JP2008507154A - 認証プログラム実行方法 - Google Patents

認証プログラム実行方法 Download PDF

Info

Publication number
JP2008507154A
JP2008507154A JP2006524153A JP2006524153A JP2008507154A JP 2008507154 A JP2008507154 A JP 2008507154A JP 2006524153 A JP2006524153 A JP 2006524153A JP 2006524153 A JP2006524153 A JP 2006524153A JP 2008507154 A JP2008507154 A JP 2008507154A
Authority
JP
Japan
Prior art keywords
program
certificate
file
hash
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006524153A
Other languages
English (en)
Inventor
忠夫 楠堂
義雄 川上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JP2008507154A publication Critical patent/JP2008507154A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/24Systems for the transmission of television signals using pulse code modulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • H04N21/4433Implementing client middleware, e.g. Multimedia Home Platform [MHP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/235Processing of additional data, e.g. scrambling of additional data or processing content descriptors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/435Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • H04N21/8173End-user applications, e.g. Web browser, game
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

従来の放送波でダウンロードされたプログラムに対する技術とは異なり、ネットワーク経由でプログラムをダウンロードする場合には、プログラムが改竄されたことに気づかずに、そのプログラムを起動する可能性がある。そこで、ネットワーク経由でプログラムをダウンロードする時、端末装置のローカル領域へ、サーバ上に配置されたプログラムのファイル階層を構築する。そして、プログラムの認証は、ローカル領域で構築したファイル階層に対して行い、プログラムの信用性を保証する。

