JP2007535204A - 認証プログラム実行方法 - Google Patents

認証プログラム実行方法 Download PDF

Info

Publication number
JP2007535204A
JP2007535204A JP2006520502A JP2006520502A JP2007535204A JP 2007535204 A JP2007535204 A JP 2007535204A JP 2006520502 A JP2006520502 A JP 2006520502A JP 2006520502 A JP2006520502 A JP 2006520502A JP 2007535204 A JP2007535204 A JP 2007535204A
Authority
JP
Japan
Prior art keywords
certificate
program
file
authentication
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006520502A
Other languages
English (en)
Inventor
忠夫 楠堂
隆一 塩見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JP2007535204A publication Critical patent/JP2007535204A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/14Systems for two-way working
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/14Systems for two-way working
    • H04N7/141Systems for two-way working between two video terminals, e.g. videophone
    • H04N7/147Communication arrangements, e.g. identifying the communication as a video-communication, intermediate storage of the signals
    • CCHEMISTRY; METALLURGY
    • C07ORGANIC CHEMISTRY
    • C07CACYCLIC OR CARBOCYCLIC COMPOUNDS
    • C07C6/00Preparation of hydrocarbons from hydrocarbons containing a different number of carbon atoms by redistribution reactions
    • C07C6/02Metathesis reactions at an unsaturated carbon-to-carbon bond
    • C07C6/04Metathesis reactions at an unsaturated carbon-to-carbon bond at a carbon-to-carbon double bond
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/235Processing of additional data, e.g. scrambling of additional data or processing content descriptors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/432Content retrieval operation from a local storage medium, e.g. hard-disk
    • H04N21/4325Content retrieval operation from a local storage medium, e.g. hard-disk by playing back content from the storage medium
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/433Content storage operation, e.g. storage operation in response to a pause request, caching operations
    • H04N21/4334Recording operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/434Disassembling of a multiplex stream, e.g. demultiplexing audio and video streams, extraction of additional data from a video stream; Remultiplexing of multiplex streams; Extraction or processing of SI; Disassembling of packetised elementary stream
    • H04N21/4345Extraction or processing of SI, e.g. extracting service information from an MPEG stream
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/434Disassembling of a multiplex stream, e.g. demultiplexing audio and video streams, extraction of additional data from a video stream; Remultiplexing of multiplex streams; Extraction or processing of SI; Disassembling of packetised elementary stream
    • H04N21/4348Demultiplexing of additional data and video streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/435Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/438Interfacing the downstream path of the transmission network originating from a server, e.g. retrieving encoded video stream packets from an IP network
    • H04N21/4383Accessing a communication channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/438Interfacing the downstream path of the transmission network originating from a server, e.g. retrieving encoded video stream packets from an IP network
    • H04N21/4385Multiplex stream processing, e.g. multiplex stream decrypting
    • H04N21/43853Multiplex stream processing, e.g. multiplex stream decrypting involving multiplex stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • H04N21/4431OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB characterized by the use of Application Program Interface [API] libraries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • H04N21/4433Implementing client middleware, e.g. Multimedia Home Platform [MHP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • H04N21/4437Implementing a Virtual Machine [VM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/458Scheduling content for creating a personalised stream, e.g. by combining a locally stored advertisement with an incoming stream; Updating operations, e.g. for OS modules ; time-related management operations
    • H04N21/4586Content update operation triggered locally, e.g. by comparing the version of software modules in a DVB carousel to the version stored locally
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4627Rights management associated to the content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/61Network physical structure; Signal processing
    • H04N21/6106Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
    • H04N21/6118Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving cable transmission, e.g. using a cable modem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/61Network physical structure; Signal processing
    • H04N21/6156Network physical structure; Signal processing specially adapted to the upstream path of the transmission network
    • H04N21/6168Network physical structure; Signal processing specially adapted to the upstream path of the transmission network involving cable transmission, e.g. using a cable modem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/84Generation or processing of descriptive data, e.g. content descriptors
    • H04N21/8402Generation or processing of descriptive data, e.g. content descriptors involving a version number, e.g. version number of EPG data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17345Control of the passage of the selected programme

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Chemical & Material Sciences (AREA)
  • Organic Chemistry (AREA)
  • General Engineering & Computer Science (AREA)
  • Library & Information Science (AREA)
  • Theoretical Computer Science (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

従来技術では、プログラムを不揮発性メモリに一旦保存してプログラムを起動する場合、起動直前にそのプログラムを認証する。プログラムの起動開始までには、暗号化された値を復号する等の計算が必要で、計算に要する時間の分だけ応答性が悪くなるという問題を有する。この課題を解決するために、プログラムの保存直前に認証を行い、プログラムの起動時には認証を一切しない、もしくは、証明書の有効性を確認するという認証の一部のみを行っている。

