JP3927114B2 - 受信装置、配信装置、受信方法、配信方法およびプログラム - Google Patents
受信装置、配信装置、受信方法、配信方法およびプログラム Download PDFInfo
- Publication number
- JP3927114B2 JP3927114B2 JP2002362605A JP2002362605A JP3927114B2 JP 3927114 B2 JP3927114 B2 JP 3927114B2 JP 2002362605 A JP2002362605 A JP 2002362605A JP 2002362605 A JP2002362605 A JP 2002362605A JP 3927114 B2 JP3927114 B2 JP 3927114B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- content
- user
- channel
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
【0001】
【発明が属する技術分野】
本発明は、例えば、契約内容(期間、視聴チャネル)に応じて放送配信されるコンテンツを復号する有料放送システムに関する。
【0002】
【従来の技術】
デジタル放送は、通信衛星(CS)に始まって、ケーブルTV、地上放送へとデジタル化が進むにつれ、一層のサービスの充実が期待されており、これからの放送サービスの主役をつとめていくものと思われる。
【0003】
デジタル放送の最大の特徴は、情報圧縮技術の導入により、番組の送信に要する周波数の使用効率の向上が図れ、アナログ放送に比較して放送チャネル数の大幅な増加が可能になってことである。更に、高度な誤り訂正技術が適用できるため、高品質で均質なサービスの提供が可能となる。
【0004】
また、デジタル化により従来のように画像や音声による放送だけでなく、文字やデータによる放送(データ放送)も可能になり、例えばニュースを文字データとして流すことや、PCソフトを放送で配信することが可能となり、そのようなサービスを提供するためのシステムも続々登場してきている。
【0005】
このようなシステムで、契約内容に基づいてスクランブルを解く、あるいは復号する有料放送サービスを提供する際、契約期間に即した顧客管理が行えなければいけない。契約期間に即した顧客管理とは、例えば、所定の料金の支払により契約された契約期間内に限って契約チャネルの視聴を可能とするというものである。
【0006】
また、受信装置にてスクランブルあるいは暗号を解くための鍵情報は、不正視聴を防止する上からも正当な視聴者のみに(契約チャネル、契約期間に即して)しかも確実に提供する必要がある。
【0007】
このために、従来は、放送受信装置毎にマスター鍵Kmを用意し、契約している視聴者毎に契約しているチャネルのワーク鍵Kwと当該契約者の契約情報をマスター鍵Kmで暗号化して送信する。ここでワーク鍵はチャネル固有の鍵であり、契約最小期間(例えば1ヶ月)毎に更新される。契約情報はチャネル毎の契約期間あるいは契約の有無などの情報である。ワーク鍵及び契約情報はコンテンツ受信に先だって受信し蓄積される。コンテンツ視聴時は当該契約情報を参照して、当該チャネルの視聴可否によって、ワーク鍵を使って暗号化されて送られてくる当該チャネルのチャネルキーKchを復号して視聴する。チャネルキーはスクランブルされた放送コンテンツをデスクランブルするのに用いられる。
【0008】
一方、自動車に搭載されているラジオや人が持ち歩く携帯端末など移動体向けのデジタル音声放送が計画されている。これを以下ではモバイル放送と呼ぶ。モバイル放送においてはテレビ放送と比較してコンテンツが小さいため相対的に狭い帯域しか割り当てられず、しかも受信状態が一定していないため、上記のような限定受信システムが構成しづらい。このためモバイル放送を意識して、前記限定受信システムにおいてマスター鍵Kmを共通化する方式が提案されている(例えば、特許文献1参照)。
【0009】
このモバイル放送における限定受信方式において、上記限定受信方式と異なるところは、ワーク鍵Kwがなく、受信装置共通のマスター鍵Kmでチャネルキーと契約者毎に割り当てられている契約情報を暗号化しているところである。このように構成することによって、上記限定受信方式のように1ヶ月毎(ワーク鍵の更新周期毎)に各契約者にワーク鍵や契約情報を送る必要がないため、狭い帯域で配信される有料放送には有利である。
【0010】
また、視聴者の契約形態という観点で見ると、CS放送やケーブルTVにおいては受信装置単位に課金する方式が、BS放送においては世帯単位に課金する方式がとられている。前者は例え同一の契約者による視聴であっても、異なる場所にある受信装置での視聴には別途視聴料金がかかる。後者の方式は同じ世帯の受信装置であれば共通して視聴できるが、自宅外にある受信装置では視聴できない。
【0011】
このような契約形態は、固定された受信装置での視聴には適合しているが、移動しながら視聴する前記モバイル放送のような放送では自宅内外の別なく視聴できるようにするのが自然であり、契約者単位の課金が妥当であるが、これまでに契約者課金を基本とする衛星放送の限定受信システムは存在しなかった。
【0012】
また、安全な電子商取引の実現や会社内での制限エリアへのアクセスの可否を判断するため、個人認証技術が発達している。個人認証技術には大きく分けて、被認証者の身体的特徴を利用するもの、被認証者の記憶を利用するもの、被認証者の所有物を利用するものである。
【0013】
身体的特徴を利用する認証方式には提示部に指を付ける指紋認証、提示部に目を向ける虹彩認証、提示部に顔を向ける顔認証などがある。これらはそれぞれ指紋、網膜、顔の特徴を抽出し、それをベクトルの形で表現して、特徴ベクトルとして抽出する。これを予め登録されている被認証者の特徴ベクトルと比較して類似度を計算し、ある一定以上の類似度を持つ登録者が存在した場合、被認証者を当該登録者と認証する。この方式はその構成から、登録者が多い場合に誤認識するなど問題点はあるものの、近年改良され一部で実用化が始まっている。また、身体的特徴を利用するので、特別に何かを携帯したり、パスワードを覚えるなどの必要がなく、利用者にとっては手軽な認証方式である。
【0014】
被認証者の記憶を利用する方式にはパスワードを利用する方式がある。これは銀行のキャッシュディスペンサーなどで広く利用されているように、(暗誦番号等の)パスワードを提示することによって本人を認証しようとする方式である。この方式にはパスワードを知っている人を登録者と考えるという仮定が入っているため、パスワードが漏れた際には悪用されて登録者に成りすまされる可能性がある。更に、限定受信の契約者認証にこれを使った場合は、契約者からパスワードを教えてもらえば、そのパスワードを使って契約者の利益を損ねずに、契約者以外の者も視聴することが可能である。このためパスワードのみによる契約者認証は限定受信には向かない。しかし、これを他の認証方式と組み合わせて使えばこの限りではない。
【0015】
被認証者の所有物を利用する方式は、例えばICカードを提示させ、この中に書かれたID情報に対応する登録者を被認証者と考える方式である。この方式は認証に関しては確実だが、ICカードの所持人を本人と考えるという仮定が入っているため、カードを無くした場合に拾った人は悪用して登録者に成りすますことができてしまう。また一方で、ICカードを忘れた場合に認証できなくなるという問題もある。
【0016】
【特許文献1】
特開平11−243536号公報
【0017】
【発明が解決しようとする課題】
このように、従来の有料放送システムでは、所定の料金の支払いにより契約された契約期間であっても、契約チャネルをどこでも視聴するということができないという問題点があった。
【0018】
そこで、本発明は、上記問題点に鑑み、契約者課金を可能にするために、所定の料金の支払いにより契約した視聴可能なチャネル(コンテンツ情報)をどこでも(どの受信装置からでも)視聴することができる、利便性の高い有料放送システムを実現するための受信装置および配信装置を提供することを目的とする。
【0019】
【課題を解決するための手段】
本発明は、放送配信される暗号化された複数のコンテンツ情報を受信する受信手段と、ユーザを認証するための異なる種類の第1の認証情報(例えば、契約者ID)および第2の認証情報(例えば、指紋IDや虹彩ID)と、当該第1及び第2の認証情報にそれぞれ対応して当該ユーザが利用可能なコンテンツ情報を指定する第1のコンテンツ指定情報(例えば、第1のチャネル契約情報)および第2のコンテンツ指定情報(例えば、第2のチャネル契約情報)とを含む制御情報(例えば、個別制御情報)を受信する制御情報受信手段と、前記ユーザを識別する少なくとも1種類の識別情報(例えば、契約者IDと、指紋特徴ベクトル及び虹彩特徴ベクトルなどの身体的特徴情報のうちの少なくとも一方)を記憶する記憶手段と、前記制御情報受信手段で受信された前記制御情報に含まれる前記第1の認証情報に対応する識別情報が前記記憶手段に記憶されているとき、前記受信手段で受信された前記複数のコンテンツ情報のうち当該制御情報に含まれる前記第1のコンテンツ指定情報により指定されるコンテンツ情報を再生する第1の再生手段と、前記制御情報受信手段で受信された受信された前記制御情報に含まれる前記第1及び第2の認証情報のうち前記第2の認証情報に対応する識別情報のみが前記記憶手段に記憶されているとき、受信された前記複数のコンテンツ情報のうち当該制御情報に含まれる前記第2のコンテンツ指定情報により指定されるコンテンツ情報を再生する第2の再生手段とを具備することにより、例えば、所定の料金の支払いにより、視聴可能(利用可能な)コンテンツ情報をどこでも(どの受信装置からでも)視聴(利用)することができる。従って、契約者ベースの課金を実現することができる。
【0020】
前記第2の認証情報は、前記ユーザの身体的特徴情報に基づく当該ユーザの識別情報である。
【0021】
前記第1の制御情報に基づき利用可能なコンテンツ情報の数は、前記第2の制御情報に基づき利用可能なコンテンツ情報の数より多い。
【0022】
前記第2の認証情報は、前記ユーザの2種類の異なる身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と第2の特徴情報を含み、前記第2の再生手段は、前記記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記第2の特徴情報に対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報により利用可能と指定されているコンテンツ情報を再生する。
【0023】
前記第2の認証情報は、前記ユーザの身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と、当該ユーザの識別情報としてのパスワードを含み、前記第2の再生手段は、前記記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記パスワードに対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報により利用可能と指定されているコンテンツ情報を再生する。
【0024】
前記記憶手段に記憶された識別情報には、有効期間が定められており、当該識別情報が登録されてから前記有効期間が経過したときには、当該識別情報は前記記憶手段から消去される。
【0025】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。
【0026】
まず、実施形態の説明で用いる用語の定義を行なう。
【0027】
限定受信を行なうためチャネル毎の契約状態を記述した情報をチャネル契約情報と呼ぶ。図1は、チャネル契約情報の一具体例を示したものである。例えば、図1に示すように、各チャネルにチャネル番号(ch.1〜ch.12)を付け、各チャネル番号に対応したビットが「1」であるか否かによりチャネルの契約状態を表したビット列がチャネル契約情報である。図1では第2、第5、第7、第8チャネル(ch.2、ch.5、ch.7、ch.8)が契約されている(視聴可能である)ことを示している。ここで特定のチャネルに対し、対応したビット情報を契約フラグという。図1のチャネル契約情報において第1チャネル(ch.1)の契約フラグは「0」、第2チャネル(ch.2)の契約フラグは「1」である。
【0028】
契約情報は、上記チャネル契約情報にID情報及びデジタル署名などのチャネル契約情報を補強するデータが付属したデータであり、契約関連情報は更にワーク鍵情報などの補助データが付加されたデータを意味し、正確な定義は実施形態の適切な箇所で定義される。
【0029】
以下の実施形態において、受信装置内部で限定受信の仕組みを実現する構成部は限定受信部と呼ぶが、この部分は、限定受信のための秘密情報が含まれているので内部のメモリやハード構成に関して外部から容易に読み出し、書き込み、変更ができない耐タンパ構造を有する。このような耐タンパ構造を有するハードウエアで構成された限定受信部を、特に、限定受信チップと呼ぶ。
【0030】
また、以下の実施形態では、特に断らない限り情報は固定長で表現されているとする。これは以下で述べるアルゴリズムを簡単にするための制限であり、可変長データの利用を制限するものではない。実際、可変長データを許す場合はデータ長を記述するデータが送信データ等に加わり、アルゴリズムおいてはこれを参照してデータ抽出する処理が加わるだけで、同様に実施可能である。
【0031】
(第1の実施形態)
第1の実施形態では、特開平11−243536号公報に記載されたモバイル放送の場合の限定受信システムのように、受信装置に共通のマスター鍵を有する限定受信システムにおいて、契約者課金を全ての受信装置で実現した例を示す。このような限定受信システムにおいては各受信装置に対し、個別に契約情報を暗号化して送信する必要がない。だが、そのマスター鍵が破られた際には被害範囲が大きいなど安全性に問題があるためデジタル署名などの偽造防止技術を用いて安全性を強化している。
【0032】
従来の技術において説明したように、このような限定受信は図2のように2段の鍵構成を採用している。即ちチャネルキーKchとチャネル契約情報Iを全ての受信装置に共通のマスター鍵Kmで暗号化して送信し、送信されたチャネルキーを使って放送コンテンツを復号する。
【0033】
このような限定受信は、図2のような鍵構成を採用している。即ち配信される暗号化された放送コンテンツを復号するためのチャネルキーKchと契約情報Iを共通のマスター鍵Kmで暗号化して送信する。放送コンテンツはチャネルキーKchを使って共通鍵暗号方式で暗号化されているので、このチャネルキーで復号できる。ここでチャネルキーは解読を防ぐため通常10秒程度の短時間で変更しなくてはならない。
【0034】
さて、本実施形態の限定受信システムにおいて放送受信装置が受信するデータ(放送パケット)はコンテンツパケット、個別制御情報パケット、共通制御情報パケットの3種類である。
【0035】
コンテンツパケットは、図3に示すパケット形式で、情報識別子、チャネル識別子、チャネルキー識別子、暗号化された放送コンテンツからなっている。情報識別子は当該パケットの種別を示すもので、ここではコンテンツパケットであることを示す識別子を記述する。チャネル識別子は当該放送コンテンツがどのチャネルのコンテンツかを示すものである。また、チャネルキー識別子は当該放送コンテンツを復号するチャネルキーの識別子を示す。暗号化された放送コンテンツは放送コンテンツを上記チャネルキー識別子で指定されたチャネルキーKchで暗号化されている。
【0036】
個別制御情報パケットは図4(a)に示すパケット形式で、情報識別子、マスター鍵識別子、暗号化されたチャネルキー情報、暗号化された(チャネル)契約情報からなっている。情報識別子は当該パケットの種別を示すもので、ここでは個別制御情報パケットであることを示す識別子を記述する。マスター鍵識別子は当該個別制御情報パケットがどのマスター鍵Kmによって暗号化されているかを示す情報である。この個別制御情報パケットは、例えば現行放送規格で審議中のEMM−S(Entitlement Management Message for S−band)にあたる。
【0037】
暗号化されたチャネルキー情報は、図4(b)に示すような形式のチャネルキー情報を暗号化したものである。図4(b)において、情報識別子とチャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーからなっている。情報識別子は当該情報の種別を示すもので、ここではチャネルキー情報であることを示す識別子が記述される。チャネル識別子は当該チャネルキー情報がどのチャネルのものかを示すものである。チャネルキー識別子とチャネルキーは、チャネル識別子で指定されているチャネルの放送コンテンツの暗号化に使われ、チャネルキーとその識別子を示している。第1のチャネルキー識別子と第1のチャネルキー、第2のチャネルキー識別子と第2のチャネルキーは、それぞれ現在配信されているコンテンツ情報に使われているチャネルキーと次に配信されるコンテンツ情報に使われているチャネルキーを示している。これは先にも説明したようにチャネルキーは10秒に1回程度の割合で更新されるので、更新時に視聴が途切れないようにするため、2つ同時に送信しているためにこのようになっている。
【0038】
尚、このようにチャネルキーを2つ送信する構成は本発明の本質部分ではないので、1つでも良いし、3つ以上送信しても構わないし、2つ以上のチャネルのチャネルキーを同じパケットで送信しても構わない。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0039】
暗号化された契約情報は、図4(c)に示すような形式の契約情報を暗号化したものである。図4(c)において、情報識別子、第1のID識別子と契約者IDと第1のチャネル契約情報とを1組とする情報、第2のID識別子と指紋IDと第3のID識別子と虹彩IDと第2の契約情報を1組とする情報、デジタル署名検証鍵識別子、デジタル署名からなっている。
【0040】
