト配信のための鍵管理方式の暗号化・送信処理を示す流れ図である。
【図4】図1に示すマルチキャスト配信のための鍵管理方式の受信・復号化処理を示す流れ図である。
【図5】本発明の第2の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【図6】図5に示すマルチキャスト配信のための鍵管理方式の動作を説明するためのブロック図である。
【図7】本発明の第3の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【図8】図7に示すマルチキャスト配信のための鍵管理方式の鍵変更予告関連処理を示す流れ図である。
【図9】図7に示すマルチキャスト配信のための鍵管理方式の具体的な動作を説明するためのシーケンス図である。
【図10】本発明の第4の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【図11】本発明の第5の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【図12】本発明の第6の実施の形態に係るマルチキャスト配信のための鍵管理方式の構成を示すブロック図である。
【符号の説明】
11,12,…,1n コンテンツサーバ
21,22,…,2m クライアント
31 鍵管理サーバ
40 鍵管理マスタサーバ
41,…,4p 鍵管理スレーブサーバ
51 鍵作成要求
52 鍵情報応答メッセージ
61 鍵情報要求
62 鍵情報メッセージ
71,…,7p 鍵情報配布メッセージ
81 鍵変更予告メッセージ
91,92 マルチキャストパケット
100 ネットワーク
110,120,…,1n0 暗号鍵テーブル
111,121,…,1n1 暗号鍵取得手段
112,122,…,1n2 暗号化・送信手段
113,123,…,1n3 鍵変更予告手段
210,220,…,2m0 復号鍵テーブル
211,221,…,2m1 復号鍵取得手段
212,222,…,2m2 受信・復号化手段
310,400,410,…,4p0 鍵管理テーブル
311 鍵生成手段
312,412,…,4p2 復号鍵送付手段
401 鍵生成・配布手段
411,…,4p1 鍵保存手段
1001,1101,1201 コンテンツサーバ用鍵管理プログラム
1002,1102,1202 クライアント用鍵管理プログラム
1003,1203 鍵管理サーバ用鍵管理プログラム
1103 鍵管理マスタサーバ用鍵管理プログラム
1104 鍵管理スレーブサーバ用鍵管理プログラム[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a key management method for multicast distribution that manages a key (encryption key / decryption key) used in encryption / decryption in a network system in which multicast distribution of encrypted data is performed.
[0002]
[Prior art]
As a protocol for communication of encrypted data in unicast communication, there is IPsec or the like, but these cannot be applied to multicast communication (distribution) as they are. This is because the unicast communication is performed on a one-to-one basis, and therefore, the key may be shared between the two parties. However, the multicast communication is a one-to-many communication, so that the key cannot be shared by the same method as the unicast communication. For this reason, encryption in multicast communication requires a different mechanism from that in unicast communication.
[0003]
In general, when a plurality of multicast distributions are performed, in order to distinguish each of them, the distinction is made by a combination of a source address, a multicast address, and a transmission / reception port number.
[0004]
Therefore, according to the conventional technology, when there are a plurality of content servers, each of which distributes a multicast packet including data encrypted using a different key, the client side needs a decryption key corresponding to each multicast packet. In order to obtain this, it was necessary to distinguish multicast packets based on a combination of a source address, a multicast address, and a transmission / reception port number.
[0005]
When the key (encryption key / decryption key) is changed during multicast distribution of the encrypted data (encrypted data), the key is used between the content server and the client by using some method. It is necessary to synchronize the encryption key and the decryption key.
[0006]
Here, in the related art, as a method of synchronizing keys, there is a system that realizes the synchronization using a key management server that performs the following processing (for example, see Patent Document 1).
[0007]
That is, the key management server described in
[0008]
[Patent Document 1]
JP-A-2002-111649 (page 4-5, FIG. 1)
[0009]
[Problems to be solved by the invention]
In the above-described conventional key management method for multicast distribution, when a key is changed, the key management server needs to distribute a new key to the client. In addition, there is a problem that key management becomes complicated, for example, the key management server needs to know the client currently receiving the multicast packet.
[0010]
SUMMARY OF THE INVENTION In view of the above, an object of the present invention is to provide a key ID (sender (content) for uniquely identifying a plurality of keys (encryption key / decryption key) in advance in a network system that performs encryption processing during multicast distribution. An ID (Identification) for distinguishing a key shared between a server) and a large number of receivers (clients) is assigned to each key, and a key used for encrypting data to be distributed at the time of multicast distribution A key for multicast distribution that allows key management to be performed easily by including a key ID corresponding to the key ID in a multicast packet and realizing key management using such a key ID. To provide a management method.
[0011]
In other words, according to the present invention, when the content server changes the encryption key, the content server only changes the key ID attached to the encrypted data, and the client checks the key ID in the received multicast packet. Since it is possible to know that the key used for encryption / decryption has changed and to request a new key from the client side to the key management server side, it is not necessary for the key management server side to manage information about the client.
[0012]
Note that an ID is also used in a protocol such as IPsec (protocol for unicast communication) to distinguish a plurality of keys, but it is only to distinguish a key shared between two parties.
[0013]
Further, in IPsec communication using PKI (Public Key Infrastructure), a public key is stored in a server called a CA (Certification Authority) station, and a client obtains the public key from the server prior to communication. However, this public key is used for exchanging a shared key for communication, and encrypted communication is not performed using the public key (in the present invention, the decryption key and its key ID are used for key management). Passed from server to client).
[0014]
[Means for Solving the Problems]
The key management method for multicast distribution according to the present invention uses an encryption key / decryption key (a paired encryption key and decryption key, which may be the same key) in a network system where multicast distribution of encrypted data is performed. Upon receiving a key creation request from the content server and a key management table in the key management server holding a set of a key ID for uniquely distinguishing the key, an encryption key / decryption key is generated and the key is assigned to the key. An ID is assigned, a set of the generated encryption key / decryption key and the key ID is stored in the key management table, and a key information response message having the pair of the encryption key and the key ID is returned to the content server. Upon receiving a key information request from the key generation means in the key management server and the client, a key corresponding to the key ID in the key information request is searched from the key management table, and the search is performed. A decryption key sending means in the key management server for returning a key information message having a pair of the resulting decryption key and key ID to the client, and an encryption key in the content server holding the pair of the encryption key and the key ID Issue a key creation request to the key management server in order to obtain an encryption key at the time of multicast distribution, and send a set of the encryption key and the key ID in the received key information response message to the encryption key. Encrypting the data to be distributed using an encryption key acquisition unit in the content server to be stored in the table and an encryption key acquired by the encryption key acquisition unit and held in the encryption key table; Encrypting and transmitting means in a content server for transmitting a multicast packet having a key ID corresponding to the encryption key, a decryption key and its key ID, When a multicast packet is received, a decryption key corresponding to the key ID in the multicast packet is searched from the decryption key table, and if there is a corresponding decryption key, the decryption key is searched. The key is acquired, and if there is no corresponding decryption key, a key information request using the key ID as a key is transmitted to the key management server, and the key information transmitted from the key management server as a reply to the key information request A decryption key acquiring unit in the client for acquiring a decryption key in the message and storing a set of the decryption key and its key ID in the decryption key table; and receiving a multicast packet and acquiring the multicast packet. Receiving / decrypting means in the client for decrypting the encrypted data in the multicast packet using the decryption key.