Description

本発明は、ダウンロードしたプログラムの信用性を確認し、信用性が確認されたプログラムを実行する認証プログラム実行方法に関する。
デジタルテレビにおけるプログラムをダウンロードして、そのプログラムの信用性を確認・保証する機能は、DVB−MHP規格書“ETSI TS 101 812 V1.2.1 DVB−MHP仕様1.0.2”等に記載されている。ここでは、受信中の放送波に重畳されたプログラムに対し、改竄が行われていないかの検証と、そのプログラムが信用できる機関によって発行されたものであるかの検証を行う機能を有する。これにより、デジタルテレビにダメージを与えるような、書き換えられて本来とは異なる動作をするプログラムや、他人になりすました第三者のプログラムが起動されることを未然に防ぐことができる。
また、特開2000−29833号では、データを蓄積・送信するサーバ装置と、ネットワークを経由してデータを受信する端末装置とで構成され、受信されたデータは端末装置に蓄積し、蓄積されたデータが不正利用されることを防止する技術について述べている。特開2000−29833号の図1によると、サーバ装置10は、端末装置20からの要求により記憶手段15に記憶されたデータを記憶手段23にコピーし、記憶手段23に記憶されたデータを利用する時、照会手段26によりサーバ装置10に問い合わせを行い、認証手段13によりデータの利用を監査し、問題がなければ、端末装置20においてデータを利用するという技術が説明されている。上記の装置では、電源のON/OFFが発生しても、不揮発性メモリに保存されたデータの信用性を確認後、データの読み込みをすることができる。以下では、プログラムやデータの信用性を確認することを認証と呼ぶ。
しかしながら、従来の技術においては、プログラムを不揮発性メモリに一旦保存し、装置の電源のOFF/ON後にプログラムを起動する場合、起動直前にそのプログラムを認証する。この場合、プログラムの起動開始までには、暗号化された値を復号する等の計算が必要で、計算に要する時間の分だけ応答性が悪くなるという問題を有する。特に、プログラムが頻繁に起動される、もしくは、プログラムの容量規模が大きいような場合では、頻度と容量規模に比例して計算量が増えるので応答性が劣化していく。
上記問題点を鑑みて、プログラムの信用性を保証しながらも、プログラムの起動開始までに要する時間を短縮し、応答性の向上したデジタルテレビ等のプログラム認証装置を提供することが望まれる。
本発明は、プログラムの保存直前に認証を行い、プログラムの起動時には認証を一切しない、もしくは、一部のみ認証するだけでも、信用性の保証と応答性の向上が両立可能な認証プログラム実行方法を提供することを目的とする。
前記従来の課題を解決するために、本発明に係る認証プログラム実行方法は、トランスポートストリームに含まれるプログラムのデータファイルの保存に関する情報に従い、前記トランスポートストリームに含まれるプログラムを認証し放送受信装置に保存する認証・保存ステップと、前記認証・保存したプログラムを実行する実行ステップとを有する認証プログラム実行方法であって、前記認証・保存ステップは、前記プログラムに含まれるデータファイルのハッシュ値が前記データファイルに対応するハッシュファイルに格納されたハッシュ値と一致するかどうかをチェックする第1のステップと、前記プログラムに含まれる証明書ファイルの有効性を検証する第2のステップと、前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第3のステップと、前記第1のステップにてハッシュ値が一致し、前記第2のステップにて前記証明書ファイルが有効であると判定され、前記第3のステップにてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記保存に関する情報に従い前記プログラムのデータファイルを保存する第4のステップとを含み、前記実行ステップは、前記保存したプログラムに含まれる証明書ファイルの有効性を検証する第5のステップを含み、前記第5のステップにて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行することを特徴とする。
これによって、信用性を確保しながら起動開始までに要する時間を短縮することができる。
また、前記プログラムがディレクトリ構造を有する場合には、各ディレクトリに含まれる前記データファイルと、対応する前記ハッシュファイルとは同一ディレクトリ内に存在し、前記第1のステップは前記各ディレクトリのデータファイルに対して実行されてもよい。
これによって、各ディレクトリに含まれるデータファイルごとに、データファイルのハッシュ値がデータファイルに対応するハッシュファイルに格納されたハッシュ値と一致するかどうかをチェックすることができる。
また、前記第2のステップは、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第6のステップを有し、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定してもよい。
ここで、前記第2のステップは、さらに、前記プログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第7のステップを有し、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、認証日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定してもよい。
これによって、ルート証明書が一致しない、または証明書の有効期間が過ぎてしまったプログラムを保存するのを防止することができる。
また、前記第5のステップは、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第8のステップを有し、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定してもよい。
ここで、前記第5のステップは、さらに、前記保存したプログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第9のステップを有し、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、実行日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定してもよい。
これによって、ルート証明書が一致しない、または証明書の有効期間が過ぎてしまったプログラムを実行するのを防止することができる。
さらに、本発明は、このような認証プログラム実行方法として実現することができるだけでなく、このような認証プログラム実行方法が含む特徴的なステップを手段として備える認証プログラム実行装置として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのは言うまでもない。
以上の説明から明らかなように、本発明に係る認証プログラム実行方法によれば、プログラムの信用性を確保しながら起動開始までに要する時間を短縮することができる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
本発明に係るケーブルテレビシステムの実施の形態を、図面を参照しながら説明する。図1は、ケーブルシステムを構成する装置の関係を表したブロック図であり、ヘッドエンド101及び3個の端末装置A111、端末装置B112、端末装置C113で構成される。本実施の形態では、1つのヘッドエンドに対して3つの端末装置が結合されているが、任意の数の端末装置をヘッドエンドに結合しても、本発明は実施可能である。
ヘッドエンド101は、複数の端末装置に対して映像・音声・データ等の放送信号を送信するとともに、端末装置からのデータ送信を受信する。これを実現するため、ヘッドエンド101と端末装置A111、端末装置B112、端末装置C113間の伝送に用いられる周波数帯域は、分割して用いられる。図2は、周波数帯域の分割の一例を示す表である。周波数帯域は、Out Of Band(略称OOB)とIn−Bandの2種類に大別される。5〜130MHzがOOBに割り当てられ、主にヘッドエンド101と端末装置A111、端末装置B112、端末装置C113間のデータのやり取りに使用される。130MHz〜864MHzはIn−Bandに割り当てられ、主として、映像・音声を含む放送チャンネルに使用される。OOBではQPSK変調方式が、In−BandはQAM64変調方式が使用される。変調方式技術については、本発明に関与が薄い公知技術であるので、詳細な説明は省略する。図3は、OOB周波数帯域の更に詳細な使用の一例である。70MHz〜74MHzはヘッドエンド101からのデータ送信に使用され、全ての端末装置A111、端末装置B112、端末装置C113が、ヘッドエンド101から同じデータを受け取ることになる。一方、10.0MHz〜10.1MHzは端末装置A111からヘッドエンド101へのデータ送信に使用され、10.1MHz〜10.2MHzは端末装置B112からヘッドエンド101へのデータ送信に使用され、10.2MHz〜10.3MHzは端末装置C113からヘッドエンド101へのデータ送信に使用される。これにより、各端末装置固有のデータを各端末装置A111、端末装置B112、端末装置C113からヘッドエンド101に送信することができる。図4は、In−Bandの周波数帯に対する使用の一例である。150〜156MHzと156〜162MHzはそれぞれテレビチャンネル1とテレビチャンネル2に割り当てられ、以降、6MHz間隔でテレビチャンネルが割り当てられている。310MHz以降は、1MHz単位でラジオチャンネルに割り当てられている。これらの各チャンネルはアナログ放送として使用してもデジタル放送として使用してもよい。デジタル放送の場合は、MPEG2仕様に基づいたトラスポートパケット形式で伝送され、音声や映像に加え、各種データ放送用データも送信することができる。
ヘッドエンド101は、これらの周波数帯域に適切な放送信号を送信するため、QPSK変調部やQAM変調部等を有する。また、端末装置からのデータを受信するため、QPSK復調器を有する。また、ヘッドエンド101は、これら変調部及び復調部に関連する様々な機器を有すると考えられる。しかし、本発明は主として端末装置に関わるので、詳細な説明は省略する。
端末装置A111、端末装置B112、端末装置C113は、ヘッドエンド101からの放送信号を受信し再生する。また、ヘッドエンド101に対して、各端末装置固有のデータを送信する。3つの、端末装置は本実施の形態では同じ構成を取る。
図5は、端末装置のハードウエア構成を表すブロック図である。500は端末装置であり、QAM復調部501、QPSK復調部502、QPSK変調部503、TSデコーダ505、オーディオデコーダ506、スピーカ507、ビデオデコーダ508、ディスプレイ509、2次記憶部510、1次記憶部511、ROM512、入力部513、CPU514で構成される。また端末装置500には、POD504が着脱できる。
図6は、端末装置500の外観の一例である薄型テレビである。端末装置は様々な構成で実現できるが、本実施例ではOpenCable(TM)及びOCAPに基づいて構成された端末装置を例にとって説明する。
601は、薄型テレビの筐体であり、POD504を除く、端末装置500の構成要素をすべて内蔵している。
602はディスプレイであり、図5におけるディスプレイ509に相当する。
603は複数のボタンで構成されるフロントパネル部であり、図5の入力部513に相当する。
604は信号入力端子であり、ヘッドエンド101との信号の送受信を行うためにケーブル線を接続する。信号入力端子は、図5のQAM復調部501、QPSK復調部502、QPSK変調部503と接続されている。
605は、図5のPOD504に相当するPODカードである。POD504は、図6のPODカード605のように、端末装置500とは独立した形態を取り、端末装置500に着脱可能となっている。POD504の詳細は後述する。
606はPODカード605を挿入する挿入スロットである。
図5を参照して、QAM復調部501は、CPU514から指定された周波数を含むチューニング情報で、ヘッドエンド101でQAM変調され送信されてきた信号を復調し、POD504に引き渡す。
QPSK復調部502は、CPU514から指定された周波数を含むチューニング情報で、ヘッドエンド101でQPSK変調され送信されてきた信号を復調し、POD504に引き渡す。
QPSK変調部503は、CPU514から指定された周波数を含む復調情報で、POD504から渡された信号をQPSK復調し、ヘッドエンド101に送信する。
POD504は、図6のように端末装置本体500から着脱可能な形態をしている。端末本体500とPOD504の接続インターフェースは、OpenCable(TM) CableCARD(TM) Interface Specification(OC−SP−CC−IF−I15−031121)及び、この仕様書から参照されている仕様書で定義されている。なお、仕様書のCableCARDとはPODのことを指している。ここでは、詳細は省略し、本発明に関する部分のみを解説する。
図7は、POD504の内部構成を表すブロック図である。POD504は、第1デスクランブラ部701、第2デスクランブラ部702、スクランブラ部703、第1記憶部704、第2記憶部705、CPU706で構成される。
第1デスクランブラ部701は、CPU706からの指示により、端末装置500のQAM復調部501から暗号化された信号を受け取り、復号を行う。そして、復号された信号を端末装置500のTSデコーダ505に送る。デコードに必要な鍵などの情報はCPU706から適宜与えられる。具体的には、ヘッドエンド101はいくつかの有料チャンネルを放送している。ユーザーが、この有料チャンネルを購買すると、第1デスクランブラ部701は、CPU706から鍵等の必要な情報を受け取りデスクランブルすることで、ユーザーは有料チャンネルを閲覧することができる。鍵などの必要な情報が与えられない場合は、第1デスクランブラ部701は、デスクランブルを行わず、受け取った信号をそのまま、TSデコーダ505に送る。
第2デスクランブラ部702は、CPU706からの指示により、端末装置500のQPSK復調部502から暗号化された信号を受け取り、復号を行う。そして、復号されたデータをCPU706に引き渡す。
スクランブラ部703は、CPU706からの指示により、CPU706から受け取ったデータを暗号化し、端末装置500のQPSK変調部503に送る。
第1記憶部704は、具体的にはRAM等の一次記憶メモリで構成され、CPU706が処理を行う際、一時的にデータを保存するために使用される。
第2記憶部705は、具体的にはフラッシュROM等の2次記憶メモリで構成され、CPU706が実行するプログラムを格納し、また、電源OFFになっても消去されては困るデータの保存に使用される。
CPU706は、第2記憶部705が記憶するプログラムを実行する。プログラムは複数のサブプログラムで構成される。図8は、第2記憶部705が記憶するプログラムの一例である。図8では、プログラム800は、メインプログラム801、初期化サブプログラム802、ネットワークサブプログラム803、再生サブプログラム804、PPVサブプログラム805等複数のサブプログラムで構成されている。
ここでPPVとはPay Per Viewの略であり、映画など特定の番組を有料で視聴できるようにするサービスである。ユーザーが暗証番号を入力すると、購入したことがヘッドエンド101に通知され、スクランブルが解除され、視聴することが出来る。この視聴により、ユーザーは後日、購入代金を支払うものである。
メインプログラム801は、CPU706が電源投入時に最初に起動するサブプログラムであり、他のサブプログラムの制御を行う。
初期化サブプログラム802は、電源投入時にメインプログラム801によって起動され、端末装置500との情報交換等を行い、初期化処理を行う。初期化処理の詳細は、OpenCable(TM) CableCARD(TM) Interface Specification(OC−SP−CC−IF−I15−031121)及び、この仕様書から参照されている仕様書で定義されている。また、仕様書に定義されていない初期化処理も行う。ここでは、その一部を紹介する。電源が投入されると、初期化サブプログラム802は、第2記憶部705が記憶する第1の周波数を端末装置500のCPU514を通して、QPSK復調部502に通知する。QPSK復調部502は、与えられた第1の周波数でチューニングを行い、信号を第2デスクランブラ部702に送る。また、初期化サブプログラム802は、第2記憶部705が記憶する第1の鍵等の復号情報を第2デスクランブラ部702に与える。その結果、第2デスクランブラ部702は、デスクランブルを行い、初期化サブプログラム802を実行するCPU706に引き渡す。よって、初期化サブプログラム802は情報を受け取ることができる。本実施の形態では、初期化サブプログラム802はネットワークサブプログラム803を通して情報を受け取ることとする。詳細は後述する。
また、初期化サブプログラム802は、第2記憶部705が記憶する第2の周波数を端末装置500のCPU514を通して、QPSK変調部503に通知する。初期化サブプログラム802は第2記憶部705が記憶する暗号化情報をスクランブラ部703に与える。初期化サブプログラム802が送信したい情報を、ネットワークサブプログラム803を介して、スクランブラ部703に与えると、スクランブラ部703は、与えられた暗号化情報を用いて、データを暗号化し、端末装置500のQPSK変調部503に与える。QPSK変調部503は、与えられた暗号化された情報を変調し、ヘッドエンド101に送信する。
この結果、初期化サブプログラム802は、端末装置500、第2デスクランブラ部702、スクランブラ部703、ネットワークサブプログラム803を通して、ヘッドエンド101と双方向通信を行うことができる。
ネットワークサブプログラム803は、メインプログラム801、初期化サブプログラム802等の複数のサブプログラムから使用される、ヘッドエンド101との双方向通信を行うためのサブプログラムである。具体的には、ネットワークサブプログラム803を使用する他のサブプログラムに対して、TCP/IPによって、ヘッドエンド101と双方向通信を行っているように振舞う。TCP/IPは、複数の装置間で情報交換を行うためのプロトコルを規定した公知の技術であり、詳細な説明は省略する。ネットワークサブプログラム803は、電源投入時に初期化サブプログラム802に起動されると、予め第2記憶部705が記憶しているPOD504を識別する識別子であるMACアドレス(Media Access Controlアドレスの略)を、端末装置500を通してヘッドエンド101に通知し、IPアドレスの取得を要求する。ヘッドエンド101は、端末装置500を介してPOD504にIPアドレスを通知し、ネットワークサブプログラム803は、IPアドレスを第1記憶部704に記憶する。以降、ヘッドエンド101とPOD504は、このIPアドレスを、POD504の識別子として使用し、通信を行う。
再生サブプログラム804は、第2記憶部705が記憶する第2の鍵等の復号情報や、端末装置500から与えられる第3の鍵等の復号情報を第1デスクランブラ部701に与えて、デスクランブルを可能にする。また、ネットワークサブプログラム803を通して、第1デスクランブラ部701に入力されている信号が、PPVチャンネルであることの情報を受け取る。PPVチャンネルと知ったときは、PPVサブプログラム805を起動する。