情報識別子は当該情報の種別を示すもので、ここでは契約情報であることを示す識別子である。ID識別子は次のID情報が何に対するIDかを示すものであり、例えば、第1のID識別子は、これに続く契約者IDのID識別子が示されている。当該ID識別子とそのID情報は、本実施形態の本質的な部分であるので、ここで詳しく説明する。
【0041】
従来の有料放送において、契約者のIDとは受信装置に添付されているID(受信装置ID)と受信装置に挿入するICカードに記載されているID(ICカードID)のように、放送業者が契約者に初期契約時に与えた情報であった。本実施形態ではこのように契約者本人の特徴ではなく、契約者が所持しているものをIDとしたものを契約者IDと呼ぶ。一方、本実施形態では、契約者IDの他に契約者の指紋パターン、網膜パターン、顔パターンなど契約者本人の特徴、特に身体的特徴をID(識別情報)としたものに基づいた契約管理を行い、従来不可能であった契約者単位の課金を可能とする。即ち、人によって異なる特徴をもつ指紋、虹彩、顔などの特徴に基づいて視聴の可否を判断することにより、ICカードや受信装置に縛られない柔軟な視聴管理ができるばかりか、モバイル放送のように移動しながら視聴する放送に最適な限定受信方式を提供できる。
【0042】
再び、図4(c)の契約情報の説明に戻り、契約者IDに続く、第1のチャネル契約情報は契約者IDが提示された時に有効なチャネル契約情報を表している。
【0043】
第2のID識別子は、これに続く指紋IDのID識別子を示し、第3のID識別子は、これに続く虹彩IDのID識別子を示している。指紋IDや虹彩IDは、いずれも同一契約者の指紋パターンから抽出した特徴(指紋特徴ベクトル)、網膜パターンから抽出した特徴(虹彩特徴ベクトル)をそれぞれID化したものである。
【0044】
このように身体的特徴をID化するためには認識技術が援用される。ここで、指紋IDについて説明する。指紋は人によって特徴のあるパターンを持っており、指紋の中に含まれる線の密度、線の傾きは人によって異なる。このことを利用して、例えば以下のように特徴抽出を行う。まず、認識装置によって、図6のような指紋の画像を取り込む。取り込まれた画像を6×6のメッシュに区切り、そのメッシュ毎に中の画像を画素単位で眺めると、たとえば図7のようになっている。(実際はもっと複雑なパターンとなるがここでは簡単のため簡略化している。)図7において、1枡は1画素に対応し、ここでは2値画像(白黒画像)を仮定しているので、図7のような画像となっている。
【0045】
この2値画像を図7の左上の実線太枠内にあるような2画素×2画素の領域単位で見ると、それぞれ図8に示した16通りのどれかのパターンになっていることが分かる。例えば図7の太い実線で囲まれた領域は、図8(h)に示したパターンとなっている。図8において、各パターンを表した図の下に書いてある数字、例えば、図8(h)の場合は「3」は、この領域の特徴と考える。ここで特徴は方向なし、右左、上下、斜め上、斜め下の5通りであり、それぞれ「0」、「1」、「2」、「3」、「4」を割り当てる。このような特徴を方向特徴といい、「0」〜「4」を方向成分という。
【0046】
このような特徴を各2画素×2画素の単位領域に関して繰り返す。尚、単位領域は、図7左上の点線太枠のように1画素ずつずらして設定されるので、図7の画像では全部で20個設定される。これらの方向特徴を算出し、そのヒストグラムをベクトルの形で作成する。図7の画像に対応するベクトルは、(2,2,3,3,10)となる。尚、ここで示したベクトルは第(i+1)要素が第i方向成分の数となっている(i=0…4)。例えば第1方向成分は図9に示すように2箇所であるので、ベクトルの第2成分が「2」となっている。このような5次元のベクトルを図6に示されている36個の枡に関して作成し、作成されたベクトルの要素を一定の順序で並べた180(=36×5)次元のベクトルを作成し、これを特徴ベクトルと呼ぶ。
【0047】
特徴ベクトルとは言え、指紋の示し方によってその要素が微妙に変化する。これを吸収するためいろいろな条件で指紋を何回か示し、その平均パターンを取るなど統計学(特に多変量解析)を援用して提示条件によって揺れの少ないベクトルを採用する方式が取られている。このようにして平均化された特徴ベクトルを、当該契約者を示す辞書ベクトルと呼び、本実施形態ではこれを指紋IDとする。
【0048】
尚、虹彩による認証方式においても同様の方法で虹彩IDを決定する。
【0049】
指紋IDの特徴ベクトルも共に180次元空間の原点からの距離が「1」の点として表現される。例えば、ある契約者A、契約者Bの特徴ベクトルは図10のような部分空間に分布する。指紋IDは、この部分空間内の平均化された点を表現しており、例えば与えられた特徴ベクトルとの(内積が1に近い)角度を持つ契約者Aがマッチングする。放送システムにおいては全ての契約者の指紋IDとマッチングすることはできないので、ある一定以上の内積値を持つ指紋IDを契約者の指紋IDと考えることになる。
【0050】
ここで、指紋IDや虹彩IDなどの身体的特徴情報とユーザの身体的特徴(当該ユーザの識別情報)とがマッチングするとは、それらが予め定められた所定の類似範囲にあるということである。また、指紋IDや虹彩IDなどの身体的特徴情報とユーザの身体的特徴とがマッチングすることを、ユーザの身体的特徴に上記身体的特徴が当てはまるともいう。
【0051】
ユーザの指紋の特徴情報(特徴ベクトル)と指紋IDとを照合することによって、当該特徴ベクトルが複数の指紋IDとマッチングすることがあり得る。しかし、特徴ベクトルは180次元空間で表現されているため、契約者数が少ない時にはそのようなことは起こりにくい。逆に契約者が多い場合には、別の身体的特徴(例えば虹彩特徴)で同様の認証を行い、両方の認証を通過したことで始めて契約者を認証する方式が望ましい。
【0052】
以下で詳しく述べる本実施形態では、このような2方式での認証を採用している。
【0053】
再び図4(c)の契約情報の説明に戻る。図4(c)におけるデジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図4(c)の契約情報の情報識別子から第2のチャネル契約情報までの部分を上記デジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0054】
ここでデジタル署名の一例に関して簡単に説明する。デジタル署名は公開鍵暗号を用いたものと、共通鍵暗号とを用いたものとがあるが、本実施形態では、例えばデジタル署名は公開鍵暗号を用いた方法で、秘密鍵Ksで署名したものを公開鍵Kpで検証することによって実現される。即ち、上記デジタル署名生成鍵はここでいう秘密鍵で、上記デジタル署名検証鍵はここでいう公開鍵である。また公開鍵暗号では、公開鍵から秘密鍵を導出することが極めて困難なため、公開鍵を公開しても秘密鍵が漏れない限り、第三者がデジタル署名を作成することは事実上困難である。しかも署名を検証する公開鍵は文字通り公開しても構わないため、受信装置の中に実装しても安全に署名検証ができる。公開鍵暗号には現在RSA暗号や楕円曲線暗号等の方式が提案されており実用化が進んでいる。なお、共有鍵暗号でも実現可能である。
【0055】
図4(c)に示したように、契約情報には、受信契約者の契約者IDと、それに対応するチャネル契約情報としての第1のチャネル契約情報と、当該契約者の身体的特徴を表した指紋IDと虹彩IDと、この身体的特徴に対応したチャネル契約情報としての第2のチャネル契約情報といった2つのチャネル契約情報が含まれている。
【0056】
そこで、本実施形態では、第1のチャネル契約情報は、例えば、当該契約者が契約した全てのチャネルを視聴可能にするようなチャネル契約情報であり、第2のチャネル契約情報は、例えば、当該契約者が契約したチャネルのうちのいくつかに限定して視聴可能にするようなチャネル契約情報である。
【0057】
身体的特徴は、契約者IDに比べて曖昧性のあるものであり、各個人の身体的特徴には互いに重なり合う類似範囲が存在する場合もある。身体的特徴だけでは、本人を正確に認証することができない場合もある。契約者IDにより認証された場合は、本人であるという確証が高いが、指紋IDや虹彩IDなどの身体的特徴により認証された場合は、本人であるという確証が低い。そこで、本実施形態では、身体的特徴に対応した第2のチャネル契約情報で視聴可能なチャネル数は、契約者IDに対応する第1のチャネル契約情報で視聴可能なチャネル数よりも少なく、より限定されたチャネルのコンテンツしか視聴することができない。
【0058】
すなわち、放送受信装置に、有効な契約者IDが予め登録されているならば、上記第1のチャネル契約情報に基づき、当該契約者は、契約した全てのチャネルが視聴できるが、契約者IDが登録されておらず、指紋や虹彩などの身体的特徴した登録されていないときには、上記第2のチャネル契約情報に基づき、当該契約者は、より限定されたチャネルした視聴することができない。しかし、例えば契約者IDの記録されているカードを持たないとしても、指紋や虹彩などの身体的特徴を任意の放送受信装置に入力しさえすれば、契約したチャネルのうちの一部は、どこでもいつでも視聴することができるのである。
【0059】
共通制御情報パケットは図5に示すパケット形式で、情報識別子、第1のマスター鍵識別子、第1のマスター鍵生成情報、第2のマスター鍵識別子、第2のマスター鍵生成情報、デジタル署名検証鍵識別子、デジタル署名からなっている。情報識別子は当該パケットの種別を示すもので、ここでは共通制御情報パケットであることを示す識別子を記述する。マスター鍵識別子は続くマスター鍵生成情報により生成されるマスター鍵の識別子を表している。図5に示す共通制御情報パケットでは、マスター鍵識別子とマスター鍵生成情報を2組含めて送信するようになっているが、これはマスター鍵の更新時に視聴が途切れないようにするため、現在のマスター鍵に関する情報と次のマスター鍵に関する情報を2つ同時に送信している。尚、このようにマスター鍵を2つ送信する構成は本実施形態の本質部分ではないので、1つでも構わないし、3つ以上送信しても良い。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0060】
デジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図5の情報識別子から第2のマスター鍵生成情報までの部分を上記デジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0061】
共通制御情報パケットは、例えば現行放送規格で審議中のECM−S(Entitlement Control Message for S−band)にあたる。
【0062】
(1)放送受信装置
次に、本実施形態にかかる放送受信装置の構成と処理の流れを説明する。放送受信装置の全体の構成例を図11に示し、この概略動作を図12に示す。
【0063】
以下、図11に示し放送受信装置の構成と動作を図12に示すフローチャートを参照して説明する。
【0064】
ユーザは、図1に示した放送受信装置を用いて、放送配信されるコンテンツの視聴を開始しようとする際、この放送受信装置に、契約者IDか、指紋特徴ベクトルと虹彩特徴ベクトルを入力する(ステップS0)。
【0065】
契約者IDは、例えば、ICカードに予め記録されていて、当該放送受信装置に接続されたカードリーダにユーザが当該ICカードを挿入することにより当該契約者IDが読みとられるようになっていてもよいし、ユーザ自身が契約者IDを記憶し、ユーザが当該放送受信装置に接続されているテンキーなどを用いて契約者IDを直接入力するようにしてもよい。このようにして入力された契約者IDは、契約者ID認識部24に一時記憶される。
【0066】
指紋特徴ベクトルを入力する場合には、ユーザは放送受信装置に接続されている指紋提示部28に、自分の指(指紋)を提示することにより、指紋特徴部抽出部27で、当該提示された指紋から、前述したようにして、指紋特徴ベクトルを抽出する。ここで抽出された指紋特徴ベクトルは、指紋ID認証部26に一時記憶される。
【0067】
虹彩特徴ベクトルを入力する場合には、ユーザは、放送受信装置に接続されている虹彩提示部31に自分の目(虹彩)を提示することにより、虹彩特徴抽出部30で、当該提示された虹彩の特徴(すなわち、当該ユーザの虹彩特徴ベクトル)が抽出される。ここで抽出された虹彩特徴ベクトルは、虹彩ID認証部29に一時記憶される。
【0068】
契約者ID認証部24と指紋ID認証部26と虹彩ID認証部29のいずれかには、ユーザにより提示された当該ユーザの契約者IDと指紋特徴ベクトルと虹彩特徴ベクトルが一時格納され、これらは、後述する個別制御情報パケットの処理過程で、第1のチャネル契約情報や第2のチャネル契約情報を契約情報格納部10に格納する際の判断に用いられる。
【0069】
ここでは、1人のユーザにかぎらず、複数のユーザが、それぞれ、契約者IDか、指紋特徴ベクトルと虹彩特徴ベクトルを放送受信装置に入力する。従って、契約者ID認証部24、指紋ID認証部26、虹彩ID認証部29のそれぞれには、複数のユーザの契約者IDと指紋特徴ベクトルと虹彩特徴ベクトルが記憶されていることもある。
【0070】
なお、本実施形態では、1人の契約者は、契約者IDを入力するのでなければ、指紋特徴ベクトルと虹彩特徴ベクトルの両方を入力するものとする。
【0071】
さて、放送受信装置は、放送波を受信部1で受信すると(ステップS1)それをA/D変換部2でアナログ信号からデジタルデータに変換する(ステップS2)。デジタルデータは誤り検出/訂正部3に送られ誤り検出/訂正が行われた後(ステップS3)、チャネル選択部4は、チャネル選択I/F5を通じてユーザにより指定(選択)されたチャネル(視聴チャネル)と、個別制御情報パケット、共通制御情報パケットを含む限定受信チャネルのみをフィルター部6へ送る(ステップS4)。フィルター部6では、それぞれの放送パケットの情報識別子を参照してコンテンツパケット、共通制御情報パケット、個別制御情報パケットを判別し、それに従って以下のように処理が分岐する。
【0072】
視聴チャネルのコンテンツパケットの処理について、図13に示すフローチャートに従って詳しく説明する。コンテンツパケットは、デスクランブル部7に入力されると(図12のステップS6)、デスクランブル部7ではチャネルキー出力部8へ、コンテンツパケットに含まれていたチャネル識別子とチャネルキー識別子を通知することにより、チャネルキーの出力の要請を行なう(図13のステップS101)。チャネルキー出力部8では契約判定部9に対してチャネル識別子を入力して、チャネルキー出力の可否判定を要請する(ステップS102)。契約判定部9は、契約情報格納部10からチャネル契約情報(具体的には、後述する統合チャネル契約情報)を取得して(ステップS103)、現在、当該放送受信装置のチャネル選択I/F5にて選択されているチャネルのチャネル識別子(このチャネル識別子は、チャネル情報入力部12から出力される)に対応する契約フラグが「1」である場合(ステップS104)、チャネルキーの出力許可信号をチャネルキー出力部8に出力し(ステップS105)、「0」である場合はチャネルキーの出力不許可信号をチャネルキー出力部8に出力する(ステップS109)。チャネルキー出力部8では、チャネルキー出力不許可信号が入力された場合、当該パケットに関する処理を終了する。
【0073】
チャネルキーの出力許可信号がチャネルキー出力部8へ入力された場合は(ステップS105)、チャネルキー出力部8はチャネルキー格納部11から、コンテンツパケットに含まれていたチャネル識別子とチャネルキー識別子に対応するチャネルキーを読み出し、それをデスクランブル部7へ送る(ステップS106)。デスクランブル部7では、チャネルキー出力部8から出力された当該チャネルキーを用いてコンテンツのデスクランブルを行なう(ステップS107)。デスクランブルされたコンテンツは限定受信部50から出力され、モニタなどの再生装置へ送られ再生される(ステップS108)。
【0074】
次に、個別制御情報パケットの処理について、図14〜図15に示すフローチャートを参照して説明する。
【0075】
フィルター部6で個別制御情報パケットが抽出されると(図12のステップS9)、当該個別制御情報パケットは個別制御情報復号部21に出力される(図12のステップS10)。
【0076】
個別制御情報復号部21では、当該パケットからマスター鍵識別子を抽出し(図14のステップS131)、該マスター鍵識別子をキーにして、マスター鍵格納部22からマスター鍵Kmを取得して(ステップS132)、個別制御情報パケットの暗号化部分を復号する(ステップS133、ステップS134)。具体的には、個別制御情報パケットを復号することにより、図4(b)に示したようなチャネルキー情報と図4(c)に示すような契約情報が得られる(ステップS135、ステップS137)。
【0077】
復号されたチャネルキー情報から、チャネル識別子、第1のチャネルキー識別子と第1のチャネルキー、第2のチャネル識別子と第2のチャネルキーを抽出し、チャネルキー格納部11に格納する(ステップS136)。
【0078】
個別制御情報復号部21は、復号された契約情報を、契約情報認証部23へ送信する(ステップS138)。契約情報認証部23では、まず、契約者ID認証部24に対して、個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在するか(記憶されているか)検索する。
【0079】
契約者IDはICカードなどから与えられるが、本発明では複数の視聴者が各自の契約情報で視聴できることを1つの目的としているため、契約者ID認証部24には複数の契約者IDが存在することが仮定されている。ここで、契約者ID認証部24に、受信した個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在した場合は(図15のステップS139)、当該個別制御情報パケット中の契約情報からデジタル署名を抽出し、これをデジタル署名検証部25に送り、デジタル署名検証部25では予め記憶されているデジタル署名検証鍵により、デジタル署名の検証を行う(ステップS140)。デジタル署名が検証されなかった場合は何らかの受信異常か、何らかの改竄が起こったものと考えられるので、この時点で処理を終了する。