Description

本発明は、ダウンロードしたプログラムの信用性を確認し、信用性が確認されたプログラムを実行する認証プログラム実行方法に関する。
デジタルテレビにおけるプログラムをダウンロードして、そのプログラムの信用性を確認・保証する機能は、DVB−MHP規格書“ETSI TS 101 812 V1.2.1 DVB−MHP仕様1.0.2”、及び特表2002−508624号等に記載されている。それらは、受信中の放送波に重畳されたプログラムに対し、改竄が行われていないかの検証と、そのプログラムが信用できる機関によって発行されたものであるかの検証を行う機能を有する。これにより、デジタルテレビにダメージを与えるような、書き換えられて本来とは異なる動作をするプログラムや、他人になりすました第三者のプログラムが起動されることを未然に防ぐことができる。
以下では、そのようなプログラムの信用性を確認することを認証と呼ぶこととする。
DVB−MHP規格書“ETSI TS 101 812 V1.2.1 DVB−MHP仕様1.0.2”等においては、放送波に重畳されたプログラムだけでなく、サーバに配置されたプログラムをインターネット等のネットワーク経由でダウンロードし、それを認証することも考えられている。
しかしながら、従来の放送波でダウンロードされたプログラムに対する場合とは異なり、ネットワーク経由でプログラムをダウンロードする場合にはセキュリティ上の不具合が発生し得る。ここでいうセキュリティ上の不具合とは、プログラムの認証に使用したプログラムを構成するファイル(以下では、構成ファイルと呼ぶ)と、端末装置上でプログラムが起動されるときに使用されるプログラムの構成ファイルとが、一部もしくはすべてのファイルにおいて異なっている可能性があるということである。これは、端末装置がサーバからプログラムの構成ファイルをダウンロードし認証後に、サーバ上に配置されたプログラムの構成ファイルが改竄される場合である。その構成ファイルが改竄され、その後端末装置が再度ダウンロードすると、その構成ファイルから成るプログラムを正常に利用できなくなる。
また、JAR(Java Archive)という、既知のZIPファイル形式に基づいたファイル形式で、多数のファイルを1つにまとめる技術が存在する。この技術を用いると、ファイルのサイズが圧縮され、JARを利用しない場合に比べてダウンロードに要する時間を短縮できる。しかしJARを使う場合、サーバ上に配置したデータが頻繁に更新していくようなケースでは、データが更新されるたびにJAR形式のファイルを作り変えなければならなくなる。これはサーバに対する負荷をかけ、好ましくないという課題がある。例えば、株価などの情報はリアルタイムに変化しつづけるので、株価情報を利用するプログラムをサーバが提供するようなケースが該当する。
上記問題点を鑑みて、サーバ上にはJARで示される圧縮ファイルを利用せずファイル及びディレクトリが階層構造で配置され、そのサーバからネットワーク経由でダウンロードされるプログラムの信用性を保証する、デジタルテレビ等の認証装置が望まれる。
本発明は、ネットワーク経由でプログラムをダウンロードする時、端末装置のローカル領域へ、サーバ上に配置されたプログラムのファイル階層を構築する。そして、ローカル領域で構築したファイル階層に対してプログラムの認証を行うことによって、プログラムの信用性を保証することができる認証プログラム実行方法を提供することを目的とする。
上記目的を達成するために、本発明に係る認証プログラム実行方法は、トランスポートストリームに指定されたプログラムを格納する場所を特定する情報に従い、ディレクトリ構造を用いて改竄チェックが必要なデータファイルを格納したプログラムをネットワークに接続された所定のサーバからダウンロードし、前記ダウンロードした改竄チェックが必要なデータファイルを認証および前記プログラムを放送受信装置内に保存する認証・保存ステップと、前記認証したプログラムを実行する実行ステップとを有する認証プログラム実行方法であって、前記認証・保存ステップは、前記ディレクトリ構造を構成するディレクトリに含まれるハッシュファイルに記述されたディレクトリとデータファイルとを用いて前記サーバ内に格納されたプログラムのディレクトリ構造と同一のディレクトリ構造を有するように前記ハッシュファイルに記述された改竄チェックが必要なデータファイルを全て前記放送受信端末内にダウンロードする第1のステップと、前記改竄チェックが必要なデータファイルのハッシュ値が前記改竄チェックが必要なデータファイルを指定するハッシュファイルに格納されたハッシュ値と一致するかどうかを改竄チェックが必要な全てのデータファイルについてチェックする第2のステップと、前記プログラムに含まれる証明書ファイルの有効性を検証する第3のステップと、前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第4のステップと、前記第2のステップにおいてハッシュ値が一致し、前記第3のステップにおいて前記証明書ファイルが有効であると判定され、前記第4のステップにおいてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記プログラムを保存する第5のステップとを有し、前記実行ステップは、前記保存したプログラムに含まれる証明書ファイルの有効性を検証する検証ステップを有し、前記検証ステップにおいて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行することを特徴とする。
これによって、ローカル記憶領域にサーバと同じファイル階層を構築することができ、プログラムの信用性を保証することができる。また、認証が成功したにも関わらずサーバ上で改竄されたプログラムが放送受信装置へインストールされるのを防止できる。これにより、サーバ上で改竄があっても、放送受信装置上ではそのプログラムを正常に利用できる。そして、再度プログラムをダウンロードしなくて済み、ダウンロードした分の認証を省略できる。これは、認証が完了するまでプログラムの起動完了を待たされるユーザーにとって、利便性が向上する。さらに、本発明では、JARで示される圧縮ファイルを利用せずに、ファイル階層の形式でサーバがファイルを公開するので、頻繁にデータがアップデートされるファイルをサーバが含む場合であっても、その都度圧縮ファイルを作り直さなければならないというサーバの負担を軽減できる。
また、前記第3のステップは、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第6のステップを有し、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定してもよい。
ここで、前記第3のステップは、さらに、前記プログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第7のステップを有し、前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、認証日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定してもよい。
これによって、ルート証明書が一致しない、または証明書の有効期間が過ぎてしまったプログラムを保存するのを防止することができる。
また、前記検証ステップは、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第8のステップを有し、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定してもよい。
ここで、前記検証ステップは、さらに、前記保存したプログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第9のステップを有し、前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、実行日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定してもよい。
これによって、ルート証明書が一致しない、または証明書の有効期間が過ぎてしまったプログラムを実行するのを防止することができる。
また、前記第2のステップにおいてハッシュ値が一致しない場合、前記第3のステップにおいて前記証明書ファイルが有効でないと判定された場合、または前記第4のステップにおいてハッシュ値が一致しない場合には前記プログラムを保存しなくてもよい。
これによって、例えばサーバ上で改竄されたプログラムを保存するのを防止することができる。
また、前記第1のステップは、前記サーバにおいて前記プログラムを構成する最上位のディレクトリに格納されたハッシュファイルにディレクトリが指定されている場合、前記放送受信装置において最上位のディレクトリの下に当該ハッシュファイルが指定するディレクトリと同一のディレクトリを前記放送受信装置内に構築するとともに、前記サーバの最上位のディレクトリに格納されるハッシュファイルが指定するディレクトリに格納されたハッシュファイルに指定された改竄チェックが必要なデータファイルを前記放送受信装置内に構築した対応するディレクトリにダウンロードする第10のステップを有してもよい。
これによって、放送受信装置にサーバと同じファイル階層を構築し、改竄チェックが必要なデータファイルを放送受信装置内に構築した対応するディレクトリにダウンロードすることができる。
さらに、本発明は、このような認証プログラム実行方法として実現することができるだけでなく、このような認証プログラム実行方法が含む特徴的なステップを手段として備える認証プログラム実行装置として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのは言うまでもない。
本発明に係る認証プログラム実行方法によれば、ローカル記憶領域にサーバと同じファイル階層を構築することができ、プログラムの信用性を保証することができる。また、認証が成功したにも関わらずサーバ上で改竄されたプログラムが放送受信装置へインストールされるのを防止できる。これにより、サーバ上で改竄があっても、放送受信装置上ではそのプログラムを正常に利用できる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
本発明に係るケーブルテレビシステムの実施の形態を、図面を参照しながら説明する。図1は、ケーブルシステムを構成する装置の関係を表したブロック図であり、ヘッドエンド101及び3個の端末装置A111、端末装置B112、端末装置C113で構成される。本実施の形態では、1つのヘッドエンドに対して3つの端末装置が結合されているが、任意の数の端末装置をヘッドエンドに結合しても、本発明は実施可能である。
ヘッドエンド101は、複数の端末装置に対して映像・音声・データ等の放送信号を送信するとともに、端末装置からのデータ送信を受信する。これを実現するため、ヘッドエンド101と端末装置A111、端末装置B112、端末装置C113間の伝送に用いられる周波数帯域は、分割して用いられる。図2は、周波数帯域の分割の一例を示す表である。周波数帯域は、Out Of Band(略称OOB)とIn−Bandの2種類に大別される。5〜130MHzがOOBに割り当てられ、主にヘッドエンド101と端末装置A111、端末装置B112、端末装置C113間のデータのやり取りに使用される。130MHz〜864MHzはIn−Bandに割り当てられ、主として、映像・音声を含む放送チャンネルに使用される。OOBではQPSK変調方式が、In−BandはQAM64変調方式が使用される。変調方式技術については、本発明に関与が薄い公知技術であるので、詳細な説明は省略する。図3は、OOB周波数帯域の更に詳細な使用の一例である。70MHz〜74MHzはヘッドエンド101からのデータ送信に使用され、全ての端末装置A111、端末装置B112、端末装置C113が、ヘッドエンド101から同じデータを受け取ることになる。一方、10.0MHz〜10.1MHzは端末装置A111からヘッドエンド101へのデータ送信に使用され、10.1MHz〜10.2MHzは端末装置B112からヘッドエンド101へのデータ送信に使用され、10.2MHz〜10.3MHzは端末装置C113からヘッドエンド101へのデータ送信に使用される。これにより、各端末装置固有のデータを各端末装置A111、端末装置B112、端末装置C113からヘッドエンド101に送信することができる。図4は、In−Bandの周波数帯に対する使用の一例である。150〜156MHzと156〜162MHzはそれぞれテレビチャンネル1とテレビチャンネル2に割り当てられ、以降、6MHz間隔でテレビチャンネルが割り当てられている。310MHz以降は、1MHz単位でラジオチャンネルに割り当てられている。これらの各チャンネルはアナログ放送として使用してもデジタル放送として使用してもよい。デジタル放送の場合は、MPEG2仕様に基づいたトラスポートパケット形式で伝送され、音声や映像に加え、各種データ放送用データも送信することができる。
ヘッドエンド101は、これらの周波数帯域に適切な放送信号を送信するため、QPSK変調部やQAM変調部等を有する。また、端末装置からのデータを受信するため、QPSK復調器を有する。また、ヘッドエンド101は、これら変調部及び復調部に関連する様々な機器を有すると考えられる。しかし、本発明は主として端末装置に関わるので、詳細な説明は省略する。
端末装置A111、端末装置B112、端末装置C113は、ヘッドエンド101からの放送信号を受信し再生する。また、ヘッドエンド101に対して、各端末装置固有のデータを送信する。3つの、端末装置は本実施の形態では同じ構成を取る。
図5は、端末装置のハードウエア構成を表すブロック図である。端末装置500は、QAM復調部501、QPSK復調部502、QPSK変調部503、TSデコーダ505、オーディオデコーダ506、スピーカ507、ビデオデコーダ508、ディスプレイ509、2次記憶部510、1次記憶部511、ROM512、入力部513、CPU514で構成される。また端末装置500には、POD504が着脱できる。
図6は、端末装置500の外観の一例である薄型テレビである。端末装置は様々な構成で実現できるが、本実施例ではOpenCable(TM)及びOCAPに基づいて構成された端末装置を例にとって説明する。
薄型テレビの筐体601は、POD504を除く、端末装置500の構成要素をすべて内蔵している。
ディスプレイ602は、図5におけるディスプレイ509に相当する。
フロントパネル部603は複数のボタンで構成され、図5の入力部513に相当する。
信号入力端子604は、ヘッドエンド101との信号の送受信を行うためにケーブル線を接続する。また、信号入力端子604は、図5のQAM復調部501、QPSK復調部502、QPSK変調部503と接続されている。
PODカード605は、図5のPOD504に相当する。POD504は、図6のPODカード605のように、端末装置500とは独立した形態を取り、端末装置500に着脱可能となっている。POD504の詳細は後述する。
挿入スロット606はPODカード605が挿入される挿入スロットである。
図5を参照して、QAM復調部501は、CPU514から指定された周波数を含むチューニング情報で、ヘッドエンド101でQAM変調され送信されてきた信号を復調し、POD504に引き渡す。
QPSK復調部502は、CPU514から指定された周波数を含むチューニング情報で、ヘッドエンド101でQPSK変調され送信されてきた信号を復調し、POD504に引き渡す。
QPSK変調部503は、CPU514から指定された周波数を含む復調情報で、POD504から渡された信号をQPSK復調し、ヘッドエンド101に送信する。
POD504は、図6のように端末装置本体500から着脱可能な形態をしている。端末本体500とPOD504の接続インターフェースは、OpenCable(TM) CableCARD(TM) Interface Specification(OC−SP−CC−IF−I15−031121)及び、この仕様書から参照されている仕様書で定義されている。なお、仕様書のCableCARDとはPODのことを指している。ここでは、詳細は省略し、本発明に関する部分のみを解説する。
図7は、POD504の内部構成を表すブロック図である。POD504は、第1デスクランブラ部701、第2デスクランブラ部702、スクランブラ部703、第1記憶部704、第2記憶部705、CPU706で構成される。
第1デスクランブラ部701は、CPU706からの指示により、端末装置500のQAM復調部501から暗号化された信号を受け取り、復号を行う。そして、復号された信号を端末装置500のTSデコーダ505に送る。デコードに必要な鍵などの情報はCPU706から適宜与えられる。具体的には、ヘッドエンド101はいくつかの有料チャンネルを放送している。ユーザーが、この有料チャンネルを購買すると、第1デスクランブラ部701は、CPU706から鍵等の必要な情報を受け取りデスクランブルすることで、ユーザーは有料チャンネルを閲覧することができる。鍵などの必要な情報が与えられない場合は、第1デスクランブラ部701は、デスクランブルを行わず、受け取った信号をそのまま、TSデコーダ505に送る。
第2デスクランブラ部702は、CPU706からの指示により、端末装置500のQPSK復調部502から暗号化された信号を受け取り、復号を行う。そして、復号されたデータをCPU706に引き渡す。
スクランブラ部703は、CPU706からの指示により、CPU706から受け取ったデータを暗号化し、端末装置500のQPSK変調部503に送る。
第1記憶部704は、具体的にはRAM等の一次記憶メモリで構成され、CPU706が処理を行う際、一時的にデータを保存するために使用される。
第2記憶部705は、具体的にはフラッシュROM等の2次記憶メモリで構成され、CPU706が実行するプログラムを格納し、また、電源OFFになっても消去されては困るデータの保存に使用される。
CPU706は、第2記憶部705が記憶するプログラムを実行する。プログラムは複数のサブプログラムで構成される。図8は、第2記憶部705が記憶するプログラムの一例である。図8では、プログラム800は、メインプログラム801、初期化サブプログラム802、ネットワークサブプログラム803、再生サブプログラム804、PPVサブプログラム805等複数のサブプログラムで構成されている。
ここでPPVとはPay Per Viewの略であり、映画など特定の番組を有料で視聴できるようにするサービスである。ユーザーが暗証番号を入力すると、購入したことがヘッドエンド101に通知され、スクランブルが解除され、視聴することが出来る。この視聴により、ユーザーは後日、購入代金を支払うものである。
メインプログラム801は、CPU706が電源投入時に最初に起動するサブプログラムであり、他のサブプログラムの制御を行う。
初期化サブプログラム802は、電源投入時にメインプログラム801によって起動され、端末装置500との情報交換等を行い、初期化処理を行う。初期化処理の詳細は、OpenCable(TM) CableCARD(TM) Interface Specification(OC−SP−CC−IF−I15−031121)及び、この仕様書から参照されている仕様書で定義されている。また、仕様書に定義されていない初期化処理も行う。ここでは、その一部を紹介する。電源が投入されると、初期化サブプログラム802は、第2記憶部705が記憶する第1の周波数を端末装置500のCPU514を通して、QPSK復調部502に通知する。QPSK復調部502は、与えられた第1の周波数でチューニングを行い、信号を第2デスクランブラ部702に送る。また、初期化サブプログラム802は、第2記憶部705が記憶する第1の鍵等の復号情報を第2デスクランブラ部702に与える。その結果、第2デスクランブラ部702は、デスクランブルを行い、初期化サブプログラム802を実行するCPU706に引き渡す。よって、初期化サブプログラム802は情報を受け取ることができる。本実施の形態では、初期化サブプログラム802はネットワークサブプログラム803を通して情報を受け取ることとする。詳細は後述する。
また、初期化サブプログラム802は、第2記憶部705が記憶する第2の周波数を端末装置500のCPU514を通して、QPSK変調部503に通知する。初期化サブプログラム802は第2記憶部705が記憶する暗号化情報をスクランブラ部703に与える。初期化サブプログラム802が送信したい情報を、ネットワークサブプログラム803を介して、スクランブラ部703に与えると、スクランブラ部703は、与えられた暗号化情報を用いて、データを暗号化し、端末装置500のQPSK変調部503に与える。QPSK変調部503は、与えられた暗号化された情報を変調し、ヘッドエンド101に送信する。
この結果、初期化サブプログラム802は、端末装置500、第2デスクランブラ部702、スクランブラ部703、ネットワークサブプログラム803を通して、ヘッドエンド101と双方向通信を行うことができる。
ネットワークサブプログラム803は、メインプログラム801、初期化サブプログラム802等の複数のサブプログラムから使用される、ヘッドエンド101との双方向通信を行うためのサブプログラムである。具体的には、ネットワークサブプログラム803を使用する他のサブプログラムに対して、TCP/IPによって、ヘッドエンド101と双方向通信を行っているように振舞う。TCP/IPは、複数の装置間で情報交換を行うためのプロトコルを規定した公知の技術であり、詳細な説明は省略する。ネットワークサブプログラム803は、電源投入時に初期化サブプログラム802に起動されると、予め第2記憶部705が記憶しているPOD504を識別する識別子であるMACアドレス(Media Access Controlアドレスの略)を、端末装置500を通してヘッドエンド101に通知し、IPアドレスの取得を要求する。ヘッドエンド101は、端末装置500を介してPOD504にIPアドレスを通知し、ネットワークサブプログラム803は、IPアドレスを第1記憶部704に記憶する。以降、ヘッドエンド101とPOD504は、このIPアドレスを、POD504の識別子として使用し、通信を行う。
再生サブプログラム804は、第2記憶部705が記憶する第2の鍵等の復号情報や、端末装置500から与えられる第3の鍵等の復号情報を第1デスクランブラ部701に与えて、デスクランブルを可能にする。また、ネットワークサブプログラム803を通して、第1デスクランブラ部701に入力されている信号が、PPVチャンネルであることの情報を受け取る。PPVチャンネルと知ったときは、PPVサブプログラム805を起動する。
