JP2007081597A - System for authenticating multicast stream by cipher key distribution via authentication server - Google Patents
System for authenticating multicast stream by cipher key distribution via authentication server Download PDFInfo
- Publication number
- JP2007081597A JP2007081597A JP2005264650A JP2005264650A JP2007081597A JP 2007081597 A JP2007081597 A JP 2007081597A JP 2005264650 A JP2005264650 A JP 2005264650A JP 2005264650 A JP2005264650 A JP 2005264650A JP 2007081597 A JP2007081597 A JP 2007081597A
- Authority
- JP
- Japan
- Prior art keywords
- distribution
- key
- authentication
- distribution data
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は,認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムに関する。 The present invention relates to a multicast stream authentication system using cryptographic key distribution via an authentication server.
IP網におけるパケット配信方法には,単一のアドレスを指定して特定の相手にデータを送信するユニキャスト配信,不特定多数の相手に向かってデータを送信するブロードキャスト配信,複数の相手を指定して同一のデータを送信するマルチキャスト配信がある。 The packet distribution method in the IP network specifies unicast distribution in which data is transmitted to a specific partner by specifying a single address, broadcast distribution in which data is transmitted to a large number of unspecified parties, and multiple partners are specified. Multicast distribution that transmits the same data.
従来,複数の端末へ同報配信する場合には,同一セグメント内では複数の同一パケットを同時にエンドツーエンドで配信するユニキャスト配信が行われていた。 Conventionally, when broadcasting delivery to a plurality of terminals, unicast delivery has been performed in which a plurality of identical packets are delivered simultaneously end-to-end within the same segment.
しかし,ユニキャスト配信は,受信者が増加すると,その受信者の数だけパケットを送信しなければならないため,回線が混雑したり,回線帯域の使用効率が悪化したりするといった問題があった。 However, the unicast distribution has a problem that when the number of recipients increases, the number of packets must be transmitted as many as the number of recipients, so that the line is congested and the line bandwidth usage efficiency deteriorates.
また,ブロードキャスト配信においても,ネットワークの全端末に向けて同一パケットを送信するため,回線帯域の使用効率が悪いといった問題があった。 In broadcast distribution, the same packet is transmitted to all terminals of the network, so that there is a problem that the use efficiency of the line bandwidth is poor.
これらの配信方法に対し,マルチキャスト配信は特定のグループに加入している複数の相手にのみパケットデータを配信するため,無駄なパケットを送信することが無く,回線帯域の使用効率を改善することが可能になる。近年,マルチキャスト配信に対応したネットワーク機器が多く登場し始め,IPネットワークを利用した映像・音声配信の分野でマルチキャスト配信が広く利用されつつある(特許文献1参照)。 In contrast to these distribution methods, multicast distribution distributes packet data only to multiple partners who are subscribed to a specific group, so it does not send useless packets and improves line bandwidth usage efficiency. It becomes possible. In recent years, many network devices compatible with multicast distribution have started to appear, and multicast distribution is being widely used in the field of video / audio distribution using an IP network (see Patent Document 1).
しかしながら,マルチキャスト配信している映像や音声などの配信データは,その配信先のマルチキャストグループアドレスと,配信データのポート番号を何らかの方法で知った上で,閲覧権限の無い再生端末上でそのマルチキャストグループアドレスとポート番号を設定すれば,閲覧権限が無い端末でもパケットを受信し,配信データを閲覧することが出来る。そのため,特定の端末でのみ配信データの再生を許可することが困難であると言った問題点があった。 However, for distribution data such as video and audio distributed in multicast, know the multicast group address of the distribution destination and the port number of the distribution data in some way, and use the multicast group on the playback terminal without viewing authority. If an address and a port number are set, even a terminal without browsing authority can receive the packet and browse the distribution data. For this reason, there is a problem that it is difficult to permit reproduction of distribution data only on a specific terminal.
そこで,本発明は,このような問題に鑑みてなされたもので,その目的とするところは,新規かつ改良された,認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムを提供することにある。 Therefore, the present invention has been made in view of such problems, and an object of the present invention is to provide a new and improved multicast stream authentication system using cryptographic key distribution via an authentication server. is there.
