JP2014033281A - Encryption apparatus, decryption apparatus, encryption program and decryption program - Google Patents
Encryption apparatus, decryption apparatus, encryption program and decryption program Download PDFInfo
- Publication number
- JP2014033281A JP2014033281A JP2012171438A JP2012171438A JP2014033281A JP 2014033281 A JP2014033281 A JP 2014033281A JP 2012171438 A JP2012171438 A JP 2012171438A JP 2012171438 A JP2012171438 A JP 2012171438A JP 2014033281 A JP2014033281 A JP 2014033281A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- encrypted
- encryption
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Description
本発明は、暗号化装置、復号装置、暗号化プログラム、および復号プログラムに関する。 The present invention relates to an encryption device, a decryption device, an encryption program, and a decryption program.
近年、放送または通信によって、多数の利用者それぞれのコンテンツ再生装置にコンテンツデータを配信するコンテンツ配信サービスが実現されている。このコンテンツ配信サービスでは、当該サービスの正規利用者にのみコンテンツデータを取得させるため、コンテンツ配信装置は、暗号化したコンテンツデータを配信する。正規利用者のコンテンツ再生装置が、その暗号化コンテンツデータを受信して視聴可能な状態にする方法として、次のような方法が知られている。例えば、暗号化コンテンツデータを復号するための復号鍵を記憶した、耐タンパ性が強いICカードを正規利用者に配布してコンテンツ再生装置に組み込ませることにより、正規利用者のコンテンツ再生装置のみに、暗号化コンテンツデータを復号させる方法が知られている。また、あらかじめ暗号の復号鍵を組み込んだコンテンツ再生プログラムを実行させることにより、暗号化コンテンツデータを復号して再生するコンテンツ再生装置が知られている。このコンテンツ再生装置は、組み込まれるコンテンツ再生プログラムを、耐タンパ性が強いソフトウェア構造にするとともに、このコンテンツ再生装置に固有であって且つ正規の識別子を、コンテンツ再生プログラムを実行する制御部に参照させることにより、暗号化コンテンツデータを復号して再生する。 In recent years, content distribution services for distributing content data to content reproduction devices of a large number of users have been realized by broadcasting or communication. In this content distribution service, the content distribution device distributes encrypted content data so that only authorized users of the service can acquire content data. The following method is known as a method for a content reproduction apparatus of an authorized user to receive the encrypted content data and make it viewable. For example, by distributing a strong tamper-resistant IC card storing a decryption key for decrypting encrypted content data to an authorized user and incorporating it into the content playback device, only the content playback device of the authorized user can A method for decrypting encrypted content data is known. There is also known a content reproduction apparatus that decrypts and reproduces encrypted content data by executing a content reproduction program in which an encryption decryption key is previously incorporated. This content reproduction apparatus has a software structure with a strong tamper resistance for the content reproduction program to be incorporated, and also makes a control unit that executes the content reproduction program refer to a unique identifier that is unique to the content reproduction apparatus. Thus, the encrypted content data is decrypted and reproduced.
ただし、上述の方法によるコンテンツデータの保護は、暗号方式に対する攻撃方法が開発されていない場合に成り立つものである。 However, the protection of content data by the above-described method is established when an attack method for an encryption method has not been developed.
近年、普及している暗号方式に対する攻撃方法の開発事例が報告されている(例えば、非特許文献1、非特許文献2参照)。
これらの攻撃方法を実現する場合に、中央処理装置(Central Processing Unit;CPU)等の演算処理部は、膨大な演算処理を実行する。演算処理部の処理能力が小さければ、暗号方式に対する攻撃には多大な時間がかかる。しかし、半導体メモリの大容量化等とともに、電子計算機の演算処理能力は年々高まっており、電子計算機による暗号方式の攻撃に要する時間が短くなりつつある。この時間短縮がさらに進むと、暗号方式が危殆化するおそれが強くなる。危殆化した暗号方式は安全ではないため、コンテンツ配信サービスでは、別の暗号方式を導入する事態となる。
In recent years, development examples of attack methods for popular encryption methods have been reported (see, for example, Non-Patent
When realizing these attack methods, an arithmetic processing unit such as a central processing unit (CPU) executes enormous arithmetic processing. If the processing capability of the arithmetic processing unit is small, it takes a long time to attack the encryption method. However, with the increase in capacity of semiconductor memories and the like, the computing processing capacity of electronic computers is increasing year by year, and the time required for attacks on cryptographic methods by electronic computers is becoming shorter. As this time reduction further progresses, the risk of compromising the encryption method becomes stronger. Since the compromised encryption method is not secure, another encryption method is introduced in the content distribution service.
しかしながら、多数のコンテンツ再生装置に対して暗号化コンテンツデータを一斉配信する放送サービス等においては、暗号方式を現行方式から新方式に直ちに切り替えることができない。すなわち、コンテンツ再生装置は、現行の暗号方式に対応した復号方式による復号部をハードウェアまたはソフトウェアとして実装しているため、暗号方式を変更する場合に復号部の更新作業が必要となる。しかし、全てのコンテンツ再生装置に対してこの更新作業を同時に行うことは極めて困難である。 However, in a broadcast service that simultaneously distributes encrypted content data to a large number of content playback devices, the encryption method cannot be immediately switched from the current method to the new method. That is, since the content reproduction apparatus has a decryption unit that uses a decryption method corresponding to the current encryption method as hardware or software, the decryption unit needs to be updated when the encryption method is changed. However, it is extremely difficult to perform this update operation on all the content reproduction apparatuses at the same time.
また、更新作業を一定期間内に行うこととした場合、その一定期間内に、現行の暗号方式に対応する復号部を実装したコンテンツ再生装置と、新しい暗号方式に対応する復号部を実装したコンテンツ再生装置とが混在することとなる。この混在状態において、コンテンツ配信サービスを行う事業者は、現行の暗号方式により暗号化した暗号化コンテンツデータと、新しい暗号方式により暗号化した暗号化コンテンツデータとの両方を、コンテンツ配信装置により配信する必要がある。また、コンテンツ再生装置は、そのようにして配信された新旧両方式により暗号化された暗号化コンテンツデータを正常に受信し、上記の一定期間が経過するまでに行われる復号部の更新によって、新方式による暗号化コンテンツデータを復号可能にする必要がある。 In addition, if the update operation is performed within a certain period, the content playback device in which the decryption unit corresponding to the current encryption method and the decryption unit corresponding to the new encryption method are installed within the certain period. A reproduction apparatus is mixed. In this mixed state, a provider who provides a content distribution service distributes both encrypted content data encrypted by the current encryption method and encrypted content data encrypted by the new encryption method, by the content distribution device. There is a need. In addition, the content playback apparatus normally receives the encrypted content data encrypted by both the new and old systems distributed in this manner, and updates the decryption unit performed until the above-described predetermined period has elapsed, thereby updating the new content. It is necessary to be able to decrypt the encrypted content data by the method.
しかし、例えば、現在のデジタル放送の送信側において、現行の暗号方式により暗号化された暗号化コンテンツデータと、新しい暗号方式により暗号化された暗号化コンテンツデータとの両方を、コンテンツ配信装置がそれぞれ識別可能にして送信することができない。また、コンテンツ配信装置により送信された、上記の両暗号方式によって生成された暗号化コンテンツデータを、現行の受信装置が正常に受信して正常に復号することができない。すなわち、現在のデジタル放送の送受信のシステムとして、現行の暗号方式により暗号化された暗号化コンテンツデータのみを復号可能な現行受信装置と、新しい暗号方式により暗号化された暗号化コンテンツデータを復号可能な新規受信装置との混在運用を可能にする技術的な仕組みがない。 However, for example, on the transmitting side of the current digital broadcast, the content distribution apparatus respectively transmits both the encrypted content data encrypted by the current encryption method and the encrypted content data encrypted by the new encryption method. Cannot be sent with identification. Further, the encrypted content data transmitted by the content distribution device and generated by the above two encryption methods cannot be normally received and decrypted normally by the current receiving device. In other words, as a current digital broadcasting transmission / reception system, it is possible to decrypt current content receiving device that can decrypt only encrypted content data encrypted by the current encryption method and encrypted content data encrypted by the new encryption method. There is no technical mechanism that enables mixed operation with new receivers.
本発明は、上記事情に鑑みてなされたものであり、例えば、コンテンツ配信事業者が暗号化コンテンツデータを多数の復号装置に一斉配信するコンテンツ配信サービス運用中における暗号方式の切り替えにおいて、この切り替え期間の、暗号化コンテンツデータの安全性(秘匿性)を高く保ち且つ現行の暗号方式と新しい暗号方式との混在を可能にする、暗号化装置、復号装置、暗号化プログラム、および復号プログラムを提供することを目的とする。 The present invention has been made in view of the above circumstances. For example, in the switching of an encryption method during operation of a content distribution service in which a content distribution company distributes encrypted content data to a number of decryption devices simultaneously, this switching period The present invention provides an encryption device, a decryption device, an encryption program, and a decryption program that can maintain the security (confidentiality) of encrypted content data at a high level and allow the current encryption method and a new encryption method to be mixed. For the purpose.
[1]上記の課題を解決するため、本発明の一態様である暗号化装置は、符号化コンテンツデータを取り込むデータ取得部と、前記データ取得部が取り込んだ前記符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して暗号化データを生成する暗号化部と、前記暗号化部が生成した前記暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、暗号化パケットデータを生成する暗号化パケット生成部と、前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けて、前記プログラムマップテーブルを含む平文パケットデータを生成する平文パケット生成部と、前記暗号化パケット生成部が生成した前記暗号化パケットデータと前記平文パケット生成部が生成した前記平文パケットデータとを合成してストリームを生成するパケット合成部と、を備えることを特徴とする。
ここで、符号化コンテンツデータは、例えば、MPEG−2ビデオ規格に基づき圧縮符号化処理された映像の符号化コンテンツデータである。また、第1暗号方式は、例えば現行の暗号方式である。また、第2暗号方式は、例えば、現行と異なる暗号方式(新暗号方式)である。また、平文パケット生成部は、暗号化部に適用された第1暗号方式に対応付けられた第1パケット識別子を、プログラムマップテーブルのエレメンタリパケット識別子領域に設ける。また、平文パケット生成部は、第2暗号方式に対応付けられた第2パケット識別子と、第2暗号方式を識別する暗号化識別子と、第2暗号方式の復号に関する情報(パラメータ)とを対応付けて含むサイマルスクランブル記述子を生成する。そして、平文パケット生成部125は、サイマルスクランブル識別子を、上記プログラムマップテーブルのエレメンタリストリームループ領域における記述子の領域(記述子領域2)に設ける。そして、平文パケット生成部は、プログラムマップテーブルをセクション化して平文パケットデータを生成する。
[1] In order to solve the above-described problem, an encryption apparatus according to an aspect of the present invention includes a data acquisition unit that acquires encoded content data, and a first encryption of the encoded content data acquired by the data acquisition unit. An encryption unit that generates encrypted data by encrypting each of the encryption method and the second encryption method, and converts the encrypted data generated by the encryption unit into a transport stream, for each transport stream for each encryption method A packet identifier associated with an encryption method is provided in a packet identifier area of a header of each transport stream packet, and an encrypted packet generation unit that generates encrypted packet data is associated with the first encryption method. Provided in the elementary packet identifier area of the program map table, Generating descriptor information including a second packet identifier associated with two encryption methods, providing the descriptor information in an elementary stream loop area of the program map table, and plaintext packet data including the program map table A plaintext packet generator to generate, and a packet combiner to generate a stream by combining the encrypted packet data generated by the encrypted packet generator and the plaintext packet data generated by the plaintext packet generator. It is characterized by providing.
Here, the encoded content data is, for example, encoded content data of video that has been compression-encoded based on the MPEG-2 video standard. Further, the first encryption method is, for example, a current encryption method. Further, the second encryption method is, for example, an encryption method (new encryption method) different from the current one. Further, the plaintext packet generation unit provides the first packet identifier associated with the first encryption method applied to the encryption unit in the elementary packet identifier area of the program map table. In addition, the plaintext packet generation unit associates the second packet identifier associated with the second encryption method, the encryption identifier for identifying the second encryption method, and information (parameter) related to the decryption of the second encryption method. Generate a simul scramble descriptor containing Then, the plaintext
[2]上記[1]記載の暗号化装置において、前記データ取得部が取り込んだ前記符号化コンテンツデータから所定の開始符号を検出する開始符号検出部をさらに備え、前記暗号化部は、前記符号化コンテンツデータにおける、前記開始符号と前記開始符号より後の可変長符号の一部分とを含むブロックデータを、前記第1暗号方式および前記第2暗号方式それぞれで暗号化して暗号化データを生成し、前記平文パケット生成部は、前記符号化コンテンツデータから前記ブロックデータを除くデータを、トランスポートストリームに変換し、前記トランスポートストリームにおける各トランスポートストリームパケットが有するヘッダのパケット識別子領域に前記第1パケット識別子を設けたパケットデータを生成して、前記パケットデータをも前記平文パケットデータに含める、ことを特徴とする。
ここで、所定の開始符号は、例えば、MPEG−2ビデオ規格によるデータ構造においては、シーケンス層、GOP層、ピクチャ層、およびスライス層それぞれが含むヘッダのスタートコードである。なお、所定の開始符号を、GOP層がIピクチャであるスライス層におけるスライスヘッダのスタートコードとしてもよい。開始符号と開始符号より後の可変長符号の一部分とを含むブロックデータは、例えば、スライスヘッダとこのスライスヘッダの後に存在する可変長符号のうち少なくとも先頭1ビットとを含む符号列である。
[2] The encryption apparatus according to [1], further including a start code detection unit that detects a predetermined start code from the encoded content data captured by the data acquisition unit, wherein the encryption unit includes the code Encrypting block data including the start code and a part of the variable length code after the start code in the encrypted content data to generate encrypted data by using the first encryption method and the second encryption method, respectively, The plaintext packet generation unit converts data excluding the block data from the encoded content data into a transport stream, and the first packet is included in a packet identifier area of a header included in each transport stream packet in the transport stream. Generating packet data provided with an identifier, and Also included in the plaintext packet data, characterized in that.
Here, the predetermined start code is, for example, a header start code included in each of the sequence layer, the GOP layer, the picture layer, and the slice layer in the data structure according to the MPEG-2 video standard. The predetermined start code may be the start code of the slice header in the slice layer in which the GOP layer is an I picture. The block data including the start code and a part of the variable length code after the start code is, for example, a code string including a slice header and at least the first 1 bit among the variable length codes existing after the slice header.
[3]上記[1]または[2]いずれか記載の暗号化装置において、前記平文パケット生成部は、前記第2暗号方式を識別する暗号化識別子を、前記第2パケット識別子に対応付けて前記記述子情報に含める、ことを特徴とする。 [3] In the encryption device according to any one of [1] and [2], the plaintext packet generation unit associates an encryption identifier for identifying the second encryption method with the second packet identifier, and It is included in the descriptor information.
[4]上記の課題を解決するため、本発明の一態様である復号装置は、符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して得られた暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に暗号方式に対応付けられたパケット識別子を設けて生成された暗号化パケットデータと、前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けた、前記プログラムマップテーブルを含めて生成された平文パケットデータと、を合成して生成されたストリームを取り込むストリーム取得部と、前記ストリーム取得部が取り込んだ前記ストリームにおいて前記平文パケットデータに含まれる前記プログラムマップテーブルの前記エレメンタリストリームループ領域から前記記述子情報を抽出して、前記記述子情報から前記第2パケット識別子を抽出し、前記ストリームにおける前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出するパケット抽出部と、前記パケット抽出部が抽出した前記第2暗号化パケットデータに含まれる暗号化データを復号して前記符号化コンテンツデータを生成する復号部と、を備えることを特徴とする。
ここで、符号化コンテンツデータは、例えば、MPEG−2ビデオ規格に基づき圧縮符号化処理された映像の符号化コンテンツデータである。また、第1暗号方式は、例えば現行の暗号方式である。また、第2暗号方式は、例えば、現行と異なる暗号方式(新暗号方式)である。平文パケットデータに含まれるプログラムマップテーブルにおいて、エレメンタリパケット識別子領域には、第1暗号方式に対応付けられた第1パケット識別子が設けられ、エレメンタリストリームループ領域における記述子の領域(記述子領域2)には、第2暗号方式に対応付けられた第2パケット識別子と、第2暗号方式を識別する暗号化識別子と、第2暗号方式の復号に関する情報(パラメータ)とを対応付けて含むサイマルスクランブル記述子が設けられている。
[4] In order to solve the above-described problem, a decryption device according to an aspect of the present invention transports encrypted data obtained by encrypting encoded content data using the first encryption method and the second encryption method, respectively. The encrypted packet data generated by providing a packet identifier associated with the encryption method in the packet identifier region of the header of each transport stream packet for each transport stream for each encryption method, Providing a first packet identifier associated with the first encryption scheme in an elementary packet identifier area of a program map table, generating descriptor information including a second packet identifier associated with the second encryption scheme, and Descriptor information is provided in the elementary stream loop area of the program map table. A stream acquisition unit that captures a stream generated by combining the plaintext packet data generated including the program map table, and the program map included in the plaintext packet data in the stream captured by the stream acquisition unit The descriptor information is extracted from the elementary stream loop area of the table, the second packet identifier is extracted from the descriptor information, and the encrypted packet data in the stream is extracted from the encrypted packet data into the packet identifier area of the header. A packet extraction unit for extracting the second encrypted packet data provided with two packet identifiers, and the encoded content by decoding the encrypted data included in the second encrypted packet data extracted by the packet extraction unit. A decryption unit for generating data; Characterized in that it comprises.