[0015]
Here, the key management method for multicast distribution of the present invention is a key management server key management program for causing the key management server to function as the key management table, the key generation unit, and the decryption key transmission unit. A content server key management program for causing the content server to function as the encryption key table, the encryption key acquisition unit, and the encryption / transmission unit; The present invention can also be realized in a mode having a key acquisition unit and a client key management program for functioning as a reception / decryption unit.
[0016]
Further, the key management method for multicast distribution of the present invention holds a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key in a network system where multicast distribution of encrypted data is performed. Upon receiving a key generation request from the key management table in the key management master server and the key management slave server, and a key creation request from the content server, an encryption key / decryption key is generated, a key ID is assigned to the key, and the generated encryption key / decryption is performed. The set of the key and the key ID is stored in the key management table in the key management master server, and a key information response message having the set of the encryption key and the key ID is returned to the content server. Key generation and distribution in the key management master server that distributes a key information distribution message having a pair of a decryption key and the key ID to all key management slave servers Key management means for storing a set of an encryption key / decryption key and a key ID in a key information distribution message distributed by the key generation / distribution means in the key management table in a key management slave server in which the key generation / distribution means is located Upon receiving a key information request from the client and the key storage means in the slave server, a key corresponding to the key ID in the key information request is searched from the key management table in the key management slave server in which the key exists, and the search is performed. A decryption key sending means in the key management slave server for returning a key information message having a pair of the resulting decryption key and key ID to the client, and a cipher in the content server holding the pair of the encryption key and the key ID. A key creation request is issued to the key management master server to obtain an encryption key during multicast distribution, and the key information received as a response An encryption key acquisition unit in the content server for storing a pair of an encryption key and a key ID in a response message in the encryption key table; and an encryption key acquired by the encryption key acquisition unit and held in the encryption key table. Encrypting and transmitting means in the content server for encrypting data to be distributed using the encryption server and transmitting a multicast packet having the encrypted data and a key ID corresponding to the encryption key; a decryption key and the key; When a multicast packet is received, a decryption key corresponding to a key ID in the multicast packet is searched from the decryption key table. Acquires the decryption key, and if there is no corresponding decryption key, assigns the key ID to one of all the key management slave servers. The key information request, and obtains the decryption key in the key information message transmitted from the key management slave server as a reply to the key information request, and decrypts the set of the decryption key and its key ID. A decryption key acquisition unit in the client that stores the key table, and a client that receives the multicast packet and decrypts the encrypted data in the multicast packet using the decryption key acquired by the decryption key acquisition unit. It is also possible to configure so as to have a receiving / decoding means.
[0017]
Here, the key management method for multicast distribution of the present invention is a key management program for a key management master server for causing the key management master server to function as the key management table and the key generation / distribution means, A key management program for a key management slave server for causing the key management slave server to function as the key management table, the key storage unit, and the decryption key sending unit; and the content server, A content server key management program for functioning as an encryption key acquisition unit and an encryption / transmission unit, and a function for causing the client to function as the decryption key table, the decryption key acquisition unit, and the reception / decryption unit. It is also possible to realize the above-mentioned embodiment having the client key management program.
[0018]
Further, the key management method for multicast distribution of the present invention holds a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key in a network system where multicast distribution of encrypted data is performed. Upon receiving a key creation request from the content server and a key management table in the key management server to perform encryption and decryption keys, a key ID is assigned to the key, and the generated encryption key and decryption key and the key ID Is stored in the key management table, key generation means in the key management server for returning a key information response message having the pair of the encryption key and the key ID to the content server, and a key information request from the client. Upon receipt, a key corresponding to the key ID in the key information request is searched from the key management table, and a key information message having a pair of a decryption key and a key ID of the search result is retrieved. A decryption key sending means in the key management server for returning the page to the client, an encryption key table in the content server holding a set of the encryption key and its key ID, and a key change preparation time. Issues a key creation request to the key management server in order to obtain an encryption key to be used in advance, and stores a pair of the encryption key and the key ID in the received key information response message in the encryption key table as a response. Encrypting the data to be distributed using an encryption key acquisition unit in the content server to be stored and an encryption key acquired by the encryption key acquisition unit and held in the encryption key table; An encryption / transmission unit in a content server for transmitting a multicast packet having a key ID corresponding to the encryption key, and an encryption key to be used next by the encryption key acquisition unit When the acquisition is performed, a key change notice means in the content server that performs multicast distribution of the key change notice message having the key ID of the encryption key, and a key change notice means in the client that holds a set of the decryption key and the key ID When receiving the decryption key table and the key change notice message, the decryption key table corresponding to the key ID in the key change notice message is searched from the decryption key table. A key information request using the key ID as a key is transmitted, a decryption key in a key information message transmitted from the key management server as a reply to the key information request is obtained, and a pair of the decryption key and the key ID is obtained. A decryption key acquisition unit in the client to be stored in the decryption key table; and a multicast packet received by the decryption key acquisition unit. A receiving / decoding means in the client for decrypting encrypted data in the multicast packet using a decryption key held in a table and corresponding to a key ID in the multicast packet; Is also possible.
[0019]
Here, the key management method for multicast distribution of the present invention is a key management server key management program for causing the key management server to function as the key management table, the key generation unit, and the decryption key transmission unit. A content server key management program for causing the content server to function as the encryption key table, the encryption key acquisition means, the encryption / transmission means, and the key change notification means, and the client The present invention can also be realized in a mode having a decryption key table, a decryption key acquisition unit, and a client key management program for functioning as a reception / decryption unit.
[0020]
The key management method for multicast distribution according to the present invention is more generally arranged in a network system in which encrypted data is multicast distributed so as to be accessible from a content server group and a client group. A key management server that manages a key by holding a set of an encryption key / decryption key and a key ID for uniquely identifying the key; and a key management server that manages the encryption key and its key ID from the key management server. A content server for receiving a set and transmitting a multicast packet having the data encrypted with the encryption key and the key ID to a group of clients; and a key ID included in the multicast packet, receiving the multicast packet from the content server. From the key management server, and obtains the decryption key corresponding to It can be expressed as having a client decrypts the encrypted data included in the multicast packet.
[0021]
Here, with regard to the key management method for the multicast distribution, load distribution can be enabled by dividing the key management server into a key management master server and a plurality of key management slave servers. Also, when the content server changes the key to be used, it performs multicast distribution of a key change notice in advance and prompts the client to obtain a new decryption key from the key management server, so that there is no delay when changing the key. It may also be possible to perform the decoding.
[0022]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, the present invention will be described in detail with reference to the drawings.
[0023]
(1) First embodiment
[0024]
FIG. 1 is a block diagram showing a configuration of a key management method for multicast distribution according to the first embodiment of the present invention.
[0025]
Referring to FIG. 1, a key management method for multicast distribution according to the present embodiment includes a
[0026]
The content server 1i has an encryption key table 1i0 for storing a set of a key (encryption key) used for encrypting data distributed in a multicast packet and a key ID for identifying the key.
[0027]
Each content server 1i includes an encryption key acquisition unit 1i1 and an encryption / transmission unit 1i2.
[0028]
The client 2j has a decryption key table 2j0 that stores a set of a key (decryption key) used for decrypting the encrypted data distributed by the multicast packet and a key ID for identifying the key.