上記課題を解決するために,本発明のある観点によれば,暗号鍵配信によるマルチキャストストリームの認証システムであって,マルチキャスト方式を用いて,配信データを暗号化して配信する配信装置と,配信装置から配信された配信データを受信および復号して,配信データを再生する再生端末と,配信装置と独立して設けられ,前記再生端末が前記配信データの閲覧権限を有するかどうかを認証する認証装置と,から構成され,配信装置は,認証装置の公開鍵を受信する鍵配信部と,配信データの暗号および復号を行う共通鍵を生成する暗号・復号鍵生成部と,配信データを前記共通鍵で暗号化する暗号化部と,を含み,認証装置は,配信装置の暗号・復号鍵生成部で生成した共通鍵が登録される鍵データベースと,配信装置の公開鍵や再生端末の公開鍵を受信する鍵受配信部と,再生端末の公開鍵を登録しておき,再生端末が配信データの閲覧権限を有するか確認する認証部と,再生端末が配信データを受信するために配信データ送信要求パケットを送出すると,配信データ送信要求パケットを収集する収集部と,を含み,再生端末は,認証装置上で再生端末の公開鍵で暗号化され,認証サーバから配信された共通鍵を復号化する復号化部と,共通鍵を用いて,配信データを復号化する復号化部と,配信データを受信するために配信データ送信要求パケットを送出する送出部と,を含むことを特徴とする,暗号鍵配信によるマルチキャストストリームの認証システムが提供される。 In order to solve the above-described problem, according to an aspect of the present invention, there is provided a multicast stream authentication system using cryptographic key distribution, a distribution device that encrypts and distributes distribution data using a multicast method, and a distribution device A reproduction terminal that receives and decrypts distribution data distributed from and reproduces the distribution data, and an authentication device that is provided independently of the distribution device and authenticates whether the reproduction terminal has an authority to view the distribution data The distribution device includes a key distribution unit that receives the public key of the authentication device, an encryption / decryption key generation unit that generates a common key for encrypting and decrypting the distribution data, and the distribution data as the common key. The authentication device includes a key database in which the common key generated by the encryption / decryption key generation unit of the distribution device is registered, and the public key of the distribution device. A key receiving and distributing unit that receives the public key of the reproduction terminal, an authentication unit that registers the public key of the reproduction terminal and confirms whether the reproduction terminal has the authority to view distribution data, and the reproduction terminal receives the distribution data And a collection unit that collects the distribution data transmission request packet, and the reproduction terminal is encrypted with the public key of the reproduction terminal on the authentication device and distributed from the authentication server. A decryption unit that decrypts the common key; a decryption unit that decrypts the distribution data using the common key; and a transmission unit that transmits a distribution data transmission request packet to receive the distribution data. A multicast stream authentication system using cryptographic key distribution is provided.
かかる構成によれば,配信装置から配信される配信データの閲覧権限を有する再生端末にのみ,認証サーバから配信データを復号する共通鍵を授与することができる。従って,閲覧権限が無い端末において,配信データの配信先のマルチキャストグループアドレスと配信データのポート番号を何らかの方法で知り得たとしても,配信データを復号する共通鍵がないと配信データを再生することができないため,配信データの盗聴を防ぐことができる。 According to such a configuration, a common key for decrypting the distribution data can be given from the authentication server only to the playback terminal having the authority to view the distribution data distributed from the distribution device. Therefore, even if it is possible to know the multicast group address of the distribution destination of the distribution data and the port number of the distribution data by a certain method, the distribution data can be reproduced if there is no common key for decrypting the distribution data. Because it is not possible, wiretapping of distribution data can be prevented.
上記配信装置はエンコーダを含んでいてもよく,上記再生端末はデコーダを含んでいてもよい。かかる構成によれば,エンコーダは,配信データの基となるデータをエンコードし,デコーダは,エンコーダによりエンコードされた配信データをデコードする。その結果,配信データの容量を少なくすることができる。 The distribution device may include an encoder, and the playback terminal may include a decoder. According to such a configuration, the encoder encodes data serving as the basis of the distribution data, and the decoder decodes the distribution data encoded by the encoder. As a result, the capacity of distribution data can be reduced.
上記認証部は,上記再生端末の装置識別情報と,上記再生端末から配信される公開鍵と,再生可能なマルチキャストグループアドレスの情報を格納してもよく,装置識別情報はMACアドレスであってもよい。かかる構成によれば,再生端末が送信した配信データ送信要求パケットに記述された装置識別情報を用いて,上記認証部は再生端末が閲覧権限を有するか認証する。その結果,閲覧権限の無い再生端末の配信データの閲覧を防ぐことができる。 The authentication unit may store device identification information of the reproduction terminal, a public key distributed from the reproduction terminal, and information of a reproducible multicast group address, and the device identification information may be a MAC address. Good. According to such a configuration, the authentication unit authenticates whether the reproduction terminal has browsing authority using the device identification information described in the distribution data transmission request packet transmitted by the reproduction terminal. As a result, it is possible to prevent browsing of the distribution data of the playback terminal without the viewing authority.
上記鍵データベースは,マルチキャストグループアドレスと,上記共通鍵の情報を格納してもよい。かかる構成によれば,鍵データベースは上記認証部で閲覧権限を有すると認証された再生端末に対し,共通鍵を配信する。その結果,閲覧権限を有すると認証された再生端末に対してのみ,配信データを復号化する共通鍵を配信することができる。 The key database may store multicast group addresses and the common key information. According to this configuration, the key database distributes the common key to the playback terminal that is authenticated as having the browsing authority by the authentication unit. As a result, it is possible to distribute the common key for decrypting the distribution data only to the reproduction terminal that is authenticated as having the viewing authority.
上記再生端末は,配信データを出力する出力装置が別途接続されていてもよく,また出力装置は再生端末と一体となっていてもよい。 The playback terminal may be separately connected to an output device that outputs distribution data, and the output device may be integrated with the playback terminal.