Here, the encoded content data is, for example, encoded content data of video that has been compression-encoded based on the MPEG-2 video standard. Further, the first encryption method is, for example, a current encryption method. Further, the second encryption method is, for example, an encryption method (new encryption method) different from the current one. In the program map table included in the plaintext packet data, the elementary packet identifier area is provided with a first packet identifier associated with the first encryption scheme, and a descriptor area (descriptor area) in the elementary stream loop area. 2) includes a second packet identifier associated with the second encryption method, an encryption identifier for identifying the second encryption method, and information (parameters) related to decryption of the second encryption method in association with each other. A scramble descriptor is provided.
[5]上記[4]記載の復号装置において、前記ストリーム取得部は、前記符号化コンテンツデータにおける、所定の開始符号と前記開始符号より後の可変長符号の一部分とを含むブロックデータを、前記第1暗号方式および前記第2暗号方式それぞれで暗号化して得られた暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に暗号方式に対応付けられたパケット識別子を設けて生成された暗号化パケットデータと、前記符号化コンテンツデータから前記ブロックデータを除くデータをトランスポートストリームに変換し、前記トランスポートストリームにおける各トランスポートストリームパケットが有するヘッダのパケット識別子領域に前記第1パケット識別子を設けたパケットデータを生成し、前記第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けた、前記プログラムマップテーブル、および前記パケットデータを含めて生成された平文パケットデータと、を合成して得られたストリームを取り込み、前記パケット抽出部は、前記プログラムマップテーブルの前記エレメンタリパケット識別子領域から前記第1パケット識別子を抽出し、前記ストリームの前記平文パケットデータから、ヘッダのパケット識別子領域に前記第1パケット識別子が設けられた前記パケットデータをも抽出し、前記復号部は、前記第2暗号化パケットデータに含まれる暗号化データを復号して復号データを取得し、前記パケット抽出部が抽出した前記パケットデータから前記ブロックデータを除くデータを抽出して、前記復号データと前記データとを合成して前記符号化コンテンツデータを生成することを特徴とする。 [5] In the decoding device according to [4], the stream acquisition unit includes block data including a predetermined start code and a portion of a variable length code after the start code in the encoded content data. The encrypted data obtained by encrypting each of the first encryption method and the second encryption method is converted into a transport stream, and a packet identifier of a header included in each transport stream packet for each transport stream for each encryption method Encrypted packet data generated by providing a packet identifier associated with an encryption method in the area and data excluding the block data from the encoded content data are converted into a transport stream, and each transport in the transport stream is converted. Head of port stream packet Packet data in which the first packet identifier is provided in the packet identifier area, and the first packet identifier is provided in the elementary packet identifier area of the program map table, and descriptor information including the second packet identifier is generated. The descriptor information is provided in the elementary stream loop area of the program map table, and the stream obtained by synthesizing the program map table and the plain text packet data generated including the packet data is captured. The packet extraction unit extracts the first packet identifier from the elementary packet identifier area of the program map table, and provides the first packet identifier in a packet identifier area of a header from the plaintext packet data of the stream. Before Packet data is also extracted, and the decrypting unit decrypts the encrypted data included in the second encrypted packet data to obtain decrypted data, and the block data is extracted from the packet data extracted by the packet extracting unit. Extracted data is extracted, and the encoded data is generated by synthesizing the decoded data and the data.
[6]上記[4]または[5]いずれか記載の復号装置において、前記記述子情報は、前記第2暗号方式を識別する暗号化識別子を前記第2パケット識別子に対応付けて有し、前記パケット抽出部は、前記記述子情報から、あらかじめ有する自装置暗号化識別子と同一である暗号化識別子に対応付けられた前記第2パケット識別子を抽出し、前記ストリームの前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出することを特徴とする。 [6] In the decryption device according to any one of [4] and [5], the descriptor information includes an encryption identifier for identifying the second encryption scheme in association with the second packet identifier, The packet extraction unit extracts, from the descriptor information, the second packet identifier that is associated with an encryption identifier that is the same as the own device encryption identifier in advance, and from the encrypted packet data of the stream, a header The second encrypted packet data in which the second packet identifier is provided in the packet identifier area is extracted.
[7]上記の課題を解決するため、本発明の一態様である暗号化プログラムは、コンピュータを、符号化コンテンツデータを取り込むデータ取得部と、前記データ取得部が取り込んだ前記符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して暗号化データを生成する暗号化部と、前記暗号化部が生成した前記暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、暗号化パケットデータを生成する暗号化パケット生成部と、前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けて、前記プログラムマップテーブルを含む平文パケットデータを生成する平文パケット生成部と、前記暗号化パケット生成部が生成した前記暗号化パケットデータと前記平文パケット生成部が生成した前記平文パケットデータとを合成してストリームを生成するパケット合成部と、として機能させる。 [7] In order to solve the above-described problem, an encryption program according to an aspect of the present invention includes a data acquisition unit that captures encoded content data, and the encoded content data captured by the data acquisition unit. An encryption unit that encrypts each of the first encryption method and the second encryption method to generate encrypted data, and converts the encrypted data generated by the encryption unit into a transport stream, and transports by encryption method An encrypted packet generator for generating encrypted packet data by providing a packet identifier associated with an encryption method in a packet identifier region of a header of each transport stream packet for each stream, and the first encryption method The first packet identifier associated with the elementary packet of the program map table Providing the descriptor information including a second packet identifier associated with the second encryption scheme in a separate region, providing the descriptor information in an elementary stream loop region of the program map table, and A plaintext packet generator that generates plaintext packet data including a map table, and the encrypted packet data generated by the encrypted packet generator and the plaintext packet data generated by the plaintext packet generator are combined to generate a stream. It functions as a packet synthesizer to be generated.
[8]上記の課題を解決するため、本発明の一態様である復号プログラムは、コンピュータを、符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して得られた暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に暗号方式に対応付けられたパケット識別子を設けて生成された暗号化パケットデータと、前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けた、前記プログラムマップテーブルを含めて生成された平文パケットデータと、を合成して生成されたストリームを取り込むストリーム取得部と、前記ストリーム取得部が取り込んだ前記ストリームにおいて前記平文パケットデータに含まれる前記プログラムマップテーブルの前記エレメンタリストリームループ領域から前記記述子情報を抽出して、前記記述子情報から前記第2パケット識別子を抽出し、前記ストリームにおける前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出するパケット抽出部と、前記パケット抽出部が抽出した前記第2暗号化パケットデータに含まれる暗号化データを復号して前記符号化コンテンツデータを生成する復号部と、として機能させる。 [8] In order to solve the above-described problem, a decryption program according to an aspect of the present invention provides encrypted data obtained by encrypting encoded content data using a first encryption method and a second encryption method. Packet data generated by converting a packet into a transport stream and providing a packet identifier associated with the encryption method in the packet identifier region of the header of each transport stream packet for each transport stream for each encryption method And providing a first packet identifier associated with the first encryption scheme in an elementary packet identifier area of the program map table, and generating descriptor information including the second packet identifier associated with the second encryption scheme The descriptor information is stored in the element list of the program map table. A stream acquisition unit that captures a stream generated by combining the plaintext packet data generated including the program map table provided in the loop region, and the plaintext packet data in the stream captured by the stream acquisition unit The descriptor information is extracted from the elementary stream loop region of the program map table included in the program map table, the second packet identifier is extracted from the descriptor information, and from the encrypted packet data in the stream, a header A packet extraction unit that extracts the second encrypted packet data in which the second packet identifier is provided in a packet identifier region, and decrypts the encrypted data included in the second encrypted packet data extracted by the packet extraction unit The encoded content data A decoding unit that generates, to function as a.
本発明によれば、例えば、コンテンツ配信事業者が暗号化コンテンツデータを多数の復号装置に一斉配信するコンテンツ配信サービス運用中での暗号方式の切り替えにおいて、この切り替え期間の、暗号化コンテンツデータの安全性(秘匿性)を高く保ち且つ現行の暗号方式と新しい暗号方式との混在を可能にし、受信装置の円滑な切り替えを実現することができる。 According to the present invention, for example, when a content distribution company operates a content distribution service that distributes encrypted content data to a number of decryption devices at the same time, the encryption of the encrypted content data during this switching period is safe. Therefore, it is possible to maintain a high level of secrecy (confidentiality) and to mix the current encryption method and the new encryption method, and to realize smooth switching of the receiving apparatus.
以下、本発明を実施するための形態について、図面を参照して詳細に説明する。
[第1の実施の形態]
本発明の第1実施形態は、放送局が実施するデジタル放送によるコンテンツ配信サービスを実現するコンテンツ配信システムの例である。本実施形態では、コンテンツ配信サービスに適用される暗号方式(スクランブル方式)を、現行の暗号方式から、現行と異なる暗号方式(新暗号方式)に切り替える場合を例とする。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.
[First Embodiment]
1st Embodiment of this invention is an example of the content delivery system which implement | achieves the content delivery service by the digital broadcasting which a broadcasting station implements. In the present embodiment, an example is described in which the encryption method (scramble method) applied to the content distribution service is switched from the current encryption method to a different encryption method (new encryption method) from the current one.
図1は、本実施形態である暗号化装置および復号装置を適用したコンテンツ配信システムの概略の構成図である。同図において、コンテンツ配信システム1は、放送局装置群10と、送信アンテナ20と、受信装置30とを含んで構成される。受信装置30は、復号装置を含む。実際には、受信装置30は多数存在するが、本実施形態では、図を簡略化して説明を簡潔にするため、4台の受信装置30(受信装置30−1〜30−4と呼ぶ。)を例示する。放送局装置群10および送信アンテナ20は、放送局が管理する装置群および設備である。受信装置30は、視聴者が管理する装置である。
FIG. 1 is a schematic configuration diagram of a content distribution system to which an encryption apparatus and a decryption apparatus according to this embodiment are applied. In FIG. 1, the
放送局装置群10は、放送局、番組制作会社等により制作されたコンテンツデータを圧縮符号化して圧縮符号化コンテンツデータを生成する。そして、放送局装置群10は、圧縮符号化コンテンツデータを本実施形態の方式によって暗号化して、ストリームを生成する。そして、放送局装置群10は、生成したストリームを放送信号に変換し、この放送信号を送信アンテナ20に送信する。
放送局装置群10は、その機能構成として、コンテンツサーバ11と、暗号化サーバ12と、送信装置13と、ネットワーク14とを備える。暗号化サーバ12は、暗号化装置を含む。
The broadcast
The broadcast
ネットワーク14は、コンテンツサーバ11と暗号化サーバ12と送信装置13とを相互に通信接続する通信回線であり、例えば、インターネットプロトコル(Internet Protocol;IP)により通信可能なコンピュータネットワークである。コンテンツサーバ11、暗号化サーバ12、および送信装置13は、ネットワーク14を介して通信を行う。
The
コンテンツサーバ11は、図示しないコンテンツ供給装置からコンテンツデータおよび符号化レートを取り込む。コンテンツデータは、映像データ、音声データ等を含むデジタルデータである。本実施形態では、コンテンツデータは、少なくとも映像データを含む。また、符号化レートは、送信アンテナ20と受信装置30との間の伝送路において使用可能な容量、つまり、使用可能帯域を示す値である。
The
コンテンツサーバ11は、コンテンツデータの圧縮符号化処理を実行して符号化レート以下の容量となる圧縮符号化コンテンツデータを生成し、この圧縮符号化コンテンツデータを記憶する。圧縮符号化処理は、例えば、MPEG−2ビデオ規格やMPEG−2オーディオ規格に基づく符号化処理である。この圧縮符号化処理は、可変長符号化処理を含む。つまり、圧縮符号化コンテンツデータは、例えば、MPEG−2ビデオ規格に基づき圧縮符号化処理された映像の符号化コンテンツデータや、MPEG−2オーディオ規格に基づき圧縮符号化処理された音声の符号化コンテンツデータである。
The
暗号化サーバ12は、コンテンツサーバ11から圧縮符号化コンテンツデータを取り込み、また、例えば、図示しない番組編成装置からデジタル放送に関する制御情報(以下、制御情報と呼ぶこともある。)を取り込む。制御情報は、デジタル放送、放送番組等に関する情報である。具体的に、制御情報は、各種Program Specific Information/Service Information(PSI/SI)の情報、各暗号方式に対応付けられたパケット識別子(Packet IDentification;PID)を含む。
The
暗号化サーバ12は、圧縮符号化コンテンツデータを、例えば二種類の暗号方式(第1暗号方式および第2暗号方式)それぞれで暗号化し、二つ(2系統)の暗号化データ(第1暗号化データおよび第2暗号化データ)を生成する。第1暗号方式は、現行の暗号方式である。また、第2暗号方式は、現行と異なる暗号方式(新暗号方式)である。暗号化サーバ12は、二つの暗号化データそれぞれをパケットデータ化し、暗号方式に対応付けられたパケット識別子を各パケットに設けて二つ(2系統)の暗号化パケットデータ(第1暗号化パケットデータおよび第2暗号化パケットデータ)を生成する。また、暗号化サーバ12は、制御情報に基づいて、二種類の暗号方式それぞれに対応付けられたパケット識別子(第1パケット識別子および第2パケット識別子)を含むプログラムマップテーブル(Program Map Table;PMT)を生成し、このPMTを含む平文パケットデータを生成する。PMTは、PSI/SIの一種であり、放送番組を構成するデータを格納するパケットを識別するパケット識別子を指定するテーブルである。ただし、本実施形態である受信装置30が第2暗号方式で暗号化された第2暗号化パケットデータを復号し、従来の受信装置が第1暗号方式で暗号化された第1暗号化パケットデータを復号するよう、暗号化サーバ12は、次のようにして暗号化パケットデータに対応するPMTを生成する。
The
すなわち、暗号化サーバ12は、本実施形態である受信装置30および従来の受信装置いずれもが認識可能なPMTのエレメンタリパケット識別子領域に、第1暗号方式に対応付けられた第1パケット識別子を設ける。また、暗号化サーバ12は、従来の受信装置によって認識されず且つ受信装置30によって認識される、PMTのエレメンタリストリームループ領域における記述子の領域(記述子領域2と呼ぶ。)に、第2暗号方式に対応付けられた第2パケット識別子と第2暗号方式を識別する暗号化識別子と第2暗号方式の復号に関する情報(パラメータ)とを含むサイマルスクランブル識別子(記述子情報)を設ける。
従来の受信装置は、PMTの記述子領域2に設けられたサイマルスクランブル識別子を認識せず検出することができない。従来の受信装置は、MPEG−2システム規格によって規定された基本処理要件にしたがい、PMTの記述子領域2に設けられたサイマルスクランブル識別子を無視し、受信装置が実行すべき通常の処理を実行する。よって、従来の受信装置は、サイマルスクランブル識別子が設けられていない従来のストリームと、サイマルスクランブル識別子が設けられたストリームとのいずれをも正常に受信して処理することができる。PMTおよびサイマルスクランブル識別子のデータ構造の詳細については後述する。
That is, the
The conventional receiving apparatus cannot recognize and detect the simulant scramble identifier provided in the
暗号化サーバ12は、二つの暗号化パケットデータと平文パケットデータとを合成してストリームを生成し、このストリームを記憶する。ストリームは、例えば、MPEG−2システム規格で規定されたトランスポートストリーム(Transport Stream;TS)である。
The
送信装置13は、暗号化サーバ12からストリームを取り込み、このストリームをデジタル放送の放送信号に変換し、この放送信号を送信アンテナ20に送信する。
送信アンテナ20は、放送局装置群10の送信装置13から供給された放送信号による放送電波を空中に放射する。
The
The
受信装置30は、送信アンテナ20が放射した放送電波を受信することによって放送信号を取り込み、この放送信号からストリームを取得する。受信装置30は、ストリームからPMTを抽出し、このPMTの記述子領域2から、自装置に設けられた自装置暗号化識別子と同一の暗号化識別子に対応付けられたパケット識別子(第2パケット識別子)を含むサイマルスクランブル識別子を抽出する。そして、受信装置30は、第2パケット識別子が設けられた第2暗号化パケットデータをストリームから取得し、サイマルスクランブル識別子が有する第2暗号方式の復号に関する情報を用いて第2暗号化パケットデータに含まれる第2暗号化データを復号し、圧縮符号化コンテンツデータを取得する。そして、受信装置30は、圧縮符号化コンテンツデータを復号してコンテンツデータを生成し、このコンテンツデータを提示する。
The receiving
図2は、コンテンツサーバ11の機能構成を示すブロック図である。同図に示すように、コンテンツサーバ11は、コンテンツ取得部111と、符号化レート取得部112と、コンテンツ圧縮符号化部113と、圧縮符号化コンテンツ記憶部114と、圧縮符号化コンテンツ供給部115とを備える。
FIG. 2 is a block diagram showing a functional configuration of the
コンテンツ取得部111は、前記のコンテンツ供給装置からコンテンツデータを取り込み、このコンテンツデータをコンテンツ圧縮符号化部113に供給する。コンテンツ供給装置は、例えば、磁気ハードディスク装置、半導体ディスク装置等の記憶装置、ネットワーク14を介して接続されるコンテンツ編集装置等である。
符号化レート取得部112は、図示しない符号化レート供給装置から符号化レートを取り込み、この符号化レートをコンテンツ圧縮符号化部113に供給する。符号化レート供給装置は、例えば、キーボード、マウス等の入力装置、半導体メモリ等の記憶装置である。
The
The encoding
コンテンツ圧縮符号化部113は、コンテンツ取得部111が供給するコンテンツデータを取り込み、また、符号化レート取得部112が供給する符号化レートを取り込む。コンテンツ圧縮符号化部113は、コンテンツデータの圧縮符号化処理を実行して指定された符号化レート以下のデータ量となる圧縮符号化コンテンツデータを生成し、この圧縮符号化コンテンツデータを圧縮符号化コンテンツ記憶部114に供給する。圧縮符号化処理は、例えば、MPEG−2ビデオ規格による映像圧縮符号化処理である。この圧縮符号化処理は、可変長符号化処理として例えばハフマン符号化処理を含む。
The content
圧縮符号化コンテンツ記憶部114は、コンテンツ圧縮符号化部113が供給する圧縮符号化コンテンツデータを、例えばファイルデータとして記憶する。
The compression-encoded
圧縮符号化コンテンツ供給部115は、圧縮符号化コンテンツ記憶部114から圧縮符号化コンテンツデータを読み込み、この圧縮符号化コンテンツデータを、例えば暗号化サーバ12に供給する。
The compression-encoded
ここで、暗号化サーバ12が生成するストリームのパケットであるトランスポートストリームパケットのデータ構成について説明する。
図3は、トランスポートストリームパケットのデータ構成を示す図である。同図に示すように、トランスポートストリームパケット(以下、TSパケットと呼ぶ。)は、ヘッダ部(ヘッダ)と、アダプテーションフィールド/ペイロード部とを有する。ヘッダ部は、4バイトのデータである。アダプテーションフィールド/ペイロード部は、184バイトのデータである。つまり、TSパケットは、188バイト固定長のデータである。
Here, a data structure of a transport stream packet that is a packet of a stream generated by the
FIG. 3 is a diagram illustrating a data configuration of the transport stream packet. As shown in the figure, a transport stream packet (hereinafter referred to as a TS packet) has a header part (header) and an adaptation field / payload part. The header part is 4-byte data. The adaptation field / payload portion is 184 bytes of data. That is, the TS packet is data having a fixed length of 188 bytes.