PPVサブプログラム805は、起動されると、端末装置500に番組の購入を促すメッセージを表示し、ユーザーの入力を受け取る。具体的には、端末装置500のCPU514に画面に表示したい情報を送ると、端末装置500のCPU514上で動作するプログラムが、端末装置500のディスプレイ509上にメッセージを表示する。ユーザーは、端末装置500の入力部513を通して暗証番号を入力すると、端末装置500のCPU514が、それを受け取り、POD504のCPU706上で動作するPPVサブプログラム805に通知する。PPVサブプログラム805は、受け取った暗証番号をネットワークサブプログラム803を通してヘッドエンド101に送信する。ヘッドエンド101は、暗証番号が正しければ、復号に必要な第4の鍵などの復号化情報をネットワークサブプログラム803を介して、PPVサブプログラム805に通知する。PPVサブプログラム805は受け取った第4の鍵などの復号化情報を第1デスクランブラ部701に与え、第1デスクランブラ部701は、入力されている信号をデスクランブルする。
図5を参照して、TSデコーダ505は、POD504から受け取った信号のフィルタリングを実施し、必要なデータをオーディオデコーダ506及びビデオデコーダ508、CPU514に引き渡す。ここで、POD504から来る信号はMPEG2トランスポートストリームである。MPEG2トランスポートストリームの詳細はMPEG規格書 ISO/IEC138181−1に記載されており、本実施の形態では詳細は省略する。MPEG2トランスポートストリームは、複数の固定長パケットで構成され、各パケットには、パケットIDが振られている。図9はパケットの構成図である。900はパケットであり、固定長の188バイトで構成される。先頭4バイトがヘッダー901で、パケットの識別情報を格納しており、残り184バイトがペイロード902で、送信したい情報を含んでいる。903は、ヘッダー901の内訳である。先頭から12ビット目〜24ビット目までの13ビットにパケットIDが含まれている。図10は送られてくる複数のパケットの列を表現した模式図である。パケット1001は、ヘッダーにパケットID「1」を持ち、ペイロードには映像Aの1番目の情報が入っている。パケット1002は、ヘッダーにパケットID「2」を持ち、ペイロードには音声Aの1番目の情報が入っている。パケット1003は、ヘッダーにパケットID「3」を持ち、ペイロードには音声Bの1番目の情報が入っている。
パケット1004は、ヘッダーにパケットID「1」を持ち、ペイロードには映像Aの2番目の情報が入っており、これはパケット1001の続きになっている。同様にパケット1005、1026、1027も他のパケットの後続データを格納している。このように、同じパケットIDを持つ、パケットのペイロードの内容を連結すると、連続した映像や音声を再現することができる。
図10を参照して、CPU514がパケットID「1」と出力先として「ビデオデコーダ508」をTSデコーダ505に指示すると、TSデコーダ505はPOD504から受け取ったMPEG2トランスポートストリームからパケットID「1」のパケットを抽出し、ビデオデコーダ508に引き渡す。図10においては、映像データのみをビデオデコーダ508に引き渡すことになる。同時に、CPU514がパケットID「2」と「オーディオデコーダ506」をTSデコーダ505に指示すると、TSデコーダ505はPOD504から受け取ったMPEG2トランスポートストリームからパケットID「2」のパケットを抽出し、オーディオデコーダ506に引き渡す。図10においては、音声データのみをビデオデコーダ508に引き渡すことになる。
このパケットIDに応じて必要なパケットだけを取り出す処理が、TSデコーダ505が行うフィルタリングである。TSデコーダ505はCPU514から指示された複数のフィルタリングを同時に実行することができる。
図5を参照して、オーディオデコーダ506は、TSデコーダ505から与えられたMPEG2トランスポートストリームのパケットに埋め込まれたオーディオデータを連結し、デジタル−アナログ変換を行いスピーカ507に出力する。
スピーカ507は、オーディオデコーダ506から与えられた信号を音声出力する。
ビデオデコーダ508は、TSデコーダ505から与えられたMPEG2トランスポートストリームのパケットに埋め込まれたビデオデータを連結し、デジタル−アナログ変換を行いディスプレイ509に出力する。
ディスプレイ509は、具体的にはブラウン管や液晶等で構成され、ビデオデコーダ508から与えられたビデオ信号を出力したり、CPU514から指示されたメッセージを表示したりする。
2次記憶部510は、具体的には、フラッシュメモリーやハードディスク等で構成され、CPU514から指示されたデータやプログラムを保存したり削除したりする。また、保存されているデータやプログラムはCPU514に参照される。保存されているデータやプログラムは、端末装置500の電源が切断された状態でも保存しつづける。
1次記憶部511は、具体的には、RAM等で構成され、CPU514から指示されたデータやプログラムを一次的に保存したり削除したりする。また、保存されているデータやプログラムはCPU514に参照される。保存されているデータやプログラムは、端末装置500の電源が切断された際に、抹消される。
ROM512は、書き換え不可能なメモリーデバイスであり、具体的にはROMやCD−ROM、DVDなどで構成される。ROM512は、CPU514が実行するプログラムが格納されている。
入力部513は、具体的には、フロントパネルやリモコンで構成され、ユーザーからの入力を受け付ける。図11は、フロントパネルで入力部513を構成した場合の一例である。1100はフロントパネルであり、図6のフロントパネル部603に相当する。フロントパネル1100は7つのボタン、上カーソルボタン1101、下カーソルボタン1102、左カーソルボタン1103、右カーソルボタン1104、OKボタン1105、取消ボタン1106、EPGボタン1107を備えている。ユーザーがボタンを押下すると、押下されたボタンの識別子が、CPU514に通知される。
CPU514は、ROM512が記憶するプログラムを実行する。実行するプログラムの指示に従い、QAM復調部501、QPSK復調部502、QPSK変調部503、POD504、TSデコーダ505、ディスプレイ509、2次記憶部510、1次記憶部511、ROM512を制御する。
図12は、ROM512に記憶され、CPU514に実行されるプログラムの構成図の一例である。
プログラム1200は、複数のサブプログラムで構成され、具体的にはOS1201、EPG1202、Java(登録商標)VM1203、サービスマネージャ1204、Javaライブラリ1205で構成される。
OS1201は、端末装置500の電源が投入されると、CPU514が起動するサブプログラムである。OS1201は、オペレーティングシステムの略であり、Linux等が一例である。OS1201は、他のサブプログラムを平行して実行するカーネル1201a及びライブラリ1201bで構成される公知の技術の総称であり、詳細な説明は省略する。本実施の形態においては、OS1201のカーネル1201aは、EPG1202とJavaVM1203をサブプログラムとして実行する。また、ライブラリ1201bは、これらサブプログラムに対して、端末装置500が保持する構成要素を制御するための複数の機能を提供する。
機能の一例として、チューニング機能を紹介する。チューニング機能は、他のサブプログラムから周波数を含むチューニング情報を受け取り、それをQAM復調部501に引き渡す。QAM復調部501は与えられたチューニング情報に基づき復調処理を行い、復調したデータをPOD504に引き渡すことができる。この結果、他のサブプログラムはライブラリ1201bを通してQAM復調器を制御することができる。
EPG1202は、ユーザーに番組一覧を表示及び、ユーザーからの入力を受け付ける番組表示部1202aと、チャンネル選局を行う再生部1102bで構成される。ここで、EPGはElectric Program Guideの略である。EPG1202は、端末装置500の電源が投入されると、カーネル1201aによって起動される、起動されたEPG1202の内部では、番組表示部1202aが端末装置500の入力部513を通して、ユーザーからの入力を待つ。ここで、入力部513が図11で示されるフロントパネルで構成されている場合、ユーザーが、入力部513のEPGボタン1107を押下すると、EPGボタンの識別子がCPU514に通知される。CPU514上で動作するサブプログラムであるEPG1202の番組表示部1202aは、この識別子を受け取り、番組情報をディスプレイ509に表示する。図13A及び図13Bは、ディスプレイ509に表示された番組表の一例である。図13Aを参照して、ディスプレイ509には、格子状に番組情報が表示されている。列1301には、時刻情報が表示されている。列1302には、チャンネル名「チャンネル1」と、列1301の時刻に対応する時間帯に放映される番組が表示されている。「チャンネル1」では、9:00〜10:30に番組「ニュース9」が放映され、10:30〜12:00は「映画AAA」が放映されることを表す。列1303も列1302同様、チャンネル名「チャンネル2」と、列1301の時刻に対応する時間帯に放映される番組が表示されている。9:00〜11:00に番組「映画BBB」が放映され、11:00〜12:00は「ニュース11」が放映される。1330は、カーソルである。カーソル1330は、フロントパネル1100の左カーソル1103と右カーソル1104を押下すると移動する。図13Aの状態で、右カーソル1104を押下すると、カーソル1330は右に移動し、図13Bのようになる。また、図13Bの状態で、左カーソル1103を押下すると、カーソル1330は左に移動し、図13Aのようになる。
図13Aの状態で、フロントパネル1100のOKボタン1105が押下されると、番組表示部1202aは、「チャンネル1」の識別子を再生部1102bに通知する。図13Bの状態で、フロントパネル1100のOKボタン1105が押下されると、番組表示部1202aは、「チャンネル2」の識別子を再生部1102bに通知する。
また、番組表示部1202aは、表示する番組情報を、POD504を通してヘッドエンド101から定期的に、1次記憶部511に記憶しておく。一般的に、ヘッドエンドからの番組情報の取得は時間が掛かる。入力部513のEPGボタン1107が押下された時、1次記憶部511に予め保存された番組情報を表示することで、素早く番組表を表示することができる。
再生部1102bは、受け取ったチャンネルの識別子を用いて、チャンネルを再生する。チャンネルの識別子とチャンネルの関係は、チャンネル情報として、2次記憶部510に予め格納されている。図14は2次記憶部510に格納されているチャンネル情報の一例である。チャンネル情報は表形式で格納されている。列1401は、チャンネルの識別子である。列1402は、チャンネル名である。列1403はチューニング情報である。ここで、チューニング情報は周波数や転送レート、符号化率などを含み、QAM復調部501に与える値である。列1404はプログラムナンバーである。プログラムナンバーとは、MPEG2規格で規定されているPMTを識別するための番号である。PMTに関しては、後述する。行1411〜1414の各行は、各チャンネルの識別子、チャンネル名、チューニング情報の組となる。行1411は識別子が「1」、チャンネル名が「チャンネル1」、チューニング情報に周波数「312MHz」、プログラムナンバーが「101」を含む組となっている。再生部1102bは、チャンネルの再生を行うため、受け取ったチャンネルの識別子をそのままサービスマネージャに引き渡す。
また、再生部1102bは、再生中に、ユーザーがフロントパネル1100の上カーソル1101と下カーソル1102を押下すると、入力部513からCPU514を通して、押下された通知を受け取り、再生しているチャンネルを変更する。まず、再生部1102bは、1次記憶部511に現在再生中のチャンネルの識別子を記憶する。図15A、図15B及び図15Cは、1次記憶部511に保存しているチャンネルの識別子の例である。図15Aでは識別子「3」が記憶されており、図14を参照し、チャンネル名「TV 3」のチャンネルが再生中であることを示す。図15Aの状態で、ユーザーが上カーソル1101を押下すると再生部1102bは、図14のチャンネル情報を参照し、表中の前のチャンネルであるチャンネル名「チャンネル2」のチャンネルに再生を切り変えるため、サービスマネージャにチャンネル名「チャンネル2」の識別子「2」を引き渡す。同時に、1次記憶部511に記憶されているチャンネル識別子「2」に書き換える。図15Bは、チャンネル識別子が書き換えられた状態を表す。また、図15Aの状態で、ユーザーが下カーソル1102を押下すると再生部1102bは、図14のチャンネル情報を参照し、表中の次のチャンネルであるチャンネル名「TV Japan」のチャンネルに再生を切り変えるため、サービスマネージャにチャンネル名「TV Japan」の識別子「4」を引き渡す。同時に、1次記憶部511に記憶されているチャンネル識別子「4」に書き換える。図15Cは、チャンネル識別子が書き換えられた状態を表す。
JavaVM1203は、Java(TM)言語で記述されたプログラムを逐次解析し実行するJavaバーチャルマシンである。Java言語で記述されたプログラムはバイトコードと呼ばれる、ハードウエアに依存しない中間コードにコンパイルされる。Javaバーチャルマシンは、このバイトコードを実行するインタープリタである。また、一部のJavaバーチャルマシンは、バイトコードをCPU514が理解可能な実行形式に翻訳してから、CPU514に引渡し、実行することも行う。JavaVM1203は、カーネル1201aに実行するJavaプログラムを指定され起動される。本実施の形態では、カーネル1201aは、実行するJavaプログラムとしてサービスマネージャ1204を指定する。Java言語の詳細は、書籍「Java Language Specification(ISBN 0−201−63451−1)」等の多くの書籍で解説されている。ここでは、その詳細を省略する。また、JavaVM自体の詳細な動作などは、「Java Virtual Machine Specification(ISBN 0−201−63451―X)」等の多くの書籍で解説されている。ここでは、その詳細を省略する。
サービスマネージャ1204は、Java言語で書かれたJavaプログラムであり、JavaVM1203によって逐次実行される。サービスマネージャ1204は、JNI(Java Native Interface)を通して、Java言語で記述されていない他のサブプログラムを呼び出したり、または、呼び出されたりすることが可能である。JNIに関しても、書籍「Java Native Interface」等の多くの書籍で解説されている。ここでは、その詳細を省略する。
サービスマネージャ1204は、JNIを通して、再生部1102bよりチャンネルの識別子を受け取る。
サービスマネージャ1204は、最初にJavaライブラリ1205の中にあるTuner1205cに、チャンネルの識別子を引き渡し、チューニングを依頼する。Tuner1205cは、2次記憶部510が記憶するチャンネル情報を参照し、チューニング情報を獲得する。今、サービスマネージャ1204がチャンネルの識別子「2」をTuner1205cに引き渡すと、Tuner1205cは、図14の列1412を参照して、対応するチューニング情報「156MHz,」を獲得する。Tuner1205cは、OS1201のライブラリ1201bを通して、QAM復調部501にチューニング情報を引き渡す。QAM復調部501は与えられたチューニング情報に従ってヘッドエンド101から送信されてきた信号を復調し、POD504に引き渡す。
次にサービスマネージャ1204は、Javaライブラリ1205の中にあるCA1205bにデスクランブルを依頼する。CA1205dは、OS1201のライブラリ1201bを通して復号に必要な情報をPOD504に与える。POD504は、与えられた情報を元に、QAM復調部501から与えられた信号を復号しTSデコーダ505に引き渡す。
次にサービスマネージャ1204は、Javaライブラリ1205の中にあるJMF1205aにチャンネルの識別子を与え、映像・音声の再生を依頼する。
まず、最初にJMF1205aは、再生すべき映像と音声を特定するためのパケットIDをPAT、PMTから取得する。PATやPMTはMPEG2規格で規定されている、MPEG2トランスポートストリーム内の番組構成を表現するテーブルであり、MPEG2トランスポートストリームに含まれるパケットのペイロードに埋め込まれて、音声や映像と共に送信されるものである。詳細は規格書を参照されたい。ここでは、概略のみ説明する。PATは、Program Association Tableの略で、パケットID「0」のパケットに格納され送信されている。JMF1205aは、PATを取得するため、OS1201のライブラリ1201bを通して、TSデコーダ505にパケットID「0」とCPU514を指定する。TSデコーダ505がパケットID「0」でフィルタリングを行い、CPU514に引き渡すことでJMF1205aは、PATのパケットを収集する。図16は、収集したPATの情報の一例を模式的に表した表である。列1601は、プログラムナンバーである。列1602は、パケットIDである。列1602のパケットIDはPMTを取得するために用いられる。行1611〜1613は、チャンネルのプログラムナンバーと対応するパケットIDの組である。ここでは、3つのチャンネルが定義されている。行1611はプログラムナンバー「101」とパケットID「501」の組が定義されている。今、JMF1205aに与えられたチャンネルの識別子が「2」とすると、JMF1205aは、図14の列1412を参照して、対応するプログラムナンバー「102」を獲得し、次に、図16のPATの列1612を参照し、プログラムナンバー「102」に対応するパケットID「502」を獲得する。PMTは、Program Map Tableの略で、PATで規定されたパケットIDのパケットに格納され送信されている。JMF1205aは、PMTを取得するため、OS1201のライブラリ1201bを通して、TSデコーダ505にパケットIDとCPU514を指定する。ここで、指定するパケットIDは「502」とする。TSデコーダ505がパケットID「502」でフィルタリングを行い、CPU514に引き渡すことでJMF1205aは、PMTのパケットを収集する。図17は、収集したPMTの情報の一例を模式的に表した表である。列1701は、ストリーム種別であり。列1702は、パケットIDである。列1702で指定されるパケットIDのパケットには、ストリーム種別で指定された情報がペイロードに格納され送信されている。列1703は補足情報である。行1711〜1714はエレメンタリ−ストリームと呼ばれる、パケットIDと送信している情報の種別の組である。行1711は、ストリーム種別「音声」とパケットID「5011」の組であり、パケットID「5011」のペイロードには音声が格納されていることを表す。JMF1205aは、PMTから再生する映像と音声のパケットIDを獲得する。図17を参照して、JMF1205aは、行1711から音声のパケットID「5011」を、行1712から映像のパケットID「5012」を獲得する。