PPVサブプログラム805は、起動されると、端末装置500に番組の購入を促すメッセージを表示し、ユーザーの入力を受け取る。具体的には、端末装置500のCPU514に画面に表示したい情報を送ると、端末装置500のCPU514上で動作するプログラムが、端末装置500のディスプレイ509上にメッセージを表示する。ユーザーは、端末装置500の入力部513を通して暗証番号を入力すると、端末装置500のCPU514が、それを受け取り、POD504のCPU706上で動作するPPVサブプログラム805に通知する。PPVサブプログラム805は、受け取った暗証番号をネットワークサブプログラム803を通してヘッドエンド101に送信する。ヘッドエンド101は、暗証番号が正しければ、復号に必要な第4の鍵などの復号化情報をネットワークサブプログラム803を介して、PPVサブプログラム805に通知する。PPVサブプログラム805は受け取った第4の鍵などの復号化情報を第1デスクランブラ部701に与え、第1デスクランブラ部701は、入力されている信号をデスクランブルする。
図5を参照して、TSデコーダ505は、POD504から受け取った信号のフィルタリングを実施し、必要なデータをオーディオデコーダ506及びビデオデコーダ508、CPU514に引き渡す。ここで、POD504から来る信号はMPEG2トランスポートストリームである。MPEG2トランスポートストリームの詳細はMPEG規格書 ISO/IEC138181−1に記載されており、本実施の形態では詳細は省略する。MPEG2トランスポートストリームは、複数の固定長パケットで構成され、各パケットには、パケットIDが振られている。図9はパケットの構成図である。900はパケットであり、固定長の188バイトで構成される。先頭4バイトがヘッダー901で、パケットの識別情報を格納しており、残り184バイトがペイロード902で、送信したい情報を含んでいる。903は、ヘッダー901の内訳である。先頭から12ビット目〜24ビット目までの13ビットにパケットIDが含まれている。図10は送られてくる複数のパケットの列を表現した模式図である。パケット1001は、ヘッダーにパケットID「1」を持ち、ペイロードには映像Aの1番目の情報が入っている。パケット1002は、ヘッダーにパケットID「2」を持ち、ペイロードには音声Aの1番目の情報が入っている。パケット1003は、ヘッダーにパケットID「3」を持ち、ペイロードには音声Bの1番目の情報が入っている。
パケット1004は、ヘッダーにパケットID「1」を持ち、ペイロードには映像Aの2番目の情報が入っており、これはパケット1001の続きになっている。同様にパケット1005、1026、1027も他のパケットの後続データを格納している。このように、同じパケットIDを持つ、パケットのペイロードの内容を連結すると、連続した映像や音声を再現することができる。
図10を参照して、CPU514がパケットID「1」と出力先として「ビデオデコーダ508」をTSデコーダ505に指示すると、TSデコーダ505はPOD504から受け取ったMPEG2トランスポートストリームからパケットID「1」のパケットを抽出し、ビデオデコーダ508に引き渡す。図10においては、映像データのみをビデオデコーダ508に引き渡すことになる。同時に、CPU514がパケットID「2」と「オーディオデコーダ506」をTSデコーダ505に指示すると、TSデコーダ505はPOD504から受け取ったMPEG2トランスポートストリームからパケットID「2」のパケットを抽出し、オーディオデコーダ506に引き渡す。図10においては、音声データのみをビデオデコーダ508に引き渡すことになる。
このパケットIDに応じて必要なパケットだけを取り出す処理が、TSデコーダ505が行うフィルタリングである。TSデコーダ505はCPU514から指示された複数のフィルタリングを同時に実行することができる。
図5を参照して、オーディオデコーダ506は、TSデコーダ505から与えられたMPEG2トランスポートストリームのパケットに埋め込まれたオーディオデータを連結し、デジタル−アナログ変換を行いスピーカ507に出力する。
スピーカ507は、オーディオデコーダ506から与えられた信号を音声出力する。
ビデオデコーダ508は、TSデコーダ505から与えられたMPEG2トランスポートストリームのパケットに埋め込まれたビデオデータを連結し、デジタル−アナログ変換を行いディスプレイ509に出力する。
ディスプレイ509は、具体的にはブラウン管や液晶等で構成され、ビデオデコーダ508から与えられたビデオ信号を出力したり、CPU514から指示されたメッセージを表示したりする。
2次記憶部510は、具体的には、フラッシュメモリーやハードディスク等で構成され、CPU514から指示されたデータやプログラムを保存したり削除したりする。また、保存されているデータやプログラムはCPU514に参照される。保存されているデータやプログラムは、端末装置500の電源が切断された状態でも保存しつづける。
1次記憶部511は、具体的には、RAM等で構成され、CPU514から指示されたデータやプログラムを一次的に保存したり削除したりする。また、保存されているデータやプログラムはCPU514に参照される。保存されているデータやプログラムは、端末装置500の電源が切断された際に、抹消される。
ROM512は、書き換え不可能なメモリーデバイスであり、具体的にはROMやCD−ROM、DVDなどで構成される。ROM512は、CPU514が実行するプログラムが格納されている。
入力部513は、具体的には、フロントパネルやリモコンで構成され、ユーザーからの入力を受け付ける。図11は、フロントパネルで入力部513を構成した場合の一例である。1100はフロントパネルであり、図6のフロントパネル部603に相当する。フロントパネル1100は7つのボタン、上カーソルボタン1101、下カーソルボタン1102、左カーソルボタン1103、右カーソルボタン1104、OKボタン1105、取消ボタン1106、EPGボタン1107を備えている。ユーザーがボタンを押下すると、押下されたボタンの識別子が、CPU514に通知される。
CPU514は、ROM512が記憶するプログラムを実行する。実行するプログラムの指示に従い、QAM復調部501、QPSK復調部502、QPSK変調部503、POD504、TSデコーダ505、ディスプレイ509、2次記憶部510、1次記憶部511、ROM512を制御する。
図12は、ROM512に記憶され、CPU514に実行されるプログラムの構成図の一例である。
プログラム1200は、複数のサブプログラムで構成され、具体的にはOS1201、EPG1202、Java(登録商標)VM1203、サービスマネージャ1204、Javaライブラリ1205で構成される。
OS1201は、端末装置500の電源が投入されると、CPU514が起動するサブプログラムである。OS1201は、オペレーティングシステムの略であり、Linux等が一例である。OS1201は、他のサブプログラムを平行して実行するカーネル1201a及びライブラリ1201bで構成される公知の技術の総称であり、詳細な説明は省略する。本実施の形態においては、OS1201のカーネル1201aは、EPG1202とJavaVM1203をサブプログラムとして実行する。また、ライブラリ1201bは、これらサブプログラムに対して、端末装置500が保持する構成要素を制御するための複数の機能を提供する。
機能の一例として、チューニング機能を紹介する。チューニング機能は、他のサブプログラムから周波数を含むチューニング情報を受け取り、それをQAM復調部501に引き渡す。QAM復調部501は与えられたチューニング情報に基づき復調処理を行い、復調したデータをPOD504に引き渡すことができる。この結果、他のサブプログラムはライブラリ1201bを通してQAM復調器を制御することができる。
EPG1202は、ユーザーに番組一覧を表示及び、ユーザーからの入力を受け付ける番組表示部1202aと、チャンネル選局を行う再生部1102bで構成される。ここで、EPGはElectric Program Guideの略である。EPG1202は、端末装置500の電源が投入されると、カーネル1201aによって起動される、起動されたEPG1202の内部では、番組表示部1202aが端末装置500の入力部513を通して、ユーザーからの入力を待つ。ここで、入力部513が図11で示されるフロントパネルで構成されている場合、ユーザーが、入力部513のEPGボタン1107を押下すると、EPGボタンの識別子がCPU514に通知される。CPU514上で動作するサブプログラムであるEPG1202の番組表示部1202aは、この識別子を受け取り、番組情報をディスプレイ509に表示する。図13A及び図13Bは、ディスプレイ509に表示された番組表の一例である。図13Aを参照して、ディスプレイ509には、格子状に番組情報が表示されている。列1301には、時刻情報が表示されている。列1302には、チャンネル名「チャンネル1」と、列1301の時刻に対応する時間帯に放映される番組が表示されている。「チャンネル1」では、9:00〜10:30に番組「ニュース9」が放映され、10:30〜12:00は「映画AAA」が放映されることを表す。列1303も列1302同様、チャンネル名「チャンネル2」と、列1301の時刻に対応する時間帯に放映される番組が表示されている。9:00〜11:00に番組「映画BBB」が放映され、11:00〜12:00は「ニュース11」が放映される。1330は、カーソルである。カーソル1330は、フロントパネル1100の左カーソル1103と右カーソル1104を押下すると移動する。図13Aの状態で、右カーソル1104を押下すると、カーソル1330は右に移動し、図13Bのようになる。また、図13Bの状態で、左カーソル1103を押下すると、カーソル1330は左に移動し、図13Aのようになる。
図13Aの状態で、フロントパネル1100のOKボタン1105が押下されると、番組表示部1202aは、「チャンネル1」の識別子を再生部1102bに通知する。図13Bの状態で、フロントパネル1100のOKボタン1105が押下されると、番組表示部1202aは、「チャンネル2」の識別子を再生部1102bに通知する。
また、番組表示部1202aは、表示する番組情報を、POD504を通してヘッドエンド101から定期的に、1次記憶部511に記憶しておく。一般的に、ヘッドエンドからの番組情報の取得は時間が掛かる。入力部513のEPGボタン1107が押下された時、1次記憶部511に予め保存された番組情報を表示することで、素早く番組表を表示することができる。
再生部1102bは、受け取ったチャンネルの識別子を用いて、チャンネルを再生する。チャンネルの識別子とチャンネルの関係は、チャンネル情報として、2次記憶部510に予め格納されている。図14は2次記憶部510に格納されているチャンネル情報の一例である。チャンネル情報は表形式で格納されている。列1401は、チャンネルの識別子である。列1402は、チャンネル名である。列1403はチューニング情報である。ここで、チューニング情報は周波数や転送レート、符号化率などを含み、QAM復調部501に与える値である。列1404はプログラムナンバーである。プログラムナンバーとは、MPEG2規格で規定されているPMTを識別するための番号である。PMTに関しては、後述する。行1411〜1414の各行は、各チャンネルの識別子、チャンネル名、チューニング情報の組となる。行1411は識別子が「1」、チャンネル名が「チャンネル1」、チューニング情報に周波数「312MHz」、プログラムナンバーが「101」を含む組となっている。再生部1102bは、チャンネルの再生を行うため、受け取ったチャンネルの識別子をそのままサービスマネージャに引き渡す。
また、再生部1102bは、再生中に、ユーザーがフロントパネル1100の上カーソル1101と下カーソル1102を押下すると、入力部513からCPU514を通して、押下された通知を受け取り、再生しているチャンネルを変更する。まず、再生部1102bは、1次記憶部511に現在再生中のチャンネルの識別子を記憶する。図15A、図15B及び図15Cは、1次記憶部511に保存しているチャンネルの識別子の例である。図15Aでは識別子「3」が記憶されており、図14を参照し、チャンネル名「TV 3」のチャンネルが再生中であることを示す。図15Aの状態で、ユーザーが上カーソル1101を押下すると再生部1102bは、図14のチャンネル情報を参照し、表中の前のチャンネルであるチャンネル名「チャンネル2」のチャンネルに再生を切り変えるため、サービスマネージャにチャンネル名「チャンネル2」の識別子「2」を引き渡す。同時に、1次記憶部511に記憶されているチャンネル識別子「2」に書き換える。図15Bは、チャンネル識別子が書き換えられた状態を表す。また、図15Aの状態で、ユーザーが下カーソル1102を押下すると再生部1102bは、図14のチャンネル情報を参照し、表中の次のチャンネルであるチャンネル名「TV Japan」のチャンネルに再生を切り変えるため、サービスマネージャにチャンネル名「TV Japan」の識別子「4」を引き渡す。同時に、1次記憶部511に記憶されているチャンネル識別子「4」に書き換える。図15Cは、チャンネル識別子が書き換えられた状態を表す。
JavaVM1203は、Java(TM)言語で記述されたプログラムを逐次解析し実行するJavaバーチャルマシンである。Java言語で記述されたプログラムはバイトコードと呼ばれる、ハードウエアに依存しない中間コードにコンパイルされる。Javaバーチャルマシンは、このバイトコードを実行するインタープリタである。また、一部のJavaバーチャルマシンは、バイトコードをCPU514が理解可能な実行形式に翻訳してから、CPU514に引渡し、実行することも行う。JavaVM1203は、カーネル1201aに実行するJavaプログラムを指定され起動される。本実施の形態では、カーネル1201aは、実行するJavaプログラムとしてサービスマネージャ1204を指定する。Java言語の詳細は、書籍「Java Language Specification(ISBN 0−201−63451−1)」等の多くの書籍で解説されている。ここでは、その詳細を省略する。また、JavaVM自体の詳細な動作などは、「Java Virtual Machine Specification(ISBN 0−201−63451―X)」等の多くの書籍で解説されている。ここでは、その詳細を省略する。
サービスマネージャ1204は、Java言語で書かれたJavaプログラムであり、JavaVM1203によって逐次実行される。サービスマネージャ1204は、JNI(Java Native Interface)を通して、Java言語で記述されていない他のサブプログラムを呼び出したり、または、呼び出されたりすることが可能である。JNIに関しても、書籍「Java Native Interface」等の多くの書籍で解説されている。ここでは、その詳細を省略する。
サービスマネージャ1204は、JNIを通して、再生部1102bよりチャンネルの識別子を受け取る。
サービスマネージャ1204は、最初にJavaライブラリ1205の中にあるTuner1205cに、チャンネルの識別子を引き渡し、チューニングを依頼する。Tuner1205cは、2次記憶部510が記憶するチャンネル情報を参照し、チューニング情報を獲得する。今、サービスマネージャ1204がチャンネルの識別子「2」をTuner1205cに引き渡すと、Tuner1205cは、図14の列1412を参照して、対応するチューニング情報「156MHz,」を獲得する。Tuner1205cは、OS1201のライブラリ1201bを通して、QAM復調部501にチューニング情報を引き渡す。QAM復調部501は与えられたチューニング情報に従ってヘッドエンド101から送信されてきた信号を復調し、POD504に引き渡す。
次にサービスマネージャ1204は、Javaライブラリ1205の中にあるCA1205dにデスクランブルを依頼する。CA1205dは、OS1201のライブラリ1201bを通して復号に必要な情報をPOD504に与える。POD504は、与えられた情報を元に、QAM復調部501から与えられた信号を復号しTSデコーダ505に引き渡す。
次にサービスマネージャ1204は、Javaライブラリ1205の中にあるJMF1205aにチャンネルの識別子を与え、映像・音声の再生を依頼する。
まず、最初にJMF1205aは、再生すべき映像と音声を特定するためのパケットIDをPAT、PMTから取得する。PATやPMTはMPEG2規格で規定されている、MPEG2トランスポートストリーム内の番組構成を表現するテーブルであり、MPEG2トランスポートストリームに含まれるパケットのペイロードに埋め込まれて、音声や映像と共に送信されるものである。詳細は規格書を参照されたい。ここでは、概略のみ説明する。PATは、Program Association Tableの略で、パケットID「0」のパケットに格納され送信されている。JMF1205aは、PATを取得するため、OS1201のライブラリ1201bを通して、TSデコーダ505にパケットID「0」とCPU514を指定する。TSデコーダ505がパケットID「0」でフィルタリングを行い、CPU514に引き渡すことでJMF1205aは、PATのパケットを収集する。図16は、収集したPATの情報の一例を模式的に表した表である。列1601は、プログラムナンバーである。列1602は、パケットIDである。列1602のパケットIDはPMTを取得するために用いられる。行1611〜1613は、チャンネルのプログラムナンバーと対応するパケットIDの組である。ここでは、3つのチャンネルが定義されている。行1611はプログラムナンバー「101」とパケットID「501」の組が定義されている。今、JMF1205aに与えられたチャンネルの識別子が「2」とすると、JMF1205aは、図14の列1412を参照して、対応するプログラムナンバー「102」を獲得し、次に、図16のPATの列1612を参照し、プログラムナンバー「102」に対応するパケットID「502」を獲得する。PMTは、Program Map Tableの略で、PATで規定されたパケットIDのパケットに格納され送信されている。JMF1205aは、PMTを取得するため、OS1201のライブラリ1201bを通して、TSデコーダ505にパケットIDとCPU514を指定する。ここで、指定するパケットIDは「502」とする。TSデコーダ505がパケットID「502」でフィルタリングを行い、CPU514に引き渡すことでJMF1205aは、PMTのパケットを収集する。図17は、収集したPMTの情報の一例を模式的に表した表である。列1701は、ストリーム種別であり。列1702は、パケットIDである。列1702で指定されるパケットIDのパケットには、ストリーム種別で指定された情報がペイロードに格納され送信されている。列1703は補足情報である。行1711〜1714はエレメンタリ−ストリームと呼ばれる、パケットIDと送信している情報の種別の組である。行1711は、ストリーム種別「音声」とパケットID「5011」の組であり、パケットID「5011」のペイロードには音声が格納されていることを表す。JMF1205aは、PMTから再生する映像と音声のパケットIDを獲得する。図17を参照して、JMF1205aは、行1711から音声のパケットID「5011」を、行1712から映像のパケットID「5012」を獲得する。
次に、JMF1205aは、OS1201のライブラリ1201bを通して、獲得した音声のパケットIDと出力先としてオーディオデコーダ506、映像のパケットIDと出力先としてビデオデコーダ508の組を、TSデコーダ505に与える。TSデコーダ505は与えられたパケットIDと出力先に基づいて、フィルタリングを行う。ここではパケットID「5011」のパケットをオーディオデコーダ506に、パケットID「5012」のパケットをビデオデコーダ508に引き渡す。オーディオデコーダ506は、与えられたパケットのデジタル−アナログ変換を行いスピーカ507を通して音声を再生する。ビデオデコーダ508は、与えられたパケットのデジタル−アナログ変換を行いディスプレイ509に映像を表示する。
最後にサービスマネージャ1204は、Javaライブラリ1205の中にあるAM1205bにチャンネルの識別子を与え、データ放送再生を依頼する。ここで、データ放送再生とは、MPEG2トランスポートストリームに含まれるJavaプログラムを抽出し、JavaVM1203に実行させることである。MPEG2トランスポートストリームにJavaプログラムを埋め込む方法は、MPEG規格書 ISO/IEC138181−6に記述されたDSMCCという方式を用いる。ここではDSMCCの詳細な説明は省略する。DSMCC方式は、MPEG2トランスポートストリームのパケットの中に、コンピュータで使用されているディレクトリやファイルで構成されるファイルシステムをエンコードする方法を規定している。また、実行するJavaプログラムの情報はAITと呼ばれる形式で、MPEG2トランスポートストリームのパケットの中に埋め込まれ送信されている。AITは、DVB−MHP規格(正式には、ETSI TS 101 812 DVB−MHP仕様V1.0.2)の10章に定義されている、Application Information Tableの略である。
AM1205bは、まず、AITを獲得するため、JMF1205a同様PAT、PMTを取得し、AITが格納されているパケットのパケットIDを獲得する。今、与えられたチャンネルの識別子が「2」で、図16のPAT、図17のPMTが送信されていると、JMF1205aと同様の手順で、図17のPMTを獲得する。AM1205bは、PMTからストリーム種別が「データ」で補足情報として「AIT」を持つエレメンタリ−ストリームからパケットIDを抽出する。図17を参照して、行1713のエレメンタリ−ストリームが該当し、パケットID「5013」を獲得する。