ヘッダ部は、同期バイトと、トランスポートエラーインジケータと、ペイロードユニット開始インジケータと、トランスポート優先度と、パケット識別子(PID)と、トランスポートスクランブル制御と、アダプテーションフィールド制御と、連続性指標とを含む。 The header portion includes a synchronization byte, a transport error indicator, a payload unit start indicator, a transport priority, a packet identifier (PID), a transport scramble control, an adaptation field control, and a continuity index. .
同期バイトは、TSパケットの先頭を示す8ビットのデータであり、0x47(16進数)である。トランスポートエラーインジケータは、TSパケット内のビットエラーの有無を示す1ビットのフラグである。トランスポートエラーインジケータは、‘1’(2進数)である場合に、TSパケット内に少なくとも1ビットの訂正不可能なエラーが存在することを示す。ペイロードユニット開始インジケータは1ビットのデータであり、‘1’(2進数)である場合に、TSパケットのペイロードの開始点がPESパケットの開始点またはポインタであることを示す。トランスポート優先度は、同一のパケット識別子を有するTSパケットにおける優先度を示す1ビットのフラグであり、‘1’(2進数)である場合に優先を示す。パケット識別子は、ペイロードのデータの種類を識別する13ビットのデータである。 The synchronization byte is 8-bit data indicating the head of the TS packet, and is 0x47 (hexadecimal number). The transport error indicator is a 1-bit flag indicating whether or not there is a bit error in the TS packet. When the transport error indicator is '1' (binary number), it indicates that there is an uncorrectable error of at least 1 bit in the TS packet. The payload unit start indicator is 1-bit data, and when it is '1' (binary number), it indicates that the start point of the payload of the TS packet is the start point or pointer of the PES packet. The transport priority is a 1-bit flag indicating the priority in TS packets having the same packet identifier, and indicates priority when it is ‘1’ (binary number). The packet identifier is 13-bit data that identifies the type of payload data.
トランスポートスクランブル制御は、TSパケットのペイロードのスクランブルモードを識別するための2ビットのデータ領域である。このトランスポートスクランブル制御の領域(トランスポートスクランブル制御領域)に格納されるスクランブル制御値を、下記の表1に示す。 The transport scramble control is a 2-bit data area for identifying the scramble mode of the payload of the TS packet. The scramble control values stored in this transport scramble control area (transport scramble control area) are shown in Table 1 below.
表1に示すスクランブル制御値のデータ構成において、“スクランブルなし”(‘00’(2進数))は、TSパケットのペイロードがスクランブル(暗号化)されないことを示す。“未定義”(‘01’(2進数))は、現在、定義されていないことを示す。“偶数鍵”(‘10’(2進数))および“奇数鍵”(‘11’(2進数))は、スクランブル鍵の種類を示す。 In the data structure of the scramble control value shown in Table 1, “no scramble” (“00” (binary number)) indicates that the payload of the TS packet is not scrambled (encrypted). “Undefined” (“01” (binary number)) indicates that it is not currently defined. "Even key" ('10' (binary number)) and "odd key" ('11' (binary number)) indicate the type of scramble key.
アダプテーションフィールド制御は、アダプテーションフィールド/ペイロード部の構成の種類を示す2ビットのデータ領域である。このアダプテーションフィールド制御の領域(アダプテーションフィールド制御領域)に格納されるアダプテーションフィールド制御値を、下記の表2に示す。 The adaptation field control is a 2-bit data area indicating the type of configuration of the adaptation field / payload part. The adaptation field control values stored in the adaptation field control area (adaptation field control area) are shown in Table 2 below.
連続性指標は、同一のパケット識別子を有するTSパケットの順番を指定する4ビットのデータであり、‘0000’(2進数)を開始値として‘1’(2進数)ずつ増加し、‘1111’(2進数)に到達した次は、‘0000’(2進数)に戻る。 The continuity index is 4-bit data that designates the order of TS packets having the same packet identifier, and increments by “1” (binary number) starting from “0000” (binary number), and becomes “1111”. After reaching (binary number), it returns to '0000' (binary number).
アダプテーションフィールド/ペイロード部は、アダプテーションフィールド制御に格納されたアダプテーションフィールド制御値に応じて、アダプテーションフィールドおよびペイロードまたはいずれかを格納する領域である。アダプテーションフィールドは、ヘッダ部を拡張する情報である。ペイロードは、当該TSパケットに含まれる情報の本体である。 The adaptation field / payload part is an area for storing the adaptation field and / or the payload according to the adaptation field control value stored in the adaptation field control. The adaptation field is information that extends the header part. The payload is the main body of information included in the TS packet.
次に、暗号化サーバ12が生成するPMTのデータ構成について、下記の表3を参照して説明する。
Next, the data structure of the PMT generated by the
表3に示すプログラムマップテーブル(PMT)のデータ構成において、table_id(8ビット)は、PMTの識別子であり、0x02(16進数)である。section_syntax_indicator(1ビット)は、‘1’(2進数)である。section_length(12ビット)は、当該フィールドの直後から本PMTの最後までのデータ長である。program_number(16ビット)は、本PMTのサービス識別情報である。version_number(5ビット)は、PMTのバージョン番号である。current_next_indicator(1ビット)は、‘1’(2進数)である場合に本PMTが適用されることを示し、‘0’(2進数)である場合に本PMTが次に適用されることを示す。section_number(8ビット)は、セクション番号である。last_section_number(8ビット)は、本PMTにおけるセクション番号の最大値である。PCR_PID(13ビット)は、本PMTが含まれるプログラムのプログラムクロックリファレンス(Program Clock Reference;PCR)を格納するTSパケットのパケット識別子である。program_info_length(12ビット)は、当該フィールドの次段に設けられたループのデータ長((8×N)ビット)である。program_info_lengthの次段に設けられたループは、プログラムループ(第1ループ、PMT第1ループ)である。このプログラムループの領域(プログラムループ領域)は記述子領域1であり、第1記述子情報が設けられる。プログラムループの次段に設けられたループは、エレメンタリストリームループ(第2ループ、PMT第2ループ)である。このエレメンタリストリームループの領域(エレメンタリストリームループ領域)において、stream_type(8ビット)は、対象エレメンタリストリームのストリーム形式を示す。elementary_PID(13ビット)は、関連するエレメンタリストリームまたはペイロードを格納するTSパケットのパケット識別子である。本実施形態において、elementary_PIDの領域(エレメンタリパケット識別子領域)には、第1暗号方式で暗号化された第1暗号化データを格納するTSパケットを示す第1パケット識別
子が設けられる。ES_info_length(12ビット)は、当該フィールドの直後から開始される記述子情報のデータ長((8×M)ビット)である。ES_info_lengthの次段に設けられたループは記述子領域2であり、第2記述子情報が設けられる。本実施形態において、本実施例では、この記述子の領域には、サイマルスクランブル記述子(simultaneous_scramble_descriptor)が設けられる。CRC_32(32ビット)は、本PMT全体に対する巡回冗長検査(Cyclic Redundancy Check;CRC)値である。
In the data structure of the program map table (PMT) shown in Table 3, table_id (8 bits) is an identifier of PMT and is 0x02 (hexadecimal number). The section_syntax_indicator (1 bit) is “1” (binary number). section_length (12 bits) is the data length from immediately after the field to the end of the PMT. program_number (16 bits) is service identification information of this PMT. version_number (5 bits) is the version number of the PMT. current_next_indicator (1 bit) indicates that this PMT is applied when it is “1” (binary number), and indicates that this PMT is applied next when it is “0” (binary number). . section_number (8 bits) is a section number. last_section_number (8 bits) is the maximum section number in this PMT. PCR_PID (13 bits) is a packet identifier of a TS packet that stores a program clock reference (PCR) of a program including this PMT. program_info_length (12 bits) is the data length ((8 × N) bits) of the loop provided in the next stage of the field. The loop provided in the next stage of program_info_length is a program loop (first loop, PMT first loop). This program loop area (program loop area) is a
次に、PMTのエレメンタリストリームループ領域における記述子の領域に設けられるサイマルスクランブル記述子のデータ構成の例について、下記の表4を参照して説明する。 Next, an example of the data structure of the simul scramble descriptor provided in the descriptor area in the PMT elementary stream loop area will be described with reference to Table 4 below.
表4に示すサイマルスクランブル記述子のデータ構成例において、descriptor_tag(8ビット)は、本サイマルスクランブル記述子を識別するタグ情報である。descriptor_length(8ビット)は、当該フィールドの直後から本サイマルスクランブル記述子の最後までのデータ長である。scramble_ID(8ビット)は、第2暗号方式を識別する暗号化識別子である。ES_PID(13ビット)は、第2暗号化パケットデータのパケット識別子である。つまり、ES_PIDの領域には、第2暗号方式で暗号化された第2暗号化データが格納されるTSパケットを示す第2パケット識別子が設けられる。ES_PIDの次段に設けられたループは、パラメータループである。このパラメータループの領域(パラメータループ領域)には、第2暗号化データを復号する際に必要な、第2暗号方式の復号に関する情報が設けられる。なお、パラメータループは省略可能である。 In the data configuration example of the simul scramble descriptor shown in Table 4, descriptor_tag (8 bits) is tag information for identifying the simul scramble descriptor. descriptor_length (8 bits) is the data length from immediately after the field to the end of the simulant scramble descriptor. scramble_ID (8 bits) is an encryption identifier for identifying the second encryption method. ES_PID (13 bits) is a packet identifier of the second encrypted packet data. That is, in the ES_PID area, a second packet identifier indicating a TS packet in which the second encrypted data encrypted by the second encryption method is stored is provided. The loop provided in the next stage of ES_PID is a parameter loop. In the parameter loop area (parameter loop area), information related to the decryption of the second encryption method necessary for decrypting the second encrypted data is provided. The parameter loop can be omitted.