[0029]
Each client 2j includes a decryption key acquisition unit 2j1 and a reception / decryption unit 2j2.
[0030]
The
[0031]
Further, the
[0032]
FIG. 2 is a block diagram for explaining the operation of the key management method for multicast distribution according to the present embodiment. As shown in FIG. 2, a
[0033]
FIG. 3 is a flowchart showing an encryption / transmission process in the key management method for multicast distribution according to the present embodiment. This processing includes an encryption key presence / absence determination step A1, a key creation request issuing step A2, a key generation step A3, a key ID assignment step A4, a key information key management table storage step A5, and a key information response message transmission step A6. , A key information encryption key table storage step A7, a data encryption step A8, a key ID holding multicast packet generation step A9, and a multicast packet transmission step A10.
[0034]
FIG. 4 is a flowchart showing reception / decryption processing in the key management method for multicast distribution according to the present embodiment. This processing includes a multicast packet receiving step B1, a decryption key presence / absence determining step B2, a key information request issuing step B3, a key management table searching step B4, a key information message transmitting step B5, and a key information decrypting key table saving step. B6 and an encrypted data decryption step B7.
[0035]
Next, the overall operation of the key management system for multicast distribution according to the present embodiment configured as described above will be described in detail with reference to FIGS.
[0036]
First, the operation at the time of encryption / transmission processing on the content server side will be described (see FIG. 3).
[0037]
When encrypting the data to be distributed and transmitting a multicast packet having the encrypted data, the encryption / transmission unit 1i2 in the content server 1i uses a key (encryption key) for the encryption in the content server 1i. It is determined whether or not it is stored in the encryption key table 2i0 (own table) of 1i (step A1).
[0038]
If the encryption / transmission means 1i2 determines in step A1 that the encryption key is held in its own table, the encryption / transmission means 1i2 encrypts the data to be distributed using the encryption key (step A8). Then, a multicast packet having the encrypted data and a key ID corresponding to the encryption key is generated (step A9), and the multicast packet is transmitted (multicast distribution) onto the network 100 (step A10).
[0039]
On the other hand, if the encryption / transmission unit 1i2 determines in step A1 that the encryption key is not stored in its own table, it passes control to the encryption key acquisition unit 1i1. The encryption key acquisition unit 1i1 issues a key creation request 51 (see FIG. 2) to the key management server 31 (step A2).
[0040]
The key generation means 311 in the
[0041]
Further, the
[0042]
Upon receiving the key
[0043]
Further, the encryption / transmission means 1i2 in the content server 1i encrypts the data to be distributed using the encryption key received from the key management server 31 (step A8), and the encrypted data and the encryption key Is generated (step A9), and the multicast packet is transmitted to the network 100 (multicast distribution) (step A10).
[0044]
When a plurality of keys are held in an encryption key table (the encryption key table 120 in FIG. 2) as in the
[0045]
Second, the operation of the client at the time of reception / decoding processing will be described (see FIG. 4).
[0046]
When receiving / decoding means 2j2 in the client 2j receives the multicast packet distributed from the content server 1i (step B1), the receiving / decoding means 2j2 refers to the key ID included in the multicast packet and determines the key (decryption) corresponding to the key ID. It is determined (searched) whether the key is in its own decryption key table 8j (own table) (step B2).
[0047]
If the receiving / decrypting means 2j2 determines in the search in step B2 that "there is a decryption key corresponding to the key ID", it decrypts the encrypted data in the multicast packet using the decryption key. (Step B7).
[0048]
On the other hand, when the receiving / decrypting means 2j2 determines that "there is no decryption key corresponding to the key ID" in the search in step B2, it passes control to the decryption key obtaining means 2j1. The decryption key acquisition unit 2j1 issues a key information request 61 (see FIG. 2) to the
[0049]
The decryption
[0050]
Then, the decryption
[0051]
Upon receiving the
[0052]
Further, the reception / decryption means 2j2 in the client 2j decrypts the encrypted data in the multicast packet received in step B1 using the decryption key (step B7).
[0053]
The decryption key table 2j0 of the client 2j does not have one piece of key information (a pair of a key ID and a key) in an initial state. In addition, a set of a key and its key ID in the decryption key table 2j0 is deleted from the decryption key table 2j0 if it is not used for a certain period of time.
[0054]
(2) Second embodiment
[0055]
FIG. 5 is a block diagram showing a configuration of a key management method for multicast distribution according to the second embodiment of the present invention.
[0056]
Referring to FIG. 5, a key management method for multicast distribution according to the present embodiment includes a
[0057]
Comparing this embodiment (second embodiment) and the first embodiment, it is assumed that this embodiment corresponds to the
[0058]
That is, the configuration of the present embodiment shown in FIG. 5 divides the key management server into a key management master server 40 and a key management slave server 4k, and prepares a plurality of key management slave servers 4k. Enables load distribution.
[0059]
The key management master server 40 has a key management table 400 and includes a key generation /
[0060]
The key management slave server 4k has a key management table 4k0, and is configured to include a key storage unit 4k1 and a decryption key sending unit 4k2.
[0061]
FIG. 6 is a block diagram for explaining the operation of the key management method for multicast distribution according to the present embodiment. As shown in FIG. 6, a
[0062]
Next, with reference to FIG. 5 and FIG. 6 (refer also to FIG. 1 to FIG. 4 as appropriate), the operation of the key management method for multicast distribution according to the present embodiment configured as described above will be described. The following description focuses on the differences from the first embodiment.
[0063]
First, the operation at the time of encryption / transmission processing will be described.
[0064]
In the first embodiment, if the content server 1i determines in step A1 in FIG. 3 that "the encryption key is not stored in the own table", the content server 1i issues a key creation request to the
[0065]
On the other hand, in the present embodiment, the content server 1i (the encryption key obtaining means 1i1 in the content server i1) issues a key creation request 51 (see FIG. 6) to the key management master server 40.
[0066]
Then, the key generation /
[0067]
Further, the key generation /
[0068]
Further, the key generation / distribution means 401 in the key management master server 40 transmits the key information distribution messages 71 to 7p (see FIG. 6) having the pair of the key and the key ID to all the key management slave servers 41 to 4p. Also sent to.
[0069]
The key storage unit 4k1 in each key management slave server 4k stores a set of the key and the key ID in its own key management table 4k0.
[0070]
Second, the operation at the time of reception / decoding processing will be described.
[0071]
In the first embodiment, when the client 2j determines that “the decryption key corresponding to the key ID in the multicast packet is not in the own table” in the search (determination) in step B2 in FIG. At B3, the key information request 61 (see FIG. 2) is issued to the
[0072]
On the other hand, in the present embodiment, when issuing the key information request 61 (see FIG. 6), the client 2j sends the
[0073]
a. A method of determining in advance to which key management slave server 4k the
[0074]
b. A method of changing the destination key management slave server 4k every time the client 2j sends the key information request 61 (round robin method)
[0075]
The decryption key sending means 4k2 in the key management slave server 4k that has received the
[0076]
Regarding operations other than those described above, the key management method for multicast distribution according to the present embodiment performs the same operation (process) as in the first embodiment (see FIGS. 3 and 4).