AM1205bは、OS1201のライブラリ1201bを通してTSデコーダ505にAITのパケットIDと出力先CPU514を与える。TSデコーダ505は、与えられたパケットIDでフィルタリングを行い、CPU514に引き渡す。この結果、AM1205bは、AITのパケットを収集することができる。図18は、収集したAITの情報の一例を模式的に表した表である。列1801はJavaプログラムの識別子である。MHP規格によれば、この識別子はApplication IDとして定義され、Javaプログラムが端末装置500のセキュリティマネージャ1205fによって認証されるべきものであるかが判別できることになっている。識別子の値が、0x0から0x3fffの範囲であれば認証は不要で、0x4000から0x7fffであれば認証されなければならない。以降では、識別子の値として、前者をもつJavaプログラムを「unsignedプログラム」、後者をもつJavaプログラムを「signedプログラム」と呼ぶこととする。列1802はJavaプログラムの制御情報である。制御情報には「autostart」「present」「kill」などがあり、「autostart」は即時に端末装置500がこのプログラムを自動的に実行することを意味し、「present」は自動実行しないことを意味し、「kill」はプログラムを停止することを意味する。列1803は、DSMCC方式でJavaプログラムを含んでいるパケットIDを抽出するためのDSMCC識別子である。列1804はJavaプログラムのプログラム名である。行1811と1812は、Javaプログラムの情報の組である。行1811で定義されるJavaプログラムは、識別子「301」、制御情報「autostart」、DSMCC識別子「1」、プログラム名「a/TopXlet」の組である。行1812で定義されるJavaプログラムは、識別子「302」、制御情報「present」、DSMCC識別子「1」、プログラム名「b/GameXlet」の組である。ここで2つのJavaプログラムは同じDSMCC識別子を持つが、これは1つのDSMCC方式でエンコードされたファイルシステム内に2つのJavaプログラムが含まれていることを表す。ここでは、Javaプログラムに対して4つの情報しか規定しないが、実際にはより多くの情報が定義される。詳細はDVB−MHP規格を参照されたい。
AM1205bは、AITの中から「autostart」のJavaプログラムを見つけ出し、対応するDSMCC識別子及びJavaプログラム名を抽出する。図18を参照して、AM1205bは行1811のJavaプログラムを抽出し、DSMCC識別子「1」及びJavaプログラム名「a/TopXlet」を獲得する。
次にAM1205bは、AITから取得したDSMCC識別子を用いて、JavaプログラムをDSMCC方式で格納しているパケットのパケットIDをPMTから獲得する。具体的には、PMTの中でストリーム種別が「データ」で、補足情報のDSMCC識別子が合致するエレメンタリ−ストリームのパケットIDを取得する。
今、DSMCC識別子が「1」であり、PMTが図17とすると、行1714のエレメンタリ−ストリームが合致し、パケットID「5014」を取り出す。
AM1205bは、OS1201のライブラリ1201bを通してTSデコーダ505にDSMCC方式でデータが埋めこめられたパケットのパケットIDと出力先としてCPU514を指定する。ここでは、パケットID「5014」を与える。TSデコーダ505、与えられたパケットIDでフィルタリングを行い、CPU514に引き渡す。この結果、AM1205bは、必要なパケットを収集することができる。AM1205bは、収集したパケットから、DSMCC方式に従ってファイルシステムを復元し、1次記憶部511に保存する。MPEG2トランスポート中のパケットからファイルシステム等のデータを取り出し1次記憶部511等の記憶手段に保存すことを以降、ダウンロードと呼ぶ。
図19は、ダウンロードしたファイルシステムの一例である。図中、丸はディレクトリを四角はファイルを表し、1901はルートディレクトリ、1902はディレクトリ「a」,1903はディレクトリ「b」,1904はファイル「TopXlet.class」、1905はファイル「GameXlet.class」である。
次にAM1205bは、1次記憶部511にダウンロードしたファイルシステム中から実行するJavaプログラムをJavaVM1203に引き渡す。今、実行するJavaプログラム名が「a/TopXlet」とすると、Javaプログラム名の最後に「.class」を付加したファイル「a/TopXlet.class」が実行すべきファイルとなる。「/」はディレクトリやファイル名の区切りであり、図19を参照して、ファイル1904が実行すべきJavaプログラムである。次にAM1205bは、Javaプログラム識別子の列1801がunsignedプログラムを示しているので、セキュリティマネージャ1205fにJavaプログラムの認証実行を要求する必要はなく、ファイル1904をJavaVM1203に引き渡す。
JavaVM1203は、引き渡されたJavaプログラムを実行する。
サービスマネージャ1204は、他のチャンネルの識別子を受け取ると、Javaライブラリ1205に含まれる各ライブラリを通して再生している映像・音声及びJavaプログラムの実行を、同じくJavaライブラリ1205に含まれる各ライブラリを通して停止し、新たに受け取ったチャンネルの識別子に基づいて、映像・音声の再生及びJavaプログラムの実行を行う。
セキュリティマネージャ1205fは、端末装置上で実行されるプログラムの信用性を保証するために必要とされる。もしプログラムが改竄され、その改竄されたプログラムが端末装置上で動作できてしまうと、端末装置のメモリ等のリソースが浪費されて端末装置全体の動作が不安定になったり、ネットワークといったリソースを使って端末装置上の情報が勝手に送信されてしまうということにもなりかねない。セキュリティマネージャ1205fは、そのようなことが起こらないように、プログラムの信用性・信頼性を判断する。このような認証機能を提供するセキュリティマネージャ1205fの詳細については後述する。
Javaライブラリ1205は、ROM512に格納されている複数のJavaライブラリの集合である。本実施の形態では、ここでは、Javaライブラリ1205は、JMF1205a,AM1205b,Tuner1205c,CA1205d、POD Lib1205e,セキュリティマネージャ1205f,ダウンロードモジュール1206等を含んでいる。
サービスマネージャ1204とダウンロードモジュール1206は、Javaライブラリ1205に含まれるPOD Lib1205eを通してヘッドエンド101と双方向通信を行う。この双方向通信は、POD Lib1205eはOS1201のライブラリ1201b及び、POD504を介して、QPSK復調部502、QPSK変調部503を使用して実現される。
ダウンロードモジュール1206は、この通信を用いてヘッドエンド101から、コードデータを受け取ることができる。コードデータとは、X.509証明書と端末装置500のファームウェアのどちらかもしくは両方を含んだバイナリデータのことである。図37は、本発明に関する部分のみを記述したコードデータの模式図である。ダウンロードモジュール1206がコードデータ37を受け取ると、もしコードデータがルート証明書371を含んでいるならば、それを抽出し、セキュリティマネージャ1205fへ引き渡たす。372はファームウェア等その他のデータを示す。
また、AM1205bは、ヘッドエンド101から、端末装置500が2次記憶部510に保存すべきJavaプログラムの情報、及びJavaプログラムの起動指示、起動するプログラム名等を受け取る。この情報をXAIT情報と呼ぶ。XAIT情報は、ヘッドエンド101とPOD504間で、任意の形式で送信される。どのような送信形式を採用しても、XAITに必要とする情報が含まれていれば、本発明は実施可能である。
図20は、ヘッドエンド101から取得したXAITの情報の一例を模式的に表した表である。列2001はJavaプログラムの識別子である。列2002はJavaプログラムの制御情報である。制御情報には「autostart」「present」などがあり、「autostart」は端末装置500が電源投入時にこのプログラムを自動的に実行することを意味し、「present」は自動実行しないことを意味する。列2003は、DSMCC方式でJavaプログラムを含んでいるパケットIDを抽出するためのDSMCC識別子である。列2004はJavaプログラムのプログラム名である。列2005は、Javaプログラムの優先度である。行2011と2012は、Javaプログラムの情報の組である。行2011で定義されるJavaプログラムは、識別子「0x7001」、制御情報「autostart」、DSMCC識別子「1」、プログラム名「a/PPV1Xlet」の組である。Javaプログラムの識別子Application IDから、Javaプログラムはsignedプログラムであることが分かる。ここでは、Javaプログラムに対して5つの情報しか規定しないが、より多くの情報が定義されていても本発明は実施可能である。
AM1205bは、XAIT情報を受け取ると、AIT情報からJavaプログラムをダウンロードした手順と同じ手順で、MPEG2トランスポートストリームからファイルシステムを1次記憶部511上に展開するか、または、XAIT情報でJavaプログラムを保存する指示がなされているとき、2次記憶部510に保存する。1次記憶部511への展開または2次記憶部510への保存の際は、XAIT情報にダウンロードしたファイルの格納位置を対応づける。
図21は、1次記憶部511または2次記憶部510がXAIT情報とダウンロードしたファイルシステムが対応づけられて保存されている一例を表す。ここではOCAP規格“OpenCable(TM) Application Platform Specification OCAP 1.0 Profile(OC−SP−OCAP1.0−I11−040604)”で定義されているファイルを取り上げて説明する。図21の中で、図20と同じ番号の要素は図20と同じなので、説明は省略する。列2101は対応するダウンロードしたファイルシステムの保存位置を格納する。図中、保存位置は矢印で示している。2110はダウンロードしたファイルシステムであり、内部にトップディレクトリ2111、ディレクトリ「a」2112、ディレクトリ「b」2113、ファイル「PPV1Xlet.class」2114、ファイル「PPV2Xlet.class」2115、ファイル「ocap.hashfile」2116〜2118、ファイル「ocap.certificates.1」2119、ファイル「ocap.signaturefile.1」2120を保持する。
ファイル2116〜2118はハッシュファイルで、ファイル名またはディレクトリ名とそれらのハッシュ値を格納している。図22Aの221は“ocap.hashfile”2116、図22Bの222は“ocap.hashfile”2117、図22Cの223は“ocap.hashfile”2118の内容をそれぞれ表した模式図である。221の“ocap.hashfile”は、“/”ディレクトリ2111に存在し、同じディレクトリ2111に存在する“ocap.certificates.1”ファイル2119、“ocap.signaturefile.1”ファイル2120、“a”ディレクトリ2112、“b”ディレクトリ2113を2211列に格納する。2212列は、2213列にそれぞれ記述されている値が何のハッシュアルゴリズムによって計算された値であるのかを示す。2213列は、2211列のファイルまたはディレクトリに関し、2212列で指定されたアルゴリズムを使って計算されたハッシュ値を格納する。ハッシュアルゴリズムには、SHA1(Secure Hash Algorithm 1)とMD5(Message Digest 5)というアルゴリズムが現在主に利用されている。これらは、任意の長さのデータを固定長のバイト値に変換する公知技術のアルゴリズムで、次の特徴をもつ。変換後のデータから元データを推測することができず、ファイルが破損もしくは改竄されていないかを確認するために使用される。一方、ハッシュ値とは、ハッシュアルゴリズムで生成された擬似乱数のことである。ハッシュアルゴリズムがSHA1の時、ハッシュ値の長さは20バイトで、MD5の時は、ハッシュ値の長さは16バイトに換算される。SHA1、MD5の詳細については、それぞれ“FIPS−PUB 186−2 Secure Hash Standard”、“IETF RFC1321”を参照されたい。ここで、2211列に記述されたディレクトリ“a”“b”に対応するハッシュ値はそれぞれ、“a”ディレクトリに存在する“ocap.hashfile”ファイル2117、“b”ディレクトリに存在する“ocap.hashfile”ファイル2118に対して計算されたSHA1ハッシュ値である。
221の“ocap.hashfile”と同様、222の“ocap.hashfile”は、同じディレクトリ2112に存在する“PPV1Xlet.class”ファイル2114のファイル名、ハッシュアルゴリズム、ハッシュ値を格納する。223についても同様に、同じディレクトリ2113に存在する“PPV2Xlet.class”ファイル2115のファイル名、ハッシュアルゴリズム、ハッシュ値を格納する。
ここでは、本発明に関係する属性のみを取り上げたが、“ocap.hashfile”の詳細な構成については、OCAP規格書である“OpenCable(TM) Application Platform Specification OCAP 1.0 Profile(OC−SP−OCAP1.0−I11−040604)”を参照されたい。
ファイル2119は証明書チェーンである。図23は、“ocap.certificates.1”ファイル2119の構成内容を示した構成図である。“ocap.certificates.x”(xは正の整数)の一般的な構成を表現している231は、ルート証明書2311、中間証明書2312、リーフ証明書2313を内包する。これらは、ルート証明書2311の所有者が中間証明書2312を発行し、中間証明書2312の所有者がリーフ証明書2313を発行するといった、連鎖関係にある。なおOCAP規格では、署名ファイル“ocap.signaturefile.x”と関係する証明書チェーンは、同じ値“x”をもつ“ocap.certificates.x”である。図21の場合、“ocap.signaturefile.1”に対応する証明書チェーンは、“ocap.certificates.1”となる。そして、ルート証明書2311、中間証明書2312、リーフ証明書2313は、共通のX.509証明書のフォーマットで構成される。X.509証明書は、ITU−Tのレコメンデーションで、証明書の表現形式のデファクト標準として情報通信の各分野で広く普及している。図23では3つの証明書のみを図示しているが、中間証明書が複数存在することもある。但し、中間証明書間で相互に関連した連鎖状態になければならない。
図24はX.509証明書の構成図である。ここでは、本発明の説明の上で必要な属性のみを列挙している。X.509証明書の詳細については、IETF RFC3280“Internet X.509 Public Key Infrastructure Certificate and CRL Profile”を参照されたい。241はX.509証明書の属性領域、242はX.509証明書の署名値を示す。シリアル番号2411は証明書を識別するための番号、署名アルゴリズム2412は署名値242を計算するために使用されたアルゴリズム、今回更新日時2413は本X.509証明書の有効開始日時、次回更新時間2414は本X.509証明書の有効満了日時、発行者名2415は本X.509証明書を発行する機関名、主体者名2416は本X.509証明書の所有者、公開鍵2417は主体者名2416の公開鍵、署名値242は本X.509証明書発行者の秘密鍵によって署名(暗号化)された値を表す。公開鍵と秘密鍵を使ったものとして、公開鍵暗号方式が電子商取引等で幅広く利用されている。公開鍵暗号方式では、平文を暗号化するときに使用した鍵と異なる鍵を使用して暗号文を復号する。暗号用の鍵と復号用の鍵が異なり、復号用の鍵を一般公開しても復号用の鍵から暗号用の鍵を推測することは不可能である。この暗号用の鍵が秘密鍵、復号用の鍵が公開鍵に該当する。公開鍵暗号方式の代表例としては、RSA(Rivest−Shamir−Adleman)、DSA(Digital Signature Standard)が挙げられる。
ファイル2120は署名ファイルである。図25は、“ocap.signaturefile.1”ファイル2120の模式図である。251はどのX.509証明書と関係するのかを示す証明書識別子、252はハッシュ署名アルゴリズム、253は252で示されるハッシュ署名アルゴリズムを用いて、“ocap.hashfile”2116から計算された署名値を表す。
Javaプログラムが2次記憶部510に保存される場合には、端末装置500の電源OFF等により1次記憶部511からそれが消去されたとしても、AM1205bが図20で示すXAITを受信すれば、ダウンロードを待たずにJavaプログラムが起動される。
図20では、プログラム“/a/PPV1Xlet”が制御情報2002として「autostart」になっている。そこで、図21の2011において、“/a/PPV1Xlet”に対応するファイルシステムの位置2101を探し、ファイル2114をJavaVM1203に引き渡すと、ファイルシステムに保有されているJavaプログラム“PPV1Xlet”が起動される。なお、AM1205bは、Javaプログラムの起動までに、Javaプログラム識別子2001の値を調べ、unsignedプログラムであるのか、signedプログラムであるのかを判断している。もし、signedプログラムであれば、セキュリティマネージャ1205fに認証の実行を指示することになる。
次に、認証を実施するセキュリティマネージャ1205fについて説明する。
セキュリティマネージャ1205fは、AM1205bからファイルを認証するように指示されると、Javaプログラム識別子2001の値を調べ、unsignedプログラムであるのか、signedプログラムであるのかを判断する。ここで、Javaプログラムはsignedプログラムであるので、“/”ディレクトリ以下のファイルシステムについて、認証を実行する。認証では、図21のocap.hashfile(2116〜2118)、ocap.certificates.1(2119)、ocap.signaturefile.1(2120)を使用して検証する。
図26は、ファイルシステムの認証を実行する際のセキュリティマネージャ1205fの構成要素を示す。
通知受取部261は、AM1205bによるファイルの認証指示を受け取るための手段であり、それを判定部262へ伝える。
判定部262は、認証結果を決定する。ハッシュ計算部263へファイルシステムのハッシュ計算を要求し、ハッシュ値を受け取る。判定部262は“ocap.hashfile”ファイルに存在するハッシュ値2213、2223、2233から比較すべき値を取り出して、一致するかを確認する。一致しなければ、改竄があったものと判断し、認証は失敗となる。
また、判定部262は、証明書抽出部265を用いて各X.509証明書を取り出し、現在時刻がX.509証明書の今回更新日時2413と次回更新日時2414の間にあるかを判断する。なお、現在日時は、OS1201のライブラリ1201bから取得する。もし、“今回更新日時<現在日時<次回更新日時”という期間有効性がなければ、認証は失敗と判断する。
さらに、判定部262は、証明書チェーンの認証を行うために、X.509証明書の属性領域241のハッシュ計算をハッシュ計算部263に要求する。そして、署名値復号部264へX.509証明書に含まれる署名値242の復号計算を要求して、得られた復号値とハッシュ計算部263で得られたハッシュ値を比較し、証明書連鎖の状況を確認する。もし不一致であれば、連鎖しておらず、認証は失敗と判断される。一方、一致して連鎖が確認できれば、証明書チェーンのルート証明書が、端末装置500の2次記憶部510に含まれているかを確認する。もし含まれていなければ、照合不可能として、認証は失敗と判断する。
判定部262が認証の成功と判断するのは、(1)改竄なし、(2)期間有効性あり、(3)証明書連鎖あり、(4)ルート証明書が一致、をすべて満たすときである。
ハッシュ計算部263は、判定部262より各ファイルのハッシュ値計算を要求され、OS1201のライブラリ1201bから各ファイルを取り出して、そのハッシュ計算を行い、結果を判定部262へ渡す。また、証明書チェーン231内の各X.509証明書を証明書抽出部265から取得し、属性領域241に対してハッシュ計算を行う。
署名値復号部264は、判定部262からX.509証明書もしくは“ocap.signaturefile.x”の署名値を復号計算するように要求される。X.509証明書の署名を復号計算する際には、証明書抽出部265から証明書チェーン231の各X.509証明書を取得した上で、署名の復号計算を実施し、結果を判定部262へ返す。
証明書抽出部265は、判定部262、ハッシュ計算部263、署名値復号部264から、証明書チェーン231の中にある各X.509証明書を抽出するように要求を受けて、X.509証明書を抽出して返す。
図27は、ファイルシステムの認証を実行する際のセキュリティマネージャ1205fの動作をまとめたフローチャートである。以下、ファイルシステムの構成が図21である場合の動作をフローチャートに則して説明する。AM1205bからファイルシステムの認証指示を受け付けると(ステップS271)、ファイルシステムの最上位ディレクトリ“/”以下のファイルシステムについて改竄チェックを行う(ステップS272)。改竄チェックでは、ファイルシステムの各ディレクトリに存在するファイルに対して、破損及び変更がなされていないかをハッシュ値比較で確認する。