表1に示したとおり、暗号化サーバ12は、現行の暗号方式(第1暗号方式)で暗号化した暗号化データをTSパケットのペイロードに格納する場合、ヘッダ部のパケット識別子領域に第1暗号方式に対応付けられた第1パケット識別子を設け、ヘッダ部のトランスポートスクランブル制御領域に、使用するスクランブル鍵に対応する“偶数鍵”または“奇数鍵”を示すスクランブル制御値‘10’(2進数)または‘11’(2進数)を設ける。
また、暗号化サーバ12は、現行と異なる暗号方式(第2暗号方式)で暗号化した暗号化データをTSパケットのペイロードに格納する場合、ヘッダ部のパケット識別子領域に第2暗号方式に対応付けられた第2パケット識別子を設け、ヘッダ部のトランスポートスクランブル制御領域に、使用するスクランブル鍵に対応する“偶数鍵”または“奇数鍵”を示すスクランブル制御値‘10’(2進数)または‘11’(2進数)を設ける。
As shown in Table 1, the
In addition, when the
また、表3および表4に示したとおり、暗号化サーバ12は、エレメンタリストリームループ領域におけるエレメンタリパケット識別子領域に、第1暗号方式に対応付けられた第1パケット識別子を設ける。また、暗号化サーバ12は、エレメンタリストリームループ領域における記述子の領域(記述子領域2)に、第2暗号方式に対応付けられた第2パケット識別子と第2暗号方式を識別する暗号化識別子と第2暗号方式の復号に関する情報とを含むサイマルスクランブル記述子を設ける。
Also, as shown in Tables 3 and 4, the
図4は、暗号化サーバ12が生成するストリームにおける、映像コンテンツのパケットデータとPMTとの関係を示す概念図である。同図に示すように、暗号化サーバ12が生成するストリームは、映像コンテンツのパケットデータ(ビデオパケット)として、第1暗号方式で圧縮符号化コンテンツデータを暗号化して得られた第1暗号化パケットデータと、第2暗号方式で圧縮符号化コンテンツデータを暗号化して得られた第2暗号化パケットデータとを有する。第1暗号化パケットデータは、第1暗号方式を示す第1パケット識別子(第1PID)を含む。また、第2暗号化パケットデータは、第2暗号方式を示す第2パケット識別子(第2PID)を含む。また、このストリームは、当該ビデオパケットに対応するPMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域に第1パケット識別子を含み、記述子の領域に、第2パケット識別子が設けられたサイマルスクランブル記述子を含む。
FIG. 4 is a conceptual diagram showing the relationship between video content packet data and PMT in a stream generated by the
図5は、暗号化サーバ12の機能構成を示すブロック図である。同図に示すように、暗号化サーバ12は、データ取得部121と、記憶部122と、暗号化部123と、暗号化パケット生成部124と、平文パケット生成部125と、パケット合成部126と、ストリーム記憶部127と、ストリーム供給部128とを備える。
FIG. 5 is a block diagram showing a functional configuration of the
データ取得部121は、コンテンツサーバ11から圧縮符号化コンテンツデータを取り込み、この圧縮符号化コンテンツデータを記憶部122に記憶させる。また、データ取得部121は、例えば図示しない番組編成装置からデジタル放送に関する制御情報を取り込み、この制御情報を記憶部122に記憶させる。
記憶部122は、データ取得部121が供給する、圧縮符号化コンテンツデータおよび制御情報を記憶する。記憶部122は、例えば半導体記憶装置により実現される。
The
The
暗号化部123は、記憶部122から圧縮符号化コンテンツデータを読み込み、この圧縮符号化コンテンツデータを二種類の暗号方式それぞれで暗号化し、二つ(2系統)の暗号化データを生成する。暗号化部123は、その機能構成として、第1暗号化部123−1と、第2暗号化部123−2とを備える。本実施形態において、第1暗号化部123−1は、現行の暗号方式(第1暗号方式)による暗号化処理を実行する。また、第2暗号化部123−2は、現行と異なる暗号方式(第2暗号方式)による暗号化処理を実行する。
The
第1暗号化部123−1は、記憶部122に記憶された圧縮符号化コンテンツデータを、TSパケットのペイロードサイズに合致するように読み込み、その読み込んだブロックデータを第1暗号方式で順次暗号化して第1暗号化データを生成する。
同様に、第2暗号化部123−2は、記憶部122から圧縮符号化コンテンツデータを、TSパケットのペイロードサイズに合致するように読み込み、その読み込んだブロックデータを第2暗号方式で順次暗号化して第2暗号化データを生成する。
The first encryption unit 123-1 reads the compression-encoded content data stored in the
Similarly, the second encryption unit 123-2 reads the compressed encoded content data from the
暗号化パケット生成部124は、暗号化部123が生成した二つの暗号化データを取り込み、また、平文パケット生成部125から二種類の暗号方式それぞれに対応するパケット識別子を取り込む。そして、暗号化パケット生成部124は、二つの暗号化データそれぞれをトランスポートストリームに変換する。そして、暗号化パケット生成部124は、暗号方式別のトランスポートストリームごとに、各TSパケットが有するヘッダ部のパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、二つ(2系統)の暗号化パケットデータを生成する。例えば、暗号化パケット生成部124は、TSパケットのヘッダ部およびアダプテーションフィールドのサイズ、すなわちペイロードのサイズを決定した後、このペイロードサイズを超えないように暗号化データを取り込む。暗号化パケット生成部124は、その機能構成として、第1暗号化パケット生成部124−1と、第2暗号化パケット生成部124−2とを備える。第1暗号化パケット生成部124−1と第2暗号化パケット生成部124−2とは、同一の構成である。
The encrypted
第1暗号化パケット生成部124−1は、第1暗号化部123−1から第1暗号化データを取り込み、この第1暗号化データをトランスポートストリームに変換する。そして、第1暗号化パケット生成部124−1は、各TSパケットのヘッダ部が有するトランスポートスクランブル制御領域に、使用するスクランブル鍵に対応する偶数鍵または奇数鍵を示すスクランブル制御値(‘10’(2進数)または‘11’(2進数))を設ける。そして、第1暗号化パケット生成部124−1は、各TSパケットのヘッダ部が有するパケット識別子領域に、平文パケット生成部125から取り込んだ第1パケット識別子を設ける。こうして、第1暗号化パケット生成部124−1は、第1暗号化パケットデータを生成する。第1暗号化パケット生成部124−1は、第1暗号化パケットデータをパケット合成部126に供給する。
The first encrypted packet generation unit 124-1 takes in the first encrypted data from the first encryption unit 123-1, and converts the first encrypted data into a transport stream. Then, the first encrypted packet generation unit 124-1 has a scramble control value ('10') indicating an even key or an odd key corresponding to the scramble key to be used in the transport scramble control area included in the header portion of each TS packet. (Binary number) or '11' (binary number)). Then, the first encrypted packet generation unit 124-1 provides the first packet identifier taken from the plaintext
第2暗号化パケット生成部124−2は、第2暗号化部123−2から第2暗号化データを取り込み、また、平文パケット生成部125から第2パケット識別子を取り込む。そして、第2暗号化パケット生成部124−2は、第1暗号化パケット生成部124−1と同様の処理を実行して第2暗号化パケットデータを生成し、この第2暗号化パケットデータをパケット合成部126に供給する。
The second encrypted packet generation unit 124-2 takes in the second encrypted data from the second encryption unit 123-2, and takes in the second packet identifier from the plaintext
平文パケット生成部125は、記憶部122から二種類の暗号方式それぞれに対応するパケット識別子を読み込み、これら二つのパケット識別子を暗号化パケット生成部124に供給する。
The plaintext
また、平文パケット生成部125は、記憶部122から制御情報を読み込み、この制御情報に基づいて、各種PSI/SIをセクション化してトランスポートストリームに変換する。例えば、平文パケット生成部125は、暗号化部123に適用された二種類の暗号方式のうち第1暗号方式に対応付けられた第1パケット識別子を、PMTのエレメンタリパケット識別子領域に設ける。また、平文パケット生成部125は、例えば、二種類の暗号方式のうち第2暗号方式に対応付けられた第2パケット識別子と、第2暗号方式を識別する暗号化識別子と、第2暗号方式の復号に関する情報とを対応付けて含むサイマルスクランブル記述子を生成する。そして、平文パケット生成部125は、サイマルスクランブル識別子を、上記のPMTのエレメンタリストリームループ領域における記述子の領域に設ける。そして、平文パケット生成部125は、PMTをセクション化して平文パケットデータを生成する。
平文パケット生成部125は、平文パケットデータをパケット合成部126に供給する。
Further, the plaintext
The
パケット合成部126は、暗号化パケット生成部124が供給する二つの暗号化パケットデータと、平文パケット生成部125が供給する平文パケットデータとを合成してストリームを生成する。
The
具体的に、パケット合成部126は、第1暗号化パケット生成部124−1が供給する第1暗号化パケットデータと、第2暗号化パケット生成部124−2が供給する第2暗号化パケットデータと、平文パケット生成部125が供給する平文パケットデータとを取り込む。そして、パケット合成部126は、第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとを連結してストリームを生成し、このストリームをストリーム記憶部127に供給する。連結方法として、例えば、パケット合成部126は、第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとを、例えば、第1暗号化パケットデータ、第2暗号化パケットデータ、平文パケットデータの順に連結してストリームを生成し、このストリームをストリーム記憶部127に記憶させる。
Specifically, the
なお、パケット合成部126が第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとを連結する順序は、上記の順序に限らず、第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとの全ての組み合わせによる連結が可能である。
また、パケット合成部126は、第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとを、TSパケット単位で任意に組み合わせてもよい。
Note that the order in which the
Further, the
ストリーム記憶部127は、パケット合成部126が供給するストリームを記憶する。ストリーム記憶部127は、例えば、磁気ディスク装置、半導体ディスク装置等の記憶装置により実現される。
ストリーム供給部128は、ストリーム記憶部127からストリームを読み込み、このストリームを、例えば送信装置13に供給する。
The
The
図6は、送信装置13の機能構成を示すブロック図である。同図に示すように、送信装置13は、ストリーム取得部131と、放送信号生成部132と、放送信号送信部133とを備える。
FIG. 6 is a block diagram illustrating a functional configuration of the
ストリーム取得部131は、暗号化サーバ12からストリームを取り込み、このストリームを放送信号生成部132に供給する。
放送信号生成部132は、ストリーム取得部131が供給するストリームを取り込み、このストリームを変調してデジタル放送の放送信号に変換し、この放送信号を放送信号送信部133に供給する。放送信号の仕様は、例えば、ARIB(Association of Radio Industries and Broadcast)標準規格によって規定されている。
放送信号送信部133は、放送信号生成部132が供給する放送信号を取り込み、この放送信号を送信アンテナ20に送信する。
The
The broadcast
The broadcast
図7は、受信装置30の機能構成を示すブロック図である。同図に示すように、受信装置30は、復号鍵記憶部301と、放送信号受信部(ストリーム取得部)302と、パケット抽出部303と、復号部304と、圧縮符号化コンテンツ復号部305と、コンテンツ処理部306とを備える。
FIG. 7 is a block diagram illustrating a functional configuration of the receiving
復号鍵記憶部301は、第1暗号方式で暗号化されて得られた第1暗号化データを復号するための第1復号鍵または第2暗号方式で暗号化されて得られた第2暗号化データを復号するための第2復号鍵いずれかと、当該復号鍵を識別する自装置暗号化識別子とを対応付けて記憶する。復号鍵記憶部301は、例えば、復号鍵および自装置暗号化識別子を記憶したICカードである。なお、復号鍵記憶部301は、復号鍵の耐タンパ性が保証される記憶装置であればよい。
The decryption
放送信号受信部302は、例えば、受信装置30に接続された受信アンテナ(不図示)により放送電波を受信して得られた放送信号を取り込む。そして、放送信号受信部302は、放送信号を復調してストリームを取得し、このストリームをパケット抽出部303に供給する。
For example, the broadcast
パケット抽出部303は、放送信号受信部302が供給するストリームを取り込む。そして、パケット抽出部303は、ストリームに含まれるPMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検索する。パケット抽出部303は、サイマルスクランブル識別子を検出した場合、復号鍵記憶部301から自装置暗号化識別子を読み込み、この自装置暗号化識別子と同一の暗号化識別子を含むサイマルスクランブル識別子をPMTから抽出する。そして、パケット抽出部303は、サイマルスクランブル識別子からパケット識別子(この場合、第2パケット識別子)および第2暗号方式の復号に関する情報を抽出する。そして、パケット抽出部303は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第2パケット識別子が設けられた暗号化パケットデータ、つまり第2暗号化パケットデータを抽出する。そして、パケット抽出部303は、ストリームから抽出した、第2暗号化パケットデータと第2暗号方式の復号に関する情報とを、復号部304に供給する。
The
パケット抽出部303は、PMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検出しなかった場合、当該PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。そして、パケット抽出部303は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。そして、パケット抽出部303は、ストリームから抽出した第1暗号化パケットデータを復号部304に供給する。
The
パケット抽出部303が第1暗号化パケットデータを出力した場合、復号部304は、その第1暗号化パケットデータを取り込み、この第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。そして、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第1復号鍵)を読み込み、この復号鍵を適用して第1暗号化データを復号し、復号データである圧縮符号化コンテンツデータを生成する。
When the
また、パケット抽出部303が第2暗号化パケットデータと第2暗号方式の復号に関する情報とを出力した場合、復号部304は、その第2暗号化パケットデータと第2暗号方式の復号に関する情報とを取り込む。そして、復号部304は、第2暗号化パケットデータからペイロードを抽出し合成して第2暗号化データを生成する。そして、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第2復号鍵)を読み込み、この復号鍵と第2暗号方式の復号の関する情報とを適用して第2暗号化データを復号して、復号データである圧縮符号化コンテンツデータを生成する。復号部304は、復号データである圧縮符号化コンテンツデータを圧縮符号化コンテンツ復号部305に供給する。
Further, when the
圧縮符号化コンテンツ復号部305は、復号部304が供給する復号データである圧縮符号化コンテンツデータを取り込む。そして、圧縮符号化コンテンツ復号部305は、圧縮符号化コンテンツデータをコンテンツデータに復号し、このコンテンツデータをコンテンツ処理部306に供給する。
The compression-encoded
コンテンツ処理部306は、圧縮符号化コンテンツ復号部305が供給するコンテンツデータを取り込む。そして、コンテンツ処理部306は、コンテンツデータを図示しない表示装置に表示させ、また図示しない音声出力装置に音声出力させる。
The
次に、第1実施形態におけるコンテンツ配信システム1の動作について説明する。
図8は、コンテンツサーバ11が実行する処理の手順を示すフローチャートである。
ステップS11において、コンテンツ取得部111は、コンテンツ供給装置からコンテンツデータを取り込み、このコンテンツデータをコンテンツ圧縮符号化部113に供給する。コンテンツ圧縮符号化部113は、コンテンツ取得部111が供給するコンテンツデータを取り込む。
次に、ステップS12において、符号化レート取得部112は、符号化レート供給装置から符号化レートを取り込み、この符号化レートをコンテンツ圧縮符号化部113に供給する。コンテンツ圧縮符号化部113は、符号化レート取得部112が供給する符号化レートを取り込む。
Next, the operation of the
FIG. 8 is a flowchart showing a procedure of processing executed by the
In step S <b> 11, the
Next, in step S <b> 12, the encoding
次に、ステップS13において、コンテンツ圧縮符号化部113は、コンテンツデータの圧縮符号化処理を実行して符号化レート以下の容量値となる圧縮符号化コンテンツデータを生成し、この圧縮符号化コンテンツデータを圧縮符号化コンテンツ記憶部114に供給する。
次に、ステップS14において、圧縮符号化コンテンツ記憶部114は、コンテンツ圧縮符号化部113が供給する圧縮符号化コンテンツデータを、例えばファイルデータとして記憶する。
Next, in step S13, the content
Next, in step S14, the compression-encoded
図9は、暗号化サーバ12が実行する処理の手順を示すフローチャートである。
ステップS31において、データ取得部121は、コンテンツサーバ11から圧縮符号化コンテンツデータを取り込み、この圧縮符号化コンテンツデータを記憶部122に記憶させる。次に、データ取得部121は、例えば番組編成装置からデジタル放送に関する制御情報を取り込み、この制御情報を記憶部122に記憶させる。
FIG. 9 is a flowchart showing a procedure of processing executed by the
In step S <b> 31, the
次に、ステップS32において、暗号化部123は、記憶部122から圧縮符号化コンテンツデータを読み込み、この圧縮符号化コンテンツデータを二種類の暗号方式それぞれで暗号化し、二つ(2系統)の暗号化データを生成する。具体的に、第1暗号化部123−1は、記憶部122に記憶された圧縮符号化コンテンツデータを、TSパケットのペイロードサイズに合致するように読み込み、その読み込んだブロックデータを第1暗号方式で順次暗号化して第1暗号化データを生成する。また、第2暗号化部123−2は、記憶部122に記憶された圧縮符号化コンテンツデータを、TSパケットのペイロードサイズに合致するように読み込み、その読み込んだブロックデータを第2暗号方式で順次暗号化して第2暗号化データを生成する。
Next, in step S32, the
次に、ステップS33において、暗号化パケット生成部124は、暗号化部123が生成した二つの暗号化データを取り込み、平文パケット生成部125から二種類の暗号方式それぞれに対応するパケット識別子を取り込む。次に、暗号化パケット生成部124は、二つの暗号化データそれぞれをトランスポートストリームに変換する。次に、暗号化パケット生成部124は、暗号方式別のトランスポートストリームごとに、各TSパケットが有するヘッダ部のパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、二つ(2系統)の暗号化パケットデータを生成する。
Next, in step S <b> 33, the encrypted
具体的に、第1暗号化パケット生成部124−1は、第1暗号化部123−1から第1暗号化データを取り込み、この第1暗号化データをトランスポートストリームに変換する。次に、第1暗号化パケット生成部124−1は、各TSパケットのヘッダ部が有するトランスポートスクランブル制御領域に、使用するスクランブル鍵に対応する偶数鍵または奇数鍵を示すスクランブル制御値(‘10’(2進数)または‘11’(2進数))を設ける。次に、第1暗号化パケット生成部124−1は、各TSパケットのヘッダ部が有するパケット識別子領域に、平文パケット生成部125から取り込んだ第1パケット識別子を設ける。こうして、第1暗号化パケット生成部124−1は、第1暗号化パケットデータを生成する。次に、第1暗号化パケット生成部124−1は、第1暗号化パケットデータをパケット合成部126に供給する。
Specifically, the first encrypted packet generation unit 124-1 takes in the first encrypted data from the first encryption unit 123-1, and converts the first encrypted data into a transport stream. Next, the first encrypted packet generation unit 124-1 has a scramble control value ('10 indicating the even key or the odd key corresponding to the scramble key to be used in the transport scramble control area included in the header part of each TS packet. '(Binary number) or' 11 '(binary number)) is provided. Next, the first encrypted packet generation unit 124-1 provides the first packet identifier taken from the plaintext