【0080】
検証に成功した場合は、当該契約者IDに対応するチャネル契約情報である第1のチャネル契約情報と当該契約者IDと、契約者ID認証部24に当該契約者IDが登録(入力)されたときの日付(契約者ID認証部24に当該契約者IDに対応付けて記憶されている日付)を契約情報格納部10に格納する(ステップS141、ステップS142)。
【0081】
契約者ID認証部24に、受信した個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在しなかった場合、指紋ID認証部26に登録されている指紋特徴ベクトルと、受信した個別制御情報パケットに含まれていた指紋IDとのマッチングを行う(ステップS143)。ここいうマッチングとは指紋IDの説明の部分で述べたように、登録されている指紋特徴ベクトルと指紋IDとの内積をとり、その値が例えば「0.95」以上であることをもって一致したと判断し、「0.95」未満であった時は不一致と判断することである。
【0082】
指紋ID認識部26には、例えば、図16に示すような形式で更新日付とともに登録されている。図16において「更新日付」は、当該指紋特徴ベクトルを取得した日付を表している。
【0083】
ここで計算される内積は、指紋ID認識部26に図16に示す形式で登録されている指紋特徴ベクトルと当該パケットに含まれる指紋IDとの間で計算される。
【0084】
ステップS143で、登録されている指紋特徴ベクトルとパケット中の指紋IDとが不一致と判断されたときは、当該受信パケット(個別制御情報パケット)についての処理を終了する。
【0085】
ステップS143で、登録されている指紋特徴ベクトルとパケット中の指紋IDとが一致すると判断されたときは、次に、虹彩ID認証部29において、当該虹彩ID認証部29に登録されている虹彩特徴ベクトルと、当該パケットに含まれる虹彩IDとの間のマッチングを行う(ステップS144)。
【0086】
指紋IDの場合と同様にして両者が不一致と判断されたときには、その時点で当該受信パケットに対する処理を終了する。両者が一致すると判断されたときには(ステップS145)、当該個別制御情報パケット中の契約情報からデジタル署名を抽出し、これをデジタル署名検証部25に送り、デジタル署名検証部25では予め記憶されているデジタル署名検証鍵により、デジタル署名の検証を行う(ステップS146)。デジタル署名が検証されなかった場合は何らかの受信異常か、何らかの改竄が起こったものと考えられるので、この時点で処理を終了する。
【0087】
検証に成功した場合は、当該身体的特徴に対応するチャネル契約情報である第2のチャネル契約情報と当該身体的特徴の1つである指紋特徴ベクトルとその取得日付、当該受信パケット中の契約者IDと指紋IDと虹彩IDと、を契約情報格納部10に格納する(ステップS147、ステップS148)。この指紋特徴ベクトルの取得日付は、指紋ID認証部26に指紋特徴ベクトルが登録(入力)されたときに当該指紋特徴ベクトルに対応付けて記憶されたものである。
【0088】
契約情報格納部10には、上記のようにして、複数のユーザについてのそれぞれのチャネル契約情報などが、例えば図17に示すような形式で格納される。
【0089】
契約情報格納部10には、複数のユーザのそれぞれについての視聴制御情報として、契約者ID、第1のチャネル契約情報、第1の更新日付、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付が格納されている。
【0090】
契約者ID、第1のチャネル契約情報は、それぞれ個別制御情報に含まれていた契約者ID、第1のチャネル契約情報である。
【0091】
第1の更新日付は契約者IDを最後に認識した日付(最近の入力日付)である(図15のステップS142で記録される日付に相当するが、詳細は、後述の図18参照)。契約者IDはICカード内に実装されているのが普通であるが、複数機器での利用のため、ICカードが常に当該機器に挿入されているとは限らない。このため後述するように定期的にICカード挿入を確認する。すなわち、1回入力された契約者IDは、予め定められた期間(例えば7日間)有効であるということである。
【0092】
指紋IDは契約情報にある指紋ID、指紋特徴ベクトルは、当該放送受信装置に入力された指紋特徴ベクトルであって、当該指紋IDにマッチングした最新の指紋特徴ベクトルである。虹彩ID、第2のチャネル契約情報は契約情報中に含まれているそれであり、第2の更新日付は当該指紋特徴ベクトルを取得した(当該放送受信装置に入力した)日付である(図15のステップS148で記録される日付に相当するが、詳細は、後述の図18参照)。当該放送受信装置に入力された指紋特徴ベクトルは、それらが入力されたときから予め定められた所定期間(例えば1日)有効である。すなわち、第2の更新日付から上記所定期間は、当該指紋特徴ベクトルは有効であるということである。
【0093】
尚、図17では、同一の行にある情報は同一の契約者についての視聴制御情報であり、契約者ID「0x123456」「0x234567」「0x345678」「0x456789」の4名の視聴制御情報を示している。
【0094】
統合チャネル契約情報は、上記4名の各契約者のチャネル契約情報を統合したものである。統合チャネル契約情報は当該放送受信装置の契約情報とも言うことができ、契約判定部9で視聴可否の判断を行う際には、この統合チャネル契約情報を参照する(図13のステップS103、ステップS104参照)。
【0095】
また、本実施形態におけるチャネル契約情報の統合は単純に全てのチャネル契約情報のOR(論理和)をとるという方法を採用している。例えば、図17に示したように、4人の契約者についての視聴制御情報があれば、これら4人の第1のチャネル契約情報と第1のチャネル契約情報がなければ第2のチャネル契約情報の全ての論理和を求めることにより、統合チャネル契約情報が得られる。
【0096】
当然より複雑な契約管理のためにはより高度な統合が必要となるが、それは本発明の本質的な部分ではないので、本実施形態では簡単のためこのようにしている。
【0097】
例えば「0x123456」の契約者IDを持つ契約者は、当該放送受信装置の持ち主であり、よってICカードに記載された契約者IDを持っている。従って、当該契約者はICカードを当該放送受信装置に読み込ませることにより、自身の契約者IDを登録している。個別制御情報パケットを受信した際には、当該受信した個別制御情報パケット中に当該契約者IDに一致する契約情報が含まれていれば(図15のステップS139)、当該契約情報中の当該契約者IDに対応する第1のチャネル契約情報が、当該契約者に対応する視聴制御情報として、契約情報格納部10に格納される。このため指紋ID、虹彩ID、第2のチャネル契約情報は全て「0」となっている。図15に示すように、ステップS139に、契約者ID認証部214に受信した個別制御情報パケット中に含まれている契約者IDに一致する契約者IDがあるときは、第2のチャネル契約情報を取得する処理は行わない(行う必要がない)からである。
【0098】
次に、契約者ID「0x234567」の契約者は、契約者IDを入力せずにICカードを提示せずに)、代わりに、自らの指紋と虹彩を提示することにより、第2のチャネル契約情報を取得ている。ICカードを提示していないため第1のチャネル契約情報は取得できす、「0」となっている。契約者ID「0x345678」の契約者も同様である。また、契約者ID「0x456789」の契約者は当該受信装置の持ち主ではないが、ICカードを提示したので、上記契約者ID「0x123456」の契約者の場合と同様に、第1のチャネル契約情報を取得し、指紋ID、虹彩ID、第2のチャネル契約情報が「0」となっている。
【0099】
図17に示したように4人の視聴制御情報が契約情報格納部10に格納されているときの、当該4人のそれぞれについてのチャネル契約情報は、順番に第1のチャネル契約情報「10000010101」、第2のチャネル契約情報「00010110101」、第2のチャネル契約情報「01010010101」、第1のチャネル契約情報「10000011001」であり、これらの論理和を求めることにより、当該放送受信装置で視聴可能なチャネルを表す統合チャネル契約情報は「11010111101」となる。
【0100】
次に、図15のステップS148とステップS142における契約情報格納部10の処理について、図18と、図46に示すフローチャートを参照して説明する。
【0101】
まず、図15のステップS148における契約情報格納部10の処理について図18に示すフローチャートを参照して説明する。
【0102】
契約情報格納部10では、ある1人の視聴者に対応する視聴制御情報(この場合、契約者ID、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付を含む視聴制御情報)の入力を受けて、当該入力された指紋特徴ベクトルを含む視聴制御情報が契約情報格納部10内に存在するかを検索する(ステップS151、ステップS152)。ここで存在しなかった場合、次に入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在するかを調べる(ステップS153)。ここで当該視聴制御情報が存在する場合は、以前から視聴している契約者が再度指紋を提示したことを意味するので、第2の更新日付と第2のチャネル契約情報を更新し(ステップS154)、この第2のチャネル契約情報の内容に応じて、統合チャネル契約情報を更新して終了する(ステップS155)。
【0103】
一方、ステップS153で、入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在せず、さらに、契約情報格納部10に、ステップS151で入力した契約者IDが存在しないときは(ステップS156a)、新規に当該放送受信装置に登録した契約者であるので、当該契約者の契約者ID、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付を含む入力された当該視聴制御情報を新規に登録し(ステップS156b)、それに伴い、統合チャネル契約情報を更新して終了する(ステップS155)。
【0104】
ステップS153で、入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在しないが、契約情報格納部10には、ステップS151で入力した契約者IDが存在するときは(ステップS156a)、第1のチャネル契約情報と第1の更新日付を含む視聴制御情報が既に記憶されているので、当該視聴制御情報に、ステップS151で入力された第2のチャネル契約情報、指紋ID、虹彩ID、第2の更新日付を追加記録する(ステップS156c)。これに伴い統合チャネル契約情報も更新し処理を終える(ステップS155)。
【0105】
ステップS152において、入力された当該指紋特徴ベクトルを持つ視聴制御情報がレコードとして契約情報格納部10内に存在する場合は、指紋特徴ベクトルが変化していないということであるので、第2の更新日付を変更せず、第2のチャネル契約情報を更新すべきかだけを判断する。即ち、当該レコード中の第2のチャネル契約情報と入力された第2のチャネル契約情報を比較して、異なっていれば当該新たに入力された第2のチャネル契約情報に更新し(ステップS157、ステップS158)、それに伴い統合チャネル契約情報も更新し処理を終える(ステップS159)。ステップS157で、当該レコード中の第2のチャネル契約情報と入力さたれ第2のチャネル契約情報とが同じであれば更新せずに終了する。
【0106】
尚、ここでは契約情報格納部10に虹彩特徴ベクトルが含まれていないが、これは似通った指紋特徴ベクトルを持った人は多くいるだろうが、当該放送受信装置を視聴する人の中に限ると殆どいないと考えられる。よって指紋特徴ベクトル以外に虹彩特徴ベクトルを契約情報格納部10に登録しなくても殆ど不正視聴は起きないと考えられる。逆に、虹彩特徴ベクトルまで契約情報格納部10に含めるとデータサイズが大きくなるデメリットもある。勿論、虹彩特徴ベクトルを契約情報格納部10に登録するような構成にしても本実施形態の構成は自明な変形で足りる。
【0107】
次に、図15のステップS142における契約情報格納部10の処理について図46に示すフローチャートを参照して説明する。
【0108】
契約情報格納部10では、ある1人の視聴者に対応する視聴制御情報(この場合、契約者ID、第1のチャネル契約情報、第1の更新日付を含む視聴制御情報)の入力を受けて、当該入力された契約者IDを含む視聴制御情報が契約情報格納部10内に存在するかを検索する(ステップS501、ステップS502)。ここで存在した場合、当該契約情報格納部10に存在する視聴制御情報に第1のチャネル契約情報が含まれているかを調べる(ステップS503)。ここで存在する場合には、すでに以前から、当該契約者IDに対応するユーザは、当該契約者IDを提示することにより視聴をしていることになるので、次に、第1のチャネル契約情報を更新すべきか否かを判断するために、当該契約情報格納部10に存在する視聴制御情報に含まれている第1のチャネル契約情報が、ステップS501で入力された第1のチャネル契約情報と同一か否かを調べる(ステップS504)。同一であれば、ここで処理を終了する。一方、同一でなければ、契約情報格納部10に存在する視聴制御情報に含まれている第1のチャネル契約情報を、ステップS501で入力された第1のチャネル契約情報で更新し(ステップS505)、さらに、統合チャネル契約情報を更新して終了する(ステップS506)。
【0109】
一方、ステップS502で、ステップS501で入力された契約者IDを含む視聴制御情報が契約情報格納部10内に存在しないときには、新規に当該放送受信装置に契約者IDを入力(登録)した契約者であるので、当該契約者の契約者ID、第1のチャネル契約情報、第1の更新日付を含む入力された当該視聴制御情報を新規に登録し(ステップS507)、それに伴い、統合チャネル契約情報を更新して終了する(ステップS506)。
【0110】
また、ステップS502で、ステップS501で入力された契約者IDを含む視聴制御情報は契約情報格納部10内に存在するが、当該視聴制御情報には第1のチャネル契約情報が含まれていないとき、当該ユーザ(契約者)は、以前は、指紋や虹彩といった身体的特徴を放送受信装置に入力(登録)することにより視聴を行ったことのあるユーザであるが、今回改めて契約者IDを当該放送受信装置に入力(登録)したものと考えられる。そこで、当該契約者IDに対応する視聴制御情報に、ステップS501で入力した第1のチャネル契約情報と第1の更新日付を追加記録する(ステップS508)。これに伴い統合チャネル契約情報も更新し処理を終える(ステップS506)。
【0111】
次に、共通制御情報パケットの処理について、図19に示すフローチャートを参照して説明する。
【0112】
フィルター部6で共通制御情報パケットが抽出されると(図12のステップS7)、当該パケットは、共通制御情報復号部41に出力される(ステップS8)。
【0113】
共通制御情報復号部41では、当該パケットから第1および第2のマスター鍵識別子を抽出し(ステップS161)、当該第1および第2のマスター鍵識別子をキーにして、マスター鍵格納部22を検索し、当該第1および第2のマスター鍵識別子のそれぞれに対応するマスター鍵Kmがあるかどうかを判定する(ステップS162、ステップS163)。ここで各識別子に対応するマスター鍵があった場合は処理をここで終了する。なかった場合は新たに生成する必要があるが、その前に送信エラーやデータ改竄がないかを共通制御情報パケットに含まれるデジタル署名で検証する(ステップS164)。検証のアルゴリズムは個別制御情報パケットにおけるそれと同様であるから改めて述べない。ここで、デジタル署名が検証されなかった場合は(ステップS165)、送信エラーやデータ改竄の恐れがあるので、当該データでは新たなマスター鍵を生成せず、処理を終了する。
【0114】
デジタル署名の検証が成功した場合は(ステップS165)、第1および第2のマスター鍵識別子のうち、マスター鍵の存在しないマスター鍵識別子に対応するマスター鍵生成情報(第1のマスター鍵生成情報、第2のマスター鍵生成情報の両方あるいはいずれか一方)をマスター鍵生成部42へ送る。
【0115】
マスター鍵生成部42では当該マスター鍵生成情報に基づいて秘密のアルゴリズムを用いて、マスター鍵を生成する(ステップS166)。生成したマスター鍵は対応するマスター鍵識別子と共にマスター鍵格納部22へ格納され、全ての処理を終える(ステップS167)。
【0116】
ここで共通制御情報パケット(以下、簡単に共通制御情報とも呼ぶ)の役割について触れなくてはならない。共通制御情報はマスター鍵を安全に変更するための仕組みである。本実施形態の限定受信方式は共通のマスター鍵を持っているので、該マスター鍵がいずれかの受信装置から漏洩した場合には有料放送システムは大きな打撃を受ける。共通制御情報はこのような時、マスター鍵を安全に変更することにより、危機を回避する役割りを持っている。
【0117】
次に、契約者が放送受信装置の指紋提示部28に対して指紋を提示した時の処理を図20に示すフローチャートを参照して説明する。契約者は放送受信装置に付随する指紋提示部28に自分の指を示し、なんらかの操作をすることによって本処理が開始される。まず、指紋提示部28は、提示された指紋画像をスキャナー機能等で画像(白黒画像)で取り込み(ステップS171)、その画像から指紋IDの説明の部分で説明した手段によって、指紋特徴抽出部27は指紋特徴ベクトルを作成する(ステップS172)。作成された指紋特徴ベクトルは当該指紋特徴ベクトルを作成した日付(第2の更新日付)と共に図16に示すような形式で指紋ID認証部26に格納される(ステップS173)。尚、契約者が放送受信装置の虹彩提示部31に、虹彩情報を提示した時には、虹彩ID認証部29でも上記同様の処理が行われる。
【0118】
次に、契約情報更新部43における視聴制御情報の更新処理を図11に示す全体構成図と図21に示すフローチャートに従って説明する。