図29と図30は、ステップS272の詳細なフローチャートを示す。まず、ステップS291に示すとおり、“/”ディレクトリに存在するファイル“ocap.certificates.1”、“ocap.signaturefile.1”と、ディレクトリ“a”、“b”のハッシュ値をそれぞれ計算する。なお、ディレクトリ“a”、“b”のハッシュ値はそれぞれ、“/a/ocap.hashfile”ファイル222、“/b/ocap.hashfile”ファイル223から計算される。ステップS293で、ステップS292で計算したハッシュ値と、“/ocap.hashfile”中の2213のハッシュ値とをそれぞれ比較する。ステップS294において、一つでも計算したハッシュ値と2213のハッシュ値とが異なれば、改竄があったと判断する(ステップS297)。一方、計算したハッシュ値と2213のハッシュ値がすべて一致した場合、ステップ295へ移る。ステップ295では、改竄チェックが完了していないサブディレクトリがないかを確認する。現時点では、“a”と“b”のディレクトリが“/”のサブディレクトリとして存在し、それらはまだ改竄チェックが完了していないので、“a”と“b”ディレクトリに対して改竄チェックを行う必要がある。ステップS296として、まず“a”ディレクトリに注目することとし、“/”ディレクトリと同様の処理を行う。“a”ディレクトリでの改竄チェック完了後、“b”ディレクトリでの改竄チェックを実施する。“a”と“b”のディレクトリに対する改竄チェックが完了すると、“/”ディレクトリに注目して、図30のステップS301の処理を行う。ステップS301では、証明書チェーン231である“/ocap.certificates.1”ファイル2119からリーフ証明書2313を抽出する。そして、抽出したリーフ証明書2313から公開鍵2417をステップS302で取り出す。その後、ステップS303では、“/ocap.hashfile”ファイル221のハッシュ値を計算する。一方、ステップS304で、“/ocap.certificatesfile.1”ファイル2119のリーフ証明書2313に存在する公開鍵2417を用いて、“/ocap.signaturefile.1”ファイル2120の署名値242に対して復号を行う。ステップS305では、ステップS303で計算したハッシュ値と、ステップS304で得た署名値を復号した値が等しいかを確かめる。もし、計算値が一致すれば、“/”ディレクトリ以下のファイルシステムは改竄されていないと判断できる(ステップS306)。一方、計算値が一致しなければ、ファイルシステムは改竄されていると判断できる(ステップS307)。なお、改竄チェックは、最上位である“/”ディレクトリからサブディレクトリに向かって降順に処理する例を挙げたが、本発明はこれに限定するものではない。最下位ディレクトリから最上位ディレクトリへ向かって昇順に処理することにしても構わない。以上により、図27中のステップS272の結果が得られる。
ステップS273では、もしステップS272での結果が「改竄あり」であった場合、認証は失敗と判断して通知(ステップS279)後に終了する。ステップS272での結果が「改竄なし」の場合には、ステップS274を処理する。
次に、図31〜図33を用いて、証明書チェーンの認証(ステップS274)を詳細に説明する。まず、中間証明書2312とリーフ証明書2313間でのチェックを行うこととし、図31にそのフローチャートを図示する。最初に、証明書チェーン231から中間証明書2312とリーフ証明書2313を抽出する(ステップS311)。抽出したリーフ証明書2313から今回更新日時2413、次回更新日時2414、発行者名2415を抽出する(ステップS312)。このうち、現在の日時が今回更新日時2413から次回更新日時2414までの証明書が有効な期間であるかを判断する(ステップS313)。もし、証明書が有効な期間外であれば、証明書チェーンの認証は失敗(ステップS319)となる。一方、証明書が有効な期間であると判断すると、中間証明書2312の主体者名2416と公開鍵2417を抽出し(ステップS314)、中間証明書2312の主体者名2416とリーフ証明書2313の発行者名2415を比較して、中間証明書2312とリーフ証明書2313が連鎖関係にあるかを判別する(ステップS315)。もし、証明書間で連鎖関係になければ、証明書チェーンの認証は失敗となる。他方、連鎖関係が成り立てば、リーフ証明書2313の属性領域241のハッシュ値を計算する(ステップS316)。また、中間証明書2312の公開鍵2417を利用して、リーフ証明書2313の署名値242を復号する(ステップS317)。ステップS316とステップS317が完了すると、それぞれから得られるハッシュ値と署名復号値が一致するかどうかを判断する(ステップS318)。もし、一致しなければ証明書チェーンの認証は失敗となる(ステップS319)。
次に、ルート証明書2311と中間証明書2312間でのチェックを行う。図32にそのフローチャートを図示する。証明書チェーン231からルート証明書2311と中間証明書2312を抽出し(ステップS321)、中間証明書2312とリーフ証明書2313間のチェックと同様の処理を、ルート証明書2311と中間証明書2312に対して行う(ステップS322〜ステップS328)。
そして、ステップS328で一致すると判断された場合、ルート証明書2311単独のチェックを行う。図33は、ルート証明書2311単独チェックのフローチャートである。ステップS321で抽出したルート証明書2311から、今回更新日時2413、次回更新日時2414、発行者名2415を抽出する(ステップS331)。このうち、現在の日時が今回更新日時2413から次回更新日時2414までの証明書が有効な期間であるかを判断する(ステップS332)。もし、証明書が有効な期間外であれば、証明書チェーンの認証は失敗となる。一方、証明書が有効な期間であると判断すると、ルート証明書2311の属性領域241のハッシュ値を計算する(ステップS334)。また、ルート証明書2311の公開鍵2417を利用して、ルート証明書2311の署名値242を復号する(ステップS335)。ステップS334とステップS335が完了すると、それぞれから得られるハッシュ値と署名復号値が一致するかどうかを判断する(ステップS336)。もし一致すれば、証明書チェーンの認証は成功(ステップS337)であり、一致しなければ証明書チェーンの認証は失敗(ステップS338)となる。ここで、ステップS274の処理が終了する。
ステップS275では、S274の結果に応じて、処理が異なる。ステップ4の結果が「証明書チェーンの認証失敗」の場合、認証失敗と判断して通知し(ステップS279)、ファイルシステムとしての認証は終了する。一方、「証明書チェーンの認証成功」の場合、ステップS276を処理する。
次に、“/ocap.certificates.1”ファイル2119のルート証明書2311と同じ証明書を端末装置500の2次記憶部510から探す(ステップS276)。ステップS277において、2次記憶部510に存在しない場合には、証明書チェーン231の認証は失敗と判断し、認証失敗を通知(ステップS279)後、終了する。一方、そのルート証明書2311が含まれている場合には、ファイルシステムの認証は成功と判断し、AM1205bへ認証成功を通知する(ステップS278)。その後、図28を参照して、Javaプログラムの認証指示を受けても(ステップS281)、何もせずに終了することにしてもよい。これは、Javaプログラムの認証を実行済みで、この時点で認証する必要はないためである。
また、ファイルシステムに“application description file”が存在するとき、XAIT情報で保存指示がシグナルされると、それに記述されたファイルが保存対象となる。例えばOCAP規格では、“application description file”はXML(eXtensible Markup Language)形式で記述される。この一例である図34に“application description file”の例を示す。
(実施の形態2)
ファイルシステムを保存してから一定時間経過後にファイルシステムに含まれるJavaプログラム(PPV1Xlet.class2114もしくはPPV2Xlet.class2115)が起動されるとき、“/ocap.certificates.1”ファイル2119に含まれるX.509証明書のどれかが期限切れ(つまり、Javaプログラム起動日時>次回更新日時2414)になっている可能性がある。前述のままでは、すでに期限切れになってしまったX.509証明書が証明書チェーン231に含まれていても、Javaプログラムの起動を許してしまうので、Javaプログラムの起動時には証明書チェーン231の各証明書2311、2312、2313が有効期限切れになっていないかを確認する技術もある。この構成要素を図26に示す。この技術で必要な構成要素261〜265の説明は、前述したのでここでは省略する。
フローチャートにおいては、図27のフローチャートを図35のフローチャートに置き換え、図36のフローチャートを追加する。
図35を参照して、ファイルシステムの保存直前時の処理(ステップS351〜ステップS357)は、実施の形態1で説明した処理(ステップS271〜ステップS277)と同じであるので、説明は省略する。認証失敗でなければ、処理は図36のフローチャートに続く。一定時間経過後に、JavaプログラムであるPPV1Xlet.class2114の起動通知を受けるとき(ステップS361)、“ocap.certificates.1”ファイル2119からルート証明書2311、中間証明書2312、リーフ証明書2313の各X.509証明書を抽出する(ステップS362)。抽出したX.509証明書をリーフ証明書からルート証明書の順に一つずつ選択して(ステップS363)、現在日時が選択したX.509証明書の今回更新日時2413と次回更新日時2414の間であるかを確認する(ステップS364)。もし、現在日時が今回更新日時2413と次回更新日時2414の間でなければ、認証失敗と判断し、それを通知する(ステップS367)。他方であれば、すべてのX.509証明書について確認が完了しているかを調べる(ステップS365)。もし、まだすべてのX.509証明書を確認完了していない場合、ステップS363に戻って処理を繰り返す。一方ステップS365で、すべてのX.509証明書を確認済みであれば、認証成功と判断し、認証成功を通知してから(ステップS366)、処理を終了する。図36のフローチャートに示した処理を追加することによって、証明書の期限切れが発生しているJavaプログラムを起動しないようにAM1205bに認証失敗を通知可能となる。AM1205bは、セキュリティマネージャ1205fから認証失敗を通知されると、JavaプログラムをJavaVM1203へ渡さず、起動を中止する。
(実施の形態3)
前述したように、2次記憶部510にはルート証明書であるX.509証明書が含まれており、それは証明書チェーン231のルート証明書2311と比較される。2次記憶部510に格納されたルート証明書は、ハック等によって証明書の信用性が低下する場合に備えて、新しいX.509証明書と交換される(以降では、証明書交換と呼ぶ)。新しいX.509証明書は、ヘッドエンド101から端末装置500へ送られ、ダウンロードモジュール106が仲介してセキュリティマネージャ1205fへと運ばれる。
図38A〜図38Cは、セキュリティマネージャ1205fによって、2次記憶部510にあるルート証明書の交換(証明書交換)が行われる様子を示した図である。この場合、証明書A381が交換される古い証明書で、証明書B382が新しい証明書である。図38Aの38−1は証明書交換前の2次記憶部510にある証明書の状態、図38Bの38−2は証明書交換中の状態、図38Cの38−3は証明書交換後の2次記憶部510にある証明書の状態である。
前述では、Javaプログラムの保存後に証明書交換が行われたとしても、Javaプログラムの起動時には、交換後の証明書が考慮されていない。例えば、セキュリティマネージャ1205fがJavaプログラムの認証指示を受けて認証した時に、証明書チェーン231のルート証明書2311が証明書A3811と一致していたとする。そして、証明書A3811と証明書B3812の証明書交換を経て、Javaプログラムの認証指示を受け取ったとする。この時点で、信用性のある証明書を格納している2次記憶部510には、証明書チェーン231のルート証明書2311と一致する証明書は存在しないため、その証明書は信用性のないものとなっている。しかし、前述によれば、Javaプログラムの起動直前にルート証明書の照合を行わない(つまり、証明書チェーン231のルート証明書2311と証明書B3812とを比較しない)ので、AM1205bに認証失敗を通知しない。その結果、AM1205bがJavaプログラムを起動させてしまう。
従って、Javaプログラムの起動時に証明書交換を考慮して、ルート証明書の照合を行う技術がある。
この技術の構成要素を図26に示す。構成要素261〜265については前記したのでここでの説明は省略するが、証明書交換部266、交換証明書特定部267、証明書受信部268を追加する。
証明書交換部266は、受け取った証明書より古い証明書が2次記憶部510に保存されていることを交換証明書特定部267によって判断された場合には、古い証明書と新しい証明書を入れ替える。一方、交換証明書特定部267が古い証明書を保存していないと判断した場合には、2次記憶部510に新しい証明書を保存する。
交換証明書特定部267は、証明書受信部268で受信された証明書を受け取る。すると、OS1201のライブラリ1201bを利用して、2次記憶部510に格納している証明書を調べ、発行者が同じで、受け取った証明書より古い証明書を保存しているか確認する。
証明書受信部268は、ダウンロードモジュール1206が新しい証明書をヘッドエンド101から受信したときに、その新しい証明書を受け取る。証明書を受け取ると、証明書交換部266と交換証明書特定部267に渡す。
また、図35のフローチャートに引き続いて、図39と図40を追加する。
図39は、証明書交換が行われる際のフローチャートであり、図40は、証明書交換後のJavaプログラムが起動される際のフローチャートである。図39を参照して、証明書交換要求を受け付けると(ステップS391)、受け取った証明書の発行者名を取り出す(ステップS392)。端末装置500の2次記憶部510に交換されるべき古い証明書が存在するかを確認し(ステップS393)、もし、存在する場合のみ、その古い証明書を削除する。そして、受け取った証明書を2次記憶部510に保存する(ステップS395)。一定時間経過後、Javaプログラムの起動通知を受け取ると(ステップS401)、2次記憶部510から証明書チェーン231のルート証明書2311と一致する証明書を探し(ステップS402)、存在すれば(ステップS403)、認証成功と判断して通知する(ステップS404)。存在しなければ(ステップS403)、認証失敗と判断して通知する(ステップS405)。なお、S404で認証成功と判断する前に、証明書チェーン中の各X.509証明書に対して、“今回更新日時<現在の日時<次回更新日時”であるかを確認した上で、認証成功を結論付けることにしてもよい。また、ルート証明書の一致を確認することに加えて、図31〜図33に示した証明書チェーンの証明書連鎖の確認をS402の前に行った上で、認証の成功・失敗を判断してもよい。
また、発行者名をもとに交換すべき証明書を特定する記述を行っているが、主体者名などの別の属性値で証明書の特定を行ってもよい。
(実施の形態4)
ファイルシステムを保存してから一定時間経過後にファイルシステムに含まれるJavaプログラム(PPV1Xlet.class2114もしくはPPV2Xlet.class2115)が起動されるとき、“/ocap.certificates.1”ファイル2119に含まれるX.509証明書のどれかが、証明書の満了期間を経過した、または、ルート証明書が交換されたこと以外でも無効化されることがある。このままでは、証明書が無効化されているにもかかわらず、Javaプログラムが起動されることを許してしまう。
ここで、証明書を無効化するものとして、CRL(Certificate Revocation List)が広く知られている。図41は、CRLの構成図である。ここでは、本発明の説明の上で必要な属性のみを列挙している。CRLのより詳細については、IETF RFC3280“Internet X.509 Public Key Infrastructure Certificate and CRL Profile”を参照されたい。411はCRLの属性領域、412は署名値413の署名アルゴリズム、413はCRLの署名値を示す。発行者名4111は本CRLの発行者、今回更新日時4112は本CRLの有効開始日時、次回更新時間4113は本CRLの有効満了日時、失効証明書リスト4114は失効したX.509証明書の情報を示す。図42は、失効証明書リスト4114の構成図である。ここでも、本発明の説明の上で必要な属性のみを列挙している。失効証明書リスト4114は、複数の失効したX.509証明書の情報を格納する。図42の場合、失効した“証明書A”421には、証明書を一意に特定するシリアル番号4211、“証明書A”421の失効した日時4212が格納されている。他の失効証明書についても、421と同様である。
図43は、CRLを含むファイルシステム構成の一例である。内部に“/”ディレクトリ431、“a”ディレクトリ432、“SimpleXlet.class”ファイル433、434〜435は“ocap.hashfile”ファイル、“ocap.certificates.1”ファイル436、“ocap.signaturefile.1”ファイル437、“ocap.crl.2”ファイル438、“ocap.certificates.2”ファイル439を保持する。CRLを含まないファイルシステムの認証については、実施の形態1で説明したとおりである。よって、本実施の形態では、CRLのフォーマットで構成される“ocap.crl.2”ファイル438と、そのファイルの証明書チェーンである“ocap.certificates.2”ファイル439に着目する。なおOCAP規格では、“ocap.crl.x”に対応する証明書チェーンは、“ocap.certificates.x”である。図43の場合、“ocap.crl.2”に対応する証明書チェーンは、“ocap.certificates.2”である。
図46は、“ocap.hashfile”ファイル434の模式図である。461は434のocap.hashfileの内容を表す。461のocap.hashfileは、“/”ディレクトリ431に存在し、同じディレクトリ431に存在する“ocap.certificates.1”ファイル436、“ocap.signaturefile.1”ファイル437、“a”ディレクトリ432、“ocap.crl.2”ファイル438、“ocap.certificates.2”ファイル439に関するハッシュ値をそれぞれ格納する。
図44は、CRLの認証について説明したフローチャートである。ファイルシステムが図43の構成を取っているときを例に挙げて以下に説明する。まず、CRLから今回更新日時4112と次回更新日時4113を抽出する(ステップS441)。現在日時が、今回更新日時4112と次回更新日時4113の間であるかを確認する(ステップS442)。もし、当てはまらないならば、本CRLは無効であると判断する(ステップS447)。当てはまるならば、“ocap.crl.2”ファイル438の署名値を検証するために、属性領域411部分のハッシュ値を計算する(ステップS443)。一方、証明書チェーン“ocap.certificates.2”ファイル439からリーフ証明書2313の公開鍵2417を抽出し(ステップS444)、抽出した公開鍵2417を用いて、“ocap.crl.2”ファイル438の署名値413を復号する(ステップS445)。そして、ステップS443で得たハッシュ値とステップS445での復号値が等しいかを確認し(ステップS446)、等しくなければCRLは無効だと判断する(ステップS447)。等しければ、図45を参照して、証明書チェーン“ocap.certificates.2”ファイル439の認証を行う(ステップS451)。証明書チェーンの認証方法は、前記した図31〜図33と同じであるので、ここでは省略する。その後、証明書チェーンの認証が成功したかを判断し(ステップS452)、もし失敗ならば、本CRLは無効であると判断する(ステップS456)。一方、成功ならば、2次記憶部510からルート証明書と同じ証明書を探す(ステップS453)。ここで、一致するルート証明書が存在しないならば、本CRLは認証失敗で無効と判断し(ステップS456)、含まれるならば、CRLは認証成功で有効と判断する(ステップS455)。
ここから、証明書がCRLによって無効化されているにもかかわらず、Javaプログラムが起動されるという問題点の解決方法について記述する。これに対応するため、Javaプログラムの起動通知が行われたとき、Javaプログラムを認証した証明書がCRLによって失効されたか判断する技術がある。
この技術における構成要素を図26に示す。一部追加のある262とまだ説明していない269以外については、前記しているので説明を省略する。
判定部262は、CRLを認証する機能をさらに持ち、失効証明書特定部269にCRLによって失効される証明書の特定を要求する。そして、失効証明書特定部269で特定された失効した証明書と関係するJavaプログラムの認証指示を通知受取部261で受け付けたとき、判定部262は認証失敗と判断する。一方、判定部262がCRLの認証に失敗してCRLは無効であると判断していれば、Javaプログラムの認証指示を通知受取部261で受け付けたとき、判定部262は認証成功と判断する。
失効証明書特定部269は、判定部262でCRLの認証が成功であったことを認識するとき、証明書抽出部265で抽出したX.509証明書のどれが失効した証明書であるかを特定する。
また、フローチャートについては図47と図48を追加する。以下に、フローチャートに則して説明する。今、図21で示されるファイルシステムに対する認証指示が発生したとすると、図35のフローチャートで示される処理を開始し、やがてステップS357の処理が完了する。その後、図43で示される別のファイルシステムの認証指示を受け付けたとすると、図44のフローチャートで示す処理を完了後、ステップS471〜ステップS477を行う。ステップS471〜ステップS477の処理は、ステップS351〜ステップS357までと同様である。ステップS478に到達したとき、“ocap.crl.2”ファイル438の認証(図44、図45のフローチャート)が成功であれば、それに内在する失効証明書の情報を失効証明書データベースに登録する。図49は失効証明書データベースの模式図である。491列に発行者名、492列に証明書のシリアル番号、493列に失効した日時を格納する。ここで、図21の“PPV1Xlet.class”2114の認証指示を受け付けると(ステップS481)、“ocap.certificates.1”ファイル2119の証明書チェーン231にあるX.509証明書が、失効証明書データベースに該当しないか確認する(ステップS483)。もし、該当する証明書があれば、認証失敗と判断して通知する(ステップS486)。一方、どの証明書も該当しないならば、すべての証明書チェーンについて確認した後(ステップS484)、認証成功と判断して通知する(ステップS485)。以上から、検証時は有効であった証明書が、Javaプログラムの起動時にはCRLによってすでに失効されていても、そのファイルシステムは認証失敗と判断され、起動すべきでないJavaプログラムが起動されてしまうという問題点を解決できる。
なお、Javaプログラムの認証指示を受け付けた際、各ディレクトリに配置された“ocap.hashfile”を利用して、ファイルシステムのツリー構成が正しいかの検証をさらに行ってもよい。