上記配信データ送信要求パケットは,マルチキャストプロトコルであるインターネットグループ管理プロトコル(Internet Group Management Protocol,以下IGMP)の,マルチキャストグループに加入するためのパケットであるjoinパケットであってもよい。かかる構成によれば,上記配信データ送信要求パケットがIGMPのjoinパケットであっても,同様の作用を得ることができる。したがって,IGMPのjoinパケットを用いた場合においても,上記認証部は再生端末の認証を行うことができる。 The delivery data transmission request packet may be a join packet that is a packet for joining a multicast group of the Internet Group Management Protocol (IGMP), which is a multicast protocol. According to this configuration, even if the distribution data transmission request packet is an IGMP join packet, the same operation can be obtained. Therefore, even when an IGMP join packet is used, the authentication unit can authenticate the playback terminal.
上記課題を解決するために,本発明の別の観点によれば,配信装置からマルチキャスト方式を用いて配信された配信データの再生権限を再生端末が有するかどうかを,鍵認証方式で認証する認証装置であって,配信装置で生成した,配信データを復号する共通鍵を登録する鍵データベースと,配信装置から送信される公開鍵や再生端末から送信される公開鍵を受信する鍵受配信部と,再生端末から送信される公開鍵を登録しておき,再生端末が配信データの閲覧権限を有するか認証する認証部と,再生端末が配信データ送信要求パケットを送出すると,配信データ送信要求パケットを収集する収集部と,を含むことを特徴とする,認証装置が提供される。 In order to solve the above-described problem, according to another aspect of the present invention, authentication for authenticating whether a reproduction terminal has reproduction authority for distribution data distributed from a distribution apparatus by using a multicast scheme, using a key authentication scheme. A key database for registering a common key for decrypting distribution data generated by the distribution device, and a key receiving and distribution unit for receiving a public key transmitted from the distribution device and a public key transmitted from a playback terminal. , Registering the public key transmitted from the playback terminal, authenticating whether the playback terminal has the authority to view the distribution data, and when the playback terminal sends out the distribution data transmission request packet, An authentication apparatus is provided that includes a collection unit that collects the data.
かかる構成によれば,配信装置から配信される配信データの閲覧権限を有する再生端末のみ,認証サーバから配信データを復号する共通鍵を授与することができる。従って,閲覧権限が無い端末においては上記共通鍵を受け取ることができないため,閲覧権限が無い再生端末上での配信データの再生を防ぐことができる。 According to such a configuration, only the playback terminal having the authority to view the distribution data distributed from the distribution device can be given a common key for decrypting the distribution data from the authentication server. Therefore, since the terminal having no viewing authority cannot receive the common key, it is possible to prevent the distribution data from being reproduced on the reproducing terminal having no viewing authority.
上記鍵データベースは,マルチキャストグループアドレスと,マルチキャストグループアドレスに対応する公開鍵の情報を格納してもよい。かかる構成によれば,鍵データベースは上記認証部で閲覧権限を有すると認証された再生端末に対し,共通鍵を配信する。その結果,閲覧権限を有すると認証された再生端末に対してのみ,配信データを復号化する共通鍵を配信することができる。 The key database may store information on a multicast group address and a public key corresponding to the multicast group address. According to this configuration, the key database distributes the common key to the playback terminal that is authenticated as having the browsing authority by the authentication unit. As a result, it is possible to distribute the common key for decrypting the distribution data only to the reproduction terminal that is authenticated as having the viewing authority.
上記収集部は,上記配信データ送信要求パケットをプロミスキャスモードで収集してもよい。 The collection unit may collect the delivery data transmission request packet in a promiscuous mode.
上記認証部は,上記再生端末の装置識別情報と,上記再生端末から配信される公開鍵と,再生可能なマルチキャストグループアドレスの情報を格納してもよく,また装置識別情報は,MACアドレスであってもよい。かかる構成によれば,再生端末が送信した配信データ送信要求パケットに記述された装置識別情報を用いて,上記認証部は再生端末が閲覧権限を有するか認証する。その結果,閲覧権限の無い再生端末の配信データの閲覧を防ぐことができる。 The authentication unit may store device identification information of the reproduction terminal, a public key distributed from the reproduction terminal, and information of a reproducible multicast group address, and the device identification information is a MAC address. May be. According to such a configuration, the authentication unit authenticates whether the reproduction terminal has browsing authority using the device identification information described in the distribution data transmission request packet transmitted by the reproduction terminal. As a result, it is possible to prevent browsing of the distribution data of the playback terminal without the viewing authority.
上記認証部は,上記配信データ送信要求パケットに記述された上記装置識別情報および上記マルチキャストグループアドレスが自らに登録されていた場合に,そのマルチキャストグループアドレスに対応する上記共通鍵を,上記再生端末から配信された公開鍵で暗号化し,上記再生端末に授与するようにしてもよい。 When the device identification information and the multicast group address described in the delivery data transmission request packet are registered in the authentication unit, the authentication unit sends the common key corresponding to the multicast group address from the playback terminal. It may be encrypted with the distributed public key and given to the playback terminal.