また、第2暗号化パケット生成部124−2は、第2暗号化部123−2から第2暗号化データを取り込み、この第2暗号化データをトランスポートストリームに変換する。次に、第2暗号化パケット生成部124−2は、各TSパケットのヘッダ部が有するトランスポートスクランブル制御領域に、使用するスクランブル鍵に対応する偶数鍵または奇数鍵を示すスクランブル制御値(‘10’(2進数)または‘11’(2進数))を設ける。次に、第2暗号化パケット生成部124−2は、各TSパケットのヘッダ部が有するパケット識別子領域に、平文パケット生成部125から取り込んだ第2パケット識別子を設ける。こうして、第2暗号化パケット生成部124−2は、第2暗号化パケットデータを生成する。次に、第2暗号化パケット生成部124−2は、第2暗号化パケットデータをパケット合成部126に供給する。
In addition, the second encrypted packet generation unit 124-2 takes in the second encrypted data from the second encryption unit 123-2 and converts the second encrypted data into a transport stream. Next, the second encrypted packet generation unit 124-2 has a scramble control value ('10 indicating the even key or the odd key corresponding to the scramble key to be used, in the transport scramble control area included in the header part of each TS packet. '(Binary number) or' 11 '(binary number)) is provided. Next, the second encrypted packet generation unit 124-2 provides the second packet identifier fetched from the plaintext
次に、平文パケット生成部125は、記憶部122から制御情報を読み込み、この制御情報に基づいて、各種PSI/SIをセクション化してトランスポートストリームに変換する。例えば、平文パケット生成部125は、暗号化部123に適用された二種類の暗号方式のうち第1暗号方式に対応付けられた第1パケット識別子を、PMTのエレメンタリパケット識別子領域に設ける。また、平文パケット生成部125は、例えば、二種類の暗号方式のうち第2暗号方式に対応付けられた第2パケット識別子と、第2暗号方式を識別する暗号化識別子と、第2暗号方式の復号に関する情報とを対応付けて含むサイマルスクランブル記述子を生成する。次に、平文パケット生成部125は、サイマルスクランブル識別子を、上記のPMTのエレメンタリストリームループ領域における記述子の領域に設ける。次に、平文パケット生成部125は、PMTをセクション化して平文パケットデータを生成する。次に、平文パケット生成部125は、平文パケットデータをパケット合成部126に供給する。
Next, the plaintext
なお、暗号化パケット生成部124および平文パケット生成部125は、いずれの処理を先に実行してもよいし、並列に処理を実行してもよい。
Note that the encrypted
次に、ステップS34において、パケット合成部126は、暗号化パケット生成部124が供給する二つの暗号化パケットデータと、平文パケット生成部125が供給する平文パケットデータとを合成してストリームを生成する。具体的に、パケット合成部126は、第1暗号化パケット生成部124−1が供給する第1暗号化パケットデータと、第2暗号化パケット生成部124−2が供給する第2暗号化パケットデータと、平文パケット生成部125が供給する平文パケットデータとを取り込む。次に、パケット合成部126は、第1暗号化パケットデータと第2暗号化パケットデータと平文パケットデータとを連結してストリームを生成し、このストリームをストリーム記憶部127に供給する。
Next, in step S34, the
次に、ステップS35において、ストリーム記憶部127は、パケット合成部126が供給するストリームを記憶する。
Next, in step S <b> 35, the
図10は、送信装置13が実行する処理の手順を示すフローチャートである。
ステップS51において、ストリーム取得部131は、暗号化サーバ12からストリームを取り込み、このストリームを放送信号生成部132に供給する。
次に、ステップS52において、放送信号生成部132は、ストリーム取得部131が供給するストリームを取り込み、このストリームを変調してデジタル放送の放送信号に変換し、この放送信号を放送信号送信部133に供給する。
次に、ステップS53において、放送信号送信部133は、放送信号生成部132が供給する放送信号を取り込み、この放送信号を送信アンテナ20に送信する。
FIG. 10 is a flowchart illustrating a procedure of processing executed by the
In step S 51, the
Next, in step S <b> 52, the broadcast
Next, in step S <b> 53, the broadcast
図11は、受信装置30が実行する処理の手順を示すフローチャートである。
ステップS71において、放送信号受信部302は、例えば、受信装置30に接続された受信アンテナにより放送電波を受信して得られた放送信号を取り込む。次に、放送信号受信部302は、放送信号を復調してストリームを取得し、このストリームをパケット抽出部303に供給する。
FIG. 11 is a flowchart illustrating a procedure of processing executed by the receiving
In step S <b> 71, the broadcast
次に、ステップS72において、パケット抽出部303は、放送信号受信部302が供給するストリームを取り込む。次に、パケット抽出部303は、ストリームに含まれるPMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検索する。パケット抽出部303は、サイマルスクランブル識別子を検出した場合、復号鍵記憶部301から自装置暗号化識別子を読み込み、この自装置暗号化識別子と同一の暗号化識別子を含むサイマルスクランブル識別子をPMTから抽出する。次に、パケット抽出部303は、サイマルスクランブル識別子からパケット識別子(この場合、第2パケット識別子)および第2暗号方式の復号に関する情報を抽出する。次に、パケット抽出部303は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第2パケット識別子が設けられた暗号化パケットデータ、つまり第2暗号化パケットデータを抽出する。次に、パケット抽出部303は、ストリームから抽出した、第2暗号化パケットデータと第2暗号方式の復号に関する情報とを、復号部304に供給する。
Next, in step S <b> 72, the
一方、パケット抽出部303は、PMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検出しなかった場合、当該PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。次に、パケット抽出部303は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。次に、パケット抽出部303は、ストリームから抽出した第1暗号化パケットデータを復号部304に供給する。
On the other hand, when the
ステップS72の処理においてパケット抽出部303が第1暗号化パケットデータを出力した場合、ステップS73において、復号部304は、その第1暗号化パケットデータを取り込み、この第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。次に、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵を読み込み、この復号鍵を適用して第1暗号化データを復号し、復号データである圧縮符号化コンテンツデータを生成する。
When the
一方、ステップS72の処理においてパケット抽出部303が第2暗号化パケットデータと第2暗号方式の復号に関する情報とを出力した場合、復号部304は、その第2暗号化パケットデータと第2暗号方式の復号に関する情報とを取り込む。次に、復号部304は、第2暗号化パケットデータからペイロードを抽出し合成して第2暗号化データを生成する。次に、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第2復号鍵)を読み込み、この復号鍵と第2暗号方式の復号の関する情報とを適用して第2暗号化データを復号して、復号データである圧縮符号化コンテンツデータを生成する。次に、復号部304は、復号データである圧縮符号化コンテンツデータを圧縮符号化コンテンツ復号部305に供給する。
On the other hand, when the
次に、ステップS74において、圧縮符号化コンテンツ復号部305は、復号部304が供給する復号データである圧縮符号化コンテンツデータを取り込む。次に、圧縮符号化コンテンツ復号部305は、圧縮符号化コンテンツデータをコンテンツデータに復号し、このコンテンツデータをコンテンツ処理部306に供給する。
Next, in step S74, the compression-encoded
ここで、現行の暗号方式(第1暗号方式)によって暗号化された暗号化データのみを復号可能な従来の受信装置が、暗号化サーバ12により生成されたストリームを取り込んだ場合の動作について説明する。従来の受信装置が備えるパケット抽出部は、エレメンタリストリームループ領域におけるPMTの記述子領域2に設けられたサイマルスクランブル記述子を認識しないため、このサイマルスクランブル記述子を検出することなく、エレメンタリパケット識別子領域に設けられた第1パケット識別子を抽出する。そして、そのパケット抽出部は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。また、この従来の受信装置が備える復号部は、パケット抽出部から第1暗号化パケットデータを取り込み、この第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。そして、その復号部は、自装置が有している復号鍵を適用して第1暗号化データを復号し、復号データである圧縮符号化コンテンツデータを生成する。
このように、従来の受信装置は、暗号化サーバ12が生成したストリームを取り込んでも、現行の暗号方式で暗号化された暗号化データを取得して復号し、符号化コンテンツデータを得ることができる。
Here, the operation when a conventional receiving apparatus capable of decrypting only encrypted data encrypted by the current encryption method (first encryption method) takes in the stream generated by the
As described above, the conventional receiving device can obtain the encoded content data by acquiring and decrypting the encrypted data encrypted by the current encryption method even if the stream generated by the
以上説明したとおり、第1実施形態における暗号化サーバ12は、デジタル放送に関する制御情報および圧縮符号化コンテンツデータについて、圧縮符号化コンテンツデータのみを暗号化してストリームを生成する。よって、正しい復号鍵を有さない受信装置30は、暗号化パケットデータを復号することができないため、圧縮符号化コンテンツデータを得ることができない。
As described above, the
また、暗号化サーバ12は、圧縮符号化コンテンツデータを、第1暗号方式(現行の暗号方式)および第2暗号方式(現行と異なる暗号方式、例えば新暗号方式)それぞれで暗号化して生成した二つの暗号化パケットデータを、一本のストリームに含ませる。これにおいて、暗号化サーバ12は、本実施形態である受信装置30および従来の受信装置いずれもが認識可能なPMTにおけるエレメンタリパケット識別子領域に、第1暗号方式に対応付けられた第1パケット識別子を設ける。そして、暗号化サーバ12は、従来の受信装置によって認識されず且つ受信装置30によって認識される、PMTのエレメンタリストリームループ領域における記述子の領域に、第2暗号方式に対応付けられた第2パケット識別子と第2暗号方式を識別する暗号化識別子と第2暗号方式の復号に関する情報とを含むサイマルスクランブル識別子を設ける。
Further, the
また、ストリームを受信した受信装置30は、PMTからサイマルスクランブル識別子を検索する。受信装置30は、PMTからサイマルスクランブル識別子を検出した場合、自装置暗号化識別子と同一の暗号化識別子を含むサイマルスクランブル識別子を抽出し、このサイマルスクランブル識別子からパケット識別子(第2パケット識別子)と第2暗号化の復号に関する情報とを抽出する。そして、受信装置30は、第2パケット識別子に対応付けられた第2暗号化パケットデータをストリームから抽出し、第2暗号化の復号に関する情報を用いて第2暗号化データを復号することにより、コンテンツデータを取得する。
Also, the receiving
また、受信装置30は、第2暗号方式を示す自装置暗号化識別子を有していない場合、第1暗号方式に対応付けられた第1パケット識別子をPMTのエレメンタリパケット識別子領域から抽出する。そして、暗号化サーバ12は、第1パケット識別子に対応付けられた第1暗号化パケットデータをストリームから抽出して第1暗号化データを復号することにより、コンテンツデータを取得する。
Further, when the receiving
したがって、本発明の第1実施形態によれば、例えば、デジタル放送におけるコンテンツ配信サービス運用中における暗号方式の切り替えにおいて、この切り替え期間の、暗号化コンテンツデータの安全性(秘匿性)を高く保ち且つ現行の暗号方式と新しい暗号方式との混在を実現することができる。これによって、受信装置の暗号方式の円滑な更新および切り替えを実現することができる。 Therefore, according to the first embodiment of the present invention, for example, in the switching of the encryption method during the operation of the content distribution service in digital broadcasting, the security (confidentiality) of the encrypted content data is kept high during this switching period and A mixture of the current encryption method and the new encryption method can be realized. Thereby, smooth update and switching of the encryption method of the receiving apparatus can be realized.
[第2の実施の形態]
本発明の第2実施形態は、前述した第1実施形態に対して暗号化サーバ12および受信装置30を暗号化サーバ12aおよび受信装置30aに変更した構成を有する。
[Second Embodiment]
2nd Embodiment of this invention has the structure which changed the
暗号化サーバ12aは、圧縮符号化コンテンツデータの一部分であるブロックデータを、例えば二種類の暗号方式(第1暗号方式及び第2暗号方式)それぞれで暗号化し、二つ(2系統)の暗号化データ(第1暗号化データおよび第2暗号化データ)を生成する。ブロックデータは、圧縮符号化コンテンツデータの復号処理において同期をとるために必要な情報を含む。第1実施形態と同様に、第1暗号方式は、現行の暗号方式である。また、第2暗号方式は、現行と異なる暗号方式(新暗号方式)である。暗号化サーバ12aは、二つの暗号化データそれぞれをパケットデータ化し、暗号方式に対応付けられたパケット識別子を各パケットに設けて二つ(2系統)の暗号化パケットデータ(第1暗号化パケットデータおよび第2暗号化パケットデータ)を生成する。また、暗号化サーバ12aは、制御情報に基づいて、二種類の暗号方式それぞれに対応付けられたパケット識別子(第1パケット識別子および第2パケット識別子)を含むPMTを生成する。そして、暗号化サーバ12aは、圧縮符号化コンテンツデータにおいてブロックデータを除くデータとPMTとをパケットデータ化して平文パケットデータを生成する。暗号化サーバ12aは、二つの暗号化パケットデータと平文パケットデータとを合成してストリームを生成し、このストリームを記憶する。
The
受信装置30aは、送信アンテナ20が放射した放送電波を受信することによって放送信号を取り込み、この放送信号からストリームを取得する。受信装置30aは、ストリームからPMTを抽出し、このPMTの記述子領域2から、自装置に設けられた自装置暗号化識別子と同一の暗号化識別子に対応付けられたパケット識別子(第2パケット識別子)を含むサイマルスクランブル識別子を抽出する。そして、受信装置30aは、第2パケット識別子が設けられた第2暗号化パケットデータをストリームから取得し、サイマルスクランブル識別子が有する復号に関する情報を用いて第2暗号化パケットデータに含まれる第2暗号化データを復号して、ブロックデータを取得する。また、受信装置30aは、平文パケットデータから、圧縮符号化コンテンツデータにおいてブロックデータを除くデータを取得する。そして、受信装置30aは、ブロックデータと圧縮符号化コンテンツデータにおいてブロックデータを除くデータとを合成し、圧縮符号化コンテンツデータを生成する。そして、受信装置30aは、圧縮符号化コンテンツデータを復号してコンテンツデータを生成し、このコンテンツデータを提示する。
The receiving device 30a receives a broadcast signal by receiving the broadcast radio wave radiated from the
図12は、暗号化サーバ12aが生成するストリームにおける、映像コンテンツのパケットデータとPMTとの関係を示す概念図である。同図に示すように、暗号化サーバ12aが生成するストリームは、映像コンテンツのパケットデータ(ビデオパケット)として、圧縮符号化コンテンツデータにおけるブロックデータを第1暗号方式で暗号化して得られた第1暗号化パケットデータと、そのブロックデータを第2暗号方式で暗号化して得られた第2暗号化パケットデータと、圧縮符号化コンテンツデータにおいてブロックデータを除くデータの平文データとを有する。第1暗号化パケットデータは、第1暗号方式を示す第1パケット識別子(第1PID)を含む。また、第2暗号化パケットデータは、第2暗号方式を示す第2パケット識別子(第2PID)を含む。また、平文データは、第1パケット識別子を含む。また、このストリームは、当該ビデオパケットに対応するPMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域に第1パケット識別子を含み、記述子の領域に、第2パケット識別子が設けられたサイマルスクランブル記述子を含む。
FIG. 12 is a conceptual diagram showing the relationship between video content packet data and PMT in a stream generated by the
図13は、暗号化サーバ12aの機能構成を示すブロック図である。同図に示すように、暗号化サーバ12aは、第1実施形態の暗号化サーバ12に対して、開始符号検出部129と、スタートコード検出部130とをさらに備える。また、暗号化サーバ12aは、暗号化サーバ12に対して、データ取得部121と、記憶部122と、暗号化部123と、平文パケット生成部125とを、データ取得部121aと、記憶部122aと、暗号化部123aと、平文パケット生成部125aとに変更した構成を有する。
FIG. 13 is a block diagram showing a functional configuration of the
データ取得部121aは、コンテンツサーバ11から圧縮符号化コンテンツデータを取り込み、この圧縮符号化コンテンツデータを開始符号検出部129に供給する。また、データ取得部121aは、例えば図示しない番組編成装置からデジタル放送に関する制御情報を取り込み、この制御情報を記憶部122aに供給する。
The
開始符号検出部129は、データ取得部121aが供給する圧縮符号化コンテンツデータを取り込む。そして、開始符号検出部129は、この圧縮符号化コンテンツデータの符号列を解析することにより、所定のデータ領域の開始符合を検出する。例えば、開始符号検出部129は、圧縮符号化コンテンツデータから、複数種類のデータ領域それぞれにおける開始符号を検出し、この開始符号の位置を特定する。
The start
ここで、圧縮符号化コンテンツデータが、MPEG−2ビデオ規格に基づき圧縮符号化されてファイル化されたMPEG−2映像ファイルデータである場合の例について、具体的に説明する。この例において、圧縮符号化コンテンツデータは、MPEG−2ビデオ規格によるデータ構造を有する。具体的には、圧縮符号化コンテンツデータは、例えば、シーケンス層(Sequence Layer)から、GOP層(Group Of Picture Layer)、ピクチャ層(Picture Layer)、スライス層(Slice Layer)、マクロブロック層(Macro Block Layer)、ブロック層(Block Layer)までの6層の階層データ構造を有する。この6層のうちシーケンス層が最上位層であり、ブロック層が最下位層である。 Here, an example in which the compression-encoded content data is MPEG-2 video file data that has been compression-encoded and filed based on the MPEG-2 video standard will be specifically described. In this example, the compression-encoded content data has a data structure according to the MPEG-2 video standard. Specifically, the compression-encoded content data includes, for example, a sequence layer (Sequence Layer), a GOP layer (Group Of Picture Layer), a picture layer (Picture Layer), a slice layer (Slice Layer), and a macro block layer (Macro). It has a 6-layer hierarchical data structure up to a block layer and a block layer. Of these six layers, the sequence layer is the highest layer, and the block layer is the lowest layer.