また、証明書チェーンの中間証明書は、簡単のため一つにしているが、複数存在していても構わない。但し、証明書チェーンの認証の際には、すべての中間証明書間で連鎖状態になっている必要がある。
また、改竄有無のチェック、証明書チェーンの認証、ルート証明書の2次記憶部に証明書チェーン中のルート証明書が存在するかの確認をこの順序で記述しているが、順序はこれにこだわるものではない。
また、ファイルシステムの保存は、セキュリティマネージャ1205fがOSのライブラリ1201bを利用して保存してもよい。また、“application description file”がファイルシステムのトップディレクトリ“/”で提供され、その内容として、ファイルの保存対象としてファイルシステムの一部だけを指示している場合であっても、実施の形態1〜4は適用可能で、保存対象のファイルのみ扱っても問題ない。
また、保存の対象としてプログラムを取り上げているが、プログラム以外のデータであってもよく、データに対して実施の形態1〜実施の形態4を適用してもよい。
また、“ocap.signaturefile.x”に対応する“ocap.certificates.x”が複数存在することもあり得るが、その場合少なくとも一つの“ocap.certificates.x”で認証が成功すればよい。
また、証明書チェーンとして“ocap.certificates.x”、ハッシュ値をもつファイルとして“ocap.hashfile”、“/”ディレクトリに存在する“ocap.hashfile”の改竄チェック用ファイルとして“ocap.signaturefile.x”を例として挙げたが、本発明はこれらのファイル名に限定されるものではない。
また、認証失敗の場合はダウンロードし直して実行することにしてもよい。
(実施の形態5)
ここまで、放送波からJavaプログラムをダウンロードする場合について説明してきた。以下から、本発明に関する、インターネットに代表されるネットワークを経由してプログラムをダウンロードする場合の認証について説明する。
DVB−MHP規格書“ETSI TS 101 812 V1.2.1 DVB−MHP仕様1.0.2”、またはOCAP規格書“OpenCable(TM) Application Platform Specification OCAP 1.0 Profile(OC−SP−OCAP1.0−I11−040604)”においても、ネットワークを経由したJavaプログラムのダウンロードは想定されていた。一方、JAR(Java Archive)という、既知のZIPファイル形式に基づいたファイル形式で、多数のファイルを1つにまとめる技術が存在する。この技術を用いると、ファイルのサイズが圧縮され、JARを利用しない場合に比べてダウンロードに要する時間を短縮できる。しかしJARを使う場合、サーバ上に配置したデータが頻繁に更新していくようなケースでは、データが更新されるたびにJAR形式のファイルを作り変えなければならなくなる。これはサーバに対する負荷をかけ、好ましくない場合がある。例えば、株価などの情報はリアルタイムに変化しつづけるので、株価情報を利用するプログラムをサーバが提供するようなケースが該当する。以降では、JARを利用せずに、サーバ上にはファイル及びディレクトリが階層構造で配置されているケースに焦点を当てる。
端末装置がネットワーク経由でサーバからダウンロードする場合でも、ダウンロード対象のプログラムがsignedプログラムであれば、プログラムを構成するファイルが保証されたものであるか検証しなければならない。また、プログラムを実際にインストールして起動するときにもプログラムの構成ファイルは必要となる。しかし、認証時とインストール時(またはプログラムの起動時)とでサーバからダウンロードしていると、端末装置が認証を完了しても、インストール時にダウンロードするまでに、サーバ上のプログラムが改竄されている可能性がある。ここでは、その問題を克服する発明を以下に説明していく。
AITもしくはXAITを模式的に表した表を図50に示す。図20と比較すると列5003が異なり、列5006が加わる。それ以外の列5001から列5005までは、図20の列2001から列2005までと同じ意味をもつ。但し列5003は、値が「1」であれば前述したDSMCC識別子であるが、値が「2」であればIPネットワーク経由でJavaプログラムをダウンロードすることを示すIP識別子である。列5004はJavaプログラムのプログラム名である。列5005は、Javaプログラムの優先度である。列5006は、ダウンロードすべきJavaプログラムが配置されているサーバとその格納位置を示すURLである。行5011は、Javaプログラムの情報の組である。行5011で定義されるJavaプログラムは、識別子「0x5001」、制御情報「autostart」、識別子「2」、プログラム名「a/PPV3Xlet」の組である。Javaプログラムの識別子Application IDから、Javaプログラムはsignedプログラムであることが分かる。URLが「http://panasonic.com/app」であるから、端末装置はサーバ“panasonic.com”の“app”に割り当てられているディレクトリ及びそのサブディレクトリから、HTTPを使用して、Javaプログラムをダウンロードする。ここで、HTTPは、PC等の装置を使って、インターネットの先にあるWebサーバからホームページをダウンロードするときに今日最もよく利用されている既知の技術である。HTTPについては、RFC2616に詳細に記述されている。
ここでは、Javaプログラムに対して6つの情報しか規定しないが、より多くの情報が定義されていても本発明は実施可能である。
図51は、IPネットワーク経由でJavaプログラムをダウンロードするときの構成を示す模式図である。ヘッドエンド5101と端末装置5102は、CATV網5104を介して接続されている。また、ヘッドエンド5101と、端末装置5102と、Javaプログラムが配置されたサーバ5103とは、インターネット等のIPネットワーク5105を介して接続されている。
図52は、AM1205bの構成要素を示す。シグナル情報抽出部5201は、AITもしくはXAITのシグナル情報を前記したように抽出し、そのシグナル情報をファイル階層構築部5202へ渡す。ファイル階層構築部5202は、POD504を経由して、サーバ5103上に配置されたJavaプログラム及びそのJavaプログラムに関連するファイルを順次ダウンロードし、1次記憶部511の領域にサーバ5103と同じファイル階層を構築していく。ファイル階層の構築が完了すると、セキュリティマネージャ1205fへ認証の開始を指示する。認証が成功すると、ファイル階層構築部5202はインストール部5203へインストールを要求し、インストール部5203はインストールを開始する。
図51及び図52を参照しながら、IPネットワーク経由でダウンロードするJavaプログラムの認証について説明する。図51のヘッドエンド5101から、Javaプログラム識別子5001として“0x5001”、Javaプログラムの制御情報5002として“autostart”、IP識別子5003として「2」、プログラム名5004として“/a/PPV3Xlet”、優先度5005として「200」、URL5006として「http://panasonic.com/app」を表すXAITが端末装置5102にシグナルされると、まずシグナル情報抽出部5201がそのシグナル情報を解釈する。この場合、Javaプログラム識別子の値からJavaプログラムはsignedプログラム、IP識別子からIPネットワーク経由でダウンロードすると判断し、サーバ5103上のURL「http://panasonic.com/app」に存在するファイル階層と同じファイル階層を1次記憶部511に構築するようにファイル階層構築部5202へ指示を送る。図53は、URL「http://panasonic.com/app」のファイル階層の例である。5301は「http://panasonic.com/app」のファイル階層全体、5302は5301のルートディレクトリ、5303と5307、5304、5305はそれぞれ、2116〜2118、2119、2120と同じ意味であるので、説明は省略する。5308はJavaプログラム、5309はJavaプログラムにより読み込まれるデータを表す。図54Aの5401と図54Bの5402に、「ocap.hashfile」5303と5307の内容をそれぞれ図示する。5401と5402の意味については、図22での説明と同様であるので、ここでは説明を省略する。
シグナル情報抽出部5201から指示を受けたファイル階層構築部5202は、まず「ocap.hashfile」5303をHTTPでダウンロードする。なお以下において、IPネットワーク経由でのダウンロードは、HTTPの使用を前提にするものとするが、それ以外のプロトコルでもダウンロードできれば十分である。「ocap.hashfile」5303から、「/」5302は「ocap.certificates.1」、「ocap.signaturefile.1」と「a」を含むことが分かるので、それらを順次ダウンロードする。ここで、「a」をダウンロードしようとした時、「a」はディレクトリであるのでダウンロードに失敗する。その時は「a/ocap.hashfile」のダウンロードを試みる。実際「a/ocap.hashfile」5307が存在するのでダウンロードは成功し、1次記憶部511に「ocap.hashfile」、「ocap.certificates.1」と「ocap.signaturefile.1」をファイルとして、また、「a」をディレクトリとして配置する。さらに、「a/ocap.hashfile」から「a」ディレクトリに「PPV3Xlet.class」と「data.txt」が存在することを読み取ると、それらをダウンロードし、1次記憶部511にURL「http://panasonic.com/app」と同じファイル階層を構築する。なお、Javaプログラムを2次記憶部510に保存する場合、1次記憶部511ではなく、2次記憶部510にファイル階層を構築してもよい。さらに、Javaプログラムを2次記憶部510に保存する場合で、もし「application description file」が含まれているならば、「application description file」にはファイル階層の情報が含まれるため、「ocap.hashfile」の代わりにこちらを参照してファイル階層を構築してもよい。
ファイル階層構築部5202がファイル階層を構築すると、セキュリティマネージャ1205fへ構築したファイル階層の認証を指示する。セキュリティマネージャ1205fは認証指示を受けると、ファイル階層の認証を行うが、認証については前述したのでここでは説明を省略する。
図55に、ネットワーク経由でダウンロードしたプログラムを認証する時のフローチャートを示す。5011で示されるXAITを受信すると(ステップS5501)、Javaプログラム識別子5001からsignedプログラムであるか、unsignedプログラムであるかを判断する(ステップS5502)。もしsignedプログラムでなければ、インストールと起動(ステップS5507)を行う。signedプログラムであれば、DSMCC識別子であるかIP識別子であるかを調べ(ステップS5503)、IP識別子ならローカル領域である1次記憶部511もしくは2次記憶部510上にURL5006で示されるファイル階層を構築する(ステップS5504)。ステップS5503でDSMCC識別子であった場合、もしくはステップS5504を完了すると、ローカル領域に存在するファイル階層に関してセキュリティマネージャ1205fへ認証を指示する(ステップS5505)。このステップS5505は、図27のフローチャートに相当する。セキュリティマネージャ1205fが認証に成功したかどうかにより(ステップS5506)、成功ならばプログラムのインストールと起動を実施する(ステップS5507)。
また、サーバに配置されているファイルの一部もしくはすべてで、認証が失敗するかもしれない。更新期間中にダウンロードすることが考えられるためである。そのような場合に備えて、一定回数分または時間経過を待ってからダウンロードと認証を再試行しなおすことにしてもよい。さらには、ディスプレイ509へ認証が失敗したことを示すメッセージを出力し、ユーザーに再試行するかどうかの判断を仰ぐことにしてもよい。
また、例えば図56に示すXAITのJavaプログラムをダウンロードする際、サーバ5103に配置されたプログラムのファイル階層が、図57で示されるファイル階層をもち、「ocap.hashfile」5611、5621、5631の内容が図58Aの5710、図58Bの5720、図58Cの5730に相当する場合、つまり、ディレクトリ「/b」5630とディレクトリ「/」5610とで異なる認証用ファイル(ocap.certificates.x及びocap.signaturefile.x)によって認証される場合がある。このとき、図58Aの5710に示すように、ディレクトリ「/b」のハッシュアルゴリズムが「Non−auth」で表されることにより指定されないことになる。この条件の下で、「/b」ディレクトリ5630ではなく「/a」ディレクトリ5620下にあるプログラムを起動するシグナルがなされるとき、ファイル階層構築部5202は、ローカル領域に空の「/b」ディレクトリを作成し、「/b」ディレクトリ5630自体は構築しなくてもよい。「/b」ディレクトリ5630をローカル領域に構築するのは、後に「PPV4Xlet.class」5622が「/b」ディレクトリ5630以下の「PPVvideo.mpg」5635を使用しようとする時、もしくは、「/b」ディレクトリ5630以下の「PPV5Xlet.class」5634の起動がシグナルされるなど、「/b」ディレクトリ5630以下にアクセスがあり認証が必要となるときでよい。なお、ディレクトリに限らずファイルに対しても同様なことを適用し、「Non−auth」を指定されたファイルは、サイズ0の空のファイルを一旦ローカル領域に作成することで代用し、ローカル領域のファイル階層にダウンロードしなくてもよい。但し、そのファイルへのアクセスがあるときにはファイル階層へダウンロードを行う。空のディレクトリまたは空のファイルを作成するのは、ハッシュファイルにリストされたファイル名/ディレクトリ名とファイル階層中に存在するファイル名/ディレクトリ名は一致しなければならないからである。
また、ローカル領域に構築されたファイル階層からインストールされて起動したsignedのJavaプログラムは、そのJavaプログラムと同じディレクトリに、IPネットワークを経由して、ファイルをダウンロードできる場合がある。万が一、Javaプログラムが端末装置にダメージを与えるプログラムの一部(classファイル)を意図せずにダウンロードしてしまい、それが動作すると致命的な事が発生しかねない。したがって、Javaプログラムから、classファイルのインストール要求が発生した場合には、インストール部5203がファイル階層構築部5202へそのclassファイルをインストールしてよいかの確認を行う。ファイル階層構築部5202は、インストール部5203からインストール可否の確認を求められたときには、ファイル階層に存在するocap.hashfileにそのclassファイルがリストされているかを調べる。もし、リストされていれば、そのclassファイルのインストールを許可し、そうでなければインストールを拒絶する。さらに、ocap.hashfileを書き換えてしまい、classファイルがリストされていたか不明になるのに備える必要がある。クラスファイルをインストールする際には、セキュリティマネージャ1205fへ認証を指示し、かつ、ファイル階層構築部5202へもclassファイルのインストール可否を確認して、認証とインストール許可が成功した場合のみにしかできないようにしてもよい。
本発明に係る認証プログラム実行方法は、ローカル記憶領域にサーバと同じファイル階層を構築し、プログラムの信用性を保証することができ、デジタルテレビ受信機の機能向上、機能付加等として有用である。またデジタルテレビに限らずパーソナルコンピュータや携帯電話などソフトウエアによって制御される情報機器の機能向上、機能付加等の用途にも応用できる。
図1は、本発明に係るケーブルテレビシステムの実施の形態1の構成図である。 図2は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図3は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図4は、本発明に係るケーブルテレビシステムにおいてヘッドエンドと端末装置間の通信に使用される周波数帯域の使い方の一例である。 図5は、本発明に係るケーブルテレビシステムにおいて端末装置の構成図である。 図6は、本発明に係るケーブルテレビシステムにおいて端末装置の外観の一例である。 図7は、本発明に係るPODのハードウエア構成の構成図である。 図8は、本発明に係るPODが保存するプログラム構成の構成図である。 図9は、MPEG規格で定義されているパケットの構成図である。 図10は、MPEG2トランスポートストリームの一例である。 図11は、入力部をフロントパネルで構成した場合の外観の一例である。 図12は、本発明に係る端末装置が保存するプログラム構成の構成図である。 図13Aは、本発明に係るディスプレイの表示の一例である。 図13Bは、本発明に係るディスプレイの表示の一例である。 図14は、本発明に係る2次記憶部が保存する情報の一例である。 図15Aは、本発明に係る1次記憶部が保存する情報の一例である。 図15Bは、本発明に係る1次記憶部が保存する情報の一例である。 図15Cは、本発明に係る1次記憶部が保存する情報の一例である。 図16は、本発明に係るMPEG2規格が規定するPATの内容を表す模式図である。 図17は、本発明に係るMPEG2規格が規定するPMTの内容を表す模式図である。 図18は、本発明に係るDVB−MHP規格が規定するAITの内容を表す模式図である。 図19は、本発明に係るDSMCC方式で送信されるファイルシステムを表す模式図である。 図20は、本発明に係るXAITの内容を表す模式図である。 図21は、本発明に係る2次記憶部が保存する情報の一例である。 図22Aは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図22Bは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図22Cは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図23は、本発明に係る証明書チェーンの構成図である。 図24は、本発明に係るX.509証明書の構成図である。 図25は、本発明に係る署名ファイルの構成図である。 図26は、本発明に係るセキュリティモジュールの構成要素を示した図である。 図27は、本発明に係るファイルシステムの認証を行う際の動作を示したフローチャートである。 図28は、本発明に係る認証指示を受け付けた際に、認証を行わないときのフローチャートである。 図29は、本発明に係るファイルシステムの改竄チェックを行う際の動作を示したフローチャートである。 図30は、本発明に係る署名ファイルを用いて改竄チェックを行う際の動作を示したフローチャートである。 図31は、本発明に係るリーフ証明書と中間証明書の連鎖関係を確認する際の動作を示したフローチャートである。 図32は、本発明に係る中間証明書とルート証明書の連鎖関係を確認する際の動作を示したフローチャートである。 図33は、本発明に係るルート証明書の署名を確認する際の動作を示したフローチャートである。 図34は、本発明に係る保存対象であるファイルを特定するために利用されるファイルの一例である。 図35は、本発明に係るファイルシステムの認証を行う際の動作を示したフローチャートである。 図36は、本発明に係る認証指示を受け付けた際に、X.509証明書の有効性を確認する際の動作を示したフローチャートである。 図37は、本発明に係るダウンロードモジュールから受け取るコードファイルの簡単な構成図である。 図38Aは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図38Bは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図38Cは、本発明に係る端末装置が所有する証明書が交換される際の様子を示した図である。 図39は、本発明に係る証明書交換を行う際の動作を示したフローチャートである。 図40は、本発明に係る認証指示を受け付けた際に、ルート証明書を照合する際の動作を示したフローチャートである。 図41は、本発明に係るCRLの構成図である。 図42は、本発明に係るCRL中の失効証明書リストの模式図である。 図43は、本発明に係るCRLが存在するファイルシステムの一例である。 図44は、本発明に係るCRLの有効性をハッシュ値と署名値から確認する際の動作を示すフローチャートである。 図45は、本発明に係るCRLの有効性を証明書の連鎖関係及びルート証明書の照合によって確認する際の動作を示すフローチャートである。 図46は、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図47は、本発明に係るプログラム保存時にCRLが存在する場合の認証の動作を示したフローチャートである。 図48は、本発明に係るプログラム起動時にCRLが存在する場合の認証の動作を示したフローチャートである。 図49は、本発明に係る失効証明書データベースの模式図である。 図50は、本発明に係るXAITの内容を表す模式図である。 図51は、本発明に係るネットワークの接続形態を表す模式図である。 図52は、本発明に係るAMの構成要素及びその関連要素を示した図である。 図53は、本発明に係るファイル階層の一例である。 図54Aは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図54Bは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図55は、本発明に係るファイル階層をローカル領域に構築し、認証を行う際の動作を示すフローチャートである。 図56は、本発明に係るXAITの内容を表す模式図である。 図57は、本発明に係るファイル階層の一例である。 図58Aは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図58Bは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。 図58Cは、本発明に係るファイル名またはディレクトリ名のハッシュ値を格納したファイルの例である。