上記課題を解決するために,本発明のさらに別の観点によれば,マルチキャスト方式を用いて配信データを配信し,認証装置で前記配信データの閲覧権限を認証する配信装置であって,配信データの暗号化および復号化を行う共通鍵を生成する暗号・復号鍵生成部と,認証装置から送信される公開鍵を受信し,共通鍵を認証装置から送信される公開鍵で暗号化し,認証装置に授与する鍵配信部と,配信データを共通鍵で暗号化する暗号化部と,を含むことを特徴とする,配信装置が提供される。 In order to solve the above-described problem, according to still another aspect of the present invention, there is provided a distribution device that distributes distribution data using a multicast method and authenticates the viewing authority of the distribution data with an authentication device, wherein the distribution data An encryption / decryption key generation unit for generating a common key for performing encryption and decryption of the data, and a public key transmitted from the authentication device, and encrypting the common key with the public key transmitted from the authentication device A distribution device is provided, which includes a key distribution unit for granting to the user and an encryption unit for encrypting distribution data with a common key.
かかる構成によれば,配信データは配信装置上で暗号化され,暗号化された配信データの復号化に必要な共通鍵は認証装置が別途保管することができる。従って,配信データの再生には認証装置から共通鍵を入手する必要があり,認証装置で適切な認証を行うことで,閲覧権限が無い端末上での配信データの再生を防ぐことができる。 According to this configuration, the distribution data is encrypted on the distribution device, and the authentication device can separately store the common key necessary for decrypting the encrypted distribution data. Therefore, it is necessary to obtain a common key from the authentication device for reproduction of distribution data, and reproduction of distribution data on a terminal without viewing authority can be prevented by performing appropriate authentication with the authentication device.
上記配信装置は,エンコーダを含んでいてもよい。かかる構成によれば,配信データの基となるデータをエンコードする。その結果,配信データの容量を少なくすることができる。 The distribution device may include an encoder. According to this configuration, the data that is the basis of the distribution data is encoded. As a result, the capacity of distribution data can be reduced.
上記配信装置は,上記エンコーダによるエンコードの開始以後に,上記暗号・復号鍵生成部が配信データの暗号化及び復号化を行う共通鍵を生成するようにしてもよい。 The distribution apparatus may generate a common key for the encryption / decryption key generation unit to encrypt and decrypt distribution data after the encoder starts encoding.
以上説明したように本発明によれば,閲覧権限のある再生端末にのみ,復号化に必要な鍵を認証サーバから配信することで,配信装置から配信された配信データを,閲覧権限の無い再生端末上で再生することを防止できる,暗号鍵配信によるマルチキャストストリームの認証システムを提供できるものである。 As described above, according to the present invention, the distribution data distributed from the distribution device can be reproduced without the viewing authority by distributing the key necessary for the decryption from the authentication server only to the reproduction terminal having the viewing authority. It is possible to provide a multicast stream authentication system using cryptographic key distribution that can be prevented from being reproduced on a terminal.
以下に添付図面を参照しながら,本発明の好適な実施の形態について詳細に説明する。なお,本明細書及び図面において,実質的に同一の機能構成を有する構成要素については,同一の符号を付することにより重複説明を省略する。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the present specification and drawings, components having substantially the same functional configuration are denoted by the same reference numerals, and redundant description is omitted.
図1は,本実施形態による認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムの構成図である。 FIG. 1 is a configuration diagram of a multicast stream authentication system by encryption key distribution via an authentication server according to the present embodiment.