[0077]
As described above, in the present embodiment, since a plurality of key management slave servers 4k that receive the
[0078]
(3) Third embodiment
[0079]
FIG. 7 is a block diagram showing a configuration of a key management method for multicast distribution according to the third embodiment of the present invention.
[0080]
Referring to FIG. 7, the key management method for multicast distribution according to the present embodiment is similar to that of the first embodiment shown in FIG. 1, in that
[0081]
Comparing this embodiment (third embodiment) and the first embodiment, the basic configuration of this embodiment is the same as that of the first embodiment (see FIG. 1). Before the content server 1i changes the key used for encryption, the client 2j is notified of the key ID of the key to be newly used as a key change notice to the client 2j in advance, and new key information ( The difference is that a pair of a decryption key and a key ID) is obtained in advance from the
[0082]
Such a specific configuration / operation has a specific effect that when the encryption key is changed on the content server 1i side, the client 2j can decrypt the encrypted data with the changed key without delay on the client 2j side.
[0083]
FIG. 8 is a sequence diagram for explaining a specific operation of the key management method for multicast distribution according to the present embodiment.
[0084]
FIG. 9 is a flowchart showing key change notice related processing in the key management method for multicast distribution according to the present embodiment. This processing includes a key change preparation time arrival recognition step C1, a key creation request issuing step C2, a key generation step C3, a key ID assignment step C4, a key information key management table storage step C5, and a key information response message transmission. Step C6, key information encryption key table storage step C7, key change notice message multicast distribution step C8, decryption key presence / absence determination step C9, key information request issuing step C10, key management table search step C11, key information It comprises a message transmission step C12 and a key information decryption key table storage step C13.
[0085]
Next, with reference to FIGS. 7 to 9 (and FIGS. 1 to 4 as appropriate), the operation of the key management method for multicast distribution according to the present embodiment configured as described above will be described. The following description focuses on the differences from the first embodiment.
[0086]
As shown in FIG. 8, the client 2j (FIG. 8 shows the
[0087]
Here, in the operation sequence shown in FIG. 8, in the period A, the
[0088]
In the present embodiment, the following key change notice-related processing is performed on the assumption that the multicast packet is distributed as described above (see FIG. 9).
[0089]
The encryption key obtaining means 1i1 in the content server 1i recognizes that a certain point (arbitrary point in time before the point at which a new key is actually used, which is called a "key change preparation point") has been reached. Then (step C1), a
[0090]
In the example of FIG. 8, the
[0091]
The key generation means 311 in the
[0092]
In the example of FIG. 8, the
[0093]
Upon receiving the key
[0094]
Further, the key change notice means 1i3 in the content server 1i performs multicast distribution of the key
[0095]
In the example of FIG. 8, the
[0096]
The decryption key acquisition unit 2j1 in each client 2j that has received the key
[0097]
If the decryption key obtaining means 2j1 determines in the search in step C9 that "there is no decryption key corresponding to the key ID", it uses the key ID included in the key
[0098]
In the example of FIG. 8, the
[0099]
The decryption
[0100]
Then, the decryption
[0101]
Upon receiving the
[0102]
In the example of FIG. 8, the
[0103]
Thereafter (in period B), the
[0104]
The
[0105]
Regarding operations other than those described above, operations (processes) similar to those of the first embodiment are performed in the present embodiment. However, in the series of processes shown in FIGS. 3 and 4, since the encryption key and the decryption key are obtained in advance, as long as the above-described change notice-related process is performed normally, the step A2 in FIG. The processing of A7 and the processing of steps B3 to B6 in FIG. 4 are not performed.
[0106]
In the first embodiment, the client 2j knows that the key has changed only by looking at the key ID included in the received multicast packet when the key has changed. Therefore, in many cases, the client 2j requests the
[0107]
On the other hand, in the present embodiment (third embodiment), before actually changing the key, the content server 1i issues a key change notice to the client 2j, and newly uses the key 2j for the client 2j in advance. By obtaining the key, it is possible to decrypt the encrypted data with the new key without delay when changing the key.
[0108]
(4) Fourth embodiment
[0109]
FIG. 10 is a block diagram showing a configuration of a key management method for multicast distribution according to the fourth embodiment of the present invention.
[0110]
Referring to FIG. 10, the key management scheme for multicast distribution according to the fourth embodiment of the present invention is different from the key management scheme for multicast distribution according to the first embodiment shown in FIG. A key management program for
[0111]
The content server
[0112]
The client
[0113]
Further, the key management server
[0114]
(5) Fifth embodiment
[0115]
FIG. 11 is a block diagram showing a configuration of a key management method for multicast distribution according to the fifth embodiment of the present invention.
[0116]
Referring to FIG. 11, the key management method for multicast distribution according to the fifth embodiment of the present invention is different from the key management method for multicast distribution according to the second embodiment shown in FIG. A key management program 1101, a client
[0117]
The content server key management program 1101 is read by the content server 1i and controls the operation of the content server 1i as an encryption key table 1i0, an encryption key acquisition unit 1i1, and an encryption / transmission unit 1i2. The operation of the content server 1i under the control of the content server key management program 1101 (operation relating to the encryption key table 1i0, the encryption key acquisition unit 1i1, and the encryption / transmission unit 1i2) is the same as that of the content server 1i in the second embodiment. Since the operation is completely the same, a detailed description thereof will be omitted.
[0118]
The client
[0119]
Further, the key management master server
[0120]
In addition, the key management slave server
[0121]
(6) Sixth embodiment
[0122]
FIG. 12 is a block diagram showing a configuration of a key management method for multicast distribution according to the sixth embodiment of the present invention.
[0123]
Referring to FIG. 12, the key management method for multicast distribution according to the sixth embodiment of the present invention is different from the key management method for multicast distribution according to the third embodiment shown in FIG. 3 in that a key management program for content server 1201, a key management program for client 1202, and a key management program for
[0124]
The content server key management program 1201 is read by the content server 1i and controls the operation of the content server 1i as the encryption key table 1i0, the encryption key acquisition unit 1i1, the encryption / transmission unit 1i2, and the key change notice unit 1i3. . The operation of the content server 1i under the control of the content server key management program 1201 (the operation related to the encryption key table 1i0, the encryption key acquisition unit 1i1, the encryption / transmission unit 1i2, and the key change notice unit 1i3) is the third embodiment. Since the operation is exactly the same as the operation of the content server 1i in the embodiment, detailed description thereof will be omitted.
[0125]
The client key management program 1202 is read by the client 2j, and controls the operation of the client 2j as the decryption key table 2j0, the decryption key acquisition unit 2j1, and the reception / decryption unit 2j2. The operation of the client 2j under the control of the client key management program 1202 (the operation relating to the decryption key table 2j0, the decryption key acquisition means 2j1, and the reception / decryption means 2j2) is exactly the same as the operation of the client 2j in the third embodiment. Since it becomes the same, detailed explanation is omitted.
[0126]
Further, the key management server
[0127]
【The invention's effect】
As described above, according to the present invention, in a network system in which multicast distribution of encrypted data is performed, when each distribution target data of a plurality of multicast distributions is encrypted by a different key, a different key is used. There is an effect that management of (encryption key / decryption key) can be easily realized.