【0119】
前述したように、契約情報格納部10には、図17に示すような複数の視聴者のそれぞれに対応する視聴制御情報と、これら各視聴制御情報に含まれている第1および第2のチャネル契約情報の論理和としての統合チャネル契約情報が記録されている。
【0120】
視聴制御情報中の第1の更新日付は、前述したように、契約者IDが当該放送受信装置に登録(入力)された日付であり、この日付から予め定められた第1の有効期間(例えば、7日)の間は、当該登録された契約者IDは当該放送受信装置内では有効である。また、視聴制御情報中の第2の更新日付は、前述したように、指紋特徴ベクトルが図20に示したようにして当該放送受信装置に登録(入力)された日付であり、この日付から予め定められた第2の有効期間(例えば、3日)の間は、当該登録された指紋特徴ベクトルは当該放送受信装置内では有効である。そこで、契約情報更新部43では、登録された契約者ID、指紋特徴ベクトルが上記有効期間を経過したときに、無効となった契約者IDや指紋特徴ベクトルを含む視聴制御情報中の第1,第2のチャネル契約情報を削除する処理(更新処理)を行う。
【0121】
この更新処理は、限定受信部50内に存在する時計(図示せず)が一定時刻になったとき、若しくは前回の更新処理から一定時間経過後に起動される。
【0122】
まず、変数iを「1」に初期化する(ステップS181)。次に契約情報格納部10の第i番目の視聴制御情報を抽出する(ステップS182)。抽出した視聴制御情報の第1の更新日付を参照し、その日付が、現在より第1の有効期間(例えば、ここでは、7日)以上前であれば第1のチャネル契約情報を消去する(ステップS183、ステップS184)。第1の更新日付が現在より7日以上経過したものでなければ、次に、第2の更新日付を参照し、第2の有効期間(例えば、ここでは、3日)以上前であれば第2のチャネル契約情報を消去し(ステップS185、ステップS186)、iを1つインクリメントする(ステップS187)。
【0123】
ステップS185で、第2の更新日付が現在より3日以上経過したものでなければ上記処理を行わずにiを1つインクリメントする(ステップS187)。
【0124】
Nを契約情報格納部10に現在格納されている視聴制御情報の数を表すとき、iを1つインクリメントした後、iとNの大小を確認し、i>Nであれば、現在格納されている全ての視聴制御情報について、上記ステップS182からステップS186の処理を施したことになるので、次に、統合チャネル契約情報を更新して処理を終了する(ステップS188、ステップS189)。
【0125】
ステップS188で、iがN以下であれば、ステップS182に戻る。
【0126】
(2)契約管理装置
次に、第1の実施形態における契約管理装置の構成と動作について説明する。契約管理装置の構成例を図22に示す。本実施形態における契約管理装置には、加入者DB101、チャネルキーDB102、マスター鍵DB103の3つのデータベース(DB)があり、それぞれ、図23から図25に示すデータ構造を持つレコードを有している。
【0127】
まず、加入者DB101の1つのレコードは図23に示すように、契約者1人に対応する。各レコード(加入者データ)は、加入者ID、契約者ID、第1のチャネル契約情報、指紋ID,虹彩ID、第2のチャネル契約情報からなっている。加入者IDは加入者DB101が管理のために番号付けした番号である。本実施形態では処理アルゴリズムの簡素化のため、MAXIDまでの番号が振られており、途中欠番があっても良いとしている。契約者ID以下の意味は契約情報におけるそれと同じであるから省略する。
【0128】
チャネルキーDB102の1つのレコードは図24に示すように、1つのチャネルに対応する。各レコードは、チャネルID、チャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーからなっている。チャネルIDはチャネルキーDB102が管理のために番号付けした番号である。本実施形態では処理アルゴリズムの簡素化のため、MAXCHまでの番号が振られており途中欠番があっても良いとしている。チャネル識別子以下の意味はチャネルキー情報におけるそれと同じであるから省略する。
【0129】
マスター鍵DB103の1つのレコードは、2組のマスター鍵識別子とマスター鍵生成情報とマスター鍵とからなり、図25に示すように、第1のマスター鍵識別子、第1のマスター鍵生成情報、第1のマスター鍵、第2のマスター鍵識別子、第2のマスター鍵生成情報、第2のマスター鍵からなっている。マスター鍵識別子、マスター鍵生成情報は前述した共通制御情報のそれを同じである。また、マスター鍵はマスター鍵生成情報から限定受信部50内のマスター鍵生成部42で生成されるマスター鍵である。第1のマスター鍵と第2のマスター鍵は、それぞれ現在の利用されているマスター鍵、次回使用されるマスター鍵であり、いずれも随時生成されマスター鍵DB103に入力されているとする。
【0130】
まず、個別制御情報パケットの生成アルゴリズムを図26に示すフローチャートを参照して説明する。本アルゴリズムは放送開始時に放送送信制御部113からの指示で開始され、個別制御情報制御部112において停止することなく動き続ける。
【0131】
個別制御情報制御部112では、初めに変数i、kを「1」に初期化する(ステップS201)。ここでiは加入者ID、kはチャネルIDを表す変数である。セットされたi、kに対してまず加入者IDがiであるような加入者DB101のレコードがあるかどうか判定する。なかった場合は図28に示すフローチャートのようにiを1つインクリメントし(ステップS225)、iがMAXIDを超えるかどうかを判定する(ステップS226)。ここでiがMAXID以下であれば、図26のステップS202の加入者IDの検索に戻る。iがMAXIDを超えた場合はそれ以上加入者レコードがないので、図26のステップS201に戻り、i,kの初期化を行う。
【0132】
加入者DB101に加入者IDがiであるレコードがあったとする(図26のステップS202)。このとき当該レコードから契約者IDと第1のチャネル契約情報を取得する(ステップS203)。更に、当該レコードに指紋ID、虹彩IDが存在するかを検出し、両方とも存在した場合は、指紋ID、虹彩ID、第2のチャネル契約情報を当該レコードから取得し、取得したデータを先に取得した契約者ID、第1のチャネル契約情報と共に個別制御情報作成部111に送り、契約情報本体の生成処理に移る(ステップS204〜ステップS207)。
【0133】
ステップS204、ステップS205において、指紋ID、虹彩IDが存在しなかった場合は、契約者IDと第1のチャネル契約情報のみを個別制御情報作成部111へ送信し、契約情報本体の生成処理に移る(ステップS207)。
【0134】
ステップS207の個別制御情報作成部111における契約情報本体の生成処理について説明する。ここで言う契約情報本体とは、図4(c)に示すような契約情報のうち、情報識別子から第2のチャネル契約情報までの部分であり、言い換えればデジタル署名を生成するための範囲でもある。この生成は予め定められた情報識別子や、IDと関係付けられたID識別子と、加入者DB101のレコードから抽出されたデータを連結して行う。
【0135】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵とその識別子を取得し、当該作成された契約情報本体に対してデジタル署名を施す(ステップS208)。当該デジタル署名を契約情報本体に連結して契約情報を生成する(ステップS209)。
【0136】
次に、チャネルキー情報の生成に移る。個別制御情報作成部111はチャネルキーDB102にアクセスしてチャネルIDがkであるようなチャネルがあるかを調べる(ステップS210)。チャネルIDがkであるようなチャネルがなかった場合は、図29の示すフローチャートのようにkを1つインクリメントし(ステップS231)、kがMAXCHを超えるかどうかを判定する(ステップS232)。ここでkがMAXCH以下であれば、図26のステップS210に戻り、更新された新たなkで、再びチャネルIDの検索を行う。kがMAXCHを超えた場合は(図29のステップS232)、それ以上チャネルレコードがないのでkの初期化を行い(ステップS233)、図26のステップS210に戻り、チャネルIDの検索を行う。
【0137】
チャネルキーDB102にチャネルIDがkであるレコードがあったとする(ステップS210)。このとき当該レコードからチャネル識別子と、1対のチャネルキー識別子とチャネルキーを取得する(ステップS211)。取得したデータをチャネルキー情報のために予め定められた情報識別子と取得した上記データを図4(b)に示したチャネルキー情報の形態に連結してチャネルキー情報を生成する(ステップS212)。
【0138】
以上の処理で契約情報とチャネルキー情報が生成されたので、次にこれらを暗号化するためマスター鍵とそのマスター鍵識別子をマスター鍵DB103から取得する(図27のステップS221)。尚、この処理では現在使われている第1のマスター鍵と第1のマスター鍵識別子を取得する。
【0139】
取得したマスター鍵を利用して、まずチャネルキー情報を暗号化し(ステップS222)、次に契約情報を暗号化する(ステップS223)。このようにして、暗号化された契約情報及び暗号化されたチャネルキー情報が生成されると、次に、これら暗号化された契約情報及び暗号化されたチャネルキー情報と、個別制御情報に対して予め定められている情報識別子と、ステップS221で取得したマスター鍵識別子を図4(a)に示した形式に連結することで個別制御情報パケットを生成する(ステップS224)。
【0140】
個別制御情報作成部111で生成された個別制御情報パケットは個別制御情報制御部112を経由して放送送信制御部113から予め定められた周期毎に(あるいはスケジュールに従って)限定受信チャネルに放送送信される。
【0141】
1つの個別制御情報が生成されたら、次の個別制御情報の生成処理に入る。
【0142】
このとき、図28のフローチャートに示すとおり、変数iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する。ここでiがMAXID以下であれば、図26のステップS202の加入者IDの検索に戻る。iがMAXIDを超えた場合は、それ以上加入者レコードがないので、図26のステップS201のi,kの初期化に戻る。
【0143】
次に、共通制御情報作成部115における共通制御情報パケットの生成アルゴリズムを図30に示すフローチャートに従って説明する。本アルゴリズムはマスター鍵DB103が更新された際に、放送送信制御部113により起動される。放送送信制御部113によって起動された後、処理は共通制御情報制御部114、共通制御情報作成部115へと移される。
【0144】
共通制御情報作成部115では、マスター鍵DB103から第1のマスター鍵生成情報、第1のマスター鍵識別子、第2のマスター鍵生成情報、第2のマスター鍵識別子を取得する(ステップS251)。この取得した情報と共通制御情報に予め割り当てられた情報識別子から、図5に示したような形式で、情報識別子から第2のマスター鍵生成情報までを連結する。次に、この連結したデータに対してデジタル署名を施すため、デジタル署名生成鍵格納部117からデジタル署名生成鍵とデジタル署名検証鍵識別子を取得し、デジタル署名を作成する(ステップS252)。
【0145】
作成したデジタル署名とデジタル署名検証鍵識別子を前記連結したデータに、図5に示した形式で連結して共通制御情報パケットが完成する(ステップS253)。
【0146】
完成した共通制御情報パケットは共通制御情報制御部114を経由して放送送信制御部113から予め定められたスケジュールに従って限定受信チャネルに放送送信される。
【0147】
以上で、本実施形態の契約制御装置の説明を終了する。
【0148】
(3)第1の実施形態の変形例
ここで、幾つかのバリエーションを述べる。第1のバリエーションは契約者認識方法に関するバリエーションである。本実施形態において契約者認識の方式はICカードなどの中に実装されている契約者IDによる認識、指紋による認識、虹彩による認識であったが、これ以外にも多くの認識方式が知られている。
【0149】
まず、ICカードなどの契約者の所有物による認証方式では契約者毎に配布されているバーコードを読み込んで認識する方式が、契約者本人の記憶に基づく方式としてはパスワード方式が知られている。更に身体的特徴に基づく方式としては顔の特徴を利用する顔認識、手などの静脈を利用する静脈認識などがある。また、身体的特徴ではないが、個人の特性が出る手書き文字を利用する文字認識、声紋を利用する音声認識などがある。
【0150】
これらはバイオメトリクスと総称されている個人に依存する特徴に基づく認識方式である。本実施形態ではこれらの特徴を(個人の特性による認証も含めて)身体的特徴と言っている。
【0151】
これらに対応するIDはバーコードの場合はバーコードによって表現されている数字列、パスワードの場合はパスワードの数字列(パスワードが文字列の場合はコード化などの手段で数字列に対応させた数字列)。身体的特徴に基づく認識方式の場合はその特徴ベクトルがIDとなる。
【0152】
尚、ここに挙げた認識方式は一例であって、基本的に契約者が何らかの形で認証できる方式ならば何でもよく、その意味で将来発明される認証方式も含まれる。
【0153】
第2のバリエーションは契約情報内のチャネル契約情報に関するバリエーションである。本実施形態においてチャネル契約情報は、契約者IDのような、身体的特徴に基づかないIDに対応した第1のチャネル契約情報と、身体的特徴に基づくIDに対応した第2のチャネル契約情報に分かれていたが、これを統一して1つにすることも考えられるし、逆に身体的特徴に基づくか基づかないかに寄らず、少なくとも1つのIDからなる組に対して1つのチャネル契約情報を対応付ける方法も考えられる。更に極端に各IDに1つのチャネル契約情報を対応付ける方法も考えられる。これらのどれを実現するかは放送サービスが決めることであって、放送サービスによって特別な構成方法が意味を持つことがある。
【0154】
例えば信頼性の高い認識方式は他人の契約情報を誤認識することはほとんどないので契約どおりのチャネル契約情報を与える。これにはICカードやバーコードによる契約者IDの認証があたる。これらによる認識はほとんど誤ることはない。一方、第1のバリエーションで述べた文字認識や音声認識による認証は似た文字を書く人は多いし、似た声を出す人は多いので誤認識する可能性が高い。このため、このような認識で得られるチャネル契約情報は実際契約しているチャネル契約情報よりも視聴できるチャネルを限定する(例えば、視聴可能なチャネル数を少なくする)。このようにすることによって視聴者はより信頼性の高い認識方法で認証しようとするからである。
【0155】
尚、本バリエーションを構成するには前述の構成とアルゴリズムに自明な変形を施せば良い。
【0156】
第3のバリエーションは契約者認証方式にパスワードを含めるものである。上記第1の実施形態においては身体的特徴による認証として指紋特徴と虹彩特徴を扱ったが、これらはID自体のデータ量が大きいばかりでなく、マッチング処理に時間がかかるという問題点があった。かといってどちらか1つだけでは類似した特徴を持つ他の契約者の存在があり、現実的ではなかった。そこで指紋特徴による認証に加えて、パスワード認証を行うことにより、(360次元空間で指紋特徴が似通っている人はそう多くはないので)コストを掛けて虹彩特徴による認証を行わなくても正確な契約者認証が実現できる。このバリエーションを実現するには虹彩IDをパスワードに置換えて、虹彩による認証を行う部分をパスワード認証に置換えれば足りる。
【0157】
以上説明したように、上記第1の実施形態によれば、配信装置としての契約管理装置は、放送配信されるコンテンツ情報を利用する複数のユーザのそれぞれに対し、各ユーザ個別の制御情報(個別制御情報パケット)を暗号化して配信し、この制御情報には、(a)当該ユーザを認証するための当該ユーザに予め定められた第1の認証情報(契約者ID)と、(b)当該制御情報を受信した受信装置において、当該第1の認証情報により当該ユーザが認証されたときに、複数のコンテンツ情報のうち当該ユーザが利用可能なコンテンツ情報を再生可能にする第1の制御情報(第1のチャネル契約情報)と、(c)当該制御情報を受信した受信装置において、第1の認証情報では当該ユーザを認証することはできないときに用いられる認証情報であって、当該ユーザを認証するための当該ユーザの身体的特徴に基づき生成された第2の認証情報(指紋IDと虹彩ID)と、(d)当該制御情報を受信した受信装置において、当該第2の認証情報により当該ユーザが認証されたときに、複数のコンテンツ情報のうち当該ユーザが利用可能なコンテンツ情報を再生可能にする第2の制御情報(第2のチャネル契約情報)を含む。
【0158】
放送受信装置(受信装置)は、当該受信装置を利用しようとするユーザにより入力された、当該ユーザを認証する際に用いられる、当該ユーザの識別情報(契約者IDなどの文字列情報)と当該ユーザの身体的特徴情報(指紋と虹彩の特徴ベクトル)のうちの少なくとも一方が登録される。暗号化された制御情報を受信、および復号するたびに、登録されている文字列情報や身体的特徴情報と、当該復号された制御情報に含まれる第1の認証情報と第2の認証情報とを照合する。そして、当該第1の認証情報と一致する識別情報が登録されているときには、当該制御情報に含まれている第1の制御情報より利用可能と指定されているコンテンツ情報を再生することができる。また、当該復号された制御情報に含まれる第1の認証情報と一致する識別情報は登録されていないときでも、当該制御情報に含まれている第2の認証情報と所定の類似範囲にある身体的特徴情報が登録されているときには、当該制御情報に含まれている第2の制御情報により利用可能と指定されているコンテンツ情報を再生することができる。
【0159】
なお、放送受信装置に登録された契約者IDや指紋ID、虹彩IDなどの認証情報には、それぞれ有効期間が定められており、前契約者IDや指紋ID、虹彩IDが登録されてから、それぞれに予め定められた有効期間が経過したときには、当該認証情報は所定の記憶手段から消去される。