図1に示すように,本実施形態による認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムは,配信装置100と,ルータ150と,スイッチングハブ160と,再生端末120と,再生端末120が映像・音声ソース130の閲覧権限を有するかどうかを確認する認証装置である認証サーバ110から構成される。配信装置100は,映像・音声ソース130をエンコードして,配信データとなる映像・音声ストリームを生成した後,生成した映像・音声ストリームを暗号化して,IPネットワーク140に暗号化した配信データを配信する。再生端末120は,暗号化された映像・音声ストリームを復号化し,映像・音声ストリームをデコードして映像・音声ソース130を再生する。
As shown in FIG. 1, the multicast stream authentication system using cryptographic key distribution via the authentication server according to the present embodiment includes a
配信装置100は,映像・音声ストリームの暗号化及び復号化に必要な共通鍵Kmを作成する暗号・復号鍵生成部101と,共通鍵Kmを暗号化し,認証サーバ110に配信する鍵配信部103と,共通鍵Kmを使用して,映像・音声ストリームを暗号化する暗号化部であるストリーム暗号化部105と,IPネットワーク140に接続されているネットワークインタフェース107と,映像・音声ソース130をエンコードして,映像・音声ストリームを生成するエンコーダ109とを含む。ここで,共通鍵Kmの添え字のmは,マスターキーの意味として付している。
認証サーバ110は,配信装置100の鍵配信部103から配信された暗号・復号鍵を登録する鍵データベース111と,配信装置100との間,及び再生端末120との間で鍵の配信及び受信を行う鍵受配信部113と,再生端末120の閲覧権限の有無を検査する認証部115と,外部ネットワークに接続されているネットワークインタフェース117と,認証サーバ110の各部の動作を制御するCPU119とを含む。認証サーバ110は,1つのセグメントにつき少なくとも1つ設置する。
The
再生端末120は,認証サーバ110から配信され,暗号化された映像・音声ストリームを復号する,暗号化された復号鍵を復号する鍵復号化部121と,鍵復号化部121で復号化した共通鍵Kmを使用して,暗号化された映像・音声ストリームを復号するストリーム復号化部123と,外部ネットワークに接続されているネットワークインタフェース125と,復号された映像・音声ストリームをデコードするデコーダ127と,再生端末120の各部の動作を制御するCPU129とを含む。図1では再生端末120が1つの場合を示しているが,再生端末120は2つ以上であってもよい。
The
再生端末120には,復号された映像・音声ストリームを出力する映像・音声出力装置170が別途接続されていてもよい。映像・音声出力装置170は,一般的にモニタやスピーカ等の映像や音声を出力する機器を指す。図1では再生端末120に映像・音声出力装置170が1つ接続されている場合を示しているが,映像・音声出力装置170は再生端末120に2つ以上接続されていてもよい。また,映像・音声出力装置170は,再生端末120と一体となった構造になっていてもよい。
The
再生端末120のCPU129は,配信装置100に対して配信データ送信要求パケットを送出する送出部の役割を含んでいる。また,認証サーバ110のCPU119は,配信データ送信要求パケットを収集する収集部の役割を含んでいる。
The
次に,本実施形態による認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムを使用した盗聴対策方法について説明する。 Next, an eavesdropping countermeasure method using a multicast stream authentication system using cryptographic key distribution via an authentication server according to the present embodiment will be described.
図2は,本実施形態による認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムを使用した盗聴対策方法の流れ図である。 FIG. 2 is a flowchart of an eavesdropping countermeasure method using a multicast stream authentication system using cryptographic key distribution via an authentication server according to the present embodiment.
本実施形態による認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムを使用した盗聴対策方法は,認証サーバ110の公開鍵kpを配信装置100に事前に登録し,再生端末120の公開鍵Kpと閲覧権限を有する全ての再生端末120の装置識別情報であるMACアドレスを,認証サーバ110の認証部115に事前に登録しておく。MACアドレスは,ネットワークでホストを識別するために設定されるハードウェアアドレスであり,1つのMACアドレスは世界に1つしかない固有の番号となっている。ここで,公開鍵kpおよびKpの添え字のpは,public(公開の)の意味として付している。
The wiretapping countermeasure method using the multicast stream authentication system by encryption key distribution via the authentication server according to the present embodiment registers the public key k p of the
さらに,認証サーバ110の鍵データベース111に,マルチキャスト配信する全てのマルチキャストグループアドレスを事前に登録しておく。
Further, all multicast group addresses to be distributed by multicast are registered in advance in the
映像・音声ソース130が配信装置100に入力されると,エンコーダ109が映像・音声ソース130のエンコードを開始して,映像・音声ストリームを生成する(S100)。エンコードが開始された以後に,暗号・復号鍵生成部101が,映像・音声ストリームの暗号および復号を行う共通鍵Kmを生成する(S110)。
When the video /
生成された共通鍵Kmは,認証サーバ110の公開鍵kpで暗号化される(S120)。暗号化された共通鍵Kmは,鍵配信部103によって認証サーバ110へ送信される(S130)。
Common key K m thus generated is encrypted with the public key k p of the authentication server 110 (S120). Common key K m, which is encrypted, is transmitted to the
上記暗号化された共通鍵Kmは,認証サーバ110の鍵受配信部113で,認証サーバ110の秘密鍵ksで復号し(S140),鍵データベース111に保存する(S150)。ここで,秘密鍵ksの添え字のsは,secret(秘密の)の意味として付している。
The encrypted common key K m is decrypted with the secret key k s of the
エンコードされた映像・音声ソース130は,ストリーム暗号化部105で暗号化する(S160)。暗号化の際には,暗号・復号鍵生成部101が生成した上記共通鍵Kmを用いる。エンコードされた映像・音声ソース130の暗号化が完了すると,配信装置100はネットワークインタフェース107を通じてIPネットワーク140に配信する(S170)。
The encoded video /