[0128]
The reason for this effect is that a key ID for identifying the key used by the content server in the encryption process is included in a multicast packet having encrypted data and sent to the client. It is possible to know that the key used for encryption has changed, so even if the key used for encryption changes, the client side sends a new decryption key to the key management server side as necessary. This is because the request can be made, so that it is not necessary to manage information about the client on the key management server side or the content server side.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a key management method for multicast distribution according to a first embodiment of the present invention.
FIG. 2 is a block diagram for explaining the operation of the key management system for multicast distribution shown in FIG.
FIG. 3 is a flowchart showing encryption / transmission processing of a key management method for multicast distribution shown in FIG. 1;
FIG. 4 is a flowchart showing reception / decryption processing of the key management system for multicast distribution shown in FIG. 1;
FIG. 5 is a block diagram showing a configuration of a key management method for multicast distribution according to a second embodiment of the present invention.
FIG. 6 is a block diagram for explaining the operation of the key management method for multicast distribution shown in FIG.
FIG. 7 is a block diagram showing a configuration of a key management method for multicast distribution according to a third embodiment of the present invention.
8 is a flowchart showing a key change notice related process of the key management system for multicast distribution shown in FIG. 7;
FIG. 9 is a sequence diagram for explaining a specific operation of the key management system for multicast distribution shown in FIG. 7;
FIG. 10 is a block diagram showing a configuration of a key management method for multicast distribution according to a fourth embodiment of the present invention.
FIG. 11 is a block diagram showing a configuration of a key management method for multicast distribution according to a fifth embodiment of the present invention.
FIG. 12 is a block diagram showing a configuration of a key management system for multicast distribution according to a sixth embodiment of the present invention.
[Explanation of symbols]
11,12, ..., 1n Content server
21, 22, ..., 2m Client
31 Key Management Server
40 Key Management Master Server
41, ..., 4p key management slave server
51 Key creation request
52 Key information response message
61 Key information request
62 Key information message
71, ..., 7p Key information distribution message
81 Key change notice message
91,92 Multicast packet
100 networks
110, 120, ..., 1n0 encryption key table
111, 121,..., 1n1 Encryption key acquisition means
112, 122, ..., 1n2 encryption / transmission means
113, 123, ..., 1n3 Key change notice means
210, 220, ..., 2m0 decryption key table
211,221, ..., 2m1 decryption key acquisition means
212, 222, ..., 2m2 receiving / decoding means
310, 400, 410, ..., 4p0 key management table
311 Key generation means
312, 412, ..., 4p2 decryption key sending means
401 Key generation / distribution means
411, ..., 4p1 key storage means
1001,1101,1201 Content server key management program
1002, 1102, 1202 Client key management program
1003, 1203 Key management server key management program
1103 Key Management Master Server Key Management Program
1104 Key management program for key management slave server
Claims (10)
コンテンツサーバ群とクライアント群とからアクセス可能となるように配置されており、暗号鍵・復号鍵と当該鍵を一意に識別するための鍵IDとの組を保持することによって鍵を管理する鍵管理サーバと、
前記鍵管理サーバから暗号鍵とその鍵IDとの組を受け取り、当該暗号鍵で暗号化されたデータと当該鍵IDとを有するマルチキャストパケットをクライアント群に送信するコンテンツサーバと、
前記コンテンツサーバからマルチキャストパケットを受信し、当該マルチキャストパケットに含まれる鍵IDに対応する復号鍵を前記鍵管理サーバから取得し、当該復号鍵によって当該マルチキャストパケットに含まれる暗号化データの復号化を行うクライアントと
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
Key management that is arranged so as to be accessible from the content server group and the client group, and manages keys by holding a set of an encryption key / decryption key and a key ID for uniquely identifying the key. Server and
A content server that receives a set of an encryption key and its key ID from the key management server and transmits a multicast packet having data encrypted with the encryption key and the key ID to a group of clients;
A multicast packet is received from the content server, a decryption key corresponding to a key ID included in the multicast packet is obtained from the key management server, and the decryption key is used to decrypt encrypted data included in the multicast packet. A key management method for multicast distribution, comprising: a client;
暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理サーバ内の鍵管理テーブルと、
コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵管理サーバ内の鍵生成手段と、
クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理サーバ内の復号鍵送付手段と、
暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、マルチキャスト配信時に、暗号鍵を取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、
前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、
復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、
マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、
マルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段と
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
A key management table in a key management server that holds a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key;
Upon receiving the key creation request from the content server, an encryption key / decryption key is generated, a key ID is assigned to the key, and a set of the generated encryption key / decryption key and the key ID is stored in the key management table. Key generation means in the key management server for returning a key information response message having a pair of the encryption key and the key ID to the content server;
When a key information request is received from the client, a key corresponding to the key ID in the key information request is searched from the key management table, and a key information message having a pair of a decryption key and a key ID of the search result is sent to the client. A decryption key sending means in the key management server to be returned,
A key creation request is issued to the key management server to obtain the encryption key during the multicast distribution and the encryption key table in the content server holding the pair of the encryption key and the key ID, and the key generation request is received as a response. An encryption key acquisition unit in the content server that stores a set of an encryption key and a key ID in the key information response message in the encryption key table;
A data packet to be distributed is encrypted using an encryption key acquired by the encryption key acquisition means and held in the encryption key table, and a multicast packet having the encrypted data and a key ID corresponding to the encryption key Encryption / transmission means in the content server for transmitting the
A decryption key table in the client holding a pair of a decryption key and its key ID;
When a multicast packet is received, a decryption key corresponding to the key ID in the multicast packet is searched from the decryption key table, and if there is a corresponding decryption key, the decryption key is obtained. Transmits a key information request using the key ID as a key to the key management server, obtains a decryption key in a key information message transmitted from the key management server as a reply to the key information request, and Decryption key acquisition means in the client for storing a set of
Receiving and decoding means in the client for receiving the multicast packet and decoding the encrypted data in the multicast packet using the decoding key acquired by the decoding key acquiring means. Key management method for distribution.
暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理マスタサーバおよび鍵管理スレーブサーバ内の鍵管理テーブルと、
コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を鍵管理マスタサーバ内の前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送し、当該暗号鍵・復号鍵と当該鍵IDとの組を有する鍵情報配布メッセージを全ての鍵管理スレーブサーバに配布する鍵管理マスタサーバ内の鍵生成・配布手段と、
前記鍵生成・配布手段によって配布された鍵情報配布メッセージ中の暗号鍵・復号鍵と鍵IDとの組を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルに保存する鍵管理スレーブサーバ内の鍵保存手段と、
クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理スレーブサーバ内の復号鍵送付手段と、
暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、マルチキャスト配信時に、暗号鍵を取得するために鍵管理マスタサーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、
前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、
復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、
マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には全ての鍵管理スレーブサーバのいずれかに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として当該鍵管理スレーブサーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、
マルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段と
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
A key management table in a key management master server and a key management slave server that holds a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key;
When a key creation request is received from the content server, an encryption key / decryption key is generated, a key ID is assigned to the key, and a set of the generated encryption key / decryption key and the key ID is stored in the key management master server. The key information response message having the set of the encryption key and the key ID is returned to the content server, and the key information distribution message having the set of the encryption key / decryption key and the key ID is stored in the management table. Key generation / distribution means in the key management master server to be distributed to all key management slave servers;
In the key management slave server storing the set of the encryption key / decryption key and the key ID in the key information distribution message distributed by the key generation / distribution means in the key management table in the key management slave server in which the self exists. Key storage means,
When a key information request is received from the client, a key corresponding to the key ID in the key information request is searched for from the key management table in the key management slave server in which the key exists, and the decryption key and the key ID of the search result are searched for. Decryption key sending means in a key management slave server for returning a key information message having a pair to the client;
Issue a key creation request to the key management master server to obtain the encryption key during the multicast distribution and the encryption key table in the content server that holds the pair of the encryption key and its key ID, and receive it as a response Encryption key obtaining means in the content server for storing a set of an encryption key and a key ID in the key information response message thus obtained in the encryption key table;
A data packet to be distributed is encrypted using an encryption key acquired by the encryption key acquisition means and held in the encryption key table, and a multicast packet having the encrypted data and a key ID corresponding to the encryption key Encryption / transmission means in the content server for transmitting the
A decryption key table in the client holding a pair of a decryption key and its key ID;
When a multicast packet is received, a decryption key corresponding to the key ID in the multicast packet is searched from the decryption key table, and if there is a corresponding decryption key, the decryption key is obtained. Transmits a key information request using the key ID as a key to any of the key management slave servers, and decrypts the key information message transmitted from the key management slave server as a reply to the key information request. A decryption key acquisition unit in the client that acquires a key and stores a set of the decryption key and its key ID in the decryption key table;
Receiving and decoding means in the client for receiving the multicast packet and decoding the encrypted data in the multicast packet using the decoding key acquired by the decoding key acquiring means. Key management method for distribution.
暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理サーバ内の鍵管理テーブルと、
コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵管理サーバ内の鍵生成手段と、
クライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する鍵管理サーバ内の復号鍵送付手段と、
暗号鍵とその鍵IDとの組を保持するコンテンツサーバ内の暗号鍵テーブルと、鍵変更準備時点に達した時に、次に使用する暗号鍵を事前に取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存するコンテンツサーバ内の暗号鍵取得手段と、
前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行うコンテンツサーバ内の暗号化・送信手段と、
前記暗号鍵取得手段によって次に使用する暗号鍵の取得が行われた場合に、当該暗号鍵の鍵IDを有する鍵変更予告メッセージのマルチキャスト配信を行うコンテンツサーバ内の鍵変更予告手段と、
復号鍵とその鍵IDとの組を保持するクライアント内の復号鍵テーブルと、
鍵変更予告メッセージの受信時に、当該鍵変更予告メッセージ中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がない場合に鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存するクライアント内の復号鍵取得手段と、
マルチキャストパケットを受信し、前記復号鍵取得手段により事前に取得され前記復号鍵管理テーブルに保持されており当該マルチキャストパケット中の鍵IDに対応する復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行うクライアント内の受信・復号化手段と
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
A key management table in a key management server that holds a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key;
Upon receiving the key creation request from the content server, an encryption key / decryption key is generated, a key ID is assigned to the key, and a set of the generated encryption key / decryption key and the key ID is stored in the key management table. Key generation means in the key management server for returning a key information response message having a pair of the encryption key and the key ID to the content server;
When a key information request is received from the client, a key corresponding to the key ID in the key information request is searched from the key management table, and a key information message having a pair of a decryption key and a key ID of the search result is sent to the client. A decryption key sending means in the key management server to be returned,
An encryption key table in a content server that holds a set of an encryption key and its key ID, and a key management server for obtaining an encryption key to be used next in advance when a key change preparation time is reached. An encryption key acquisition unit in the content server that issues a creation request and stores a set of an encryption key and a key ID in a key information response message received as a response in the encryption key table;
A data packet to be distributed is encrypted using an encryption key acquired by the encryption key acquisition means and held in the encryption key table, and a multicast packet having the encrypted data and a key ID corresponding to the encryption key Encryption / transmission means in the content server for transmitting the
A key change notification unit in the content server that performs multicast distribution of a key change notification message having a key ID of the encryption key when the encryption key to be used next is obtained by the encryption key obtaining unit;
A decryption key table in the client holding a pair of a decryption key and its key ID;
Upon receiving the key change notice message, the decryption key corresponding to the key ID in the key change notice message is searched from the decryption key table, and if there is no corresponding decryption key, the key ID is sent to the key management server. The key information request, and obtains the decryption key in the key information message transmitted from the key management server as a reply to the key information request, and stores the set of the decryption key and its key ID in the decryption key table. Decryption key acquisition means in the client to be stored;
A multicast packet is received, and the decryption key of the encrypted data in the multicast packet is acquired by using the decryption key acquired in advance by the decryption key acquisition means and held in the decryption key management table and corresponding to the key ID in the multicast packet. A key management system for multicast distribution, comprising a receiving / decoding means in a client for performing decoding.
鍵管理サーバを、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理テーブル,コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵生成手段,およびクライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する復号鍵送付手段として機能させるための鍵管理サーバ用鍵管理プログラムと、
コンテンツサーバを、暗号鍵とその鍵IDとの組を保持する暗号鍵テーブル,マルチキャスト配信時に、暗号鍵を取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存する暗号鍵取得手段,および前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行う暗号化・送信手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、
クライアントを、復号鍵とその鍵IDとの組を保持する復号鍵テーブル,マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存する復号鍵取得手段,およびマルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行う受信・復号化手段として機能させるためのクライアント用鍵管理プログラムと
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
When the key management server receives a key creation request from the content server, a key management table holding a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key, the key management server generates an encryption key / decryption key. A key ID is assigned to the key, and a set of the generated encryption key / decryption key and the key ID is stored in the key management table, and a key information response message having the pair of the encryption key and the key ID is transmitted to the key management table. Upon receiving the key information request from the key generation means and the client, the key corresponding to the key ID in the key information request is searched from the key management table, and the key of the decryption key and the key ID of the search result are searched. A key management server key management program for functioning as a decryption key sending means for returning a key information message having a set to the client;
The content server issues a key creation request to the key management server to obtain the encryption key during the multicast distribution, an encryption key table holding a pair of the encryption key and its key ID, and the key received as a response An encryption key acquiring unit for storing a pair of an encryption key and a key ID in the information response message in the encryption key table, and distributing using the encryption key acquired by the encryption key acquisition unit and held in the encryption key table; A content server key management program for encrypting the target data and functioning as an encryption / transmission unit for transmitting a multicast packet having the encrypted data and a key ID corresponding to the encryption key;
When a client receives a multicast packet from a decryption key table holding a pair of a decryption key and its key ID, the client searches the decryption key table for a decryption key corresponding to the key ID in the multicast packet. If there is, obtain the decryption key, and if there is no corresponding decryption key, send a key information request using the key ID as a key to the key management server. A decryption key acquiring means for acquiring a decryption key in a key information message transmitted from a server, storing a set of the decryption key and its key ID in the decryption key table, and receiving a multicast packet; Means for functioning as a receiving / decrypting means for decrypting the encrypted data in the multicast packet using the decryption key obtained by the means. Key Management Scheme for multicast distribution characterized by having a Ianto key management program.