【0160】
指紋IDや虹彩IDなどの身体的特徴情報で視聴する場合には、契約者IDで視聴する場合よりもより限定された条件(例えば、視聴できるチャネル数や視聴時間帯など)でしか視聴できないようにすることにより、モバイル放送に適した有料放送サービスを実現することもできる。
【0161】
また、上記実施形態によれば、1つの放送受信装置に複数の契約者がそれぞれの契約者ID、指紋IDや虹彩IDなどの身体的特徴情報を登録すると、各契約者に対応するチャネル契約情報(契約者の登録したIDに応じて、第1のチャネル契約情報であることもあれば第2のチャネル契約情報であることもある)が放送受信装置の契約情報格納部10に記憶されることになる(図17参照)。その際、契約情報格納部10に格納されている複数の契約者のそれぞれに対応する複数のチャネル契約情報の論理和としての統合チャネル契約情報に基づき、コンテンツ情報を再生することになる。すなわち、契約情報格納部10に格納されている複数の契約者のそれぞれに対応する複数のチャネル契約情報のうちの少なくとも1つにより利用可能と指定されているコンテンツ情報を再生することができる。
【0162】
このように、上記第1の実施形態に係る放送システムによれば、例えば契約者IDを記録したIDカードなどをわざわざ所持しなくとも、契約者自身の身体的特徴を放送受信装置に入力(登録)しさえすれば、契約したチャネルをどの放送受信装置からでも視聴することができる。
【0163】
また、チャネル契約情報に、所定の料金の支払いにより契約された契約期間のみ視聴可能なように、当該チャネル契約情報の有効期限を追加してもよい。そして、各チャネル契約情報の有効期限は、チャネル契約情報とともに契約情報格納部10に格納され、図13のステップS104で、コンテンツ情報を復号するためのチャネルキーを出力する際に、当該チャネルに対応する契約フラグが「1」である(複数、あるいは少なくとも1つの)チャネル契約情報のうちの少なくとも1つが当該有効期限内であればチャネルキーを出力する。当該チャネルに対応する契約フラグが「1」であるチャネル契約情報が全て当該有効期限切れであれば、チャネルキーは出力しない。このように制御することで、契約者は、契約したチャネルを契約期間内のみ、どの放送受信装置からでも視聴することができる。
【0164】
(第2の実施形態)
第2の実施形態は放送受信装置毎に個別のマスター鍵を有する限定受信システムの場合について説明する。このような限定受信システムにおいては各放送受信装置対し、個別に契約情報を暗号化して送信する必要がある。このため、放送送信量は膨大になるが、1つのマスター鍵が破られても被害範囲は当該放送受信装置のみに限定されるという利点がある。
【0165】
従来の技術として説明したように、このような限定受信は図31に示すように、3段の鍵構成を採用している。即ちチャネルキーKchをワーク鍵で暗号化して送信し、当該チャネルを含む契約チャネルのワーク鍵はチャネル契約情報と共に放送受信装置に個別に設定されたマスター鍵Kmで暗号化されて送信される。
【0166】
該送信されたチャネルキーを使って放送コンテンツを復号する。ここで、放送コンテンツはチャネルキーKchを使って共通鍵暗号方式で暗号化されているので、このチャネルキーで復号できる。
【0167】
ここでチャネルキーは解読を防ぐため通常10秒程度の短時間で変更しなくてはならない。このチャネルキーを契約者個別のマスター鍵で暗号化して個別に送信したのでは送信量が膨大になり過ぎ送信不可能となる。そこで中間にワーク鍵と呼ばれる鍵を用意し、チャネルキーは該ワーク鍵で暗号化し、ワーク鍵の変更を1ヶ月に1回程度とし、これを個別のマスター鍵で送信している。
【0168】
さて、本実施形態の限定受信システムにおいて放送受信装置が受信するデータは、第1の実施形態と同様にコンテンツパケット、個別制御情報パケット、共通制御情報パケットの3種類である。コンテンツパケットは第1の実施形態と同じである。
【0169】
個別制御情報パケットは、各放送受信装置個別のマスター鍵で暗号化された契約情報(チャネル契約情報とワーク鍵を含む)を配信するためのパケットで、図32に示すデータ構造のパケットである。なお、図32(a)に示すパケットは、契約者の契約者IDなどに対応する身体的特徴ではないIDに対応する第1の契約関連情報を送信するためのパケットであり、図32(b)に示すパケットは、契約者の指紋IDや虹彩IDなどの身体的特徴に基づきIDに対応する第2の契約関連情報を送信するためのパケットである。
【0170】
個別情報制御パケットのデータ構造は、どちらも、情報識別子、IDの数、該IDの数だけのID識別子とIDのペア、暗号化された契約関連情報からなっている。
【0171】
情報識別子は当該パケットの種別を示すもので、ここでは個別制御情報パケットであることを示す識別子を記述する。IDの数はIDとID識別子のペアの数を表している。図32(a)に示すパケットではIDの数は1つである。ID識別子は、これに続くIDが何に関するIDであるかを示すものであり、図32(a)の例におけるID識別子は、契約者IDを示す識別子が入る。IDは第1の実施形態のそれと同じである。
【0172】
図32(b)に示す個別制御情報パケットではIDの数は2つあり、前半のID識別子には指紋IDを示す識別子が、後半のID識別子には虹彩IDを示す識別子が入る。
【0173】
図32(a)(b)に示す個別制御情報パケットには、暗号化された契約関連情報が含まれている。どちらの契約関連情報も図33に示すようなデータ構造をもつ。すなわち、ワーク鍵情報の数nとn個のワーク鍵情報、チャネル契約情報、署名検証鍵識別子、デジタル署名からなる。
【0174】
ワーク鍵情報の数nは、これに続くワーク鍵情報の数を示している。チャネル契約情報は、第1の実施形態と同じく契約者IDに対応したチャネル契約情報であり、図32(a)の個別制御情報パケットの場合には、第1のチャネル契約情報であり、図32(b)の個別制御情報パケットの場合は、第2のチャネル契約情報である。第1および第2のチャネル契約情報は前述した第1の実施形態の場合と同様である。
【0175】
デジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図32(a)、(b)の情報識別子から第1、第2のチャネル契約情報までの部分をデジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0176】
契約関連情報に含まれている第1〜第nのワーク鍵情報のそれぞれは、図34に示すようなデータ構造をもつ。すなわち、当該ワーク鍵はチャネル毎に設けられているので、当該チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵からなっている。ここで、チャネル識別子は、これに続くワーク鍵識別子とワーク鍵のベアがどのチャネルに対応するものかを示す情報である。ワーク鍵識別子は、これに続くワーク鍵の識別子を表している。
【0177】
図34ではワーク鍵識別子とワーク鍵を2組含めて送信しているが、これは更新時に視聴が途切れないようにするため、現在のワーク鍵と次のワーク鍵を2組同時に送信している。尚、このようにワーク鍵を2組送信してもよし、1組のみを送信する構成でもよいし、また、3組以上送信しても良い。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0178】
個別制御情報パケットは、例えば現行放送規格のEMM(Entitlement Management Message)にあたる。
【0179】
共通制御情報パケットは、ワーク鍵で暗号化されたチャネルキーを配信するためにもので、図35に示すようなデータ構造のパケットである。情報識別子、ワーク鍵識別子、チャネル識別子、チャネルキー識別子とチャネルキーのペアからなっている。
【0180】
情報識別子は当該パケットの種別を示すもので、ここでは、共通制御情報パケットであることを示す識別子を記述する。
【0181】
ワーク鍵識別子は、チャネル識別子以下を復号できるワーク鍵の識別子を表している。チャネル識別子は以下のチャネルキーがどのチャネルに関するものかを示すための識別子である。またチャネルキー識別子は続くチャネルキーの識別子である。チャネルキー識別子とチャネルキーが2組ある理由は前記ワーク鍵の場合と同様である。
【0182】
この共通制御情報パケットは、例えば現行CS放送規格のECM(Entitlement Contorol Message)にあたる。
【0183】
(1)放送受信装置
次に、第2の実施形態に係る放送受信装置の構成と動作について説明する。放送受信装置の全体の構成例を図36に示し、全体のアルゴリズムを図37〜図38のフローチャートに示す。
【0184】
なお、図36において、図11と同一部分には同一符号を付し、異なる部分の構成と、動作についてのみ図37〜図38に従って説明する。すなわち、図12のステップS0〜ステップS6までの処理は、そのまま図36の放送受信装置にも適用でき、ステップS7〜ステップS10の個別制御情報パケットの処理と共通制御情報パケットの処理のみを説明する。
【0185】
まず、個別制御情報パケットの処理動作につい説明する。
【0186】
フィルター部6で個別制御情報パケットが抽出されると(図12のステップS9)、当該個別制御情報パケットは、契約情報認証部23に出力される(図12のステップS10)。
【0187】
個別制御情報パケットが契約情報認証部23に入力されると、契約情報認証部23では、当該パケットからID識別子を抽出する(図37のステップS301)。抽出されたID識別子の中に契約者IDがある場合は契約者ID認証部24に該契約者IDと一致する契約者IDが登録されているか問い合わせる(ステップS302)。契約者IDが登録されてない場合は、当該個別制御情報パケットの処理を終了する(ステップS303)。
【0188】
当該契約者IDが登録されていた場合は、マスター鍵生成部42に当該契約者IDと暗号化された契約関連情報を出力する。マスター鍵生成部42では契約者IDを参照して、当該契約者IDに対応する第1のマスター鍵をマスター鍵としてマスター鍵格納部22から取り出す(ステップS304)。
【0189】
一方、ステップS302で、個別契約情報パケット中に契約者IDに対応するID識別子がないときには、契約情報認証部23は、当該パケット中のID識別子に指紋IDに対応するID識別子があるか否かを調べる(ステップS310)。指紋IDに対応するID識別子があれば、当該パケット中の指紋IDを指紋ID認証部26渡し、当該指紋IDにマッチングする指紋特徴ベクトルがあるか否かを調べる(ステップS311)。指紋特徴ベクトルと指紋IDとのマッチングは第1の実施形態と同様である。ここでもしマッチする指紋特徴ベクトルがない場合はここで処理を終了する。マッチする指紋特徴ベクトルがあった場合は、さらに、虹彩ID認証部29に登録されている虹彩特徴ベクトルの中に、個別制御情報パケット中の虹彩IDにマッチングする虹彩特徴ベクトルがあれば(ステップS312)、当該個別制御情報パケットをマスター鍵生成部42に出力する。マスター鍵生成部42では個別制御情報パケット中の指紋ID及び虹彩IDから秘密のアルゴリズムを使って、第2のマスター鍵を生成し、これをマスター鍵とする(ステップS313)。
【0190】
なお、ステップS312において、虹彩ID認証部29に登録されている虹彩特徴ベクトルの中に、個別制御情報パケット中の虹彩IDにマッチングする虹彩特徴ベクトルがないときは、当該パケットの処理を終了する。
【0191】
ここでは、マスター鍵は個別に放送受信装置若しくはICカードに与えられている。しかし、ICカードを持たず契約者本人の所有でない放送受信装置で視聴するため、指紋IDや虹彩IDなどの身体的特徴で認識した場合は契約者のマスター鍵(上記第1のマスター鍵に対応する)を利用することができない。そのような場合は、上記のように身体的特徴から求められたID情報を利用してマスター鍵(上記第2のマスター鍵に対応する)を生成する必要がある。
【0192】
第2のマスター鍵の生成の方法は、例えば任意長のデータを固定長のデータにするハッシュ関数などを用いる方法、ハッシュ関数で得た値を鍵として固定したデータで暗号化してできたデータを使う方法など様々考えられる。
【0193】
さて、ステップS304やステップS313でマスター鍵が得られると、次に、ステップS305へ進み、個別制御情報パケットは個別制御情報復号部21に送られ、ここで、上記マスター鍵を利用して契約関連情報の復号を行う。
【0194】
復号された第1、第2の契約関連情報から署名検証鍵識別子とデジタル署名を取得し、デジタル署名検証部25にて署名検証鍵識別子の署名検証鍵を利用してデジタル証明書の検証を行う(ステップS306)。ここで検証に失敗した場合は(ステップS307)、当該個別制御情報パケットの処理を終了する。署名検証に成功した場合は、次に、契約関連情報に含まれているワーク鍵情報を取得し、ワーク鍵格納部62に格納する(図38のステップS314、ステップS315)。
【0195】
次に、チャネル契約情報を取得する。現在処理対象の個別制御情報パケットが図32(a)に示したような契約者IDに対応する第1のチャネル契約情報を含むパケットとである場合には(ステップS316)、復号された契約関連情報から第1のチャネル契約情報を取り出して、それと、契約者IDと日付(登録された契約者IDに対応付けられている日付であって、当該契約者IDが登録された日付)とともに契約情報格納部10に格納する(ステップS317)。現在処理対象の個別制御情報パケットが図32(b)に示したような指紋ID、虹彩IDに対応する第2のチャネル契約情報を含むパケットとである場合には(ステップS316)、復号された契約関連情報から第2のチャネル契約情報を取り出して、それと、指紋IDと虹彩IDと指紋特徴ベクトルと日付(登録された指紋特徴ベクトルに対応付けられている日付であって、当該指紋特徴ベクトルが登録された日付)とともに契約情報格納部10に格納する(ステップS318)。
【0196】
以上で個別制御情報の処理の説明を終了する。
【0197】
次に、共通制御情報パケットの処理について、図39のフローチャートに従って説明する。
【0198】
フィルター部6で共通制御情報パケットが抽出されると(図12のステップS7)、当該パケットは、共通制御情報復号部41に出力される(ステップS8)。
【0199】
共通制御情報パケットが共通制御情報復号部41に入力されると、共通制御情報復号部41では、当該パケットからワーク鍵識別子を抽出し(図39のステップS321)、該ワーク鍵識別子をキーにして、ワーク鍵格納部62を検索する(ステップS322)。ここで当該ワーク鍵識別子に対応するワーク鍵がなかった場合は、処理をここで終了する(ステップS323)。あった場合は当該ワーク鍵を取得し、共通制御情報の暗号化部分(チャネル識別子から第2のチャネルキーまでの部分)を復号して(ステップS324)、チャネル識別子と、第1及び第2のチャネルキー識別子とチャネルキー情報を取得する。
【0200】
取得されたチャネル識別子と第1及び第2のチャネルキー識別子とチャネルキー情報をチャネルキー格納部11に格納する(ステップS325)。以上で共通制御情報の処理の説明を終了する。
【0201】
尚、契約者が放送受信装置の指紋提示部28に対して指紋を提示した時の処理及び契約情報更新部43における視聴制御情報の更新処理は第1の実施形態と同様である。以上で第2の実施形態の受信装置の説明を終了する。
【0202】
(2)契約管理装置
次に、第2の実施形態にかかる契約管理装置の構成と動作について説明する。
【0203】
契約管理装置の構成例を図40に示す。なお、図40において、図22と同一部分には同一符号を付し、異なる部分について説明する。
【0204】
第2の実施形態における契約管理装置には、加入者DB101、チャネルキーDB102、図22のマスター鍵DB103に代わるワーク鍵DB104の3つのデータベースがある。チャネルキーDB102に記憶されているデータ(レコード)のデータ構造は、第1の実施形態と同様である(図24参照)。異なるのは、加入者DB101とワーク鍵DB104に記憶されているデータ(レコード)のデータ構造であり、これらを図41、図42に示す。
【0205】
加入者DB101の1つのレコードは契約者1人に対応し、図41に示すように、加入者ID、契約者ID、第1のチャネル契約情報、第1のマスター鍵、指紋ID、虹彩ID、第2のチャネル契約情報、第2のマスター鍵からなっている。
【0206】
第1のマスター鍵、第2のマスター鍵が追加されている以外は、第1の実施形態の場合と同様であるので、説明は省略する。第1のマスター鍵と第2のマスター鍵は、第2の実施形態にかかる放送受信装置において、個別制御情報を復号する際に用いたものと同じもので(図37のステップS304、ステップS313参照)、第1のマスター鍵は、契約者IDに対応する契約関連情報を暗号化する鍵であり、第2のマスター鍵は、指紋ID、虹彩IDに対応する契約関連情報を暗号化する鍵である。
【0207】
ワーク鍵DB104の1つのレコードは1つのチャネルに対応し、図42に示すように、チャネルID、チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵からなっている。
【0208】
チャネルIDはチャネルキーDB102が管理のために番号付けした番号である。第2の実施形態では処理アルゴリズムの簡素化のため、MAXCHまでの番号が振られており途中欠番があっても良いとしている。
【0209】
チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵は、図34に示したワーク鍵情報と同様である。
【0210】
次に、個別制御情報パケットの生成アルゴリズムを図40の全体構成図を参照しながら、図43、図44のフローチャートに従って説明する。本アルゴリズムは放送開始時に放送送信制御部113からの指示で開始され、個別制御情報制御部112において停止することなく動き続ける。個別制御情報制御部112では、初めに変数iを「1」に初期化する(ステップS401)。ここでiは加入者IDを表す変数である。セットされたiに対して、まず加入者IDがiであるような加入者DB101のレコードがあるかどうか判定する(ステップS402)。