再生端末120を有するユーザは,配信された映像・音声ストリームを受信し再生しようとするときには,再生端末120を操作し,配信装置100に対して配信データの送信を要求する(S180)。再生端末120のCPU129に備えられた送出部は,再生対象となるマルチキャストグループアドレス及び再生端末120のMACアドレスが記述されている配信データ送信要求パケットを配信装置100に対して送出する。この配信データ送信要求パケットは,マルチキャストプロトコルであるIGMP(Internet Group Management Protocol)のjoinパケットであってもよい。
When the user having the
配信データ送信要求パケットがネットワーク上に送出されると,認証サーバ110のCPU119に備えられた収集部が,配信データ要求パケットを収集する(S190)。前記収集部が配信データ送信要求パケットを収集するにあたっては,ネットワークに流れる全パケットを無条件で受信することが出来るプロミスキャスモードで配信データ送信要求パケットを収集してもよい。
When the distribution data transmission request packet is transmitted over the network, the collection unit provided in the
認証部115は,配信データ送信要求パケットに記述されたマルチキャストグループアドレスと再生端末120の装置識別情報であるMACアドレスを読み取り,配信データ送信要求パケットに記述されたマルチキャストグループアドレスから配信された配信データの閲覧権限を再生端末120が有しているかどうかを判断する(S200)。
The
閲覧権限を有するかどうかの判断の際には,図3に示すような,認証部115内の再生端末情報テーブルを参照する。このテーブルには,再生端末120の装置識別情報であるMACアドレス,再生端末120の公開鍵及び,再生端末120が再生可能なマルチキャストグループアドレスが登録されている。
When determining whether or not the user has the browsing authority, a reproduction terminal information table in the
配信データ送信要求パケットに記述されたMACアドレスで再生端末情報テーブルを検索し,MACアドレスが再生端末情報テーブルに存在しない場合,もしくは,MACアドレスが再生端末情報テーブルに登録されていても,配信データ送信要求パケットに記述されたマルチキャストグループアドレスのレコードが存在しない場合は,その再生端末120は閲覧権限が無いものとみなし,認証サーバ110は再生端末120に対し共通鍵Kmを授与しない。
When the reproduction terminal information table is searched with the MAC address described in the distribution data transmission request packet and the MAC address does not exist in the reproduction terminal information table, or even if the MAC address is registered in the reproduction terminal information table, the distribution data If the record of the multicast group address described in the transmission request packet does not exist, the
一方,配信データ送信要求パケットに記述されている再生端末120のMACアドレス及びマルチキャストグループアドレスの両方を含むレコードが再生端末情報テーブルに存在した場合は,その再生端末120は閲覧権限を有するものとみなし,再生端末120に対し共通鍵Kmを授与する。図4に示すような,鍵データベースに登録されたマルチキャストグループアドレス−鍵対応テーブルから共通鍵を検索し,配信データ送信要求パケットに記述されたマルチキャストグループアドレスに対応した共通鍵が,再生端末120への授与対象の共通鍵となる。共通鍵Kmを授与する際には,認証部115に事前に登録しておいた再生端末120の公開鍵Kpを用いて,共通鍵Kmを暗号化する(S210)。共通鍵Kmを暗号化した後に,再生端末120に共通鍵Kmを配信する(S220)。
On the other hand, if a record including both the MAC address and multicast group address of the
図3に示した再生端末情報テーブルを用いて説明すれば,配信データ送信要求パケットを送出した再生端末のMACアドレスが00−01−02−03−04−06−07で,配信データ送信要求パケットに記述されたマルチキャストグループアドレスが239.192.0.0であった場合,そのMACアドレスとマルチキャストグループアドレスの情報は再生端末情報テーブルに登録されているため,この再生端末は閲覧権限を有するとみなす。 To explain using the playback terminal information table shown in FIG. 3, the MAC address of the playback terminal that sent the delivery data transmission request packet is 00-01-02-03-04-06-07, and the delivery data transmission request packet Is 23.192.0.0, the information on the MAC address and multicast group address is registered in the playback terminal information table. I reckon.
一方,配信データ送信要求パケットを送出した再生端末のMACアドレスが00−01−02−03−04−06−07で,配信データ送信要求パケットに記述されたマルチキャストグループアドレスが239.192.0.32であった場合,そのMACアドレスとマルチキャストグループアドレスの情報は再生端末情報テーブルに登録されているため,この再生端末は閲覧権限を有さないとみなす。 On the other hand, the MAC address of the playback terminal that has transmitted the distribution data transmission request packet is 00-01-02-03-04-06-07, and the multicast group address described in the distribution data transmission request packet is 239.192.0. In the case of 32, since the information of the MAC address and the multicast group address is registered in the reproduction terminal information table, it is considered that this reproduction terminal does not have the browsing authority.
また,配信データ送信要求パケットを送出した再生端末のMACアドレスが00−01−02−03−04−06−06であった場合,このMACアドレス自体が再生端末情報テーブルに登録されていない,この再生端末は閲覧権限を有さないとみなす。 If the MAC address of the playback terminal that sent the distribution data transmission request packet is 00-01-02-03-04-06-06, this MAC address itself is not registered in the playback terminal information table. It is assumed that the playback terminal does not have viewing authority.