鍵管理マスタサーバを、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理テーブル,およびコンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を鍵管理マスタサーバ内の前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送し、当該暗号鍵・復号鍵と当該鍵IDとの組を有する鍵情報配布メッセージを全ての鍵管理スレーブサーバに配布する鍵生成・配布手段として機能させるための鍵管理マスタサーバ用鍵管理プログラムと、
鍵管理スレーブサーバを、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理テーブル,前記鍵生成・配布手段によって配布された鍵情報配布メッセージ中の暗号鍵・復号鍵と鍵IDとの組を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルに保存する鍵保存手段,およびクライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を自己が存在する鍵管理スレーブサーバ内の前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する復号鍵送付手段として機能させるための鍵管理スレーブサーバ用鍵管理プログラムと、
コンテンツサーバを、暗号鍵とその鍵IDとの組を保持する暗号鍵テーブル,マルチキャスト配信時に、暗号鍵を取得するために鍵管理マスタサーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存する暗号鍵取得手段,および前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行う暗号化・送信手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、
クライアントを、復号鍵とその鍵IDとの組を保持する復号鍵テーブル,マルチキャストパケットの受信時に、当該マルチキャストパケット中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がある場合にはその復号鍵を取得し、該当する復号鍵がない場合には全ての鍵管理スレーブサーバのいずれかに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として当該鍵管理スレーブサーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存する復号鍵取得手段,およびマルチキャストパケットを受信し、前記復号鍵取得手段により取得された復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行う受信・復号化手段として機能させるためのクライアント用鍵管理プログラムと
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
When the key management master server receives a key creation request from the content server and a key management table holding a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key, the key management master server sends the encryption key / decryption key to the key management master server. Generates and assigns a key ID to the key, stores a set of the generated encryption key / decryption key and the key ID in the key management table in the key management master server, and sets the set of the encryption key and the key ID. Functioning as key generation / distribution means for returning a key information response message having a key information distribution message having the set of the encryption key / decryption key and the key ID to all key management slave servers. A key management program for a key management master server for causing
The key management slave server uses a key management table for holding a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key, and a key in the key information distribution message distributed by the key generation / distribution unit. A key storage unit for storing a set of a key / decryption key and a key ID in the key management table in the key management slave server in which the key / decryption key exists, and a key information request from the client when receiving the key information request from the client. As a decryption key sending means for searching the key management table in the key management slave server in which the self exists for the key corresponding to, and returning a key information message having a pair of the decryption key and the key ID of the search result to the client. A key management program for a key management slave server to function;
The content server issues a key creation request to the key management master server to obtain the encryption key during the multicast distribution, the encryption key table holding the pair of the encryption key and the key ID, and receives the response in response to the key creation request. An encryption key acquisition unit for storing a pair of an encryption key and a key ID in the key information response message in the encryption key table, and an encryption key acquired by the encryption key acquisition unit and held in the encryption key table. A content server key management program for encrypting data to be distributed, and for functioning as an encryption / transmission unit for transmitting a multicast packet having the encrypted data and a key ID corresponding to the encryption key;
When a client receives a multicast packet from a decryption key table holding a pair of a decryption key and its key ID, the client searches the decryption key table for a decryption key corresponding to the key ID in the multicast packet. If there is, obtain the decryption key, and if there is no corresponding decryption key, send a key information request with the key ID as a key to any of the key management slave servers, and obtain the key information Decryption key acquisition means for acquiring a decryption key in a key information message transmitted from the key management slave server as a reply to the request, storing a set of the decryption key and its key ID in the decryption key table, and a multicast packet And decrypting the encrypted data in the multicast packet using the decryption key obtained by the decryption key obtaining means. Key Management Scheme for multicast distribution characterized by having a client key management program for functioning as a decoding means.
鍵管理サーバを、暗号鍵・復号鍵と当該鍵を一意に区別するための鍵IDとの組を保持する鍵管理テーブル,コンテンツサーバから鍵作成要求を受け取ると、暗号鍵・復号鍵を生成して当該鍵に鍵IDを割り当て、生成した暗号鍵・復号鍵と当該鍵IDとの組を前記鍵管理テーブルに保存し、当該暗号鍵とその鍵IDとの組を有する鍵情報応答メッセージを当該コンテンツサーバに返送する鍵生成手段,およびクライアントから鍵情報要求を受け取ると、当該鍵情報要求中の鍵IDに対応する鍵を前記鍵管理テーブルから検索し、検索結果の復号鍵と鍵IDとの組を有する鍵情報メッセージを当該クライアントに返送する復号鍵送付手段として機能させるための鍵管理サーバ用鍵管理プログラムと、
コンテンツサーバを、暗号鍵とその鍵IDとの組を保持する暗号鍵テーブル,鍵変更準備時点に達した時に、次に使用する暗号鍵を事前に取得するために鍵管理サーバに対して鍵作成要求を発行し、その応答として受信した鍵情報応答メッセージ中の暗号鍵と鍵IDとの組を前記暗号鍵テーブルに保存する暗号鍵取得手段,前記暗号鍵取得手段により取得され前記暗号鍵テーブルに保持されている暗号鍵を用いて配信対象のデータの暗号化を行い、その暗号化データと当該暗号鍵に対応する鍵IDとを有するマルチキャストパケットの送信を行う暗号化・送信手段,および前記暗号鍵取得手段によって次に使用する暗号鍵の取得が行われた場合に、当該暗号鍵の鍵IDを有する鍵変更予告メッセージのマルチキャスト配信を行う鍵変更予告手段として機能させるためのコンテンツサーバ用鍵管理プログラムと、
クライアントを、復号鍵とその鍵IDとの組を保持する復号鍵テーブル,鍵変更予告メッセージの受信時に、当該鍵変更予告メッセージ中の鍵IDに対応する復号鍵を前記復号鍵テーブルから検索し、該当する復号鍵がない場合に鍵管理サーバに対して当該鍵IDをキーにした鍵情報要求を送信し、その鍵情報要求の返信として鍵管理サーバから送信される鍵情報メッセージ中の復号鍵を取得し、当該復号鍵とその鍵IDとの組を前記復号鍵テーブルに保存する復号鍵取得手段,およびマルチキャストパケットを受信し、前記復号鍵取得手段により事前に取得され前記復号鍵管理テーブルに保持されており当該マルチキャストパケット中の鍵IDに対応する復号鍵を用いて当該マルチキャストパケット中の暗号化データの復号化を行う受信・復号化手段として機能させるためのクライアント用鍵管理プログラムと
を有することを特徴とするマルチキャスト配信のための鍵管理方式。In a network system where multicast distribution of encrypted data is performed,
When the key management server receives a key creation request from the content server, a key management table holding a set of an encryption key / decryption key and a key ID for uniquely distinguishing the key, the key management server generates an encryption key / decryption key. A key ID is assigned to the key, and a set of the generated encryption key / decryption key and the key ID is stored in the key management table, and a key information response message having the pair of the encryption key and the key ID is transmitted to the key management table. Upon receiving the key information request from the key generation means and the client, the key corresponding to the key ID in the key information request is searched from the key management table, and the key of the decryption key and the key ID of the search result are searched. A key management server key management program for functioning as a decryption key sending means for returning a key information message having a set to the client;
An encryption key table holding a pair of an encryption key and its key ID, and when a key change preparation time is reached, the content server creates a key for the key management server in order to obtain an encryption key to be used next in advance. A request for issuing a request and storing a set of an encryption key and a key ID in the key information response message received as a response to the request in the encryption key table; Encrypting / transmitting means for encrypting data to be distributed using the held encryption key and transmitting a multicast packet having the encrypted data and a key ID corresponding to the encryption key; When a key acquisition unit acquires a next encryption key to be used next, a key change notice person who performs multicast distribution of a key change notice message having a key ID of the encryption key. And key management program for the content server to function as,