次に、JMF1205aは、OS1201のライブラリ1201bを通して、獲得した音声のパケットIDと出力先としてオーディオデコーダ506、映像のパケットIDと出力先としてビデオデコーダ508の組を、TSデコーダ505に与える。TSデコーダ505は与えられたパケットIDと出力先に基づいて、フィルタリングを行う。ここではパケットID「5011」のパケットをオーディオデコーダ506に、パケットID「5012」のパケットをビデオデコーダ508に引き渡す。オーディオデコーダ506は、与えられたパケットのデジタル−アナログ変換を行いスピーカ507を通して音声を再生する。ビデオデコーダ508は、与えられたパケットのデジタル−アナログ変換を行いディスプレイ509に映像を表示する。
最後にサービスマネージャ1204は、Javaライブラリ1205の中にあるAM1205bにチャンネルの識別子を与え、データ放送再生を依頼する。ここで、データ放送再生とは、MPEG2トランスポートストリームに含まれるJavaプログラムを抽出し、JavaVM1203に実行させることである。MPEG2トランスポートストリームにJavaプログラムを埋め込む方法は、MPEG規格書 ISO/IEC138181−6に記述されたDSMCCという方式を用いる。ここではDSMCCの詳細な説明は省略する。DSMCC方式は、MPEG2トランスポートストリームのパケットの中に、コンピュータで使用されているディレクトリやファイルで構成されるファイルシステムをエンコードする方法を規定している。また、実行するJavaプログラムの情報はAITと呼ばれる形式で、MPEG2トランスポートストリームのパケットの中に埋め込まれ送信されている。AITは、DVB−MHP規格(正式には、ETSI TS 101 812 DVB−MHP仕様V1.0.2)の10章に定義されている、Application Information Tableの略である。
AM1205bは、まず、AITを獲得するため、JMF1205a同様PAT、PMTを取得し、AITが格納されているパケットのパケットIDを獲得する。今、与えられたチャンネルの識別子が「2」で、図16のPAT、図17のPMTが送信されていると、JMF1205aと同様の手順で、図17のPMTを獲得する。AM1205bは、PMTからストリーム種別が「データ」で補足情報として「AIT」を持つエレメンタリ−ストリームからパケットIDを抽出する。図17を参照して、行1713のエレメンタリ−ストリームが該当し、パケットID「5013」を獲得する。
AM1205bは、OS1201のライブラリ1201bを通してTSデコーダ505にAITのパケットIDと出力先CPU514を与える。TSデコーダ505は、与えられたパケットIDでフィルタリングを行い、CPU514に引き渡す。この結果、AM1205bは、AITのパケットを収集することができる。図18は、収集したAITの情報の一例を模式的に表した表である。列1801はJavaプログラムの識別子である。MHP規格によれば、この識別子はApplication IDとして定義され、Javaプログラムが端末装置500のセキュリティマネージャ1205fによって認証されるべきものであるかが判別できることになっている。識別子の値が、0x0から0x3fffの範囲であれば認証は不要で、0x4000から0x7fffであれば認証されなければならない。以降では、識別子の値として、前者をもつJavaプログラムを「unsignedプログラム」、後者をもつJavaプログラムを「signedプログラム」と呼ぶこととする。列1802はJavaプログラムの制御情報である。制御情報には「autostart」「present」「kill」などがあり、「autostart」は即時に端末装置500がこのプログラムを自動的に実行することを意味し、「present」は自動実行しないことを意味し、「kill」はプログラムを停止することを意味する。列1803は、DSMCC方式でJavaプログラムを含んでいるパケットIDを抽出するためのDSMCC識別子である。列1804はJavaプログラムのプログラム名である。行1811と1812は、Javaプログラムの情報の組である。行1811で定義されるJavaプログラムは、識別子「301」、制御情報「autostart」、DSMCC識別子「1」、プログラム名「a/TopXlet」の組である。行1812で定義されるJavaプログラムは、識別子「302」、制御情報「present」、DSMCC識別子「1」、プログラム名「b/GameXlet」の組である。ここで2つのJavaプログラムは同じDSMCC識別子を持つが、これは1つのDSMCC方式でエンコードされたファイルシステム内に2つのJavaプログラムが含まれていることを表す。ここでは、Javaプログラムに対して4つの情報しか規定しないが、実際にはより多くの情報が定義される。詳細はDVB−MHP規格を参照されたい。
AM1205bは、AITの中から「autostart」のJavaプログラムを見つけ出し、対応するDSMCC識別子及びJavaプログラム名を抽出する。図18を参照して、AM1205bは行1811のJavaプログラムを抽出し、DSMCC識別子「1」及びJavaプログラム名「a/TopXlet」を獲得する。
次にAM1205bは、AITから取得したDSMCC識別子を用いて、JavaプログラムをDSMCC方式で格納しているパケットのパケットIDをPMTから獲得する。具体的には、PMTの中でストリーム種別が「データ」で、補足情報のDSMCC識別子が合致するエレメンタリ−ストリームのパケットIDを取得する。
今、DSMCC識別子が「1」であり、PMTが図17とすると、行1714のエレメンタリ−ストリームが合致し、パケットID「5014」を取り出す。
AM1205bは、OS1201のライブラリ1201bを通してTSデコーダ505にDSMCC方式でデータが埋めこめられたパケットのパケットIDと出力先としてCPU514を指定する。ここでは、パケットID「5014」を与える。TSデコーダ505、与えられたパケットIDでフィルタリングを行い、CPU514に引き渡す。この結果、AM1205bは、必要なパケットを収集することができる。AM1205bは、収集したパケットから、DSMCC方式に従ってファイルシステムを復元し、1次記憶部511に保存する。MPEG2トランスポート中のパケットからファイルシステム等のデータを取り出し1次記憶部511等の記憶手段に保存すことを以降、ダウンロードと呼ぶ。
図19は、ダウンロードしたファイルシステムの一例である。図中、丸はディレクトリを四角はファイルを表し、1901はルートディレクトリ、1902はディレクトリ「a」,1903はディレクトリ「b」,1904はファイル「TopXlet.class」、1905はファイル「GameXlet.class」である。
次にAM1205bは、1次記憶部511にダウンロードしたファイルシステム中から実行するJavaプログラムをJavaVM1203に引き渡す。今、実行するJavaプログラム名が「a/TopXlet」とすると、Javaプログラム名の最後に「.class」を付加したファイル「a/TopXlet.class」が実行すべきファイルとなる。「/」はディレクトリやファイル名の区切りであり、図19を参照して、ファイル1904が実行すべきJavaプログラムである。次にAM1205bは、Javaプログラム識別子の列1801がunsignedプログラムを示しているので、セキュリティマネージャ1205fにJavaプログラムの認証実行を要求する必要はなく、ファイル1904をJavaVM1203に引き渡す。
JavaVM1203は、引き渡されたJavaプログラムを実行する。
サービスマネージャ1204は、他のチャンネルの識別子を受け取ると、Javaライブラリ1205に含まれる各ライブラリを通して再生している映像・音声及びJavaプログラムの実行を、同じくJavaライブラリ1205に含まれる各ライブラリを通して停止し、新たに受け取ったチャンネルの識別子に基づいて、映像・音声の再生及びJavaプログラムの実行を行う。
Javaライブラリ1205は、ROM512に格納されている複数のJavaライブラリの集合である。本実施の形態では、ここでは、Javaライブラリ1205は、JMF1205a,AM1205b,Tuner1205c,CA1205d、POD Lib1205e,セキュリティマネージャ1205f,ダウンロードモジュール1206等を含んでいる。
サービスマネージャ1204とダウンロードモジュール1206は、Javaライブラリ1205に含まれるPOD Lib1205eを通してヘッドエンド101と双方向通信を行う。この双方向通信は、POD Lib1205eはOS1201のライブラリ1201b及び、POD504を介して、QPSK復調部502、QPSK変調部503を使用して実現される。
ダウンロードモジュール1206は、この通信を用いてヘッドエンド101から、コードデータを受け取ることができる。コードデータとは、X.509証明書と端末装置500のファームウェアのどちらかもしくは両方を含んだバイナリデータのことである。図37は、本発明に関する部分のみを記述したコードデータの模式図である。ダウンロードモジュール1206がコードデータ37を受け取ると、もしコードデータがルート証明書371を含んでいるならば、それを抽出し、セキュリティマネージャ1205fへ引き渡たす。372はファームウェア等その他のデータを示す。
また、AM1205bは、ヘッドエンド101から、端末装置500が2次記憶部510に保存すべきJavaプログラムの情報を受け取る。この情報をXAIT情報と呼ぶ。XAIT情報は、ヘッドエンド101とPOD504間で、任意の形式で送信される。どのような送信形式を採用しても、XAITに必要とする情報が含まれていれば、本発明は実施可能である。
図20は、ヘッドエンド101から取得したXAITの情報の一例を模式的に表した表である。列2001はJavaプログラムの識別子である。列2002はJavaプログラムの制御情報である。制御情報には「autostart」「present」などがあり、「autostart」は端末装置500が電源投入時にこのプログラムを自動的に実行することを意味し、「present」は自動実行しないことを意味する。列2003は、DSMCC方式でJavaプログラムを含んでいるパケットIDを抽出するためのDSMCC識別子である。列2004はJavaプログラムのプログラム名である。列2005は、Javaプログラムの優先度である。行2011と2012は、Javaプログラムの情報の組である。行2011で定義されるJavaプログラムは、識別子「0x7001」、制御情報「autostart」、DSMCC識別子「1」、プログラム名「a/PPV1Xlet」の組である。Javaプログラムの識別子Application IDから、Javaプログラムはsignedプログラムであることが分かる。ここでは、Javaプログラムに対して5つの情報しか規定しないが、より多くの情報が定義されていても本発明は実施可能である。
AM1205bは、XAIT情報を受け取ると、AIT情報からJavaプログラムをダウンロードした手順と同じ手順で、MPEG2トランスポートストリームからファイルシステムを1次記憶部511上に展開する。その後、ファイルシステムを2次記憶部510に保存する直前に、セキュリティマネージャ1205fへ保存直前通知を行う。このとき、本発明に関するセキュリティマネージャ1205fの認証が動作するが、詳細は後に述べる。AM1205bは、セキュリティマネージャ1205fより起動許可を通知されると、ファイルシステムを2次記憶部510に保存する。次に、AM1205bは、XAIT情報にダウンロードしたファイルシステムの格納位置を対応つけて2次記憶部510に保存する。図21は、2次記憶部510がXAIT情報とダウンロードしたファイルシステムが対応つけられて保存されている一例を表す。ここではOCAP規格で定義されているファイルを取り上げて説明する。図21の中で、図20と同じ番号の要素は図20と同じなので、説明は省略する。列2101は対応するダウンロードしたファイルシステムの保存位置を格納する。図中、保存位置は矢印で示している。2110はダウンロードしたファイルシステムであり、内部にトップディレクトリ2111、ディレクトリ「a」2112、ディレクトリ「b」2113、ファイル「PPV1Xlet.class」2114、ファイル「PPV2Xlet.class」2115、ファイル「ocap.hashfile」2116〜2118、ファイル「ocap.certificate.1」2119、ファイル「ocap.signaturefile.1」2120を保持する。
ファイル2116〜2118はハッシュファイルで、ファイル名またはディレクトリ名とそれらに対応するハッシュ値を格納している。図22Aの221は“ocap.hashfile”2116、図22Bの222は“ocap.hashfile”2117、図22Cの223は“ocap.hashfile”2118の内容をそれぞれ表した模式図である。221の“ocap.hashfile”は、“/”ディレクトリ2111に存在し、同じディレクトリ2111に存在する“ocap.certificate.1”ファイル2119、“ocap.signaturefile.1”ファイル2120、“a”ディレクトリ2112、“b”ディレクトリ2113を2211列に格納する。2212列は、2213列にそれぞれ記述されている値が何のハッシュアルゴリズムによって計算された値であるのかを示す。2213列は、2211列のファイルまたはディレクトリに関し、2212列で指定されたアルゴリズムを使って計算されたハッシュ値を格納する。ハッシュアルゴリズムには、SHA1(Secure Hash Algorithm 1)とMD5(Message Digest 5)というアルゴリズムが現在主に利用されている。これらは、任意の長さのデータを固定長のバイト値に変換する公知技術のアルゴリズムで、次の特徴をもつ。変換後のデータから元データを推測することができず、ファイルが破損もしくは改竄されていないかを確認するために使用される。一方、ハッシュ値とは、ハッシュアルゴリズムで生成された擬似乱数のことである。ハッシュアルゴリズムがSHA1の時、ハッシュ値の長さは20バイトで、MD5の時は、ハッシュ値の長さは16バイトに換算される。SHA1、MD5の詳細については、それぞれ“FIPS−PUB 186−2 Secure Hash Standard”、“IETF RFC1321”を参照されたい。ここで、2211列に記述されたディレクトリ“a”“b”に対応するハッシュ値はそれぞれ、“a”ディレクトリに存在する“ocap.hashfile”ファイル2117、“b”ディレクトリに存在する“ocap.hashfile”ファイル2118に対して計算されたSHA1ハッシュ値である。
221の“ocap.hashfile”と同様、222の“ocap.hashfile”は、同じディレクトリ2112に存在する“PPV1Xlet.class”ファイル2114のファイル名、ハッシュアルゴリズム、ハッシュ値を格納する。223についても同様に、同じディレクトリ2113に存在する“PPV2Xlet.class”ファイル2115のファイル名、ハッシュアルゴリズム、ハッシュ値を格納する。
ここでは、本発明に関係する属性のみを取り上げたが、“ocap.hashfile”の詳細な構成については、OCAP規格書である“OpenCable(TM) Application Platform Specification OCAP 1.0 Profile(OC−SP−OCAP1.0−IF−I09−031121)”を参照されたい。
ファイル2119は証明書チェーンである。図23は、“ocap.certificate.1”ファイル2119の構成内容を示した構成図である。“ocap.certificate.x”(xは正の整数)の一般的な構成を表現している231は、ルート証明書2311、中間証明書2312、リーフ証明書2313を内包する。これらは、ルート証明書2311の所有者が中間証明書2312を発行し、中間証明書2312の所有者がリーフ証明書2313を発行するといった、連鎖関係にある。なおOCAP規格では、署名ファイル“ocap.signaturefile.x”と関係する証明書チェーンは、同じ値“x”をもつ“ocap.certificate.x”である。図21の場合、“ocap.signaturefile.1”に対応する証明書チェーンは、“ocap.certificate.1”となる。そして、ルート証明書2311、中間証明書2312、リーフ証明書2313は、共通のX.509証明書のフォーマットで構成される。X.509証明書は、ITU−Tのレコメンデーションで、証明書の表現形式のデファクト標準として情報通信の各分野で広く普及している。図23では3つの証明書のみを図示しているが、中間証明書が複数存在することもある。但し、中間証明書間で相互に関連した連鎖状態になければならない。
図24はX.509証明書の構成図である。ここでは、本発明の説明の上で必要な属性のみを列挙している。X.509証明書の詳細については、IETF RFC3280“Internet X.509 Public Key Infrastructure Certificate and CRL Profile”を参照されたい。241はX.509証明書の属性領域、242はX.509証明書の署名値を示す。シリアル番号2411は証明書を識別するための番号、署名アルゴリズム2412は署名値242を計算するために使用されたアルゴリズム、今回更新日時2413は本X.509証明書の有効開始日時、次回更新時間2414は本X.509証明書の有効満了日時、発行者名2415は本X.509証明書を発行する機関名、主体者名2416は本X.509証明書の所有者、公開鍵2417は主体者名2416の公開鍵、署名値242は本X.509証明書発行者の秘密鍵によって署名(暗号化)された値を表す。公開鍵と秘密鍵を使ったものとして、公開鍵暗号方式が電子商取引等で幅広く利用されている。公開鍵暗号方式では、平文を暗号化するときに使用した鍵と異なる鍵を使用して暗号文を復号する。暗号用の鍵と復号用の鍵が異なり、復号用の鍵を一般公開しても復号用の鍵から暗号用の鍵を推測することは不可能である。この暗号用の鍵が秘密鍵、復号用の鍵が公開鍵に該当する。公開鍵暗号方式の代表例としては、RSA(Rivest−Shamir−Adleman)、DSA(Digital Signature Standard)が挙げられる。
ファイル2120は署名ファイルである。図25は、“ocap.signaturefile.1”ファイル2120の模式図である。251はどのX.509証明書と関係するのかを示す証明書識別子、252はハッシュ署名アルゴリズム、253は252で示されるハッシュ署名アルゴリズムを用いて、“ocap.hashfile”2116から計算された署名値を表す。
Javaプログラムが2次記憶部510に保存されると、チャンネル変更、端末装置500の電源OFF等により1次記憶部509からそれが消去されたとしても、AM1205bが図20で示すXAITを受信すれば、ダウンロードを待たずにJavaプログラムが起動される。すなわち、図20では、プログラム“/a/PPV1Xlet”が制御情報2002として「autostart」になっている。そこで、図21の2011において、“/a/PPV1Xlet”に対応するファイルシステムの保存位置2101を探し、ファイル2114をJavaVM1203に引き渡すと、ファイルシステムに保有されているJavaプログラム“PPV1Xlet”が起動される。