シーケンス層は、一連のフレーム画像について共通する属性(例えば、画像サイズ、アスペクト比、フレームレート等)を含む。シーケンス層は、データ領域であるシーケンスヘッダ(Sequence Header)を含む。そして、シーケンスヘッダは、その先頭から32ビット長のスタートコード(Start Code)を有する。このスタートコードは、シーケンス層の開始符号(開始同期コード)である。 The sequence layer includes attributes common to a series of frame images (eg, image size, aspect ratio, frame rate, etc.). The sequence layer includes a sequence header which is a data area. The sequence header has a 32-bit start code (Start Code) from the beginning. This start code is a start code (start synchronization code) of the sequence layer.
GOP層は、画像グループの最小単位であるGOPを規定する。GOP層は、データ領域であるGOPヘッダを含む。そして、GOPヘッダは、その先頭から32ビット長のスタートコード(Start Code)を有する。このスタートコードは、GOP層の開始符号(開始同期コード)である。 The GOP layer defines a GOP that is a minimum unit of an image group. The GOP layer includes a GOP header that is a data area. The GOP header has a start code (Start Code) having a 32-bit length from the beginning. This start code is a start code (start synchronization code) of the GOP layer.
ピクチャ層は、フレーム画像についての属性(例えば、ピクチャの表示順序、ピクチャタイプ等)を含む。ピクチャ層は、データ領域であるピクチャヘッダ(Picture Header)を含む。そして、ピクチャヘッダは、その先頭から32ビット長のスタートコード(Start Code)を有する。このスタートコードは、ピクチャ層の開始符号(開始同期コード)である。 The picture layer includes attributes (eg, picture display order, picture type, etc.) regarding the frame image. The picture layer includes a picture header that is a data area. The picture header has a 32-bit length start code (Start Code) from the beginning. This start code is a start code (start synchronization code) of the picture layer.
スライス層は、一枚のフレーム画像を分割したスライスについて共通する属性(例えば、量子化スケール、イントラスライス情報等)を含む。スライス層は、データ領域であるスライスヘッダ(Slice Header)を含む。そして、スライスヘッダは、その先頭から32ビット長のスタートコード(Start Code)を有する。このスタートコードは、スライス層の開始符号(開始同期コード)である。 The slice layer includes attributes common to slices obtained by dividing one frame image (for example, quantization scale, intra slice information, etc.). The slice layer includes a slice header that is a data area. The slice header has a 32-bit start code (Start Code) from the beginning. This start code is a start code (start synchronization code) of the slice layer.
マクロブロック層は、画素ブロックであるマクロブロックに共通する属性(例えば、動きベクトル値等)を含む。マクロブロック層は、データ領域であるマクロブロックヘッダ(Macro Block Header)を含む。ただし、このマクロブロックヘッダは、スタートコードを含まない。このマクロブロック層が含むデータは、可変長符号を含む。
ブロック層は、符号化係数(例えば、離散コサイン変換(Discrete Cosine Transform;DCT)係数等)を含む。
The macroblock layer includes attributes common to macroblocks that are pixel blocks (for example, motion vector values). The macroblock layer includes a macroblock header that is a data area. However, this macroblock header does not include a start code. The data included in the macroblock layer includes a variable length code.
The block layer includes coding coefficients (for example, discrete cosine transform (DCT) coefficients).
なお、圧縮符号化コンテンツデータが、MPEG−2オーディオ規格に基づき圧縮符号化された圧縮符号化オーディオデータを含む場合、この圧縮符号化オーディオデータは、MPEG−2オーディオ規格によるデータ構造を有する。MPEG−2オーディオ規格によるデータ構造において、所定の開始符号は、例えば、Audio Data Transport Stream(ADTS)ヘッダである。 When the compression-encoded content data includes compression-encoded audio data that is compression-encoded based on the MPEG-2 audio standard, the compression-encoded audio data has a data structure according to the MPEG-2 audio standard. In the data structure according to the MPEG-2 audio standard, the predetermined start code is, for example, an Audio Data Transport Stream (ADTS) header.
開始符号検出部129は、圧縮符号化コンテンツデータを記憶部122aに供給する。また、開始符号検出部129は、各データ領域における開始符号の位置を示す開始符号位置情報を記憶部122aに供給する。具体的に、開始符号検出部129は、圧縮符号化コンテンツデータの先頭(ファイルの先頭)から、シーケンス層、GOP層、ピクチャ層、およびスライス層それぞれが含むヘッダのスタートコードまでのビット数を計数し、各ビット数を開始符号位置情報として記憶部122aに供給する。
The start
なお、開始符号検出部129は、各ビット数を計数するための計数開始位置を、圧縮符号化コンテンツデータの先頭ではなく、あらかじめ決定された任意の位置(例えば、シーケンスヘッダの先頭)としてもよい。
The start
記憶部122aは、データ取得部121aが供給する制御情報を記憶する。また、記憶部122aは、開始符号検出部129が供給する、圧縮符号化コンテンツデータと開始符号位置情報とを記憶する。また、記憶部122aは、スタートコード検出部130が供給するスタートコード位置情報を記憶する。記憶部122aは、例えば半導体記憶装置により実現される。
The
平文パケット生成部125aは、記憶部122aから圧縮符号化コンテンツデータおよび開始符号位置情報を読み込む。そして、平文パケット生成部125aは、圧縮符号化コンテンツデータの先頭から、開始符号位置情報が示す開始符号の位置までの範囲のデータをトランスポートストリームに変換する。例えば、平文パケット生成部125aは、圧縮符号化コンテンツデータの先頭から、開始符号位置情報が示す、スライス層のスライスヘッダにおけるスタートコードの位置を含む範囲のデータを、トランスポートストリームに変換する。そして、平文パケット生成部125aは、トランスポートストリームをスタートコード検出部130に供給する。
The plaintext
また、平文パケット生成部125aは、記憶部122aから二種類の暗号方式それぞれに対応するパケット識別子を読み込み、これら二つのパケット識別子を暗号化パケット生成部124に供給する。
In addition, the plaintext
また、平文パケット生成部125aは、記憶部122aから圧縮符号化コンテンツデータとスタートコード位置情報と制御情報とを読み込む。そして、平文パケット生成部125aは、圧縮符号化コンテンツデータおよび制御情報をパケット変換してトランスポートストリームを生成する。そして、平文パケット生成部125aは、スタートコード位置情報が示す開始符号の位置に基づいて、そのトランスポートストリームから、その開始符号とこの開始符号よりも後の可変長符号のうち少なくとも先頭1ビットとを含む符号列(ブロックデータ)を除くデータを抽出する。そして、平文パケット生成部125aは、その抽出したデータに含まれる各TSパケットのヘッダ部のパケット識別子領域に第1暗号方式に対応付けられた第1パケット識別子を設け、ヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)を設けて、平文パケットデータを生成する。
The plaintext
具体的には、平文パケット生成部125aは、記憶部122aからMPEG−2映像ファイルデータとスライス層のスライスヘッダにおけるスタートコードの位置を示すスタートコード位置情報と制御情報とを読み込む。そして、平文パケット生成部125aは、MPEG−2映像ファイルデータおよび制御情報をトランスポートストリームに変換する。そして、平文パケット生成部125aは、このトランスポートストリームから、スライスヘッダとこのスライスヘッダの後に存在する可変長符号の少なくとも先頭1ビットとを含む符号列(ブロックデータ)を除くデータを抽出する。そして、平文パケット生成部125aは、各TSパケットのヘッダ部が有するトランスポートスクランブル制御領域に、スクランブルなしを示すスクランブル制御値(‘00’(2進数))を設ける。このようにして、平文パケット生成部125aは、平文パケットデータを生成する。
平文パケット生成部125aは、平文パケットデータをパケット合成部126に供給する。
Specifically, the plaintext
The plaintext
スタートコード検出部130は、平文パケット生成部125aが供給するトランスポートストリームを取り込み、このトランスポートストリームから所定のデータ領域における開始符号を検出し、この開始符号の位置を示すスタートコード位置情報を記憶部122aに記憶させる。
The start
具体的には、トランスポートストリームに含まれる圧縮符号化コンテンツデータがMPEG−2ビデオ規格によるデータ構造を有する場合、所定のデータ領域は、例えば、シーケンス層から、GOP層、ピクチャ層、スライス層、マクロブロック層、ブロック層までの6層の中で、スタートコードを含む層として最下位に位置するスライス層である。スタートコード検出部130は、トランスポートストリームの先頭からスライスヘッダにおけるスタートコードまでのビット数を計数し、このビット数をスタートコード位置情報として記憶部122aに記憶させる。
Specifically, when the compression-encoded content data included in the transport stream has a data structure according to the MPEG-2 video standard, the predetermined data area is, for example, from the sequence layer, the GOP layer, the picture layer, the slice layer, Among the six layers up to the macro block layer and the block layer, the slice layer is positioned at the lowest level as the layer including the start code. The start
暗号化部123aは、記憶部122aから読み込む圧縮符号化コンテンツデータおよびスタートコード情報に基づき、圧縮符号化コンテンツデータにおける、開始符号と可変長符号の一部分とを含むブロックデータを二種類の暗号方式それぞれで暗号化し、二つ(2系統)の暗号化データを生成する。
The
すなわち、第1暗号化部123a−1は、記憶部122aから圧縮符号化コンテンツデータとスタートコード位置情報とを読み込む。そして、第1暗号化部123a−1は、圧縮符号化コンテンツデータから、定型の開始符号とこの開始符号よりも後の可変長符号のうち少なくとも先頭1ビットとを含む符号列(ブロックデータ)を、TSパケットのペイロードサイズに合致するように抽出する。そして、第1暗号化部123a−1は、その抽出した符号列を第1暗号方式で暗号化して第1暗号化データを生成する。
That is, the
具体的には、第1暗号化部123a−1は、記憶部122aからMPEG−2映像ファイルデータとスライス層のスライスヘッダにおけるスタートコードの位置情報とを読み込む。そして、第1暗号化部123a−1は、MPEG−2映像ファイルデータから、スライスヘッダとこのスライスヘッダの後に存在する可変長符号の少なくとも先頭1ビットとを含む符号列を、TSパケットのペイロードサイズに合致するように抽出する。そして、第1暗号化部123a−1は、第1暗号方式で符号列を暗号化して第1暗号化データを生成する。
Specifically, the
第2暗号化部123a−2は、第1暗号化部123a−1と同様の処理を実行することにより、圧縮符号化コンテンツデータから抽出した符号列を第2暗号方式で暗号化して第2暗号化データを生成する。
The
図14は、受信装置30aの機能構成を示すブロック図である。同図に示すように、受信装置30aは、第1実施形態の受信装置30に対して、パケット抽出部303と、復号部304とを、パケット抽出部303aと、復号部304aとに変更した構成を有する。
FIG. 14 is a block diagram illustrating a functional configuration of the receiving device 30a. As shown in the figure, the receiving device 30a is configured such that the
パケット抽出部303aは、放送信号受信部302が供給するストリームを取り込む。そして、パケット抽出部303aは、ストリームに含まれるPMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検索する。
The packet extraction unit 303a takes in the stream supplied from the broadcast
パケット抽出部303aは、サイマルスクランブル識別子を検出した場合、復号鍵記憶部301から自装置暗号化識別子を読み込み、この自装置暗号化識別子と同一の暗号化識別子を含むサイマルスクランブル識別子をPMTから抽出する。そして、パケット抽出部303aは、サイマルスクランブル識別子からパケット識別子(この場合、第2パケット識別子)および第2暗号方式の復号に関する情報を抽出する。そして、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第2パケット識別子が設けられた暗号化パケットデータ、つまり第2暗号化パケットデータを抽出する。そして、パケット抽出部303aは、PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。そして、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられ、且つヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)が設けられたパケットデータを抽出する。そして、パケット抽出部303aは、ストリームから抽出した、第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを、復号部304aに供給する。
When the packet extraction unit 303a detects the simul scrambling identifier, the packet extraction unit 303a reads the local device encryption identifier from the decryption
パケット抽出部303aは、PMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検出しなかった場合、当該PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。そして、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。そして、パケット抽出部303aは、ストリームに含まれる平文パケットデータから、ヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)が設けられ、且つそのヘッダ部のパケット識別子領域に第1パケット識別子が設けられパケットデータを抽出する。
そして、パケット抽出部303aは、ストリームから抽出した、第1暗号化パケットデータとパケットデータとを復号部304aに供給する。
The packet extraction unit 303a extracts the first packet identifier from the elementary packet identifier region in the elementary stream loop region of the PMT when the simul- scramble identifier is not detected from the region of the identifier in the elementary stream loop region of the PMT. . Then, the packet extraction unit 303a extracts, from the two encrypted packet data included in the stream, encrypted packet data in which the first packet identifier is provided in the packet identifier area of the header part, that is, the first encrypted packet data. . Then, the packet extraction unit 303a is provided with a scramble control value '00' (binary number) indicating “no scramble” in the transport scramble control area of the header portion from the plaintext packet data included in the stream, and the header The first packet identifier is provided in the packet identifier area of the packet, and packet data is extracted.
Then, the packet extraction unit 303a supplies the first encrypted packet data and the packet data extracted from the stream to the
パケット抽出部303aが第1暗号化パケットデータとパケットデータとを出力した場合、復号部304aは、その第1暗号化パケットデータとパケットデータとを取り込む。そして、復号部304aは、その第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。そして、復号部304aは、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第1復号鍵)を読み込み、この復号鍵を適用して第1暗号化データを復号して復号データを生成する。
When the packet extraction unit 303a outputs the first encrypted packet data and the packet data, the
また、パケット抽出部303aが第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを出力した場合、復号部304aは、その第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを取り込む。そして、復号部304aは、第2暗号化パケットデータからペイロードを抽出し合成して第2暗号化データを生成する。そして、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第2復号鍵)を読み込み、この復号鍵と第2暗号方式の復号の関する情報とを適用して第2暗号化データを復号して復号データを生成する。
When the packet extraction unit 303a outputs the second encrypted packet data, information related to the decryption of the second encryption method, and the packet data, the
そして、復号部304aは、パケット抽出部303aが供給するパケットデータと復号データとを合成して圧縮符号化コンテンツデータを生成し、この圧縮符号化コンテンツデータを圧縮符号化コンテンツ復号部305に供給する。
Then, the
図15は、圧縮符号化コンテンツデータの階層化されたデータ構造のうち、スライス層の概略のデータ構成を示す図である。同図において、スライス層のデータ60は、スタートコード61と、制御データ62と、複数のマクロブロック63とを含む。スタートコード61と制御データ62とは、スライス層のヘッダ情報(スライスヘッダ)である。スタートコード61は、スライス層の開始符号である。制御データ62は、例えば、フレーム画像を分割したスライスについての各種属性情報を含む。マクロブロック63は、画素の集合であるマクロブロックデータを可変長符号として含む。
同図によれば、平文パケット生成部125aは、スタートコード61と制御データ62と可変長符号のうちの先頭の所定の長さを含むデータとを、ブロックデータとして検出する。
FIG. 15 is a diagram illustrating a schematic data configuration of a slice layer in a hierarchical data structure of compression-encoded content data. In the figure,
According to the figure, the
次に、第2実施形態におけるコンテンツ配信システムの動作について説明する。
図16は、暗号化サーバ12aが実行する処理の手順を示すフローチャートである。
ステップS91において、データ取得部121aは、コンテンツサーバ11から圧縮符号化コンテンツデータを取り込み、この圧縮符号化コンテンツデータを開始符号検出部129に供給する。また、データ取得部121aは、例えば番組編成装置からデジタル放送に関する制御情報を取り込み、この制御情報を記憶部122aに供給する。
Next, the operation of the content distribution system in the second embodiment will be described.