【0211】
ステップS402において、加入者IDがiであるような加入者DB101のレコードが存在しないときは、図44のステップS421へ進み、iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する(ステップS422)。ここでiがMAXID以下であれば、図43のステップS402の加入者IDの検索に戻る。iがMAXIDを超えた場合は、それ以上加入者レコードがないので、図43のステップS401のiの初期化に戻る。
【0212】
さて、ステップS402において、加入者DB101に加入者IDがiであるレコードがあったとする。このとき当該レコードから契約者IDと第1のチャネル契約情報を取得する(ステップS403)。更に第1のチャネル契約情報を参照して、当該契約者の契約したチャネルのワーク鍵情報(チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵)をワーク鍵DB104から取得する(ステップS404)。すなわち、ステップS403で取得した当該契約者の第1のチャネル契約情報中のフラグが「1」のチャネルに対応するワーク鍵情報をワーク鍵DB104から取得する。ここで取得したワーク鍵情報が全部でn個であるとすると、ここでは、これらを第1〜第nのワーク鍵情報と呼ぶ。
【0213】
これら取得したデータは、個別制御情報作成部111に送られ、個別制御情報作成部111では、これらデータを繋げて、図33に示したようなデータ構造の契約関連情報本体を作成する(ステップS405)。すなわち、図33に示すように、先頭は、ワーク鍵情報の数nであり、これに続き、第1〜第nのワーク鍵情報と第1のチャネル契約情報を繋げて契約関連情報本体を作成する。
【0214】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵情報を取得し、図32(a)に示すような個別制御情報パケットを構成する情報識別子から契約者IDの部分にさらに、該契約関連情報本体を連結したものに対し、該デジタル署名生成鍵を使ってデジタル署名を施し、この生成されたデジタル署名をデジタル署名生成鍵識別子と共に、図33に示すような形式に契約関連情報本体の後に連結して契約関連情(すなわち、第1の契約関連情報)を作成する(ステップS406、ステップS407)。
【0215】
次に、ステップS402で取得した当該加入者レコードにある第1のマスター鍵を取得し(ステップS408)、当該第1のマスター鍵を利用して、図33に示した構成の第1の契約関連情報を暗号化する(ステップS409)。暗号化された第1の契約関連情報に、図32(a)に示す情報識別子から契約者IDまでの部分を、図32(a)に示す形式になるよう連結して個別制御情報を生成する(ステップS410)。
【0216】
第1のチャネル契約情報に対応する個別制御情報の生成が終了したら、次に、第2のチャネル契約情報に対応する個別制御情報の生成処理に移る。ステップS402で取得した当該加入者レコードに指紋ID,虹彩IDが存在するかを検出し、両方とも存在した場合は指紋ID,虹彩ID,第2のチャネル契約情報を当該レコードから取得する(図44のステップS411〜ステップS413)。
【0217】
更に第2のチャネル契約情報を参照して、当該契約者の契約したチャネルのワーク鍵情報(チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵)をワーク鍵DB104から取得する(ステップS414)。すなわち、ステップS413で取得した当該契約者の第2のチャネル契約情報中のフラグが「1」のチャネルに対応するワーク鍵情報をワーク鍵DB104から取得する。ここで取得したワーク鍵情報が全部でn個であるとすると、ここでは、これらを第1〜第nのワーク鍵情報と呼ぶ。
【0218】
これら取得したデータは個別制御情報作成部111に送られ、契約情報本体の生成処理に移る。
【0219】
個別制御情報作成部111では、これら取得したデータを繋げて、図33に示したようなデータ構造の契約関連情報本体を作成する(ステップS415)。
【0220】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵情報を取得し、図32(b)に示すような個別制御情報パケットを構成する情報識別子から虹彩IDの部分にさらに、該契約関連情報本体を連結したものに対し、該デジタル署名生成鍵を使ってデジタル署名を施し、この生成されたデジタル署名をデジタル署名生成鍵識別子と共に、図33に示すような形式に契約関連情報本体の後に連結して契約関連情報(すなわち、第2の契約関連情報)を作成する(ステップS416、ステップS417)。
【0221】
次に、ステップS402で取得した当該加入者レコードにある第2のマスター鍵を取得し(ステップS418)、当該第2のマスター鍵を利用して、図33に示した構成の第2の契約関連情報を暗号化する(ステップS419)。暗号化された第2の契約関連情報に、図32(b)に示す情報識別子から契約者IDまでの部分を、図32(b)に示す形式になるよう連結して個別制御情報を生成する(ステップS420)。
【0222】
生成された個別制御情報パケットは個別制御情報制御部112を経由して放送送信制御部113からスケジュールに従って限定受信チャネルを通じて放送送信される。
【0223】
以上が1加入者レコードに対する個別制御情報パケットの生成処理である。次の加入者レコードに進むには、次に、ステップS421へ進み、iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する(ステップS422)。ここでiがMAXID以下であれば、図43のステップS402の加入者IDの検索に戻り、iがMAXIDを超えた場合は、それ以上加入者レコードがないので、ステップS401の初期化に戻ることによって、個別制御情報を間断なく繰り返し作成し送信する。
【0224】
次に、共通制御情報パケットの生成アルゴリズムを、図40の全体構成図を参照しながら図45のフローチャートに従って説明する。本アルゴリズムは放送開始時に放送送信制御部113により起動される。本アルゴリズムは放送送信制御部113によって起動された後、処理は共通制御情報制御部114、共通制御情報作成部115へと移され、共通制御情報作成部115においてチャネルIDを示す変数iを「1」に初期化する(ステップS421)。セットされたiに対してまずチャネルIDがiであるようなレコードがチャネルキーDB102にあるかどうか判定する(ステップS422)。ない場合は、ステップS427へ進み、iを1つインクリメントし、iがMAXCHを超えるかどうかを判定する(ステップS428)。MAXCHは第1の実施形態と同様にチャネルIDの最大値である。ステップS428で、iがMAXCH以下であれば、ステップS422のチャネルID検索に戻る。iがMAXIDを超えた場合は、それ以上チャネルキーレコードがないので、ステップS421のiの初期化に戻る。
【0225】
ステップS422において、チャネルキーDB102に、チャネルIDがiであるレコードがあったとする。このとき当該レコードからチャネル識別子、2組のチャネルキー識別子とチャネルキーのペア(第1のチャネルキー識別子と第1のチャネルキー、第2のチャネルキー識別子と第2のチャネルキー)を取得する(ステップS423)。更にワーク鍵DB104を検索して、当該取得したチャネル識別子に対応するワーク鍵情報を取得する(ステップS424)。
【0226】
一方、取得したチャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーを図35に示す形式に連結し、主要部データを作成する。次に、ステップS424で取得したワーク鍵情報からワーク鍵を抽出し、該ワーク鍵で当該主要部データを暗号化する(ステップS425)。当該暗号化された主要部データと該ワーク鍵情報から抽出したワーク鍵識別子及び共通制御情報であることを示す情報識別子を、図35のようの連結して共通制御情報が作成される(ステップS426)。
【0227】
作成された共通制御情報は共通制御情報制御部114を経由して放送送信制御部113からスケジュールに従って限定受信チャネルで放送送信される。
【0228】
以上が1チャネルキーレコードに対する共通制御情報パケットの生成処理である。次のチャネルキーレコードに進むにはiを1つインクリメントし(ステップS427)、iがMAXCHを超えるかどうかを判定する(ステップS428)。ここでiがMAXCH以下であれば、ステップS422のチャネルキーIDの検索に戻り、iがMAXCHを超えた場合は、それ以上チャネルキーレコードがないので、ステップS4221のiの初期化に戻ることによって、共通制御情報を間断なく繰り返し作成し送信する。
【0229】
以上で第2の実施形態の契約制御装置の説明を終了する。
【0230】
(3)第2の実施形態の変形例
第2の実施形態についても、第1の実施形態で説明したのと同様のバリエーションが成立し、同様の効果がある。但し、第1の実施形態の第3のバリエーションに関しては、単に、個別制御情報パケット中の虹彩IDをパスワードに置換えるのではなく、パスワードは契約関連情報に含め、第2のマスター鍵で暗号化しておく構成が望ましい。何故なら、パスワードは契約本人以外でも入力すれば足りるものであるから未暗号化部にパスワードが存在すると、それを発見した他の契約者が自分の指紋特徴ベクトルとマッチングする指紋IDに付けられているパスワードを盗聴し、該盗聴したパスワードを放送受信装置に入力することにより、他の契約者に成りすまして視聴することが可能となるからである。このように、上記第2の実施形態において、パスワードを契約関連情報に含め、放送受信装置では、指紋特徴による認証に加えて、パスワード認証を行うことにより、(360次元空間で指紋特徴が似通っている人はそう多くはないので)コストを掛けて虹彩特徴による認証を行わなくても正確な契約者認証が実現できる。
【0231】
一方、契約者が少ない場合は第3のバリエーションを第1の実施形態の通り実現しても(すなわち、個別制御情報パケット中の虹彩IDをパスワードに置換える)、自分の指紋特徴ベクトルとマッチングする他の契約者の指紋IDが見つかる可能性が低いので特に問題にならない。
【0232】
以上説明したように、上記第2の実施形態によれば、前述した第1の実施形態と同様の効果が得られる。
【0233】
なお、上記第1の実施形態と同様に、チャネル契約情報に、所定の料金の支払いにより契約された契約期間のみ視聴可能なように、当該チャネル契約情報の有効期限を追加してもよい。
【0234】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピーディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0235】
なお、本発明は、上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。さらに、上記実施形態には種々の段階の発明は含まれており、開示される複数の構成要件における適宜な組み合わせにより、種々の発明が抽出され得る。例えば、実施形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題(の少なくとも1つ)が解決でき、発明の効果の欄で述べられている効果(のなくとも1つ)が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【0236】
【発明の効果】
以上説明したように、本発明によれば、例えば所定の料金の支払いにより、利用可能(視聴可能)なコンテンツ情報をどこでも(どの受信装置からでも)受信・再生することができる。
【図面の簡単な説明】
【図1】チャネル契約情報の一具体例を示した図。
【図2】第1の実施形態に係る鍵構造を説明するための図。
【図3】コンテンツパケットのデータ構造を示した図。
【図4】個別制御情報パケットのデータ構造を示した図。
【図5】共通制御情報パケットのデータ構造を示した図。
【図6】指紋の画像の一例を示した図。
【図7】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図8】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図9】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図10】指紋特徴ベクトルについて説明するための図。
【図11】第1の実施形態にかかる放送受信装置の構成例を示した図。
【図12】放送受信装置の処理動作を説明するためのフローチャート。
【図13】放送受信装置の処理動作のうち、コンテンツパケットに対する処理を説明するためのフローチャート。
【図14】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図15】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図16】指紋ID認識部における、ユーザにより登録された指紋IDの記憶例を示した図。
【図17】契約情報格納部におけるチャネル契約情報と統合チャネル契約情報の記憶例を示した図。
【図18】契約情報格納部の処理動作を説明するためのフローチャート。
【図19】放送受信装置の処理動作のうち、共通制御情報パケットに対する処理を説明するためのフローチャート。
【図20】放送受信装置の指紋提示部に対してユーザが指紋を提示した時の処理動作を説明するためのフローチャート。
【図21】契約情報更新部における視聴制御情報の更新処理を説明するためのフローチャート。
【図22】第1の実施形態にかかる契約管理装置の構成例を示した図。
【図23】加入者DBに記憶されているデータの構造を示した図。
【図24】チャネルキーDBに記憶されているデータの構造を示した図。
【図25】マスター鍵DBに記憶されているデータの構造を示した図。
【図26】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図27】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図28】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図29】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図30】契約管理装置における共通制御パケットの生成処理動作を説明するためのフローチャート。
【図31】第2の実施形態にかかる鍵構造を説明するための図。
【図32】個別制御情報パケットのデータ構造を示した図。
【図33】契約関連情報のデータ構造を示した図。
【図34】ワーク鍵情報のデータ構造を示した図。
【図35】共通制御情報パケットのデータ構造を示した図。
【図36】第2の実施形態にかかる放送受信装置の構成例を示した図。
【図37】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図38】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図39】放送受信装置の処理動作のうち、共通制御情報パケットに対する処理を説明するためのフローチャート。
【図40】第2の実施形態にかかる契約管理装置の構成例を示した図。
【図41】加入者DBに記憶されているデータの構造を示した図。
【図42】ワーク鍵DBに記憶されているデータの構造を示した図。
【図43】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図44】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図45】契約管理装置における共通制御パケットの生成処理動作を説明するためのフローチャート。
【図46】契約情報格納部の処理動作を説明するためのフローチャート。
【符号の説明】
6…フィルター部
7…デスクランブル部
8…チャネルキー出力部
9…契約判定部
10…契約情報格納部
11…チャネルキー格納部
12…チャネル情報入力部
21…個別制御情報復号部
22…マスター鍵格納部
23…契約情報認証部
24…契約者ID認証部
25…デジタル署名検証部
26…指紋ID認証部
27…指紋特徴抽出部
28…指紋提示部
29…虹彩ID認証部
30…虹彩特徴抽出部
31…虹彩提示部
41…共通制御情報復号部
42…マスター鍵生成部
43…契約情報更新部
62…ワーク鍵格納部
50、51…限定受信部
【発明が属する技術分野】
本発明は、例えば、契約内容(期間、視聴チャネル)に応じて放送配信されるコンテンツを復号する有料放送システムに関する。
【0002】
【従来の技術】
デジタル放送は、通信衛星(CS)に始まって、ケーブルTV、地上放送へとデジタル化が進むにつれ、一層のサービスの充実が期待されており、これからの放送サービスの主役をつとめていくものと思われる。
【0003】
デジタル放送の最大の特徴は、情報圧縮技術の導入により、番組の送信に要する周波数の使用効率の向上が図れ、アナログ放送に比較して放送チャネル数の大幅な増加が可能になってことである。更に、高度な誤り訂正技術が適用できるため、高品質で均質なサービスの提供が可能となる。
【0004】
また、デジタル化により従来のように画像や音声による放送だけでなく、文字やデータによる放送(データ放送)も可能になり、例えばニュースを文字データとして流すことや、PCソフトを放送で配信することが可能となり、そのようなサービスを提供するためのシステムも続々登場してきている。
【0005】
このようなシステムで、契約内容に基づいてスクランブルを解く、あるいは復号する有料放送サービスを提供する際、契約期間に即した顧客管理が行えなければいけない。契約期間に即した顧客管理とは、例えば、所定の料金の支払により契約された契約期間内に限って契約チャネルの視聴を可能とするというものである。