次に、本発明の主要機能であるセキュリティマネージャ1205fについて説明する。
セキュリティマネージャ1205fは、AM1205bから図20の2004で示される“/a/PPV1Xlet”と“/b/PPVXlet2”が保存されようとしていることを表す保存直前通知を通知される。その通知を受け取ると、Javaプログラム識別子2001の値を調べ、unsignedプログラムであるのか、signedプログラムであるのかを判断する。ここで、Javaプログラムはsignedプログラムであるので、“/”ディレクトリ以下のファイルシステムについて、認証を実行する。認証では、図21のocap.hashfile(2116〜2118)、ocap.certificate.1(2119)、ocap.signaturefile.1(2120)を使用して検証する。
図26は、ファイルシステムの認証を実行する際のセキュリティマネージャ1205fの構成要素を示す。
通知受取手段261は、AM1205bがファイルシステムを保存しようとする直前に保存直前通知を受け取るための手段であり、それを判定手段262へ伝える。
判定手段262は、認証結果を決定する。ハッシュ計算手段263へファイルシステムのハッシュ計算を要求し、ハッシュ値を受け取る。判定手段262は“ocap.hashfile”ファイルに存在するハッシュ値2213、2223、2233から比較すべき値を取り出して、一致するかを確認する。一致しなければ、改竄があったものと判断し、認証は失敗となる。
また、判定手段262は、証明書抽出手段265を用いて各X.509証明書を取り出し、現在時刻がX.509証明書の今回更新日時2413と次回更新日時2414の間にあるかを判断する。なお、現在日時は、OS1201のライブラリ1201bから取得する。もし、“今回更新日時<現在日時<次回更新日時”という期間有効性がなければ、認証は失敗と判断する。
さらに、判定手段262は、証明書チェーンの認証を行うために、X.509証明書の属性領域241のハッシュ計算をハッシュ計算手段263に要求する。そして、署名値復号手段264へX.509証明書に含まれる署名値242の復号計算を要求して、得られた復号値とハッシュ計算手段263で得られたハッシュ値を比較し、証明書連鎖の状況を確認する。もし不一致であれば、連鎖しておらず、認証は失敗と判断される。一方、一致して連鎖が確認できれば、証明書チェーンのルート証明書が、端末装置500の2次記憶部510に含まれているかを確認する。もし含まれていなければ、照合不可能として、認証は失敗と判断する。
判定手段262が認証の成功と判断するのは、(1)改竄なし、(2)期間有効性あり、(3)証明書連鎖あり、(4)ルート証明書が一致、をすべて満たすときである。
ハッシュ計算手段263は、判定手段262より各ファイルのハッシュ値計算を要求され、OS1201のライブラリ1201bから各ファイルを取り出して、そのハッシュ計算を行い、結果を判定手段262へ渡す。また、証明書チェーン231内の各X.509証明書を証明書抽出手段265から取得し、属性領域241に対してハッシュ計算を行う。
署名値復号手段264は、判定手段262からX.509証明書もしくは“ocap.signaturefile.x”の署名値を復号計算するように要求される。X.509証明書の署名を復号計算する際には、証明書抽出手段265から証明書チェーン231の各X.509証明書を取得した上で、署名の復号計算を実施し、結果を判定手段262へ返す。
証明書抽出手段265は、判定手段262、ハッシュ計算手段263、署名値復号手段264から、証明書チェーン231の中にある各X.509証明書を抽出するように要求を受けて、X.509証明書を抽出して返す。
図27は、ファイルシステムの認証を実行する際のセキュリティマネージャ1205fの動作をまとめたフローチャートである。以下、ファイルシステムの構成が図21である場合の動作をフローチャートに則して説明する。AM1205bからファイルシステムの保存直前通知を受け付けると(ステップS271)、ファイルシステムの最上位ディレクトリ“/”以下のファイルシステムについて改竄チェックを行う(ステップS272)。改竄チェックでは、ファイルシステムの各ディレクトリに存在するファイルに対して、破損及び変更がなされていないかをハッシュ値比較で確認する。
図29と図30は、ステップS272の詳細なフローチャートを示す。まず、ステップS291に示すとおり、“/”ディレクトリに存在するファイル“ocap.certificate.1”、“ocap.signaturefile.1”と、ディレクトリ“a”、“b”のハッシュ値をそれぞれ計算する。なお、ディレクトリ“a”、“b”のハッシュ値はそれぞれ、“/a/ocap.hashfile”ファイル222、“/b/ocap.hashfile”ファイル223から計算される。ステップS293で、ステップS292で計算したハッシュ値と、“/ocap.hashfile”中の2213のハッシュ値とをそれぞれ比較する。ステップS294において、一つでも計算したハッシュ値と2213のハッシュ値とが異なれば、改竄があったと判断する(ステップS297)。一方、計算したハッシュ値と2213のハッシュ値がすべて一致した場合、ステップ295へ移る。ステップ295では、改竄チェックが完了していないサブディレクトリがないかを確認する。現時点では、“a”と“b”のディレクトリが“/”のサブディレクトリとして存在し、それらはまだ改竄チェックが完了していないので、“a”と“b”ディレクトリに対して改竄チェックを行う必要がある。ステップS296として、まず“a”ディレクトリに注目することとし、“/”ディレクトリと同様の処理を行う。“a”ディレクトリでの改竄チェック完了後、“b”ディレクトリでの改竄チェックを実施する。“a”と“b”のディレクトリに対する改竄チェックが完了すると、“/”ディレクトリに注目して、図30のステップS301の処理を行う。ステップS301では、証明書チェーン231である“/ocap.certificate.1”ファイル2119からリーフ証明書2313を抽出する。そして、抽出したリーフ証明書2313から公開鍵2417をステップS302で取り出す。その後、ステップS303では、“/ocap.hashfile”ファイル221のハッシュ値を計算する。一方、ステップS304で、“/ocap.certificatefile.1”ファイル2119のリーフ証明書2313に存在する公開鍵2417を用いて、“/ocap.signaturefile.1”ファイル2120の署名値242に対して復号を行う。ステップS305では、ステップS303で計算したハッシュ値と、ステップS304で得た署名値を復号した値が等しいかを確かめる。もし、計算値が一致すれば、“/”ディレクトリ以下のファイルシステムは改竄されていないと判断できる(ステップS306)。一方、計算値が一致しなければ、ファイルシステムは改竄されていると判断できる(ステップS307)。なお、改竄チェックは、最上位である“/”ディレクトリからサブディレクトリに向かって降順に処理する例を挙げたが、本発明はこれに限定するものではない。最下位ディレクトリから最上位ディレクトリへ向かって昇順に処理することにしても構わない。以上により、図27中のステップS272の結果が得られる。
ステップS273では、もしステップS272での結果が「改竄あり」であった場合、認証は失敗と判断して通知(ステップS279)後に終了する。ステップS272での結果が「改竄なし」の場合には、ステップS274を処理する。
次に、図31〜図33を用いて、証明書チェーンの認証(ステップS274)を詳細に説明する。まず、中間証明書2312とリーフ証明書2313間でのチェックを行うこととし、図31にそのフローチャートを図示する。最初に、証明書チェーン231から中間証明書2312とリーフ証明書2313を抽出する(ステップS311)。抽出したリーフ証明書2313から今回更新日時2413、次回更新日時2414、発行者名2415を抽出する(ステップS312)。このうち、現在の日時が今回更新日時2413から次回更新日時2414までの証明書が有効な期間であるかを判断する(ステップS313)。もし、証明書が有効な期間外であれば、証明書チェーンの認証は失敗(ステップS319)となる。一方、証明書が有効な期間であると判断すると、中間証明書2312の主体者名2416と公開鍵2417を抽出し(ステップS314)、中間証明書2312の主体者名2416とリーフ証明書2313の発行者名2415を比較して、中間証明書2312とリーフ証明書2313が連鎖関係にあるかを判別する(ステップS315)。もし、証明書間で連鎖関係になければ、証明書チェーンの認証は失敗となる。他方、連鎖関係が成り立てば、リーフ証明書2313の属性領域241のハッシュ値を計算する(ステップS316)。また、中間証明書2312の公開鍵2417を利用して、リーフ証明書2313の署名値242を復号する(ステップS317)。ステップS316とステップS317が完了すると、それぞれから得られるハッシュ値と署名復号値が一致するかどうかを判断する(ステップS318)。もし、一致しなければ証明書チェーンの認証は失敗となる(ステップS319)。
次に、ルート証明書2311と中間証明書2312間でのチェックを行う。図32にそのフローチャートを図示する。証明書チェーン231からルート証明書2311と中間証明書2312を抽出し(ステップS321)、中間証明書2312とリーフ証明書2313間のチェックと同様の処理を、ルート証明書2311と中間証明書2312に対して行う(ステップS322〜ステップS328)。
そして、ステップS328で一致すると判断された場合、ルート証明書2311単独のチェックを行う。図33は、ルート証明書2311単独チェックのフローチャートである。ステップS321で抽出したルート証明書2311から、今回更新日時2413、次回更新日時2414、発行者名2415を抽出する(ステップS331)。このうち、現在の日時が今回更新日時2413から次回更新日時2414までの証明書が有効な期間であるかを判断する(ステップS332)。もし、証明書が有効な期間外であれば、証明書チェーンの認証は失敗となる。一方、証明書が有効な期間であると判断すると、ルート証明書2311の属性領域241のハッシュ値を計算する(ステップS334)。また、ルート証明書2311の公開鍵2417を利用して、ルート証明書2311の署名値242を復号する(ステップS335)。ステップS334とステップS335が完了すると、それぞれから得られるハッシュ値と署名復号値が一致するかどうかを判断する(ステップS336)。もし一致すれば、証明書チェーンの認証は成功(ステップS337)であり、一致しなければ証明書チェーンの認証は失敗(ステップS338)となる。ここで、ステップS274の処理が終了する。
ステップS275では、S274の結果に応じて、処理が異なる。ステップ4の結果が「証明書チェーンの認証失敗」の場合、認証失敗と判断して通知し(ステップS279)、ファイルシステムとしての認証は終了する。一方、「証明書チェーンの認証成功」の場合、ステップS276を処理する。
次に、“/ocap.certificate.1”ファイル2119のルート証明書2311と同じ証明書を端末装置500の2次記憶部510から探す(ステップS276)。ステップS277において、2次記憶部510に存在しない場合には、証明書チェーン231の認証は失敗と判断し、認証失敗を通知(ステップS279)後、終了する。一方、そのルート証明書2311が含まれている場合には、ファイルシステムの認証は成功と判断し、AM1205bへ認証成功を通知する(ステップS278)。その後、図28を参照して、Javaプログラムの起動直前通知を受けても(ステップS281)、何もせずに終了する。
この実施の形態1では、保存したJavaプログラムが一定時間経過後に起動されるとき、ファイルシステムの認証は保存直前に実行済みなので、この時点で認証する必要はない。
また、ファイルシステムに図34で示す“application description file”が存在し、それに記述されたファイルのみが保存対象である場合について説明する。例えばOCAP規格では、“application description file”はXML(eXtensible Markup Language)形式で記述される。この一例である図34に“application description file”の例を示す。図34では、図21の“PPV2Xet.class”2115が記述されていない。従って、この場合には“PPV2Xet.class”2115は保存対象外ということになる。この時、S292で“PPV2Xet.class”2115に対してはハッシュ値を計算せず、S293で“ocap.hashfile”ファイル2118に記述された2233のハッシュ値と比較しない。S294では、保存対象外のファイルは適用除外ということで、S295の処理へ進むことにしてもよい。
(実施の形態2)
ファイルシステムを保存してから一定時間経過後にファイルシステムに含まれるJavaプログラム(PPV1Xlet.class2114もしくはPPV2Xlet.class2115)が起動されるとき、“/ocap.certificate.1”ファイル2119に含まれるX.509証明書のどれかが期限切れ(つまり、Javaプログラム起動日時>次回更新日時2414)になっている可能性がある。実施の形態1のままでは、すでに期限切れになってしまったX.509証明書が証明書チェーン231に含まれていても、Javaプログラムの起動を許してしまう。
従って本実施の形態では、実施の形態1に、Javaプログラムの起動時には証明書チェーン231の各証明書2311、2312、2313が有効期限切れになっていないかを確認する機能を追加する。本実施の形態における構成要素を図26に示す。本実施の形態で必要な構成要素261〜265の説明は、実施の形態1で行ったのでここでは省略する。
フローチャートにおいては、図27のフローチャートを図35のフローチャートに置き換え、図36のフローチャートを追加する。
図35を参照して、ファイルシステムの保存直前時の処理(ステップS351〜ステップS357)は、実施の形態1で説明した処理(ステップS271〜ステップS277)と同じであるので、説明は省略する。認証失敗でなければ、処理は図36のフローチャートに続く。一定時間経過後に、JavaプログラムであるPPV1Xlet.class2114の起動通知を受けるとき(ステップS361)、“ocap.certificate.1”ファイル2119からルート証明書2311、中間証明書2312、リーフ証明書2313の各X.509証明書を抽出する(ステップS362)。抽出したX.509証明書をリーフ証明書からルート証明書の順に一つずつ選択して(ステップS363)、現在日時が選択したX.509証明書の今回更新日時2413と次回更新日時2414の間であるかを確認する(ステップS364)。もし、現在日時が今回更新日時2413と次回更新日時2414の間でなければ、認証失敗と判断し、それを通知する(ステップS367)。他方であれば、すべてのX.509証明書について確認が完了しているかを調べる(ステップS365)。もし、まだすべてのX.509証明書を確認完了していない場合、ステップS363に戻って処理を繰り返す。一方ステップS365で、すべてのX.509証明書を確認済みであれば、認証成功と判断し、認証成功を通知してから(ステップS366)、処理を終了する。図36のフローチャートに示した処理を追加することによって、証明書の期限切れが発生しているJavaプログラムを起動しないようにAM1205bに認証失敗を通知可能となる。AM1205bは、セキュリティマネージャ1205fから認証失敗を通知されると、JavaプログラムをJavaVM1203へ渡さず、起動を中止する。
(実施の形態3)
実施の形態1で記述したように、2次記憶部510にはルート証明書であるX.509証明書が含まれており、それは証明書チェーン231のルート証明書2311と比較される。2次記憶部510に格納されたルート証明書は、ハック等によって証明書の信用性が低下する場合に備えて、新しいX.509証明書と交換される(以降では、証明書交換と呼ぶ)。新しいX.509証明書は、ヘッドエンド101から端末装置500へ送られ、ダウンロードモジュール106が仲介してセキュリティマネージャ1205fへと運ばれる。
図38A〜図38Cは、セキュリティマネージャ1205fによって、2次記憶部510にあるルート証明書の交換(証明書交換)が行われる様子を示した図である。この場合、証明書A381が交換される古い証明書で、証明書B382が新しい証明書である。図38Aの38−1は証明書交換前の2次記憶部510にある証明書の状態、図38Bの38−2は証明書交換中の状態、図38Cの38−3は証明書交換後の2次記憶部510にある証明書の状態である。
実施の形態1及び実施の形態2では、Javaプログラムの保存後に証明書交換が行われたとしても、Javaプログラムの起動時には、交換後の証明書が考慮されない。例えば、セキュリティマネージャ1205fがJavaプログラムの保存直前通知を受けて認証した時に、証明書チェーン231のルート証明書2311が証明書A381と一致していたとする。そして、証明書A381と証明書B382の証明書交換を経て、Javaプログラムの起動直前通知を受け取ったとする。この時点で、信用性のある証明書を格納している2次記憶部510には、証明書チェーン231のルート証明書2311と一致する証明書は存在しないため、その証明書は信用性のないものとなっている。しかし、実施の形態1及び実施の形態2では、Javaプログラムの起動直前にルート証明書の照合を行わない(つまり、証明書チェーン231のルート証明書2311と証明書B382とを比較しない)ので、AM1205bに認証失敗を通知しない。その結果、AM1205bがJavaプログラムを起動させてしまう。
従って本実施の形態では、Javaプログラムの起動時に証明書交換を考慮して、ルート証明書の照合を行う機能を追加する。
本実施の形態における構成要素を図26に示す。構成要素261〜265については前記したのでここでの説明は省略するが、証明書交換手段266、交換証明書特定手段267、証明書受信手段268を追加する。
証明書交換手段266は、受け取った証明書より古い証明書が2次記憶部510に保存されていることを交換証明書特定手段267によって判断された場合には、古い証明書と新しい証明書を入れ替える。一方、交換証明書特定手段267が古い証明書を保存していないと判断した場合には、2次記憶部510に新しい証明書を保存する。
交換証明書特定手段267は、証明書受信手段268で受信された証明書を受け取る。すると、OS1201のライブラリ1201bを利用して、2次記憶部510に格納している証明書を調べ、発行者が同じで、受け取った証明書より古い証明書を保存しているか確認する。
証明書受信手段268は、ダウンロードモジュール1206が新しい証明書をヘッドエンド101から受信したときに、その新しい証明書を受け取る。証明書を受け取ると、証明書交換手段266と交換証明書特定手段267に渡す。
また、図35のフローチャートに引き続いて、図39と図40を追加する。