FIG. 16 is a flowchart showing a procedure of processing executed by the
In step S91, the
次に、ステップS92において、開始符号検出部129は、データ取得部121aが供給する圧縮符号化コンテンツデータを取り込む。次に、開始符号検出部129は、この圧縮符号化コンテンツデータの符号列を解析することにより、所定のデータ領域の開始符合を検出する。例えば、開始符号検出部129は、圧縮符号化コンテンツデータから、複数種類のデータ領域それぞれにおける開始符号を検出し、この開始符号の位置を特定する。次に、開始符号検出部129は、圧縮符号化コンテンツデータと、各データ領域における開始符号の位置を示す開始符号位置情報とを、記憶部122aに記憶させる。
Next, in step S92, the start
次に、ステップS93において、平文パケット生成部125aは、記憶部122aから圧縮符号化コンテンツデータおよび開始符号位置情報を読み込む。次に、平文パケット生成部125aは、圧縮符号化コンテンツデータの先頭から、開始符号位置情報が示す開始符号の位置までの範囲のデータをトランスポートストリームに変換する。例えば、平文パケット生成部125aは、圧縮符号化コンテンツデータの先頭から、開始符号位置情報が示す、スライス層のスライスヘッダにおけるスタートコードの位置を含む範囲のデータを、トランスポートストリームに変換する。次に、平文パケット生成部125aは、トランスポートストリームをスタートコード検出部130に供給する。
Next, in step S93, the plaintext
次に、ステップS94において、スタートコード検出部130は、平文パケット生成部125aが供給するトランスポートストリームを取り込み、このトランスポートストリームから所定のデータ領域における開始符号を検出し、この開始符号の位置を示すスタートコード位置情報を記憶部122aに記憶させる。
Next, in step S94, the start
次に、平文パケット生成部125aは、記憶部122aから圧縮符号化コンテンツデータとスタートコード位置情報と制御情報とを読み込む。次に、平文パケット生成部125aは、圧縮符号化コンテンツデータおよび制御情報をパケット変換してトランスポートストリームを生成する。次に、平文パケット生成部125aは、スタートコード位置情報が示す開始符号の位置に基づいて、そのトランスポートストリームから、その開始符号とこの開始符号よりも後の可変長符号のうち少なくとも先頭1ビットとを含む符号列(ブロックデータ)を除くデータを抽出する。次に、平文パケット生成部125aは、その抽出したデータに含まれる各TSパケットのヘッダ部のパケット識別子領域に第1暗号方式に対応付けられた第1パケット識別子を設け、ヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)を設けて、平文パケットデータを生成する。次に、平文パケット生成部125aは、平文パケットデータをパケット合成部126に供給する。
Next, the plaintext
次に、ステップS95において、暗号化部123aは、記憶部122aから読み込む圧縮符号化コンテンツデータおよびスタートコード情報に基づき、圧縮符号化コンテンツデータにおける、開始符号と可変長符号の一部分とを含むブロックデータを二種類の暗号方式それぞれで暗号化し、二つ(2系統)の暗号化データを生成する。
Next, in step S95, the
すなわち、第1暗号化部123a−1は、記憶部122aから圧縮符号化コンテンツデータとスタートコード位置情報とを読み込む。次に、第1暗号化部123a−1は、圧縮符号化コンテンツデータから、定型の開始符号とこの開始符号よりも後の可変長符号のうち少なくとも先頭1ビットとを含む符号列(ブロックデータ)を、TSパケットのペイロードサイズに合致するように抽出する。次に、第1暗号化部123a−1は、その抽出した符号列を第1暗号方式で暗号化して第1暗号化データを生成する。
That is, the
また、第2暗号化部123a−2は、第1暗号化部123a−1と同様に、記憶部122aから圧縮符号化コンテンツデータとスタートコード位置情報とを読み込み、圧縮符号化コンテンツデータから符号列(ブロックデータ)を、TSパケットのペイロードサイズに合致するように抽出する。次に、第2暗号化部123a−2は、その抽出した符号列を第2暗号方式で暗号化して第2暗号化データを生成する。
Similarly to the
ステップS96からステップS98までの処理は、第1実施形態におけるステップS33からステップS35までの処理と同様であるため、ここではそれらの説明を省略する。 Since the process from step S96 to step S98 is the same as the process from step S33 to step S35 in the first embodiment, the description thereof is omitted here.
図17は、受信装置30aが実行する処理の手順を示すフローチャートである。
ステップS101において、放送信号受信部302は、例えば、受信装置30aに接続された受信アンテナにより放送電波を受信して得られた放送信号を取り込む。次に、放送信号受信部302は、放送信号を復調してストリームを取得し、このストリームをパケット抽出部303aに供給する。
FIG. 17 is a flowchart illustrating a procedure of processing executed by the receiving device 30a.
In step S101, the broadcast
ステップS102において、パケット抽出部303aは、放送信号受信部302が供給するストリームを取り込む。次に、パケット抽出部303aは、ストリームに含まれるPMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検索する。
In step S102, the packet extraction unit 303a takes in the stream supplied from the broadcast
パケット抽出部303aは、サイマルスクランブル識別子を検出した場合、復号鍵記憶部301から自装置暗号化識別子を読み込み、この自装置暗号化識別子と同一の暗号化識別子を含むサイマルスクランブル識別子をPMTから抽出する。次に、パケット抽出部303aは、サイマルスクランブル識別子からパケット識別子(この場合、第2パケット識別子)および第2暗号方式の復号に関する情報を抽出する。次に、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第2パケット識別子が設けられた暗号化パケットデータ、つまり第2暗号化パケットデータを抽出する。次に、パケット抽出部303aは、PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。次に、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられ、且つヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)が設けられたパケットデータを抽出する。次に、パケット抽出部303aは、ストリームから抽出した、第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを、復号部304aに供給する。
When the packet extraction unit 303a detects the simul scrambling identifier, the packet extraction unit 303a reads the local device encryption identifier from the decryption
一方、パケット抽出部303aは、PMTのエレメンタリストリームループ領域における識別子の領域からサイマルスクランブル識別子を検出しなかった場合、当該PMTのエレメンタリストリームループ領域におけるエレメンタリパケット識別子領域から第1パケット識別子を抽出する。次に、パケット抽出部303aは、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。次に、パケット抽出部303aは、ストリームに含まれる平文パケットデータから、ヘッダ部のトランスポートスクランブル制御領域に、“スクランブルなし”を示すスクランブル制御値‘00’(2進数)が設けられ、且つそのヘッダ部のパケット識別子領域に第1パケット識別子が設けられパケットデータを抽出する。次に、パケット抽出部303aは、ストリームから抽出した、第1暗号化パケットデータとパケットデータとを復号部304aに供給する。
On the other hand, if the packet extraction unit 303a does not detect the simulant scramble identifier from the identifier region in the PMT elementary stream loop region, the packet extraction unit 303a obtains the first packet identifier from the elementary packet identifier region in the PMT elementary stream loop region. Extract. Next, the packet extraction unit 303a extracts, from the two encrypted packet data included in the stream, the encrypted packet data in which the first packet identifier is provided in the packet identifier area of the header part, that is, the first encrypted packet data. To do. Next, the packet extraction unit 303a is provided with a scramble control value '00' (binary number) indicating “no scramble” in the transport scramble control area of the header portion from the plaintext packet data included in the stream, and A first packet identifier is provided in the packet identifier area of the header portion, and packet data is extracted. Next, the packet extraction unit 303a supplies the first encrypted packet data and the packet data extracted from the stream to the
次に、ステップS103において、パケット抽出部303aが第1暗号化パケットデータとパケットデータとを出力した場合、復号部304aは、その第1暗号化パケットデータとパケットデータとを取り込む。次に、復号部304aは、その第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。次に、復号部304aは、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第1復号鍵)を読み込み、この復号鍵を適用して第1暗号化データを復号して復号データを生成する。
一方、パケット抽出部303aが第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを出力した場合、復号部304aは、その第2暗号化パケットデータと第2暗号方式の復号に関する情報とパケットデータとを取り込む。次に、復号部304aは、第2暗号化パケットデータからペイロードを抽出し合成して第2暗号化データを生成する。次に、復号部304は、復号鍵記憶部301から自装置暗号化識別子に対応付けられた復号鍵(第2復号鍵)を読み込み、この復号鍵と第2暗号方式の復号の関する情報とを適用して第2暗号化データを復号して復号データを生成する。
Next, when the packet extraction unit 303a outputs the first encrypted packet data and the packet data in step S103, the
On the other hand, when the packet extraction unit 303a outputs the second encrypted packet data, the information related to the decryption of the second encryption method and the packet data, the
次に、ステップS104において、復号部304aは、パケット抽出部303aが供給するパケットデータと復号データとを合成して圧縮符号化コンテンツデータを生成し、この圧縮符号化コンテンツデータを圧縮符号化コンテンツ復号部305に供給する。
Next, in step S104, the
次に、ステップS105において、圧縮符号化コンテンツ復号部305は、圧縮符号化コンテンツデータをコンテンツデータに復号し、このコンテンツデータをコンテンツ処理部306に供給する。
Next, in step S <b> 105, the compression-encoded
ここで、現行の暗号方式(第1暗号方式)によって暗号化された暗号化データのみを復号可能な受信装置が、暗号化サーバ12aにより生成されたストリームを取り込んだ場合の動作について説明する。従来の受信装置が備えるパケット抽出部は、エレメンタリストリームループ領域におけるPMTの記述子領域2に設けられたサイマルスクランブル記述子を認識しないため、このサイマルスクランブル記述子を検出することなく、エレメンタリパケット識別子領域に設けられた第1パケット識別子を抽出する。そして、そのパケット抽出部は、ストリームに含まれる二つの暗号化パケットデータから、ヘッダ部のパケット識別子領域に第1パケット識別子が設けられた暗号化パケットデータ、つまり第1暗号化パケットデータを抽出する。また、そのパケット抽出部は、ストリームにおける平文パケットデータからヘッダ部のパケット識別子領域に第1パケット識別子が設けられたパケットデータを抽出する。また、この従来の受信装置が備える復号部は、パケット抽出部から第1暗号化パケットデータとパケットデータとを取り込む。そして、この復号部は、第1暗号化パケットデータからペイロードを抽出し合成して第1暗号化データを生成する。そして、その復号部は、自装置が有している復号鍵を適用して第1暗号化データを復号して復号データを生成し、パケットデータと復号データとを合成して圧縮符号化コンテンツデータを生成する。
このように、従来の受信装置は、暗号化サーバ12aが生成したストリームを取り込んでも、現行の暗号方式で暗号化された暗号化データを取得して復号し、符号化コンテンツデータを得ることができる。
Here, an operation when a receiving device capable of decrypting only encrypted data encrypted by the current encryption method (first encryption method) takes in a stream generated by the
As described above, the conventional receiving apparatus can obtain the encoded content data by acquiring and decrypting the encrypted data encrypted by the current encryption method even if the stream generated by the
以上説明したとおり、第2実施形態における暗号化サーバ12aは、圧縮符号化コンテンツデータの復号処理において同期をとるために必要な情報を含むブロックデータを暗号化してストリームを生成する。よって、正しい復号鍵を有さない受信装置30aは、復号処理において同期をとることができず、圧縮符号化コンテンツデータを復号することができない。
また、暗号化サーバ12aによって可変長符号の一部分が暗号化されるため、この可変長符号の一部分は秘匿化され、暗号化されない可変長符号列の区切りが特定不能となるため、可変長符号列全体の安全性(秘匿性)を高く保つことができる。
また、暗号化サーバ12aは、圧縮符号化コンテンツデータのうちブロックデータのみを二種類の暗号方式で暗号化するため、圧縮符号化コンテンツデータ全体を二種類の暗号方式で暗号化するよりも、符号量を大幅に少なくすることができる。よって、伝送路の使用帯域を圧迫することがない。
As described above, the
Further, since a part of the variable length code is encrypted by the
Further, since the
また、受信装置30aは、暗号化サーバ12aが暗号化して生成したストリームを取り込み、自装置が復号可能な暗号化パケットを復号することにより、ストリームからコンテンツデータを生成することができる。
The receiving device 30a can generate content data from the stream by taking in the stream generated by the
したがって、本発明の第2実施形態によれば、例えば、デジタル放送におけるコンテンツ配信サービス運用中における暗号方式の切り替えにおいて、この切り替え期間の、暗号化コンテンツデータの安全性(秘匿性)を高く保ち、配信における伝送路の帯域消費量を低く抑え、且つ現行の暗号方式と新しい暗号方式との混在を実現することができる。これによって、受信装置の暗号方式の円滑な更新および切り替えを実現することができる。 Therefore, according to the second embodiment of the present invention, for example, in the switching of the encryption method during the operation of the content distribution service in digital broadcasting, the security (confidentiality) of the encrypted content data is kept high during this switching period, It is possible to reduce the bandwidth consumption of the transmission path in the distribution and realize a mixture of the current encryption method and the new encryption method. Thereby, smooth update and switching of the encryption method of the receiving apparatus can be realized.
上述した第1実施形態および第2実施形態において、暗号化サーバ12,12aは、それぞれ複数の第2暗号化部123−2,123a−2および第2暗号化パケット生成部124−2を設けてもよい。この場合、平文パケット生成部125,125aは、第N暗号方式(N≧2)に対応付けられた第Nパケット識別子と、第N暗号方式を識別する暗号化識別子と、第N暗号方式の復号に関する情報とを対応付けて含むN種類のサイマルスクランブル記述子を管理する。また、第N暗号化パケット生成部は、第Nパケット識別子を、ヘッダ部のパケット識別子領域に設ける。受信装置30,30aは、自装置暗号化識別子に対応するサイマルスクランブル記述子をPMTから抽出することにより、自装置が復号可能な暗号化パケットデータを取得することができる。
このように構成することにより、現行の暗号方式の他、複数種類の新たな暗号方式を同時期に導入することができる。
In the first embodiment and the second embodiment described above, the
By configuring in this way, in addition to the current encryption method, a plurality of new encryption methods can be introduced at the same time.
また、上述した第1実施形態および第2実施形態において、サイマルスクランブル識別子に暗号化識別子を設けないようにしてもよい。この場合、受信装置30,30aは、PMTからサイマルスクランブル識別子を検出した場合にこのサイマルスクランブル識別子から第2パケット識別子を抽出し、ストリームにおける二つの暗号化パケットデータから、ヘッダのパケット識別子領域に第2パケット識別子が設けられた第2暗号化パケットデータを抽出する。
Further, in the first embodiment and the second embodiment described above, the encryption identifier may not be provided in the simul scrambling identifier. In this case, when detecting the simul scrambling identifier from the PMT, the receiving
また、上述した各実施形態における暗号化サーバ12,12aの一部の機能をコンピュータで実現するようにしてもよい。この場合、その機能を実現するための暗号化プログラムをコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録された暗号化プログラムをコンピュータシステムに読み込ませて、このコンピュータシステムが実行することによって実現してもよい。
Moreover, you may make it implement | achieve a part of function of the
また、各実施形態における受信装置30,30aの一部の機能をコンピュータで実現するようにしてもよい。この場合、その機能を実現するための復号プログラムをコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録された復号プログラムをコンピュータシステムに読み込ませて、このコンピュータシステムが実行することによって実現してもよい。
Moreover, you may make it implement | achieve a part of function of the
コンピュータシステムとは、オペレーティング・システム(Operating System;OS)や周辺装置のハードウェアを含むものである。また、コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、光ディスク、メモリカード等の可搬型記録媒体、コンピュータシステムに備えられる磁気ハードディスクやソリッドステートドライブ等の記憶装置のことをいう。さらに、コンピュータ読み取り可能な記録媒体とは、インターネット等のコンピュータネットワーク、および電話回線や携帯電話網を介してプログラムを送信する場合の通信回線のように、短時間の間、動的にプログラムを保持するもの、さらには、その場合のサーバ装置やクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持するものを含んでもよい。また上記の暗号化プログラムおよび復号プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせにより実現するものであってもよい。 The computer system includes an operating system (OS) and peripheral device hardware. The computer-readable recording medium is a portable recording medium such as a flexible disk, a magneto-optical disk, an optical disk, or a memory card, and a storage device such as a magnetic hard disk or a solid state drive provided in the computer system. Furthermore, a computer-readable recording medium dynamically holds a program for a short time, such as a computer network such as the Internet, and a communication line when transmitting a program via a telephone line or a cellular phone network. In addition, a server that holds a program for a certain period of time, such as a volatile memory inside a computer system serving as a server device or a client in that case, may be included. The above encryption program and decryption program may be for realizing a part of the above-described functions, and further, the above-described functions are realized by a combination with a program already recorded in the computer system. It may be a thing.