再生端末120は,暗号化された共通鍵Kmを受信すると,鍵復号化部121において,再生端末120の秘密鍵Ksを用いて共通鍵Kmを復号する(S230)。ここで,秘密鍵Ksの添え字のsは,秘密鍵ksと同様に,secret(秘密の)の意味として付している。
共通鍵Kmを復号すると,ストリーム復号化部123で,共通鍵Kmを用いて配信データを復号し(S240),デコーダ127で映像・音声ストリームをデコードして,映像・音声データを取り出す(S250)。
Decoding the common key K m, the
取り出された映像・音声データは,出力装置170から出力される(S260)。映像・音声データが出力装置170から出力されることにより,ユーザは映像・音声データを視聴することが出来る。
The extracted video / audio data is output from the output device 170 (S260). By outputting the video / audio data from the
以上,添付図面を参照しながら本発明の好適な実施形態について説明したが,本発明は係る例に限定されないことは言うまでもない。当業者であれば,特許請求の範囲に記載された範疇内において,各種の変更例または修正例に想到し得ることは明らかであり,それらについても当然に本発明の技術的範囲に属するものと了解される。 As mentioned above, although preferred embodiment of this invention was described referring an accompanying drawing, it cannot be overemphasized that this invention is not limited to the example which concerns. It will be apparent to those skilled in the art that various changes and modifications can be made within the scope of the claims, and these are naturally within the technical scope of the present invention. Understood.
本発明は,認証サーバを介した暗号鍵配信によるマルチキャストストリームの認証システムに適用可能である。 The present invention can be applied to a multicast stream authentication system using encryption key distribution via an authentication server.
100 配信装置
101 暗号・復号鍵生成部
103 鍵配信部
105 ストリーム暗号化部
107 ネットワークインタフェース
109 エンコーダ
110 認証サーバ
111 鍵データベース
113 鍵受配信部
115 認証部
117 ネットワークインタフェース
120 再生端末
121 鍵復号化部
123 ストリーム復号化部
125 ネットワークインタフェース
127 デコーダ
130 映像・音声ソース
140 IPネットワーク
150 ルータ
160 スイッチングハブ
170 出力装置
Km 映像・音声ストリームの暗号・復号共通鍵
kp 認証サーバ110の公開鍵
ks 認証サーバ110の秘密鍵
Kp 再生端末120の公開鍵
Ks 再生端末120の秘密鍵
DESCRIPTION OF
Claims (20)
マルチキャスト方式を用いて,配信データを暗号化して配信する配信装置と;
前記配信装置から配信された配信データを受信および復号して,配信データを再生する再生端末と;
前記配信装置と独立して設けられ,前記再生端末が前記配信データの閲覧権限を有するかどうかを認証する認証装置と;
を含み,
前記配信装置は,
前記認証装置から送信される公開鍵を受信する鍵配信部と;
前記配信データの暗号化および復号化を行うための共通鍵を生成する暗号・復号鍵生成部と;
前記配信データを前記共通鍵で暗号化する暗号化部と;
を含み,
前記認証装置は,
前記配信装置の前記暗号・復号鍵生成部で生成した共通鍵が登録される鍵データベースと;
前記配信装置の公開鍵や前記再生端末の公開鍵を受信する鍵受配信部と;
前記再生端末の公開鍵を登録しておき,前記再生端末が前記配信データの閲覧権限を有するか確認する認証部と;
前記再生端末が前記配信データを受信するために配信データ送信要求パケットを送出すると,前記配信データ送信要求パケットを収集する収集部と;
を含み,
前記再生端末は,
前記認証装置において前記再生端末の公開鍵で暗号化され,前記認証サーバから配信された前記共通鍵を復号化する復号化部と;
前記共通鍵を用いて,前記配信データを復号化する復号化部と;
前記配信データを受信するために配信データ送信要求パケットを送出する送出部と;
を含むことを特徴とする,暗号鍵配信によるマルチキャストストリームの認証システム。 A multicast stream authentication system with cryptographic key distribution:
A distribution device that encrypts and distributes distribution data using a multicast method;
A reproduction terminal that receives and decodes distribution data distributed from the distribution device and reproduces the distribution data;
An authentication device that is provided independently of the distribution device and authenticates whether the reproduction terminal has the right to view the distribution data;
Including
The distribution device includes:
A key distribution unit that receives a public key transmitted from the authentication device;
An encryption / decryption key generation unit for generating a common key for encrypting and decrypting the distribution data;
An encryption unit for encrypting the distribution data with the common key;
Including
The authentication device is:
A key database in which a common key generated by the encryption / decryption key generation unit of the distribution device is registered;
A key receiving and distributing unit that receives the public key of the distribution device and the public key of the playback terminal;
An authentication unit for registering the public key of the reproduction terminal and confirming whether the reproduction terminal has an authority to view the distribution data;
A collection unit that collects the distribution data transmission request packet when the reproduction terminal transmits the distribution data transmission request packet to receive the distribution data;
Including
The playback terminal is
A decryption unit that decrypts the common key that is encrypted with the public key of the playback terminal and distributed from the authentication server in the authentication device;
A decryption unit for decrypting the distribution data using the common key;
A sending unit for sending a delivery data transmission request packet to receive the delivery data;
A multicast stream authentication system using cryptographic key distribution, comprising:
前記配信装置で生成した,前記配信データを復号する共通鍵を登録する鍵データベースと;
前記配信装置から送信される公開鍵や前記再生端末から送信される公開鍵を受信する鍵受配信部と;
前記再生端末から送信される公開鍵を登録しておき,前記再生端末が前記配信データの閲覧権限を有するか認証する認証部と;
前記再生端末が配信データ送信要求パケットを送出すると,前記配信データ送信要求パケットを収集する収集部と;
を含むことを特徴とする,認証装置。 An authentication device that authenticates, using a key authentication method, whether a reproduction terminal has the authority to reproduce distribution data distributed from a distribution device using a multicast method:
A key database for registering a common key for decrypting the distribution data generated by the distribution device;
A key receiving and distributing unit that receives a public key transmitted from the distribution device and a public key transmitted from the playback terminal;