図39は、証明書交換が行われる際のフローチャートであり、図40は、証明書交換後のJavaプログラムが起動される際のフローチャートである。図39を参照して、証明書交換要求を受け付けると(ステップS391)、受け取った証明書の発行者名を取り出す(ステップS392)。端末装置500の2次記憶部510に交換されるべき古い証明書が存在するかを確認し(ステップS393)、もし、存在する場合のみ、その古い証明書を削除する。そして、受け取った証明書を2次記憶部510に保存する(ステップS395)。一定時間経過後、Javaプログラムの起動通知を受け取ると(ステップS401)、2次記憶部510から証明書チェーン231のルート証明書2311と一致する証明書を探し(ステップS402)、存在すれば(ステップS403)、認証成功と判断して通知する(ステップS404)。存在しなければ(ステップS403)、認証失敗と判断して通知する(ステップS405)。なお、S404で認証成功と判断する前に、証明書チェーン中の各X.509証明書に対して、“今回更新日時<現在の日時<次回更新日時”であるかを確認した上で、認証成功を結論付けることにしてもよい。
また、ルート証明書の一致を確認することに加えて、図31〜図33に示した証明書チェーンの証明書連鎖の確認をS402の前に行った上で、認証の成功・失敗を判断してもよい。
また、発行者名をもとに交換すべき証明書を特定する記述を行っているが、主体者名などの別の属性値で証明書の特定を行ってもよい。
(実施の形態4)
ファイルシステムを保存してから一定時間経過後にファイルシステムに含まれるJavaプログラム(PPV1Xlet.class2114もしくはPPV2Xlet.class2115)が起動されるとき、“/ocap.certificate.1”ファイル2119に含まれるX.509証明書のどれかが、証明書の満了期間を経過した、または、ルート証明書が交換されたこと以外でも無効化されることがある。このままでは、証明書が無効化されているにもかかわらず、Javaプログラムが起動されることを許してしまう。
ここで、証明書を無効化するものとして、CRL(Certificate Revocation List)が広く知られている。図41は、CRLの構成図である。ここでは、本発明の説明の上で必要な属性のみを列挙している。CRLのより詳細については、IETF RFC3280“Internet X.509 Public Key Infrastructure Certificate and CRL Profile”を参照されたい。411はCRLの属性領域、412は署名値413の署名アルゴリズム、413はCRLの署名値を示す。発行者名4111は本CRLの発行者、今回更新日時4112は本CRLの有効開始日時、次回更新時間4113は本CRLの有効満了日時、失効証明書リスト4114は失効したX.509証明書の情報を示す。図42は、失効証明書リスト4114の構成図である。ここでも、本発明の説明の上で必要な属性のみを列挙している。失効証明書リスト4114は、複数の失効したX.509証明書の情報を格納する。図42の場合、失効した“証明書A”421には、証明書を一意に特定するシリアル番号4211、“証明書A”421の失効した日時4212が格納されている。他の失効証明書についても、421と同様である。
図43は、CRLを含むファイルシステム構成の一例である。内部に“/”ディレクトリ431、“a”ディレクトリ432、“SimpleXlet.class”ファイル433、434〜435は“ocap.hashfile”ファイル、“ocap.certificate.1”ファイル436、“ocap.signaturefile.1”ファイル437、“ocap.crl.2”ファイル438、“ocap.certificate.2”ファイル439を保持する。CRLを含まないファイルシステムの認証については、実施の形態1で説明したとおりである。よって、本実施の形態では、CRLのフォーマットで構成される“ocap.crl.2”ファイル438と、そのファイルの証明書チェーンである“ocap.certificate.2”ファイル439に着目する。なおOCAP規格では、“ocap.crl.x”に対応する証明書チェーンは、“ocap.certificate.x”である。図43の場合、“ocap.crl.2”に対応する証明書チェーンは、“ocap.certificate.2”である。
図46は、“ocap.hashfile”ファイル434の模式図である。461は434のocap.hashfileの内容を表す。461のocap.hashfileは、“/”ディレクトリ431に存在し、同じディレクトリ431に存在する“ocap.certificate.1”ファイル436、“ocap.signaturefile.1”ファイル437、“a”ディレクトリ432、“ocap.crl.2”ファイル438、“ocap.certificate.2”ファイル439に関するハッシュ値をそれぞれ格納する。
図44は、CRLの認証について説明したフローチャートである。ファイルシステムが図43の構成を取っているときを例に挙げて以下に説明する。まず、CRLから今回更新日時4112と次回更新日時4113を抽出する(ステップS441)。現在日時が、今回更新日時4112と次回更新日時4113の間であるかを確認する(ステップS442)。もし、当てはまらないならば、本CRLは無効であると判断する(ステップS447)。当てはまるならば、“ocap.crl.2”ファイル438の署名値を検証するために、属性領域411部分のハッシュ値を計算する(ステップS443)。一方、証明書チェーン“ocap.certificate.2”ファイル439からリーフ証明書2313の公開鍵2417を抽出し(ステップS444)、抽出した公開鍵2417を用いて、“ocap.crl.2”ファイル438の署名値413を復号する(ステップS445)。そして、ステップS443で得たハッシュ値とステップS445での復号値が等しいかを確認し(ステップS446)、等しくなければCRLは無効だと判断する(ステップS447)。等しければ、図45を参照して、証明書チェーン“ocap.certificate.2”ファイル439の認証を行う(ステップS451)。証明書チェーンの認証方法は、前記した図31〜図33と同じであるので、ここでは省略する。その後、証明書チェーンの認証が成功したかを判断し(ステップS452)、もし失敗ならば、本CRLは無効であると判断する(ステップS456)。一方、成功ならば、2次記憶部510からルート証明書と同じ証明書を探す(ステップS453)。ここで、一致するルート証明書が存在しないならば、本CRLは認証失敗で無効と判断し(ステップS456)、含まれるならば、CRLは認証成功で有効と判断する(ステップS455)。
ここから、証明書がCRLによって無効化されているにもかかわらず、Javaプログラムが起動されるという問題点の解決方法について記述する。これに対応するため、本実施の形態では、Javaプログラムの起動通知が行われたとき、Javaプログラムを認証した証明書がCRLによって失効されたか判断する機能を追加する。
本実施の形態における構成要素を図26に示す。一部追加のある262とまだ説明していない269以外については、前記しているので説明を省略する。
判定手段262は、CRLを認証する機能をさらに持ち、失効証明書特定手段269にCRLによって失効される証明書の特定を要求する。そして、失効証明書特定手段269で特定された失効した証明書と関係するJavaプログラムの起動直前通知を通知受取手段261で受け付けたとき、判定手段262は認証失敗と判断する。一方、判定手段262がCRLの認証に失敗してCRLは無効であると判断していれば、Javaプログラムの起動直前通知を通知受取手段261で受け付けたとき、判定手段262は認証成功と判断する。
失効証明書特定手段269は、判定手段262でCRLの認証が成功であったことを認識するとき、証明書抽出手段265で抽出したX.509証明書のどれが失効した証明書であるかを特定する。
また、フローチャートについては図47と図48を追加する。以下に、フローチャートに則して説明する。今、図21で示されるファイルシステムに対する保存直前通知が発生したとすると、図35のフローチャートで示される処理を開始し、やがてステップS357の処理が完了する。その後、図43で示される別のファイルシステムの保存直前通知を受け付けたとすると、図44のフローチャートで示す処理を完了後、ステップS471〜ステップS477を行う。ステップS471〜ステップS477の処理は、ステップS351〜ステップS357までと同様である。ステップS478に到達したとき、“ocap.crl.2”ファイル438の認証(図44、図45のフローチャート)が成功であれば、それに内在する失効証明書の情報を失効証明書データベースに登録する。図49は失効証明書データベースの模式図である。491列に発行者名、492列に証明書のシリアル番号、493列に失効した日時を格納する。ここで、図21の“PPV1Xlet.class”2114の起動直前通知を受け付けると(ステップS481)、“ocap.certificate.1”ファイル2119の証明書チェーン231にあるX.509証明書が、失効証明書データベースに該当しないか確認する(ステップS483)。もし、該当する証明書があれば、認証失敗と判断して通知する(ステップS486)。一方、どの証明書も該当しないならば、すべての証明書チェーンについて確認した後(ステップS484)、認証成功と判断して通知する(ステップS485)。以上から、検証時は有効であった証明書が、Javaプログラムの起動時にはCRLによってすでに失効されていても、そのファイルシステムは認証失敗と判断され、起動すべきでないJavaプログラムが起動されてしまうという問題点を解決できる。
なお、実施の形態1〜4において、Javaプログラムの起動直前通知を受け付けた際、各ディレクトリに配置された“ocap.hashfile”を利用して、ファイルシステムのツリー構成が正しいかの検証をさらに行ってもよい。
また、証明書チェーンの中間証明書は、簡単のため一つにしているが、複数存在していても構わない。但し、証明書チェーンの認証の際には、すべての中間証明書間で連鎖状態になっている必要がある。
また、改竄有無のチェック、証明書チェーンの認証、ルート証明書の2次記憶部に証明書チェーン中のルート証明書が存在するかの確認をこの順序で記述しているが、順序はこれにこだわるものではない。
また、ファイルシステムの保存は、セキュリティマネージャ1205fがOSのライブラリ1201bを利用して保存してもよい。また、“application description file”がファイルシステムのトップディレクトリ“/”で提供され、その内容として、ファイルの保存対象としてファイルシステムの一部だけを指示している場合であっても、実施の形態1〜4は適用可能で、保存対象のファイルのみ扱っても問題ない。
また、保存の対象としてプログラムを取り上げているが、プログラム以外のデータであってもよく、データに対して実施の形態1〜実施の形態4を適用してもよい。
また、“ocap.signaturefile.x”に対応する“ocap.certificate.x”が複数存在することもあり得るが、その場合少なくとも一つの“ocap.certificate.x”で認証が成功すればよい。
また、証明書チェーンとして“ocap.certificate.x”、ハッシュ値をもつファイルとして“ocap.hashfile”、“/”ディレクトリに存在する“ocap.hashfile”の改竄チェック用ファイルとして“ocap.signaturefile.x”を例として挙げたが、本発明はこれらのファイル名に限定されるものではない。
また、認証失敗の場合はダウンロードし直して実行することにしてもよい。
また、認証失敗の場合には、保存領域の容量を確保するために、保存済みのプログラム及び認証に利用した証明書チェーン、署名ファイル、ハッシュファイルを削除してもよい。
また、プログラムを構成するファイルシステムの構成が図50であるときに、図51の“application description file”のように認証に使用するファイルが記述されていない場合について説明する。図50中の5011から5020まではそれぞれ、図21の2111から2120と同じである。5021は、保存対象であるファイルを記述した“application description file”を表す。図51の“application description file”では、認証のために使用される“ocap.certificate.1”5019,“ocap.signaturefile.1”5020,“ocap.hashfile”5017が記述されていない。この場合、図51の“application description file”のとおりにファイルを保存すると、認証に使用されるファイルが保存されない。すると、保存したファイルだけでは、プログラムの起動時に実施の形態2から実施の形態4で記述した認証ができなくなる。よって、保存したプログラムを起動しようとするとき、保存前と同じ図50に示すファイルがダウンロードできる状態にあれば、起動するプログラムを構成するファイルは保存先からのものを使用し、認証に使用するファイルはダウンロードしなおしてから認証を行うことにしてもよい。
また、保存前と同じ図50に示すファイルがダウンロードできるとは限らないことが想定される。よって、認証に使用されるファイルが“application description file”に記述されていなくても、プログラム起動時の認証に備えて、認証に必要となるファイルは保存しておくことにしてもよい。
本発明にかかる認証プログラム実行方法は、プログラムの信用性の保証と応答性の向上が両立可能であり、デジタルテレビ受信機の一時的な機能向上、機能付加等として有用である。またデジタルテレビに限らずパーソナルコンピュータや携帯電話などソフトウエアによって制御される情報機器の一時的な機能向上、機能付加等の用途にも応用できる。
図1は、本発明に係るケーブルテレビシステムの実施の形態1の構成図である。 図2は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図3は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図4は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図5は、本発明に係るケーブルテレビシステムにおいて端末装置の構成図である。 図6は、本発明に係るケーブルテレビシステムにおいて端末装置の外観の一例である。 図7は、本発明に係るPOD504のハードウエア構成の構成図である。 図8は、本発明に係るPOD504が保存するプログラム構成の構成図である。 図9は、MPEG規格で定義されているパケットの構成図である。 図10は、MPEG2トランスポートストリームの一例である。 図11は、入力部513をフロントパネルで構成した場合の外観の一例である。 図12は、本発明に係る端末装置500が保存するプログラム構成の構成図である。 図13Aは、本発明に係るディスプレイ509の表示の一例である。 図13Bは、本発明に係るディスプレイ509の表示の一例である。 図14は、本発明に係る2次記憶部510が保存する情報の一例である。 図15Aは、本発明に係る1次記憶部511が保存する情報の一例である。 図15Bは、本発明に係る1次記憶部511が保存する情報の一例である。 図15Cは、本発明に係る1次記憶部511が保存する情報の一例である。 図16は、本発明に係るMPEG2規格が規定するPATの内容を表す模式図である。 図17は、本発明に係るMPEG2規格が規定するPMTの内容を表す模式図である。 図18は、本発明に係るDVB−MHP規格が規定するAITの内容を表す模式図である。 図19は、本発明に係るDSMCC方式で送信されるファイルシステムを表す模式図である。 図20は、本発明に係るXAITの内容を表す模式図である。 図21は、本発明に係る2次記憶部510が保存する情報の一例である。 図22Aは、本発明に係るファイルまたはディレクトリのハッシュ値を格納したファイルの例である。 図22Bは、本発明に係るファイルまたはディレクトリのハッシュ値を格納したファイルの例である。 図22Cは、本発明に係るファイルまたはディレクトリのハッシュ値を格納したファイルの例である。 図23は、本発明に係る証明書チェーンの構成図である。 図24は、本発明に係るX.509証明書の構成図である。 図25は、本発明に係る署名ファイルの構成図である。 図26は、本発明に係るセキュリティモジュールの構成要素を示した図である。 図27は、本発明に係るファイルシステムの認証を行う際の動作を示したフローチャートである。 図28は、本発明に係るプログラム起動直前通知を受け付けた際に、認証を行わないときのフローチャートである。 図29は、本発明に係るファイルシステムの改竄チェックを行う際の動作を示したフローチャートである。 図30は、本発明に係る署名ファイルを用いて改竄チェックを行う際の動作を示したフローチャートである。 図31は、本発明に係るリーフ証明書と中間証明書の連鎖関係を確認する際の動作を示したフローチャートである。 図32は、本発明に係る中間証明書とルート証明書の連鎖関係を確認する際の動作を示したフローチャートである。 図33は、本発明に係るルート証明書の署名を確認する際の動作を示したフローチャートである。 図34は、本発明に係る保存対象であるファイルを特定するために利用されるファイルの一例である。 図35は、本発明に係るファイルシステムの認証を行う際の動作を示したフローチャートである。 図36は、本発明に係るプログラム起動直前通知を受け付けた際に、X.509証明書の有効性を確認する際の動作を示したフローチャートである。 図37は、本発明に係るダウンロードモジュールから受け取るコードファイルの簡単な構成図である。 図38Aは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図38Bは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図38Cは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図39は、本発明に係る証明書交換を行う際の動作を示したフローチャートである。 図40は、本発明に係るプログラム起動直前通知を受け付けた際に、ルート証明書を照合する際の動作を示したフローチャートである。 図41は、本発明に係るCRLの構成図である。 図42は、本発明に係るCRL中の失効証明書リストの模式図である。 図43は、本発明に係るCRLが存在するファイルシステムの一例である。 図44は、本発明に係るCRLの有効性をハッシュ値と署名値から確認する際の動作を示すフローチャートである。 図45は、本発明に係るCRLの有効性を証明書の連鎖関係及びルート証明書の照合によって確認する際の動作を示すフローチャートである。 図46は、本発明に係るファイルまたはディレクトリのハッシュ値を格納したファイルの例である。 図47は、本発明に係るプログラム保存時にCRLが存在する場合の認証の動作を示したフローチャートである。 図48は、本発明に係るプログラム起動時にCRLが存在する場合の認証の動作を示したフローチャートである。 図49は、本発明に係る失効証明書データベースの模式図である。 図50は、本発明に係る保存対象であるファイルを特定するために利用されるファイルが存在するファイルシステムの一例である。 図51は、本発明に係る保存対象であるファイルを特定するために利用されるファイルの一例である。