When the client receives a key change notice message, a decryption key table holding a set of a decryption key and its key ID, the client searches the decryption key table for a decryption key corresponding to the key ID in the key change notice message, If there is no corresponding decryption key, a key information request using the key ID as a key is transmitted to the key management server, and the decryption key in the key information message transmitted from the key management server as a reply to the key information request is transmitted. A decryption key acquisition unit that acquires and stores a set of the decryption key and its key ID in the decryption key table; and receives a multicast packet and acquires in advance by the decryption key acquisition unit and stores in the decryption key management table. Receiving and decrypting the encrypted data in the multicast packet using the decryption key corresponding to the key ID in the multicast packet. Key Management Scheme for multicast distribution characterized by having a client key management program for functioning as Goka means.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002332405A JP2004166154A (en) | 2002-11-15 | 2002-11-15 | Key control system for multicast distribution |
| US10/713,455 US7702904B2 (en) | 2002-11-15 | 2003-11-17 | Key management system and multicast delivery system using the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002332405A JP2004166154A (en) | 2002-11-15 | 2002-11-15 | Key control system for multicast distribution |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004166154A true JP2004166154A (en) | 2004-06-10 |
Family
ID=32809500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002332405A Pending JP2004166154A (en) | 2002-11-15 | 2002-11-15 | Key control system for multicast distribution |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004166154A (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006173820A (en) * | 2004-12-14 | 2006-06-29 | Yokogawa Electric Corp | Encryption and decryption method of downloading data and monitoring system |
| JP2007158962A (en) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Pon system |
| JP2008011097A (en) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | Attribute authentication method, key management apparatus, service provision destination apparatus, service provision source apparatus, and attribute authentication system |
| WO2008088083A1 (en) * | 2007-01-18 | 2008-07-24 | Panasonic Electric Works Co., Ltd. | Systems and methods for determining a time delay for sending a key update request |
| JP2009505506A (en) * | 2005-08-11 | 2009-02-05 | マイクロソフト コーポレーション | Protection of digital media of various content types |
| JP2010517332A (en) * | 2007-01-17 | 2010-05-20 | パナソニック電工株式会社 | System and method for delivering key updates at a maximum rekey rate |
| JP2010517330A (en) * | 2007-01-18 | 2010-05-20 | パナソニック電工株式会社 | Method and system for rejoining a second node group to a first node group using a shared group key |
| JP2014504120A (en) * | 2011-01-28 | 2014-02-13 | ロイヤル カナディアン ミント | Security domain control method |
| JP2016517043A (en) * | 2013-04-18 | 2016-06-09 | フェイスコン カンパニーリミテッドFacecon Co.,Ltd. | File security method and apparatus therefor |
| JP2017531967A (en) * | 2014-10-21 | 2017-10-26 | ゼットティーイー コーポレーションZte Corporation | Information encryption / decryption, encryption key management method, terminal and network server |
-
2002
- 2002-11-15 JP JP2002332405A patent/JP2004166154A/en active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006173820A (en) * | 2004-12-14 | 2006-06-29 | Yokogawa Electric Corp | Encryption and decryption method of downloading data and monitoring system |
| JP2009505506A (en) * | 2005-08-11 | 2009-02-05 | マイクロソフト コーポレーション | Protection of digital media of various content types |
| JP2007158962A (en) * | 2005-12-07 | 2007-06-21 | Mitsubishi Electric Corp | Pon system |
| JP2008011097A (en) * | 2006-06-28 | 2008-01-17 | Ntt Docomo Inc | Attribute authentication method, key management apparatus, service provision destination apparatus, service provision source apparatus, and attribute authentication system |
| JP2010517332A (en) * | 2007-01-17 | 2010-05-20 | パナソニック電工株式会社 | System and method for delivering key updates at a maximum rekey rate |
| WO2008088083A1 (en) * | 2007-01-18 | 2008-07-24 | Panasonic Electric Works Co., Ltd. | Systems and methods for determining a time delay for sending a key update request |
| JP2010517333A (en) * | 2007-01-18 | 2010-05-20 | パナソニック電工株式会社 | System and method for determining a time delay for sending a key update request |
| JP2010517330A (en) * | 2007-01-18 | 2010-05-20 | パナソニック電工株式会社 | Method and system for rejoining a second node group to a first node group using a shared group key |
| JP2014504120A (en) * | 2011-01-28 | 2014-02-13 | ロイヤル カナディアン ミント | Security domain control method |
| JP2016517043A (en) * | 2013-04-18 | 2016-06-09 | フェイスコン カンパニーリミテッドFacecon Co.,Ltd. | File security method and apparatus therefor |
| JP2017531967A (en) * | 2014-10-21 | 2017-10-26 | ゼットティーイー コーポレーションZte Corporation | Information encryption / decryption, encryption key management method, terminal and network server |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9923877B2 (en) | External indexing and search for a secure cloud collaboration system | |
| US10574440B2 (en) | High-performance access management and data protection for distributed messaging applications | |
| US20220006627A1 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| US7013389B1 (en) | Method and apparatus for creating a secure communication channel among multiple event service nodes | |
| US7260716B1 (en) | Method for overcoming the single point of failure of the central group controller in a binary tree group key exchange approach | |
| US7664947B2 (en) | Systems and methods for automated exchange of electronic mail encryption certificates | |
| US7434046B1 (en) | Method and apparatus providing secure multicast group communication | |
| US6901510B1 (en) | Method and apparatus for distributing and updating group controllers over a wide area network using a tree structure | |
| US20080031459A1 (en) | Systems and Methods for Identity-Based Secure Communications | |
| US20160149711A1 (en) | Distributed identification system for peer to peer message transmission | |
| CN101702725A (en) | System, method and device for transmitting streaming media data | |
| JP2004166154A (en) | Key control system for multicast distribution | |
| WO2018208787A1 (en) | High-performance access management and data protection for distributed messaging applications | |
| CN102088352A (en) | Data encryption transmission method and system for message-oriented middleware | |
| US20070038862A1 (en) | Method and system for controlling the disclosure time of information | |
| US6587943B1 (en) | Apparatus and method for limiting unauthorized access to a network multicast | |
| CN106161340B (en) | Service distribution method and system | |
| US11411744B2 (en) | Encryption communication method, information processing apparatus, and program | |
| CN101635724A (en) | Method and system for realizing multicast member authentication | |
| CN111031012A (en) | Method for realizing security authentication of DDS domain participant | |
| JP2004166153A (en) | Key change system in multicast distribution system | |
| JP2004242210A (en) | Multicast distribution system and its method, data repeater, client device, authentication/key management device | |
| JP2006025455A (en) | Key exchange system in multicast distribution system | |
| JP2001148694A (en) | Cipher communication system and method and computer readable recording medium with recorded program for making computer execute the communication method | |
| JP6546846B2 (en) | Authentication server, access point and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050401 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050415 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050816 |