An authentication unit that registers a public key transmitted from the playback terminal and authenticates whether the playback terminal has an authority to view the distribution data;
A collection unit that collects the distribution data transmission request packet when the reproduction terminal transmits the distribution data transmission request packet;
An authentication device comprising:
前記配信データの暗号化および復号化を行う共通鍵を生成する暗号・復号鍵生成部と;
前記認証装置から送信される公開鍵を受信し,前記共通鍵を前記認証装置から送信される公開鍵で暗号化し,前記認証装置に授与する鍵配信部と;
前記配信データを前記共通鍵で暗号化する暗号化部と;
を含むことを特徴とする,配信装置。 A distribution apparatus that distributes distribution data using a multicast method and authenticates the viewing authority of the distribution data with an authentication apparatus:
An encryption / decryption key generation unit for generating a common key for encrypting and decrypting the distribution data;
A key distribution unit that receives a public key transmitted from the authentication device, encrypts the common key with a public key transmitted from the authentication device, and grants the same to the authentication device;
An encryption unit for encrypting the distribution data with the common key;
A distribution device characterized by including:
A computer program for causing a computer to function as the distribution device according to any one of claims 16 to 18.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005264650A JP2007081597A (en) | 2005-09-13 | 2005-09-13 | System for authenticating multicast stream by cipher key distribution via authentication server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005264650A JP2007081597A (en) | 2005-09-13 | 2005-09-13 | System for authenticating multicast stream by cipher key distribution via authentication server |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007081597A true JP2007081597A (en) | 2007-03-29 |
Family
ID=37941457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005264650A Withdrawn JP2007081597A (en) | 2005-09-13 | 2005-09-13 | System for authenticating multicast stream by cipher key distribution via authentication server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007081597A (en) |
-
2005
- 2005-09-13 JP JP2005264650A patent/JP2007081597A/en not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4705958B2 (en) | Digital Rights Management Method for Broadcast / Multicast Service | |
JP3816689B2 (en) | Information distribution apparatus, information reception apparatus, and communication method | |
Chu et al. | A secure multicast protocol with copyright protection | |
US7995603B2 (en) | Secure digital content delivery system and method over a broadcast network | |
US7334125B1 (en) | Facilitating secure communications among multicast nodes in a telecommunications network | |
TWI273846B (en) | Process for point-to-point secured transmission of data and electronic module for implementing the process | |
WO2007099729A1 (en) | Content distribution system, content distribution method, terminal device, and recording medium containing the program | |
WO2007095803A1 (en) | A method and system for encrypting and decrypting the on demand stream media data in wmv format | |
JP4666015B2 (en) | Content distribution system, content receiving terminal, and content distribution method | |
JP2011172276A (en) | Method, device and system for relating entities for protecting content to each other | |
JP2008524890A (en) | How to send digital data in a local area network | |
JP2009531880A (en) | Method, system, subscriber unit and multimedia server for digital copyright protection | |
WO2008125023A1 (en) | A system, protecting method and server of realizing virtual channel service | |
KR20060064469A (en) | Apparatus and method for protecting multicast streamed motion picture files | |
MX2008002829A (en) | Method and apparatus for distribution and synchronization of cryptographic context information. | |
US20080298580A1 (en) | Content delivery server and content delivery system | |
JP2012105293A (en) | Inter-entity coupling method, apparatus and system thereof for service protection | |
EP1290885B1 (en) | Secure digital content delivery system and method over a broadcast network | |
JP2008048050A (en) | Encrypted data communication system | |
JP2008092432A (en) | Method for transmitting digital contents and receiver | |
JP4907969B2 (en) | Digital content transmission method, digital content transmission device, and digital content reception device | |
JP3794050B2 (en) | Data transmission apparatus and method and data receiving apparatus | |
JP2003229844A (en) | Data transfer system | |
JP2007081597A (en) | System for authenticating multicast stream by cipher key distribution via authentication server | |
JP3621682B2 (en) | Digital broadcasting apparatus and digital broadcasting method, digital broadcasting receiving apparatus, digital broadcasting receiving method, and digital broadcasting receiving system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20081202 |