【0006】
また、受信装置にてスクランブルあるいは暗号を解くための鍵情報は、不正視聴を防止する上からも正当な視聴者のみに(契約チャネル、契約期間に即して)しかも確実に提供する必要がある。
【0007】
このために、従来は、放送受信装置毎にマスター鍵Kmを用意し、契約している視聴者毎に契約しているチャネルのワーク鍵Kwと当該契約者の契約情報をマスター鍵Kmで暗号化して送信する。ここでワーク鍵はチャネル固有の鍵であり、契約最小期間(例えば1ヶ月)毎に更新される。契約情報はチャネル毎の契約期間あるいは契約の有無などの情報である。ワーク鍵及び契約情報はコンテンツ受信に先だって受信し蓄積される。コンテンツ視聴時は当該契約情報を参照して、当該チャネルの視聴可否によって、ワーク鍵を使って暗号化されて送られてくる当該チャネルのチャネルキーKchを復号して視聴する。チャネルキーはスクランブルされた放送コンテンツをデスクランブルするのに用いられる。
【0008】
一方、自動車に搭載されているラジオや人が持ち歩く携帯端末など移動体向けのデジタル音声放送が計画されている。これを以下ではモバイル放送と呼ぶ。モバイル放送においてはテレビ放送と比較してコンテンツが小さいため相対的に狭い帯域しか割り当てられず、しかも受信状態が一定していないため、上記のような限定受信システムが構成しづらい。このためモバイル放送を意識して、前記限定受信システムにおいてマスター鍵Kmを共通化する方式が提案されている(例えば、特許文献1参照)。
【0009】
このモバイル放送における限定受信方式において、上記限定受信方式と異なるところは、ワーク鍵Kwがなく、受信装置共通のマスター鍵Kmでチャネルキーと契約者毎に割り当てられている契約情報を暗号化しているところである。このように構成することによって、上記限定受信方式のように1ヶ月毎(ワーク鍵の更新周期毎)に各契約者にワーク鍵や契約情報を送る必要がないため、狭い帯域で配信される有料放送には有利である。
【0010】
また、視聴者の契約形態という観点で見ると、CS放送やケーブルTVにおいては受信装置単位に課金する方式が、BS放送においては世帯単位に課金する方式がとられている。前者は例え同一の契約者による視聴であっても、異なる場所にある受信装置での視聴には別途視聴料金がかかる。後者の方式は同じ世帯の受信装置であれば共通して視聴できるが、自宅外にある受信装置では視聴できない。
【0011】
このような契約形態は、固定された受信装置での視聴には適合しているが、移動しながら視聴する前記モバイル放送のような放送では自宅内外の別なく視聴できるようにするのが自然であり、契約者単位の課金が妥当であるが、これまでに契約者課金を基本とする衛星放送の限定受信システムは存在しなかった。
【0012】
また、安全な電子商取引の実現や会社内での制限エリアへのアクセスの可否を判断するため、個人認証技術が発達している。個人認証技術には大きく分けて、被認証者の身体的特徴を利用するもの、被認証者の記憶を利用するもの、被認証者の所有物を利用するものである。
【0013】
身体的特徴を利用する認証方式には提示部に指を付ける指紋認証、提示部に目を向ける虹彩認証、提示部に顔を向ける顔認証などがある。これらはそれぞれ指紋、網膜、顔の特徴を抽出し、それをベクトルの形で表現して、特徴ベクトルとして抽出する。これを予め登録されている被認証者の特徴ベクトルと比較して類似度を計算し、ある一定以上の類似度を持つ登録者が存在した場合、被認証者を当該登録者と認証する。この方式はその構成から、登録者が多い場合に誤認識するなど問題点はあるものの、近年改良され一部で実用化が始まっている。また、身体的特徴を利用するので、特別に何かを携帯したり、パスワードを覚えるなどの必要がなく、利用者にとっては手軽な認証方式である。
【0014】
被認証者の記憶を利用する方式にはパスワードを利用する方式がある。これは銀行のキャッシュディスペンサーなどで広く利用されているように、(暗誦番号等の)パスワードを提示することによって本人を認証しようとする方式である。この方式にはパスワードを知っている人を登録者と考えるという仮定が入っているため、パスワードが漏れた際には悪用されて登録者に成りすまされる可能性がある。更に、限定受信の契約者認証にこれを使った場合は、契約者からパスワードを教えてもらえば、そのパスワードを使って契約者の利益を損ねずに、契約者以外の者も視聴することが可能である。このためパスワードのみによる契約者認証は限定受信には向かない。しかし、これを他の認証方式と組み合わせて使えばこの限りではない。
【0015】
被認証者の所有物を利用する方式は、例えばICカードを提示させ、この中に書かれたID情報に対応する登録者を被認証者と考える方式である。この方式は認証に関しては確実だが、ICカードの所持人を本人と考えるという仮定が入っているため、カードを無くした場合に拾った人は悪用して登録者に成りすますことができてしまう。また一方で、ICカードを忘れた場合に認証できなくなるという問題もある。
【0016】
【特許文献1】
特開平11−243536号公報
【0017】
【発明が解決しようとする課題】
このように、従来の有料放送システムでは、所定の料金の支払いにより契約された契約期間であっても、契約チャネルをどこでも視聴するということができないという問題点があった。
【0018】
そこで、本発明は、上記問題点に鑑み、契約者課金を可能にするために、所定の料金の支払いにより契約した視聴可能なチャネル(コンテンツ情報)をどこでも(どの受信装置からでも)視聴することができる、利便性の高い有料放送システムを実現するための受信装置および配信装置を提供することを目的とする。
【0019】
【課題を解決するための手段】
本発明は、放送配信される暗号化された複数のコンテンツ情報を受信する受信手段と、ユーザを認証するための異なる種類の第1の認証情報(例えば、契約者ID)および第2の認証情報(例えば、指紋IDや虹彩ID)と、当該第1及び第2の認証情報にそれぞれ対応して当該ユーザが利用可能なコンテンツ情報を指定する第1のコンテンツ指定情報(例えば、第1のチャネル契約情報)および第2のコンテンツ指定情報(例えば、第2のチャネル契約情報)とを含む制御情報(例えば、個別制御情報)を受信する制御情報受信手段と、前記ユーザを識別する少なくとも1種類の識別情報(例えば、契約者IDと、指紋特徴ベクトル及び虹彩特徴ベクトルなどの身体的特徴情報のうちの少なくとも一方)を記憶する記憶手段と、前記制御情報受信手段で受信された前記制御情報に含まれる前記第1の認証情報に対応する識別情報が前記記憶手段に記憶されているとき、前記受信手段で受信された前記複数のコンテンツ情報のうち当該制御情報に含まれる前記第1のコンテンツ指定情報により指定されるコンテンツ情報を再生する第1の再生手段と、前記制御情報受信手段で受信された受信された前記制御情報に含まれる前記第1及び第2の認証情報のうち前記第2の認証情報に対応する識別情報のみが前記記憶手段に記憶されているとき、受信された前記複数のコンテンツ情報のうち当該制御情報に含まれる前記第2のコンテンツ指定情報により指定されるコンテンツ情報を再生する第2の再生手段とを具備することにより、例えば、所定の料金の支払いにより、視聴可能(利用可能な)コンテンツ情報をどこでも(どの受信装置からでも)視聴(利用)することができる。従って、契約者ベースの課金を実現することができる。
【0020】
前記第2の認証情報は、前記ユーザの身体的特徴情報に基づく当該ユーザの識別情報である。
【0021】
前記第1の制御情報に基づき利用可能なコンテンツ情報の数は、前記第2の制御情報に基づき利用可能なコンテンツ情報の数より多い。
【0022】
前記第2の認証情報は、前記ユーザの2種類の異なる身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と第2の特徴情報を含み、前記第2の再生手段は、前記記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記第2の特徴情報に対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報により利用可能と指定されているコンテンツ情報を再生する。
【0023】
前記第2の認証情報は、前記ユーザの身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と、当該ユーザの識別情報としてのパスワードを含み、前記第2の再生手段は、前記記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記パスワードに対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報により利用可能と指定されているコンテンツ情報を再生する。
【0024】
前記記憶手段に記憶された識別情報には、有効期間が定められており、当該識別情報が登録されてから前記有効期間が経過したときには、当該識別情報は前記記憶手段から消去される。
【0025】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。
【0026】
まず、実施形態の説明で用いる用語の定義を行なう。
【0027】
限定受信を行なうためチャネル毎の契約状態を記述した情報をチャネル契約情報と呼ぶ。図1は、チャネル契約情報の一具体例を示したものである。例えば、図1に示すように、各チャネルにチャネル番号(ch.1〜ch.12)を付け、各チャネル番号に対応したビットが「1」であるか否かによりチャネルの契約状態を表したビット列がチャネル契約情報である。図1では第2、第5、第7、第8チャネル(ch.2、ch.5、ch.7、ch.8)が契約されている(視聴可能である)ことを示している。ここで特定のチャネルに対し、対応したビット情報を契約フラグという。図1のチャネル契約情報において第1チャネル(ch.1)の契約フラグは「0」、第2チャネル(ch.2)の契約フラグは「1」である。
【0028】
契約情報は、上記チャネル契約情報にID情報及びデジタル署名などのチャネル契約情報を補強するデータが付属したデータであり、契約関連情報は更にワーク鍵情報などの補助データが付加されたデータを意味し、正確な定義は実施形態の適切な箇所で定義される。
【0029】
以下の実施形態において、受信装置内部で限定受信の仕組みを実現する構成部は限定受信部と呼ぶが、この部分は、限定受信のための秘密情報が含まれているので内部のメモリやハード構成に関して外部から容易に読み出し、書き込み、変更ができない耐タンパ構造を有する。このような耐タンパ構造を有するハードウエアで構成された限定受信部を、特に、限定受信チップと呼ぶ。
【0030】
また、以下の実施形態では、特に断らない限り情報は固定長で表現されているとする。これは以下で述べるアルゴリズムを簡単にするための制限であり、可変長データの利用を制限するものではない。実際、可変長データを許す場合はデータ長を記述するデータが送信データ等に加わり、アルゴリズムおいてはこれを参照してデータ抽出する処理が加わるだけで、同様に実施可能である。
【0031】
(第1の実施形態)
第1の実施形態では、特開平11−243536号公報に記載されたモバイル放送の場合の限定受信システムのように、受信装置に共通のマスター鍵を有する限定受信システムにおいて、契約者課金を全ての受信装置で実現した例を示す。このような限定受信システムにおいては各受信装置に対し、個別に契約情報を暗号化して送信する必要がない。だが、そのマスター鍵が破られた際には被害範囲が大きいなど安全性に問題があるためデジタル署名などの偽造防止技術を用いて安全性を強化している。
【0032】
従来の技術において説明したように、このような限定受信は図2のように2段の鍵構成を採用している。即ちチャネルキーKchとチャネル契約情報Iを全ての受信装置に共通のマスター鍵Kmで暗号化して送信し、送信されたチャネルキーを使って放送コンテンツを復号する。
【0033】
このような限定受信は、図2のような鍵構成を採用している。即ち配信される暗号化された放送コンテンツを復号するためのチャネルキーKchと契約情報Iを共通のマスター鍵Kmで暗号化して送信する。放送コンテンツはチャネルキーKchを使って共通鍵暗号方式で暗号化されているので、このチャネルキーで復号できる。ここでチャネルキーは解読を防ぐため通常10秒程度の短時間で変更しなくてはならない。
【0034】
さて、本実施形態の限定受信システムにおいて放送受信装置が受信するデータ(放送パケット)はコンテンツパケット、個別制御情報パケット、共通制御情報パケットの3種類である。
【0035】
コンテンツパケットは、図3に示すパケット形式で、情報識別子、チャネル識別子、チャネルキー識別子、暗号化された放送コンテンツからなっている。情報識別子は当該パケットの種別を示すもので、ここではコンテンツパケットであることを示す識別子を記述する。チャネル識別子は当該放送コンテンツがどのチャネルのコンテンツかを示すものである。また、チャネルキー識別子は当該放送コンテンツを復号するチャネルキーの識別子を示す。暗号化された放送コンテンツは放送コンテンツを上記チャネルキー識別子で指定されたチャネルキーKchで暗号化されている。
【0036】
個別制御情報パケットは図4(a)に示すパケット形式で、情報識別子、マスター鍵識別子、暗号化されたチャネルキー情報、暗号化された(チャネル)契約情報からなっている。情報識別子は当該パケットの種別を示すもので、ここでは個別制御情報パケットであることを示す識別子を記述する。マスター鍵識別子は当該個別制御情報パケットがどのマスター鍵Kmによって暗号化されているかを示す情報である。この個別制御情報パケットは、例えば現行放送規格で審議中のEMM−S(Entitlement Management Message for S−band)にあたる。
【0037】
暗号化されたチャネルキー情報は、図4(b)に示すような形式のチャネルキー情報を暗号化したものである。図4(b)において、情報識別子とチャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーからなっている。情報識別子は当該情報の種別を示すもので、ここではチャネルキー情報であることを示す識別子が記述される。チャネル識別子は当該チャネルキー情報がどのチャネルのものかを示すものである。チャネルキー識別子とチャネルキーは、チャネル識別子で指定されているチャネルの放送コンテンツの暗号化に使われ、チャネルキーとその識別子を示している。第1のチャネルキー識別子と第1のチャネルキー、第2のチャネルキー識別子と第2のチャネルキーは、それぞれ現在配信されているコンテンツ情報に使われているチャネルキーと次に配信されるコンテンツ情報に使われているチャネルキーを示している。これは先にも説明したようにチャネルキーは10秒に1回程度の割合で更新されるので、更新時に視聴が途切れないようにするため、2つ同時に送信しているためにこのようになっている。
【0038】
尚、このようにチャネルキーを2つ送信する構成は本発明の本質部分ではないので、1つでも良いし、3つ以上送信しても構わないし、2つ以上のチャネルのチャネルキーを同じパケットで送信しても構わない。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0039】
暗号化された契約情報は、図4(c)に示すような形式の契約情報を暗号化したものである。図4(c)において、情報識別子、第1のID識別子と契約者IDと第1のチャネル契約情報とを1組とする情報、第2のID識別子と指紋IDと第3のID識別子と虹彩IDと第2の契約情報を1組とする情報、デジタル署名検証鍵識別子、デジタル署名からなっている。
【0040】
情報識別子は当該情報の種別を示すもので、ここでは契約情報であることを示す識別子である。ID識別子は次のID情報が何に対するIDかを示すものであり、例えば、第1のID識別子は、これに続く契約者IDのID識別子が示されている。当該ID識別子とそのID情報は、本実施形態の本質的な部分であるので、ここで詳しく説明する。
【0041】
従来の有料放送において、契約者のIDとは受信装置に添付されているID(受信装置ID)と受信装置に挿入するICカードに記載されているID(ICカードID)のように、放送業者が契約者に初期契約時に与えた情報であった。本実施形態ではこのように契約者本人の特徴ではなく、契約者が所持しているものをIDとしたものを契約者IDと呼ぶ。一方、本実施形態では、契約者IDの他に契約者の指紋パターン、網膜パターン、顔パターンなど契約者本人の特徴、特に身体的特徴をID(識別情報)としたものに基づいた契約管理を行い、従来不可能であった契約者単位の課金を可能とする。即ち、人によって異なる特徴をもつ指紋、虹彩、顔などの特徴に基づいて視聴の可否を判断することにより、ICカードや受信装置に縛られない柔軟な視聴管理ができるばかりか、モバイル放送のように移動しながら視聴する放送に最適な限定受信方式を提供できる。
【0042】
再び、図4(c)の契約情報の説明に戻り、契約者IDに続く、第1のチャネル契約情報は契約者IDが提示された時に有効なチャネル契約情報を表している。
【0043】
第2のID識別子は、これに続く指紋IDのID識別子を示し、第3のID識別子は、これに続く虹彩IDのID識別子を示している。指紋IDや虹彩IDは、いずれも同一契約者の指紋パターンから抽出した特徴(指紋特徴ベクトル)、網膜パターンから抽出した特徴(虹彩特徴ベクトル)をそれぞれID化したものである。
【0044】
このように身体的特徴をID化するためには認識技術が援用される。ここで、指紋IDについて説明する。指紋は人によって特徴のあるパターンを持っており、指紋の中に含まれる線の密度、線の傾きは人によって異なる。このことを利用して、例えば以下のように特徴抽出を行う。まず、認識装置によって、図6のような指紋の画像を取り込む。取り込まれた画像を6×6のメッシュに区切り、そのメッシュ毎に中の画像を画素単位で眺めると、たとえば図7のようになっている。(実際はもっと複雑なパターンとなるがここでは簡単のため簡略化している。)図7において、1枡は1画素に対応し、ここでは2値画像(白黒画像)を仮定しているので、図7のような画像となっている。