Claims (9)

  1. トランスポートストリームに指定されたプログラムを格納する場所を特定する情報に従い、ディレクトリ構造を用いて改竄チェックが必要なデータファイルを格納したプログラムをネットワークに接続された所定のサーバからダウンロードし、前記ダウンロードした改竄チェックが必要なデータファイルを認証および前記プログラムを放送受信装置内に保存する認証・保存ステップと、前記認証したプログラムを実行する実行ステップとを有する認証プログラム実行方法であって、
    前記認証・保存ステップは、
    前記ディレクトリ構造を構成するディレクトリに含まれるハッシュファイルに記述されたディレクトリとデータファイルとを用いて前記サーバ内に格納されたプログラムのディレクトリ構造と同一のディレクトリ構造を有するように前記ハッシュファイルに記述された改竄チェックが必要なデータファイルを全て前記放送受信端末内にダウンロードする第1のステップと、
    前記改竄チェックが必要なデータファイルのハッシュ値が前記改竄チェックが必要なデータファイルを指定するハッシュファイルに格納されたハッシュ値と一致するかどうかを改竄チェックが必要な全てのデータファイルについてチェックする第2のステップと、
    前記プログラムに含まれる証明書ファイルの有効性を検証する第3のステップと、
    前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第4のステップと、
    前記第2のステップにおいてハッシュ値が一致し、前記第3のステップにおいて前記証明書ファイルが有効であると判定され、前記第4のステップにおいてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記プログラムを保存する第5のステップとを有し、
    前記実行ステップは、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する検証ステップを有し、
    前記検証ステップにおいて、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行する
    ことを特徴とする認証プログラム実行方法。
  2. 前記第3のステップは、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第6のステップを有し、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  3. 前記第3のステップは、さらに、
    前記プログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第7のステップを有し、
    前記プログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、認証日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項2記載の認証プログラム実行方法。
  4. 前記検証ステップは、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致するかどうかを検証する第8のステップを有し、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致する場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  5. 前記検証ステップは、さらに、
    前記保存したプログラムに含まれる証明書ファイル中の証明書の有効期限をチェックする第9のステップを有し、
    前記保存したプログラムに含まれる証明書ファイル中のルート証明書が前記放送受信装置内のルート証明書に一致し、実行日時が前記証明書ファイル中の証明書の有効期間内にある場合、前記証明書ファイルが有効であると判定する
    ことを特徴とする請求項4記載の認証プログラム実行方法。
  6. 前記第2のステップにおいてハッシュ値が一致しない場合、前記第3のステップにおいて前記証明書ファイルが有効でないと判定された場合、または前記第4のステップにおいてハッシュ値が一致しない場合には前記プログラムを保存しない
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  7. 前記第1のステップは、
    前記サーバにおいて前記プログラムを構成する最上位のディレクトリに格納されたハッシュファイルにディレクトリが指定されている場合、前記放送受信装置において最上位のディレクトリの下に当該ハッシュファイルが指定するディレクトリと同一のディレクトリを前記放送受信装置内に構築するとともに、前記サーバの最上位のディレクトリに格納されるハッシュファイルが指定するディレクトリに格納されたハッシュファイルに指定された改竄チェックが必要なデータファイルを前記放送受信装置内に構築した対応するディレクトリにダウンロードする第10のステップを有する
    ことを特徴とする請求項1記載の認証プログラム実行方法。
  8. トランスポートストリームに指定されたプログラムを格納する場所を特定する情報に従い、ディレクトリ構造を用いて改竄チェックが必要なデータファイルを格納したプログラムをネットワークに接続された所定のサーバからダウンロードし、前記ダウンロードした改竄チェックが必要なデータファイルを認証および前記プログラムを放送受信装置内に保存する認証・保存手段と、前記認証したプログラムを実行する実行手段とを備える認証プログラム実行装置であって、
    前記認証・保存手段は、
    前記ディレクトリ構造を構成するディレクトリに含まれるハッシュファイルに記述されたディレクトリとデータファイルとを用いて前記サーバ内に格納されたプログラムのディレクトリ構造と同一のディレクトリ構造を有するように前記ハッシュファイルに記述された改竄チェックが必要なデータファイルを全て前記放送受信端末内にダウンロードするファイル階層構築部と、
    前記改竄チェックが必要なデータファイルのハッシュ値が前記改竄チェックが必要なデータファイルを指定するハッシュファイルに格納されたハッシュ値と一致するかどうかを改竄チェックが必要な全てのデータファイルについてチェックする第1検証部と、
    前記プログラムに含まれる証明書ファイルの有効性を検証する第2検証部と、
    前記プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記プログラムに含まれる署名ファイルの署名値を復号した値と、前記プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第3検証部と、
    前記第1検証部においてハッシュ値が一致し、前記第2検証部において前記証明書ファイルが有効であると判定され、前記第3検証部においてハッシュ値が一致すると判定された場合に前記プログラムを認証し、前記プログラムを保存する保存部とを備え、
    前記実行手段は、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する第4検証部を備え、
    前記第4検証部において、前記保存したプログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存したプログラムを再度認証し、実行する
    ことを特徴とする認証プログラム実行装置。
  9. トランスポートストリームに指定された実行プログラムを格納する場所を特定する情報に従い、ディレクトリ構造を用いて改竄チェックが必要なデータファイルを格納した実行プログラムをネットワークに接続された所定のサーバからダウンロードし、前記ダウンロードした改竄チェックが必要なデータファイルを認証および前記実行プログラムを放送受信装置内に保存する認証・保存ステップと、前記認証した実行プログラムを実行する実行ステップとをコンピュータに実行させるプログラムであって、
    前記認証・保存ステップは、
    前記ディレクトリ構造を構成するディレクトリに含まれるハッシュファイルに記述されたディレクトリとデータファイルとを用いて前記サーバ内に格納された実行プログラムのディレクトリ構造と同一のディレクトリ構造を有するように前記ハッシュファイルに記述された改竄チェックが必要なデータファイルを全て前記放送受信端末内にダウンロードする第1のステップと、
    前記改竄チェックが必要なデータファイルのハッシュ値が前記改竄チェックが必要なデータファイルを指定するハッシュファイルに格納されたハッシュ値と一致するかどうかを改竄チェックが必要な全てのデータファイルについてチェックする第2のステップと、
    前記実行プログラムに含まれる証明書ファイルの有効性を検証する第3のステップと、
    前記実行プログラムの証明書ファイルに含まれるリーフ証明書の公開鍵を用いて前記実行プログラムに含まれる署名ファイルの署名値を復号した値と、前記実行プログラム中最上位ディレクトリに位置するハッシュファイルのハッシュ値が一致するかどうかを検証する第4のステップと、
    前記第2のステップにおいてハッシュ値が一致し、前記第3のステップにおいて前記証明書ファイルが有効であると判定され、前記第4のステップにおいてハッシュ値が一致すると判定された場合に前記実行プログラムを認証し、前記実行プログラムを保存する第5のステップとを有し、
    前記実行ステップは、
    前記保存したプログラムに含まれる証明書ファイルの有効性を検証する検証ステップを有し、
    前記検証ステップにおいて、前記保存した実行プログラムに含まれる証明書ファイルが有効であると判定された場合にのみ前記保存した実行プログラムを再度認証し、実行する
    ことを特徴とするプログラム。
JP2006524153A 2004-07-14 2005-07-12 認証プログラム実行方法 Withdrawn JP2008507154A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US58751104P 2004-07-14 2004-07-14
PCT/JP2005/013217 WO2006006719A1 (en) 2004-07-14 2005-07-12 Method for authenticating and executing an application program