Claims (9)

  1. トランスポートストリームに含まれるプログラムのデータファイルの保存に関する情報に従い、前記トランスポートストリームに含まれるプログラムを認証し放送受信装置に保存する認証・保存ステップと、前記認証・保存したプログラムを実行する実行ステップとを有する認証プログラム実行方法であって、
    前記認証・保存ステップは、
    前記プログラムに含まれるデータファイルのハッシュ値が前記データファイルに対応するハッシュファイルに格納されたハッシュ値と一致するかどうかをチェックする第1のステップと、
    前記プログラムに含まれる証明書ファイルの有効性を検証する第2のステップと、
    前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第3のステップと、
    前記第1のステップにてハッシュ値が一致し、前記第2のステップにて前記証明書ファイルが有効であると判定され、前記第3のステップにてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記保存に関する情報に従い前記プログラムのデータファイルを保存する第4のステップとを含み、
    前記実行ステップは、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する第5のステップを含み、
    前記第5のステップにて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行する
    ことを特徴とする認証プログラム実行方法。
  2. 前記プログラムがディレクトリ構造を有する場合には、
    各ディレクトリに含まれる前記データファイルと、対応する前記ハッシュファイルとは同一ディレクトリ内に存在し、
    前記第1のステップは前記各ディレクトリのデータファイルに対して実行される
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  3. 前記第2のステップは、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第6のステップを有し、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  4. 前記第2のステップは、さらに、
    前記プログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第7のステップを有し、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、認証日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項3記載の認証プログラム実行方法。
  5. 前記第5のステップは、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第8のステップを有し、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  6. 前記第5のステップは、さらに、
    前記保存したプログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第9のステップを有し、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、実行日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項5記載の認証プログラム実行方法。
  7. 前記第1のステップにてハッシュ値が一致しない場合、前記第2のステップにて前記証明書ファイルが有効でないと判定された場合、または前記第3のステップにてハッシュ値が一致しない場合には、前記プログラムを保存しない
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  8. トランスポートストリームに含まれるプログラムのデータファイルの保存に関する情報に従い、前記トランスポートストリームに含まれるプログラムを認証し、保存する認証・保存手段と、前記認証・保存したプログラムを実行する実行手段とを有する認証プログラム実行装置であって、
    前記認証・保存手段は、
    前記プログラムに含まれるデータファイルのハッシュ値が前記データファイルに対応するハッシュファイルに格納されたハッシュ値と一致するかどうかをチェックする第1検証部と、
    前記プログラムに含まれる証明書ファイルの有効性を検証する第2検証部と、
    前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第3検証部と、
    前記第1検証部にてハッシュ値が一致し、前記第2検証部にて前記証明書ファイルが有効であると判定され、前記第3検証部にてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記保存に関する情報に従い前記プログラムのデータファイルを保存する保存部とを備え、
    前記実行手段は、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する第4検証部を備え、
    前記第4検証部にて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行する
    ことを特徴とする認証プログラム実行装置。
  9. トランスポートストリームに含まれるプログラムのデータファイルの保存に関する情報に従い、前記トランスポートストリームに含まれるプログラムを認証し放送受信装置に保存する認証・保存ステップと、前記認証・保存したプログラムを実行する実行ステップとをコンピュータに実行させるプログラムであって、
    前記認証・保存ステップは、
    前記プログラムに含まれるデータファイルのハッシュ値が前記データファイルに対応するハッシュファイルに格納されたハッシュ値と一致するかどうかをチェックする第1のステップと、
    前記プログラムに含まれる証明書ファイルの有効性を検証する第2のステップと、
    前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第3のステップと、
    前記第1のステップにてハッシュ値が一致し、前記第2のステップにて前記証明書ファイルが有効であると判定され、前記第3のステップにてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記保存に関する情報に従い前記プログラムのデータファイルを保存する第4のステップとを含み、
    前記実行ステップは、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する第5のステップを含み、
    前記第5のステップにて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行する
    ことを特徴とするプログラム。
JP2006520502A 2003-12-18 2004-12-15 認証プログラム実行方法 Withdrawn JP2007535204A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003421616 2003-12-18
US53066303P 2003-12-19 2003-12-19
PCT/JP2004/019126 WO2005060256A1 (en) 2003-12-18 2004-12-15 Method for authenticating and executing an application program