以上、本発明の実施の形態について図面を参照して詳述したが、具体的な構成はその実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計等も含まれる。 As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to that embodiment, The design of the range which does not deviate from the summary of this invention, etc. are included.
1 コンテンツ配信システム
10 放送局装置群
11 コンテンツサーバ
12,12a 暗号化サーバ
13 送信装置
14 ネットワーク
20 送信アンテナ
30,30−1〜30−4,30a 受信装置
111 コンテンツ取得部
112 符号化レート取得部
113 コンテンツ圧縮符号化部
114 圧縮符号化コンテンツ記憶部
115 圧縮符号化コンテンツ供給部
121,121a データ取得部
122,122a 記憶部
123,123a 暗号化部
123−1,123a−1 第1暗号化部
123−2,123a−2 第2暗号化部
124 暗号化パケット生成部
124−1 第1暗号化パケット生成部
124−2 第2暗号化パケット生成部
125,125a 平文パケット生成部
126 パケット合成部
127 ストリーム記憶部
128 ストリーム供給部
131 ストリーム取得部
132 放送信号生成部
133 放送信号送信部
301 復号鍵記憶部
302 放送信号受信部(ストリーム取得部)
303,303a パケット抽出部
304,304a 復号部
305 圧縮符号化コンテンツ復号部
306 コンテンツ処理部
DESCRIPTION OF
303, 303a
Claims (8)
前記データ取得部が取り込んだ前記符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して暗号化データを生成する暗号化部と、
前記暗号化部が生成した前記暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、暗号化パケットデータを生成する暗号化パケット生成部と、
前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けて、前記プログラムマップテーブルを含む平文パケットデータを生成する平文パケット生成部と、
前記暗号化パケット生成部が生成した前記暗号化パケットデータと前記平文パケット生成部が生成した前記平文パケットデータとを合成してストリームを生成するパケット合成部と、
を備えることを特徴とする暗号化装置。 A data acquisition unit that captures encoded content data;
An encryption unit that encrypts the encoded content data captured by the data acquisition unit using a first encryption method and a second encryption method to generate encrypted data;
The encrypted data generated by the encryption unit is converted into a transport stream, and for each transport stream for each encryption method, the packet identifier area of the header of each transport stream packet is associated with the encryption method An encrypted packet generator for generating encrypted packet data by providing a packet identifier;
A first packet identifier associated with the first encryption scheme is provided in an elementary packet identifier area of a program map table, and descriptor information including a second packet identifier associated with the second encryption scheme is generated. Providing the descriptor information in an elementary stream loop area of the program map table, and generating plaintext packet data including the program map table;
A packet combining unit that generates a stream by combining the encrypted packet data generated by the encrypted packet generation unit and the plaintext packet data generated by the plaintext packet generation unit;
An encryption device comprising:
前記暗号化部は、前記符号化コンテンツデータにおける、前記開始符号と前記開始符号より後の可変長符号の一部分とを含むブロックデータを、前記第1暗号方式および前記第2暗号方式それぞれで暗号化して暗号化データを生成し、
前記平文パケット生成部は、前記符号化コンテンツデータから前記ブロックデータを除くデータを、トランスポートストリームに変換し、前記トランスポートストリームにおける各トランスポートストリームパケットが有するヘッダのパケット識別子領域に前記第1パケット識別子を設けたパケットデータを生成して、前記パケットデータをも前記平文パケットデータに含める、
ことを特徴とする請求項1記載の暗号化装置。 A start code detection unit for detecting a predetermined start code from the encoded content data captured by the data acquisition unit;
The encryption unit encrypts block data including the start code and a part of a variable-length code after the start code in the encoded content data by the first encryption method and the second encryption method, respectively. To generate encrypted data,
The plaintext packet generation unit converts data excluding the block data from the encoded content data into a transport stream, and the first packet is included in a packet identifier area of a header included in each transport stream packet in the transport stream. Generating packet data with an identifier and including the packet data in the plaintext packet data;
The encryption apparatus according to claim 1, wherein:
ことを特徴とする請求項1または2いずれか記載の暗号化装置。 The plaintext packet generation unit includes an encryption identifier for identifying the second encryption method in the descriptor information in association with the second packet identifier.
The encryption apparatus according to claim 1 or 2, characterized in that:
前記ストリーム取得部が取り込んだ前記ストリームにおいて前記平文パケットデータに含まれる前記プログラムマップテーブルの前記エレメンタリストリームループ領域から前記記述子情報を抽出して、前記記述子情報から前記第2パケット識別子を抽出し、前記ストリームにおける前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出するパケット抽出部と、
前記パケット抽出部が抽出した前記第2暗号化パケットデータに含まれる暗号化データを復号して前記符号化コンテンツデータを生成する復号部と、
を備えることを特徴とする復号装置。 The encrypted data obtained by encrypting the encoded content data by the first encryption method and the second encryption method is converted into a transport stream, and each transport stream packet has for each transport stream for each encryption method. Encrypted packet data generated by providing a packet identifier associated with an encryption method in the packet identifier area of the header, and the first packet identifier associated with the first encryption method as an elementary packet identifier of the program map table The program map table provided in a region, generating descriptor information including a second packet identifier associated with the second encryption method, and providing the descriptor information in an elementary stream loop region of the program map table Plaintext packet data generated including A stream acquisition unit for capturing a stream generated by the, synthesis,
The descriptor information is extracted from the elementary stream loop area of the program map table included in the plaintext packet data in the stream captured by the stream acquisition unit, and the second packet identifier is extracted from the descriptor information. A packet extraction unit that extracts the second encrypted packet data in which the second packet identifier is provided in a packet identifier region of a header from the encrypted packet data in the stream;
A decryption unit for decrypting encrypted data included in the second encrypted packet data extracted by the packet extraction unit to generate the encoded content data;
A decoding apparatus comprising:
前記パケット抽出部は、前記プログラムマップテーブルの前記エレメンタリパケット識別子領域から前記第1パケット識別子を抽出し、前記ストリームの前記平文パケットデータから、ヘッダのパケット識別子領域に前記第1パケット識別子が設けられた前記パケットデータをも抽出し、
前記復号部は、前記第2暗号化パケットデータに含まれる暗号化データを復号して復号データを取得し、前記パケット抽出部が抽出した前記パケットデータから前記ブロックデータを除くデータを抽出して、前記復号データと前記データとを合成して前記符号化コンテンツデータを生成する
ことを特徴とする請求項4記載の復号装置。 The stream acquisition unit encrypts block data including a predetermined start code and a part of a variable length code after the start code in the encoded content data by the first encryption method and the second encryption method, respectively. Encrypted data obtained by converting to a transport stream, and for each transport stream for each encryption method, a packet identifier associated with the encryption method is provided in the packet identifier area of the header of each transport stream packet The encrypted packet data generated by the above and the data excluding the block data from the encoded content data are converted into a transport stream, and the packet identifier area of the header included in each transport stream packet in the transport stream 1 packet Packet data provided with an identifier is generated, the first packet identifier is provided in an elementary packet identifier area of a program map table, descriptor information including the second packet identifier is generated, and the descriptor information is stored in the program The stream obtained by synthesizing the program map table provided in the elementary stream loop area of the map table and the plaintext packet data generated including the packet data is fetched,
The packet extraction unit extracts the first packet identifier from the elementary packet identifier region of the program map table, and the first packet identifier is provided in a packet identifier region of a header from the plaintext packet data of the stream. Also extract the packet data,
The decryption unit decrypts encrypted data included in the second encrypted packet data to obtain decrypted data, extracts data excluding the block data from the packet data extracted by the packet extraction unit, The decoding apparatus according to claim 4, wherein the encoded content data is generated by combining the decoded data and the data.
前記パケット抽出部は、前記記述子情報から、あらかじめ有する自装置暗号化識別子と同一である暗号化識別子に対応付けられた前記第2パケット識別子を抽出し、前記ストリームの前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出する
ことを特徴とする請求項4または5いずれか記載の復号装置。 The descriptor information has an encryption identifier for identifying the second encryption method in association with the second packet identifier,
The packet extraction unit extracts, from the descriptor information, the second packet identifier associated with an encryption identifier that is the same as the own device encryption identifier in advance, and from the encrypted packet data of the stream, The decryption device according to claim 4 or 5, wherein the second encrypted packet data in which the second packet identifier is provided in a packet identifier region of a header is extracted.
符号化コンテンツデータを取り込むデータ取得部と、
前記データ取得部が取り込んだ前記符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して暗号化データを生成する暗号化部と、
前記暗号化部が生成した前記暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に、暗号方式に対応付けられたパケット識別子を設けて、暗号化パケットデータを生成する暗号化パケット生成部と、
前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けて、前記プログラムマップテーブルを含む平文パケットデータを生成する平文パケット生成部と、
前記暗号化パケット生成部が生成した前記暗号化パケットデータと前記平文パケット生成部が生成した前記平文パケットデータとを合成してストリームを生成するパケット合成部と、
として機能させるための暗号化プログラム。 Computer
A data acquisition unit that captures encoded content data;
An encryption unit that encrypts the encoded content data captured by the data acquisition unit using a first encryption method and a second encryption method to generate encrypted data;
The encrypted data generated by the encryption unit is converted into a transport stream, and for each transport stream for each encryption method, the packet identifier area of the header of each transport stream packet is associated with the encryption method An encrypted packet generator for generating encrypted packet data by providing a packet identifier;
A first packet identifier associated with the first encryption scheme is provided in an elementary packet identifier area of a program map table, and descriptor information including a second packet identifier associated with the second encryption scheme is generated. Providing the descriptor information in an elementary stream loop area of the program map table, and generating plaintext packet data including the program map table;
A packet combining unit that generates a stream by combining the encrypted packet data generated by the encrypted packet generation unit and the plaintext packet data generated by the plaintext packet generation unit;
Encryption program to function as
符号化コンテンツデータを第1暗号方式および第2暗号方式それぞれで暗号化して得られた暗号化データをトランスポートストリームに変換し、暗号方式別のトランスポートストリームごとに、各トランスポートストリームパケットが有するヘッダのパケット識別子領域に暗号方式に対応付けられたパケット識別子を設けて生成された暗号化パケットデータと、前記第1暗号方式に対応付けられた第1パケット識別子をプログラムマップテーブルのエレメンタリパケット識別子領域に設け、前記第2暗号方式に対応付けられた第2パケット識別子を含む記述子情報を生成して前記記述子情報を前記プログラムマップテーブルのエレメンタリストリームループ領域に設けた、前記プログラムマップテーブルを含めて生成された平文パケットデータと、を合成して生成されたストリームを取り込むストリーム取得部と、
前記ストリーム取得部が取り込んだ前記ストリームにおいて前記平文パケットデータに含まれる前記プログラムマップテーブルの前記エレメンタリストリームループ領域から前記記述子情報を抽出して、前記記述子情報から前記第2パケット識別子を抽出し、前記ストリームにおける前記暗号化パケットデータから、ヘッダのパケット識別子領域に前記第2パケット識別子が設けられた前記第2暗号化パケットデータを抽出するパケット抽出部と、
前記パケット抽出部が抽出した前記第2暗号化パケットデータに含まれる暗号化データを復号して前記符号化コンテンツデータを生成する復号部と、
として機能させるための復号プログラム。 Computer
The encrypted data obtained by encrypting the encoded content data by the first encryption method and the second encryption method is converted into a transport stream, and each transport stream packet has for each transport stream for each encryption method. Encrypted packet data generated by providing a packet identifier associated with an encryption method in the packet identifier area of the header, and the first packet identifier associated with the first encryption method as an elementary packet identifier of the program map table The program map table provided in a region, generating descriptor information including a second packet identifier associated with the second encryption method, and providing the descriptor information in an elementary stream loop region of the program map table Plaintext packet data generated including A stream acquisition unit for capturing a stream generated by the, synthesis,
The descriptor information is extracted from the elementary stream loop area of the program map table included in the plaintext packet data in the stream captured by the stream acquisition unit, and the second packet identifier is extracted from the descriptor information. A packet extraction unit that extracts the second encrypted packet data in which the second packet identifier is provided in a packet identifier region of a header from the encrypted packet data in the stream;
A decryption unit for decrypting encrypted data included in the second encrypted packet data extracted by the packet extraction unit to generate the encoded content data;
Decoding program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012171438A JP2014033281A (en) | 2012-08-01 | 2012-08-01 | Encryption apparatus, decryption apparatus, encryption program and decryption program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012171438A JP2014033281A (en) | 2012-08-01 | 2012-08-01 | Encryption apparatus, decryption apparatus, encryption program and decryption program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014033281A true JP2014033281A (en) | 2014-02-20 |
Family
ID=50282807
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012171438A Pending JP2014033281A (en) | 2012-08-01 | 2012-08-01 | Encryption apparatus, decryption apparatus, encryption program and decryption program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014033281A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117135624A (en) * | 2023-10-27 | 2023-11-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | Vehicle-mounted data wireless downloading method and system based on hybrid encryption and decryption algorithm |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030021412A1 (en) * | 2001-06-06 | 2003-01-30 | Candelore Brant L. | Partial encryption and PID mapping |
JP2005516559A (en) * | 2002-01-02 | 2005-06-02 | ソニー エレクトロニクス インク | Decryption and decoding of partially encrypted data |
-
2012
- 2012-08-01 JP JP2012171438A patent/JP2014033281A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030021412A1 (en) * | 2001-06-06 | 2003-01-30 | Candelore Brant L. | Partial encryption and PID mapping |
JP2005516559A (en) * | 2002-01-02 | 2005-06-02 | ソニー エレクトロニクス インク | Decryption and decoding of partially encrypted data |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117135624A (en) * | 2023-10-27 | 2023-11-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | Vehicle-mounted data wireless downloading method and system based on hybrid encryption and decryption algorithm |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100734577B1 (en) | Encryption method, encryption apparatus, data storage distribution apparatus and data delivery system | |
KR101026609B1 (en) | Scalable, error resilient drm for scalable media | |
US6989773B2 (en) | Media data encoding device | |
JP4188958B2 (en) | ENCRYPTION METHOD, DATA DISTRIBUTION SYSTEM, ENCRYPTION DEVICE, AND DATA STORAGE / DISTRIBUTION DEVICE | |
JP2007526507A (en) | Method for generating data describing scalable media | |
TW201123890A (en) | Methods and apparatus for securing communications between a decryption device and a television receiver | |
Chang et al. | Layered access control schemes on watermarked scalable media | |
JP2009505515A (en) | Protecting basic stream content | |
KR20060116025A (en) | Methods for scaling encoded data without requiring knowledge of the encoding scheme | |
CN101534433A (en) | Streaming media encryption method | |
JP2007534230A (en) | Method for scaling progressively encrypted scalable data sequences | |
US9641910B2 (en) | Compression and decompression techniques for DRM license information delivery | |
US8850590B2 (en) | Systems and methods for using transport stream splicing for programming information security | |
Xu et al. | Robust video encryption for h. 264 compressed bitstream based on cross-coupled chaotic cipher | |
Tew et al. | Separable authentication in encrypted HEVC video | |
JP6090972B2 (en) | ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION PROGRAM, AND DECRYPTION PROGRAM | |
CN103248918B (en) | The DVB condition dispensing device of integrated master data, normal data scrambling | |
CN103281572B (en) | The DVB conditional receiving device of integrated master data, normal data descrambling | |
JP6018880B2 (en) | ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION PROGRAM, AND DECRYPTION PROGRAM | |
JP6155165B2 (en) | ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION PROGRAM, AND DECRYPTION PROGRAM | |
JP2013150147A (en) | Encryption device, decryption device, encryption program, and decryption program | |
JP2014033281A (en) | Encryption apparatus, decryption apparatus, encryption program and decryption program | |
JP4939155B2 (en) | Shared encryption key generation device and program thereof | |
JP6358743B2 (en) | Stream generating device, receiving device, and program thereof | |
JP5965750B2 (en) | ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION PROGRAM, AND DECRYPTION PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150701 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20161115 |