Publications (1)

Publication Number Publication Date
JP2008507154A true JP2008507154A (ja) 2008-03-06

Family

ID=35106724

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006524153A Withdrawn JP2008507154A (ja) 2004-07-14 2005-07-12 認証プログラム実行方法

Country Status (10)

Country Link
US (2) US8037317B2 (ja)
EP (1) EP1766974A1 (ja)
JP (1) JP2008507154A (ja)
KR (2) KR20120002625A (ja)
CN (1) CN100583987C (ja)
BR (1) BRPI0512023A (ja)
CA (1) CA2566801A1 (ja)
MX (1) MXPA06014020A (ja)
TW (1) TW200610345A (ja)
WO (1) WO2006006719A1 (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010177744A (ja) * 2009-01-27 2010-08-12 Softbank Mobile Corp 電子署名装置及び通信端末装置
JP2013009356A (ja) * 2011-05-20 2013-01-10 Nippon Hoso Kyokai <Nhk> 放送通信連携受信装置
JP2013009357A (ja) * 2011-05-20 2013-01-10 Nippon Hoso Kyokai <Nhk> 放送通信連携受信装置
JP2014003717A (ja) * 2013-10-07 2014-01-09 Softbank Mobile Corp 通信端末装置
WO2014030283A1 (ja) * 2012-08-21 2014-02-27 ソニー株式会社 署名検証情報の伝送方法、情報処理装置、情報処理方法および放送送出装置
JPWO2012161122A1 (ja) * 2011-05-20 2014-07-31 日本放送協会 放送通信連携受信装置およびリソース管理装置
JP2014239515A (ja) * 2011-12-02 2014-12-18 ソニー株式会社 情報処理装置、情報処理方法およびプログラム
JP2016534629A (ja) * 2013-08-23 2016-11-04 クアルコム,インコーポレイテッド プリコード化されたパケットのハッシュ処理を使用したセキュアなコンテンツ配信
JP2017050875A (ja) * 2012-02-14 2017-03-09 アップル インコーポレイテッド 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001066986A (ja) * 1999-08-26 2001-03-16 Sony Corp 送信装置および方法、受信装置および方法、通信システム、並びにプログラム格納媒体
EP2216783A1 (en) * 2004-07-22 2010-08-11 Panasonic Corporation Playback apparatus and playback method
CN101853353B (zh) 2005-02-14 2012-07-18 松下电器产业株式会社 应用程序执行装置、应用程序执行方法
US7752449B1 (en) * 2006-02-22 2010-07-06 Avaya, Inc. System and method for generating a non-repudiatable record of a data stream
JP4769608B2 (ja) * 2006-03-22 2011-09-07 富士通株式会社 起動検証機能を有する情報処理装置
US7992165B1 (en) * 2006-04-06 2011-08-02 Velti USA, Inc. Insertion of digital media
US7962933B2 (en) * 2006-04-06 2011-06-14 Velti USA, Inc. Mid-roll insertion of digital media
US20080040215A1 (en) * 2006-04-06 2008-02-14 Ad Infuse, Inc. Mid-Roll Insertion of Digital Media
CN101090387B (zh) * 2006-06-12 2012-02-22 松下电器产业株式会社 数字电视中间件、机顶盒、及数字电视网络中的交互方法
US9008598B2 (en) * 2006-06-16 2015-04-14 Core Wireless Licensing S.A.R.L Broadcast channel identification
US9917844B2 (en) * 2006-12-17 2018-03-13 Fortinet, Inc. Detection of undesired computer files using digital certificates
KR101391151B1 (ko) * 2007-06-01 2014-05-02 삼성전자주식회사 세션 키를 이용한 인증 방법 및 이를 위한 장치
US20090038007A1 (en) * 2007-07-31 2009-02-05 Samsung Electronics Co., Ltd. Method and apparatus for managing client revocation list
JP5523834B2 (ja) * 2007-10-30 2014-06-18 京セラ株式会社 受信装置
CN101453615B (zh) * 2007-11-30 2011-07-06 株式会社日立制作所 支持多种条件接收模块的装置、方法及电视机
US20090172784A1 (en) * 2007-12-28 2009-07-02 Lg. Electronics, Inc. Apparatus and method for processing data broadcast signal
JP5378702B2 (ja) * 2008-04-23 2013-12-25 パナソニック株式会社 秘匿認証システム
JP2009272671A (ja) * 2008-04-30 2009-11-19 Panasonic Corp 秘匿認証システム
JP2009272737A (ja) * 2008-05-01 2009-11-19 Panasonic Corp 秘匿認証システム
JP2009278223A (ja) * 2008-05-13 2009-11-26 Panasonic Corp 電子証明システム及び秘匿通信システム
JP2009296190A (ja) 2008-06-04 2009-12-17 Panasonic Corp 秘匿通信方法
KR101485461B1 (ko) * 2008-10-23 2015-01-22 삼성전자주식회사 Ait를 이용한 애플리케이션의 제공 방법 및 그 장치
US8984296B1 (en) * 2009-03-29 2015-03-17 Cypress Semiconductor Corporation Device driver self authentication method and system
JP5476866B2 (ja) * 2009-08-28 2014-04-23 コニカミノルタ株式会社 通信装置、通信方法、通信用プログラムおよび通信システム
US20110066488A1 (en) * 2009-09-17 2011-03-17 Ad Infuse, Inc. Mobile ad routing
TWI396084B (zh) * 2009-09-24 2013-05-11 Hon Hai Prec Ind Co Ltd 整合接收設備及其記憶空間徵用方法
FR2973632A1 (fr) * 2011-03-31 2012-10-05 France Telecom Procede d'acces a un service, notamment un portail web, par un terminal de restitution d'un flux multimedia
US10616782B2 (en) 2012-03-29 2020-04-07 Mgage, Llc Cross-channel user tracking systems, methods and devices
US10185582B2 (en) * 2012-11-28 2019-01-22 Red Hat Israel, Ltd. Monitoring the progress of the processes executing in a virtualization environment
US9819682B2 (en) * 2013-03-15 2017-11-14 Airwatch Llc Certificate based profile confirmation
EP3054701B1 (en) * 2013-09-30 2020-04-01 Sony Corporation Receiver device, broadcast device, server device and reception method
US10114939B1 (en) * 2014-09-22 2018-10-30 Symantec Corporation Systems and methods for secure communications between devices
WO2016126023A1 (en) 2015-02-03 2016-08-11 Samsung Electronics Co., Ltd. Broadcast apparatus and method of authenticating broadcast data
CN106330812B (zh) * 2015-06-15 2019-07-05 腾讯科技(深圳)有限公司 文件安全性识别方法及装置
US9965639B2 (en) 2015-07-17 2018-05-08 International Business Machines Corporation Source authentication of a software product
US11496317B2 (en) * 2016-01-21 2022-11-08 Hewlett Packard Enterprise Development Lp Software validation for untrusted computing systems
CN109766084B (zh) * 2018-12-28 2021-04-23 百富计算机技术(深圳)有限公司 支付应用的定制开发方法、装置、计算机设备和存储介质
US11171995B2 (en) * 2019-01-25 2021-11-09 EMC IP Holding Company LLC Identifying and mitigating risks of cryptographic obsolescence
WO2021014595A1 (ja) * 2019-07-23 2021-01-28 日本電信電話株式会社 検証情報作成システム、検証情報作成方法、および、検証情報作成プログラム
US20210265016A1 (en) 2020-02-20 2021-08-26 Illumina, Inc. Data Compression for Artificial Intelligence-Based Base Calling
US11665002B2 (en) * 2020-12-11 2023-05-30 International Business Machines Corporation Authenticated elevated access request

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5625693A (en) * 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
EP0946019A1 (en) 1998-03-25 1999-09-29 CANAL+ Société Anonyme Authentification of data in a digital transmission system
FR2794595B1 (fr) * 1999-06-03 2002-03-15 Gemplus Card Int Pre-controle d'un programme dans une carte a puce additionnelle d'un terminal
EP1143658A1 (en) * 2000-04-03 2001-10-10 Canal+ Technologies Société Anonyme Authentication of data transmitted in a digital transmission system
JP4145118B2 (ja) * 2001-11-26 2008-09-03 松下電器産業株式会社 アプリケーション認証システム
US20030217369A1 (en) * 2002-05-17 2003-11-20 Heredia Edwin Arturo Flexible application information formulation
US20040068757A1 (en) * 2002-10-08 2004-04-08 Heredia Edwin Arturo Digital signatures for digital television applications
US20040181811A1 (en) * 2003-03-13 2004-09-16 Rakib Selim Shlomo Thin DOCSIS in-band management for interactive HFC service delivery
KR20110031506A (ko) 2003-12-18 2011-03-28 파나소닉 주식회사 애플리케이션 프로그램을 인증 및 실행하는 방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010177744A (ja) * 2009-01-27 2010-08-12 Softbank Mobile Corp 電子署名装置及び通信端末装置
JP2013009356A (ja) * 2011-05-20 2013-01-10 Nippon Hoso Kyokai <Nhk> 放送通信連携受信装置
JP2013009357A (ja) * 2011-05-20 2013-01-10 Nippon Hoso Kyokai <Nhk> 放送通信連携受信装置
JPWO2012161122A1 (ja) * 2011-05-20 2014-07-31 日本放送協会 放送通信連携受信装置およびリソース管理装置
JP2014239515A (ja) * 2011-12-02 2014-12-18 ソニー株式会社 情報処理装置、情報処理方法およびプログラム
JP2017050875A (ja) * 2012-02-14 2017-03-09 アップル インコーポレイテッド 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法
WO2014030283A1 (ja) * 2012-08-21 2014-02-27 ソニー株式会社 署名検証情報の伝送方法、情報処理装置、情報処理方法および放送送出装置
JPWO2014030283A1 (ja) * 2012-08-21 2016-07-28 ソニー株式会社 署名検証情報の伝送方法、情報処理装置、情報処理方法および放送送出装置
JP2016534629A (ja) * 2013-08-23 2016-11-04 クアルコム,インコーポレイテッド プリコード化されたパケットのハッシュ処理を使用したセキュアなコンテンツ配信
JP2014003717A (ja) * 2013-10-07 2014-01-09 Softbank Mobile Corp 通信端末装置

Also Published As

Publication number Publication date
WO2006006719A1 (en) 2006-01-19
US20110307702A1 (en) 2011-12-15
KR20120002625A (ko) 2012-01-06
US8397078B2 (en) 2013-03-12
CN1985516A (zh) 2007-06-20
EP1766974A1 (en) 2007-03-28
CA2566801A1 (en) 2006-01-19
US8037317B2 (en) 2011-10-11
US20060015746A1 (en) 2006-01-19
BRPI0512023A (pt) 2008-02-06
KR20070043783A (ko) 2007-04-25
CN100583987C (zh) 2010-01-20
TW200610345A (en) 2006-03-16
MXPA06014020A (es) 2007-02-08

Similar Documents

Publication Publication Date Title
JP2008507154A (ja) 認証プログラム実行方法
KR101070545B1 (ko) 애플리케이션 프로그램을 인증 및 실행하는 방법
US8086862B2 (en) Program data file storage method in broadcast receiver and broadcast receiver
EP1867158B1 (en) Tool pack structure and contents execution device
JP5961164B2 (ja) 放送通信連携受信装置及びリソースアクセス制御プログラム
JPWO2005099250A1 (ja) プログラム実行装置
US20060191015A1 (en) Copy-protecting applications in a digital broadcasting system
US20060253897A1 (en) Copy-protected application for digital broadcasting system
JP6053323B2 (ja) 放送送信装置、放送通信連携受信装置およびそのプログラム、ならびに、放送通信連携システム
JP5941356B2 (ja) 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム
MXPA06006121A (en) Method for storing, authenticalting and executing an application program
KR20110044395A (ko) 방송 수신기 및 소프트웨어 업데이트 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080708

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20091207