Publications (1)

Publication Number Publication Date
JP2007535204A true JP2007535204A (ja) 2007-11-29

Family

ID=34703296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006520502A Withdrawn JP2007535204A (ja) 2003-12-18 2004-12-15 認証プログラム実行方法

Country Status (7)

Country Link
US (3) US7698562B2 (ja)
JP (1) JP2007535204A (ja)
KR (3) KR20110031506A (ja)
CN (1) CN1898956B (ja)
CA (1) CA2542392A1 (ja)
MX (1) MXPA06004543A (ja)
WO (1) WO2005060256A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010166335A (ja) * 2009-01-15 2010-07-29 Nippon Hoso Kyokai <Nhk> 放送型アプリケーションの起動システム

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444336B2 (en) * 2002-12-11 2008-10-28 Broadcom Corporation Portable media processing unit in a media exchange network
AU2005255327B2 (en) * 2004-03-22 2008-05-01 Samsung Electronics Co., Ltd. Method and apparatus for digital rights management using certificate revocation list
EP1766974A1 (en) 2004-07-14 2007-03-28 Matsushita Electric Industrial Co., Ltd. Method for authenticating and executing an application program
CN101057288B (zh) 2004-11-09 2010-12-22 汤姆森许可贸易公司 把内容绑定到可移动存储器上的方法和装置
US20060129821A1 (en) * 2004-12-13 2006-06-15 Microsoft Corporation Believably trustworthy enforcement of privacy enhancing technologies in data processing
CN101853355B (zh) 2005-02-14 2013-04-24 松下电器产业株式会社 集成电路
JP4590282B2 (ja) * 2005-02-24 2010-12-01 キヤノン株式会社 ライセンス管理装置、制御方法、及びプログラム
TWI281825B (en) * 2005-10-18 2007-05-21 Univ Nat Taiwan Right management system and method for digital broadcasting
US20070223392A1 (en) * 2006-03-21 2007-09-27 Samsung Electronics Co., Ltd. Method and device for checking validity period of certificate and method and device for displaying content information
JP4769608B2 (ja) * 2006-03-22 2011-09-07 富士通株式会社 起動検証機能を有する情報処理装置
JP4586776B2 (ja) * 2006-07-28 2010-11-24 日本電気株式会社 トークンによるアクセス制御システム、アクセス制御方法
JP4227641B2 (ja) * 2006-11-20 2009-02-18 キヤノン株式会社 情報処理装置及び情報処理装置の制御方法
US20090038007A1 (en) * 2007-07-31 2009-02-05 Samsung Electronics Co., Ltd. Method and apparatus for managing client revocation list
US20090172784A1 (en) * 2007-12-28 2009-07-02 Lg. Electronics, Inc. Apparatus and method for processing data broadcast signal
JP5378702B2 (ja) * 2008-04-23 2013-12-25 パナソニック株式会社 秘匿認証システム
JP2009272671A (ja) * 2008-04-30 2009-11-19 Panasonic Corp 秘匿認証システム
JP2009272737A (ja) * 2008-05-01 2009-11-19 Panasonic Corp 秘匿認証システム
JP2009278223A (ja) * 2008-05-13 2009-11-26 Panasonic Corp 電子証明システム及び秘匿通信システム
JP2009296190A (ja) 2008-06-04 2009-12-17 Panasonic Corp 秘匿通信方法
JP5396821B2 (ja) * 2008-11-05 2014-01-22 ソニー株式会社 情報処理装置、情報処理方法及びプログラム
US8856949B2 (en) * 2008-12-30 2014-10-07 Cyberlink Corporation Systems and methods for detecting authorized players
US8566801B2 (en) * 2009-05-22 2013-10-22 International Business Machines Corporation Concurrent static single assignment for general barrier synchronized parallel programs
KR101635569B1 (ko) * 2009-08-31 2016-07-01 엘지전자 주식회사 컨텐츠 목록 제공 방법 및 그 방법을 채용한 디지털 방송 수신기
CN102118374A (zh) * 2009-12-30 2011-07-06 鸿富锦精密工业(深圳)有限公司 数字证书自动更新系统及方法
WO2011097482A1 (en) 2010-02-05 2011-08-11 Maxlinear, Inc. Conditional access integration in a soc for mobile tv applications
US9177152B2 (en) * 2010-03-26 2015-11-03 Maxlinear, Inc. Firmware authentication and deciphering for secure TV receiver
WO2011123561A1 (en) 2010-03-30 2011-10-06 Maxlinear, Inc. Control word obfuscation in secure tv receiver
US9104845B2 (en) 2010-03-31 2015-08-11 Nec Corporation Digital content management system, verification device, programs thereof, and data processing method
US8397061B2 (en) * 2010-04-29 2013-03-12 International Business Machines Corporation Unattended code update of storage facility
US8892855B2 (en) 2010-08-10 2014-11-18 Maxlinear, Inc. Encryption keys distribution for conditional access software in TV receiver SOC
CN101977182B (zh) * 2010-09-03 2013-03-13 中国电影科学技术研究所 一种数字电影传输方法、系统和设备
CN102024123B (zh) * 2010-12-20 2013-02-13 北京世纪互联宽带数据中心有限公司 一种云计算中虚拟机镜像导入方法及装置
KR20130008939A (ko) * 2011-07-13 2013-01-23 삼성전자주식회사 휴대 단말기에서 단말 고유 정보의 복제를 방지하는 장치 및 방법
JP2013037652A (ja) * 2011-08-11 2013-02-21 Sony Corp 情報処理装置、および情報処理方法、並びにプログラム
CN103544026B (zh) * 2012-07-11 2016-12-21 国基电子(上海)有限公司 能够安全升级的电子装置及升级方法
CN103595530B (zh) * 2012-08-17 2017-04-26 华为技术有限公司 软件密钥更新方法和装置
US10038565B2 (en) * 2012-12-20 2018-07-31 GM Global Technology Operations LLC Methods and systems for bypassing authenticity checks for secure control modules
CN103974122B (zh) * 2013-02-04 2018-04-24 上海澜至半导体有限公司 机顶盒芯片及应用在机顶盒芯片中的数字签名实现方法
EP2838271A1 (en) * 2013-08-14 2015-02-18 TP Vision Holding B.V. Television system
CN104376276B (zh) * 2013-08-16 2017-12-29 昆达电脑科技(昆山)有限公司 嵌入式Linux设备映像文件验证方法
EP3035223A1 (en) * 2014-12-16 2016-06-22 SFNT Germany GmbH Method and control system for controlling an execution of a software application on an execution platform
CN105243311B (zh) * 2015-10-19 2017-02-22 广东欧珀移动通信有限公司 一种指纹信息的安全调用方法、装置及移动终端
CN106603242A (zh) * 2016-12-29 2017-04-26 哈尔滨安天科技股份有限公司 一种国产操作系统的数字签名离线验证方法及系统
US11172268B2 (en) 2017-07-31 2021-11-09 Samsung Electronics Co., Ltd. Method and apparatus for providing broadcast service
US10812275B2 (en) * 2017-11-28 2020-10-20 American Express Travel Related Services Company, Inc. Decoupling and updating pinned certificates on a mobile device
US20190044738A1 (en) * 2018-05-04 2019-02-07 Intel Corporation Mobile device certificate distribution
CN109766084B (zh) * 2018-12-28 2021-04-23 百富计算机技术(深圳)有限公司 支付应用的定制开发方法、装置、计算机设备和存储介质
US11171995B2 (en) * 2019-01-25 2021-11-09 EMC IP Holding Company LLC Identifying and mitigating risks of cryptographic obsolescence
US11941092B2 (en) * 2020-02-06 2024-03-26 Saturn Licensing Llc Techniques for launching applications based on partial signature validation

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW313643B (ja) 1994-12-14 1997-08-21 At & T Corp
US5625693A (en) * 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
JP4284715B2 (ja) 1998-07-14 2009-06-24 株式会社日立製作所 データのアクセス方法
US6832323B1 (en) 1999-10-22 2004-12-14 General Instrument Corporation Object and feature authorization for digital communication terminals
AU1632001A (en) 1999-10-22 2001-05-08 General Instrument Corporation Management of volatile and non-volatile memory resources in digital communications terminals
US6594665B1 (en) * 2000-02-18 2003-07-15 Intel Corporation Storing hashed values of data in media to allow faster searches and comparison of data
US7023858B2 (en) * 2000-04-14 2006-04-04 Sony Corporation Data delivery in set-top box
JP2002152821A (ja) * 2000-11-08 2002-05-24 Nec Saitama Ltd 携帯端末装置のプログラム更新方法および携帯端末装置
US20020077887A1 (en) * 2000-12-15 2002-06-20 Ibm Corporation Architecture for anonymous electronic voting using public key technologies
ATE349854T1 (de) 2001-04-25 2007-01-15 Wink Communications Inc Synchrones aktualisieren dynamischer interaktiver anwendungen
JP4145118B2 (ja) 2001-11-26 2008-09-03 松下電器産業株式会社 アプリケーション認証システム
US20030217369A1 (en) 2002-05-17 2003-11-20 Heredia Edwin Arturo Flexible application information formulation
FR2845493A1 (fr) * 2002-10-04 2004-04-09 Canal Plus Technologies Logiciel embarque et procede d'authentification de celui-ci
CN100562096C (zh) 2003-12-18 2009-11-18 松下电器产业株式会社 用于存储、认证以及执行应用程序的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010166335A (ja) * 2009-01-15 2010-07-29 Nippon Hoso Kyokai <Nhk> 放送型アプリケーションの起動システム

Also Published As

Publication number Publication date
US7698562B2 (en) 2010-04-13
MXPA06004543A (es) 2006-06-23
CN1898956B (zh) 2012-02-22
US20050138397A1 (en) 2005-06-23
KR101070545B1 (ko) 2011-10-05
KR20110031505A (ko) 2011-03-28
KR20060128885A (ko) 2006-12-14
US20100138665A1 (en) 2010-06-03
KR101099880B1 (ko) 2011-12-28
KR20110031506A (ko) 2011-03-28
US8060749B2 (en) 2011-11-15
US20120005481A1 (en) 2012-01-05
CA2542392A1 (en) 2005-06-30
WO2005060256A1 (en) 2005-06-30
CN1898956A (zh) 2007-01-17

Similar Documents

Publication Publication Date Title
KR101070545B1 (ko) 애플리케이션 프로그램을 인증 및 실행하는 방법
JP2008507154A (ja) 認証プログラム実行方法
US8086862B2 (en) Program data file storage method in broadcast receiver and broadcast receiver
EP1867158B1 (en) Tool pack structure and contents execution device
JP5961164B2 (ja) 放送通信連携受信装置及びリソースアクセス制御プログラム
US7676847B2 (en) Application execution device, application execution method, integrated circuit, and computer-readable program
US20060191015A1 (en) Copy-protecting applications in a digital broadcasting system
JPWO2005099250A1 (ja) プログラム実行装置
KR20060070533A (ko) 디지털 방송 시스템용 복제-방지된 애플리케이션
JP5941356B2 (ja) 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム
MXPA06006121A (en) Method for storing, authenticalting and executing an application program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071107

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20091207