【0045】
この2値画像を図7の左上の実線太枠内にあるような2画素×2画素の領域単位で見ると、それぞれ図8に示した16通りのどれかのパターンになっていることが分かる。例えば図7の太い実線で囲まれた領域は、図8(h)に示したパターンとなっている。図8において、各パターンを表した図の下に書いてある数字、例えば、図8(h)の場合は「3」は、この領域の特徴と考える。ここで特徴は方向なし、右左、上下、斜め上、斜め下の5通りであり、それぞれ「0」、「1」、「2」、「3」、「4」を割り当てる。このような特徴を方向特徴といい、「0」〜「4」を方向成分という。
【0046】
このような特徴を各2画素×2画素の単位領域に関して繰り返す。尚、単位領域は、図7左上の点線太枠のように1画素ずつずらして設定されるので、図7の画像では全部で20個設定される。これらの方向特徴を算出し、そのヒストグラムをベクトルの形で作成する。図7の画像に対応するベクトルは、(2,2,3,3,10)となる。尚、ここで示したベクトルは第(i+1)要素が第i方向成分の数となっている(i=0…4)。例えば第1方向成分は図9に示すように2箇所であるので、ベクトルの第2成分が「2」となっている。このような5次元のベクトルを図6に示されている36個の枡に関して作成し、作成されたベクトルの要素を一定の順序で並べた180(=36×5)次元のベクトルを作成し、これを特徴ベクトルと呼ぶ。
【0047】
特徴ベクトルとは言え、指紋の示し方によってその要素が微妙に変化する。これを吸収するためいろいろな条件で指紋を何回か示し、その平均パターンを取るなど統計学(特に多変量解析)を援用して提示条件によって揺れの少ないベクトルを採用する方式が取られている。このようにして平均化された特徴ベクトルを、当該契約者を示す辞書ベクトルと呼び、本実施形態ではこれを指紋IDとする。
【0048】
尚、虹彩による認証方式においても同様の方法で虹彩IDを決定する。
【0049】
指紋IDの特徴ベクトルも共に180次元空間の原点からの距離が「1」の点として表現される。例えば、ある契約者A、契約者Bの特徴ベクトルは図10のような部分空間に分布する。指紋IDは、この部分空間内の平均化された点を表現しており、例えば与えられた特徴ベクトルとの(内積が1に近い)角度を持つ契約者Aがマッチングする。放送システムにおいては全ての契約者の指紋IDとマッチングすることはできないので、ある一定以上の内積値を持つ指紋IDを契約者の指紋IDと考えることになる。
【0050】
ここで、指紋IDや虹彩IDなどの身体的特徴情報とユーザの身体的特徴(当該ユーザの識別情報)とがマッチングするとは、それらが予め定められた所定の類似範囲にあるということである。また、指紋IDや虹彩IDなどの身体的特徴情報とユーザの身体的特徴とがマッチングすることを、ユーザの身体的特徴に上記身体的特徴が当てはまるともいう。
【0051】
ユーザの指紋の特徴情報(特徴ベクトル)と指紋IDとを照合することによって、当該特徴ベクトルが複数の指紋IDとマッチングすることがあり得る。しかし、特徴ベクトルは180次元空間で表現されているため、契約者数が少ない時にはそのようなことは起こりにくい。逆に契約者が多い場合には、別の身体的特徴(例えば虹彩特徴)で同様の認証を行い、両方の認証を通過したことで始めて契約者を認証する方式が望ましい。
【0052】
以下で詳しく述べる本実施形態では、このような2方式での認証を採用している。
【0053】
再び図4(c)の契約情報の説明に戻る。図4(c)におけるデジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図4(c)の契約情報の情報識別子から第2のチャネル契約情報までの部分を上記デジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0054】
ここでデジタル署名の一例に関して簡単に説明する。デジタル署名は公開鍵暗号を用いたものと、共通鍵暗号とを用いたものとがあるが、本実施形態では、例えばデジタル署名は公開鍵暗号を用いた方法で、秘密鍵Ksで署名したものを公開鍵Kpで検証することによって実現される。即ち、上記デジタル署名生成鍵はここでいう秘密鍵で、上記デジタル署名検証鍵はここでいう公開鍵である。また公開鍵暗号では、公開鍵から秘密鍵を導出することが極めて困難なため、公開鍵を公開しても秘密鍵が漏れない限り、第三者がデジタル署名を作成することは事実上困難である。しかも署名を検証する公開鍵は文字通り公開しても構わないため、受信装置の中に実装しても安全に署名検証ができる。公開鍵暗号には現在RSA暗号や楕円曲線暗号等の方式が提案されており実用化が進んでいる。なお、共有鍵暗号でも実現可能である。
【0055】
図4(c)に示したように、契約情報には、受信契約者の契約者IDと、それに対応するチャネル契約情報としての第1のチャネル契約情報と、当該契約者の身体的特徴を表した指紋IDと虹彩IDと、この身体的特徴に対応したチャネル契約情報としての第2のチャネル契約情報といった2つのチャネル契約情報が含まれている。
【0056】
そこで、本実施形態では、第1のチャネル契約情報は、例えば、当該契約者が契約した全てのチャネルを視聴可能にするようなチャネル契約情報であり、第2のチャネル契約情報は、例えば、当該契約者が契約したチャネルのうちのいくつかに限定して視聴可能にするようなチャネル契約情報である。
【0057】
身体的特徴は、契約者IDに比べて曖昧性のあるものであり、各個人の身体的特徴には互いに重なり合う類似範囲が存在する場合もある。身体的特徴だけでは、本人を正確に認証することができない場合もある。契約者IDにより認証された場合は、本人であるという確証が高いが、指紋IDや虹彩IDなどの身体的特徴により認証された場合は、本人であるという確証が低い。そこで、本実施形態では、身体的特徴に対応した第2のチャネル契約情報で視聴可能なチャネル数は、契約者IDに対応する第1のチャネル契約情報で視聴可能なチャネル数よりも少なく、より限定されたチャネルのコンテンツしか視聴することができない。
【0058】
すなわち、放送受信装置に、有効な契約者IDが予め登録されているならば、上記第1のチャネル契約情報に基づき、当該契約者は、契約した全てのチャネルが視聴できるが、契約者IDが登録されておらず、指紋や虹彩などの身体的特徴した登録されていないときには、上記第2のチャネル契約情報に基づき、当該契約者は、より限定されたチャネルした視聴することができない。しかし、例えば契約者IDの記録されているカードを持たないとしても、指紋や虹彩などの身体的特徴を任意の放送受信装置に入力しさえすれば、契約したチャネルのうちの一部は、どこでもいつでも視聴することができるのである。
【0059】
共通制御情報パケットは図5に示すパケット形式で、情報識別子、第1のマスター鍵識別子、第1のマスター鍵生成情報、第2のマスター鍵識別子、第2のマスター鍵生成情報、デジタル署名検証鍵識別子、デジタル署名からなっている。情報識別子は当該パケットの種別を示すもので、ここでは共通制御情報パケットであることを示す識別子を記述する。マスター鍵識別子は続くマスター鍵生成情報により生成されるマスター鍵の識別子を表している。図5に示す共通制御情報パケットでは、マスター鍵識別子とマスター鍵生成情報を2組含めて送信するようになっているが、これはマスター鍵の更新時に視聴が途切れないようにするため、現在のマスター鍵に関する情報と次のマスター鍵に関する情報を2つ同時に送信している。尚、このようにマスター鍵を2つ送信する構成は本実施形態の本質部分ではないので、1つでも構わないし、3つ以上送信しても良い。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0060】
デジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図5の情報識別子から第2のマスター鍵生成情報までの部分を上記デジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0061】
共通制御情報パケットは、例えば現行放送規格で審議中のECM−S(Entitlement Control Message for S−band)にあたる。
【0062】
(1)放送受信装置
次に、本実施形態にかかる放送受信装置の構成と処理の流れを説明する。放送受信装置の全体の構成例を図11に示し、この概略動作を図12に示す。
【0063】
以下、図11に示し放送受信装置の構成と動作を図12に示すフローチャートを参照して説明する。
【0064】
ユーザは、図1に示した放送受信装置を用いて、放送配信されるコンテンツの視聴を開始しようとする際、この放送受信装置に、契約者IDか、指紋特徴ベクトルと虹彩特徴ベクトルを入力する(ステップS0)。
【0065】
契約者IDは、例えば、ICカードに予め記録されていて、当該放送受信装置に接続されたカードリーダにユーザが当該ICカードを挿入することにより当該契約者IDが読みとられるようになっていてもよいし、ユーザ自身が契約者IDを記憶し、ユーザが当該放送受信装置に接続されているテンキーなどを用いて契約者IDを直接入力するようにしてもよい。このようにして入力された契約者IDは、契約者ID認識部24に一時記憶される。
【0066】
指紋特徴ベクトルを入力する場合には、ユーザは放送受信装置に接続されている指紋提示部28に、自分の指(指紋)を提示することにより、指紋特徴部抽出部27で、当該提示された指紋から、前述したようにして、指紋特徴ベクトルを抽出する。ここで抽出された指紋特徴ベクトルは、指紋ID認証部26に一時記憶される。
【0067】
虹彩特徴ベクトルを入力する場合には、ユーザは、放送受信装置に接続されている虹彩提示部31に自分の目(虹彩)を提示することにより、虹彩特徴抽出部30で、当該提示された虹彩の特徴(すなわち、当該ユーザの虹彩特徴ベクトル)が抽出される。ここで抽出された虹彩特徴ベクトルは、虹彩ID認証部29に一時記憶される。
【0068】
契約者ID認証部24と指紋ID認証部26と虹彩ID認証部29のいずれかには、ユーザにより提示された当該ユーザの契約者IDと指紋特徴ベクトルと虹彩特徴ベクトルが一時格納され、これらは、後述する個別制御情報パケットの処理過程で、第1のチャネル契約情報や第2のチャネル契約情報を契約情報格納部10に格納する際の判断に用いられる。
【0069】
ここでは、1人のユーザにかぎらず、複数のユーザが、それぞれ、契約者IDか、指紋特徴ベクトルと虹彩特徴ベクトルを放送受信装置に入力する。従って、契約者ID認証部24、指紋ID認証部26、虹彩ID認証部29のそれぞれには、複数のユーザの契約者IDと指紋特徴ベクトルと虹彩特徴ベクトルが記憶されていることもある。
【0070】
なお、本実施形態では、1人の契約者は、契約者IDを入力するのでなければ、指紋特徴ベクトルと虹彩特徴ベクトルの両方を入力するものとする。
【0071】
さて、放送受信装置は、放送波を受信部1で受信すると(ステップS1)それをA/D変換部2でアナログ信号からデジタルデータに変換する(ステップS2)。デジタルデータは誤り検出/訂正部3に送られ誤り検出/訂正が行われた後(ステップS3)、チャネル選択部4は、チャネル選択I/F5を通じてユーザにより指定(選択)されたチャネル(視聴チャネル)と、個別制御情報パケット、共通制御情報パケットを含む限定受信チャネルのみをフィルター部6へ送る(ステップS4)。フィルター部6では、それぞれの放送パケットの情報識別子を参照してコンテンツパケット、共通制御情報パケット、個別制御情報パケットを判別し、それに従って以下のように処理が分岐する。
【0072】
視聴チャネルのコンテンツパケットの処理について、図13に示すフローチャートに従って詳しく説明する。コンテンツパケットは、デスクランブル部7に入力されると(図12のステップS6)、デスクランブル部7ではチャネルキー出力部8へ、コンテンツパケットに含まれていたチャネル識別子とチャネルキー識別子を通知することにより、チャネルキーの出力の要請を行なう(図13のステップS101)。チャネルキー出力部8では契約判定部9に対してチャネル識別子を入力して、チャネルキー出力の可否判定を要請する(ステップS102)。契約判定部9は、契約情報格納部10からチャネル契約情報(具体的には、後述する統合チャネル契約情報)を取得して(ステップS103)、現在、当該放送受信装置のチャネル選択I/F5にて選択されているチャネルのチャネル識別子(このチャネル識別子は、チャネル情報入力部12から出力される)に対応する契約フラグが「1」である場合(ステップS104)、チャネルキーの出力許可信号をチャネルキー出力部8に出力し(ステップS105)、「0」である場合はチャネルキーの出力不許可信号をチャネルキー出力部8に出力する(ステップS109)。チャネルキー出力部8では、チャネルキー出力不許可信号が入力された場合、当該パケットに関する処理を終了する。
【0073】
チャネルキーの出力許可信号がチャネルキー出力部8へ入力された場合は(ステップS105)、チャネルキー出力部8はチャネルキー格納部11から、コンテンツパケットに含まれていたチャネル識別子とチャネルキー識別子に対応するチャネルキーを読み出し、それをデスクランブル部7へ送る(ステップS106)。デスクランブル部7では、チャネルキー出力部8から出力された当該チャネルキーを用いてコンテンツのデスクランブルを行なう(ステップS107)。デスクランブルされたコンテンツは限定受信部50から出力され、モニタなどの再生装置へ送られ再生される(ステップS108)。
【0074】
次に、個別制御情報パケットの処理について、図14〜図15に示すフローチャートを参照して説明する。
【0075】
フィルター部6で個別制御情報パケットが抽出されると(図12のステップS9)、当該個別制御情報パケットは個別制御情報復号部21に出力される(図12のステップS10)。
【0076】
個別制御情報復号部21では、当該パケットからマスター鍵識別子を抽出し(図14のステップS131)、該マスター鍵識別子をキーにして、マスター鍵格納部22からマスター鍵Kmを取得して(ステップS132)、個別制御情報パケットの暗号化部分を復号する(ステップS133、ステップS134)。具体的には、個別制御情報パケットを復号することにより、図4(b)に示したようなチャネルキー情報と図4(c)に示すような契約情報が得られる(ステップS135、ステップS137)。
【0077】
復号されたチャネルキー情報から、チャネル識別子、第1のチャネルキー識別子と第1のチャネルキー、第2のチャネル識別子と第2のチャネルキーを抽出し、チャネルキー格納部11に格納する(ステップS136)。
【0078】
個別制御情報復号部21は、復号された契約情報を、契約情報認証部23へ送信する(ステップS138)。契約情報認証部23では、まず、契約者ID認証部24に対して、個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在するか(記憶されているか)検索する。
【0079】
契約者IDはICカードなどから与えられるが、本発明では複数の視聴者が各自の契約情報で視聴できることを1つの目的としているため、契約者ID認証部24には複数の契約者IDが存在することが仮定されている。ここで、契約者ID認証部24に、受信した個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在した場合は(図15のステップS139)、当該個別制御情報パケット中の契約情報からデジタル署名を抽出し、これをデジタル署名検証部25に送り、デジタル署名検証部25では予め記憶されているデジタル署名検証鍵により、デジタル署名の検証を行う(ステップS140)。デジタル署名が検証されなかった場合は何らかの受信異常か、何らかの改竄が起こったものと考えられるので、この時点で処理を終了する。
【0080】
検証に成功した場合は、当該契約者IDに対応するチャネル契約情報である第1のチャネル契約情報と当該契約者IDと、契約者ID認証部24に当該契約者IDが登録(入力)されたときの日付(契約者ID認証部24に当該契約者IDに対応付けて記憶されている日付)を契約情報格納部10に格納する(ステップS141、ステップS142)。
【0081】
契約者ID認証部24に、受信した個別制御情報パケットに含まれていた当該契約者IDと一致する契約者IDが存在しなかった場合、指紋ID認証部26に登録されている指紋特徴ベクトルと、受信した個別制御情報パケットに含まれていた指紋IDとのマッチングを行う(ステップS143)。ここいうマッチングとは指紋IDの説明の部分で述べたように、登録されている指紋特徴ベクトルと指紋IDとの内積をとり、その値が例えば「0.95」以上であることをもって一致したと判断し、「0.95」未満であった時は不一致と判断することである。
【0082】
指紋ID認識部26には、例えば、図16に示すような形式で更新日付とともに登録されている。図16において「更新日付」は、当該指紋特徴ベクトルを取得した日付を表している。
【0083】
ここで計算される内積は、指紋ID認識部26に図16に示す形式で登録されている指紋特徴ベクトルと当該パケットに含まれる指紋IDとの間で計算される。
【0084】
ステップS143で、登録されている指紋特徴ベクトルとパケット中の指紋IDとが不一致と判断されたときは、当該受信パケット(個別制御情報パケット)についての処理を終了する。
【0085】
ステップS143で、登録されている指紋特徴ベクトルとパケット中の指紋IDとが一致すると判断されたときは、次に、虹彩ID認証部29において、当該虹彩ID認証部29に登録されている虹彩特徴ベクトルと、当該パケットに含まれる虹彩IDとの間のマッチングを行う(ステップS144)。
【0086】
指紋IDの場合と同様にして両者が不一致と判断されたときには、その時点で当該受信パケットに対する処理を終了する。両者が一致すると判断されたときには(ステップS145)、当該個別制御情報パケット中の契約情報からデジタル署名を抽出し、これをデジタル署名検証部25に送り、デジタル署名検証部25では予め記憶されているデジタル署名検証鍵により、デジタル署名の検証を行う(ステップS146)。デジタル署名が検証されなかった場合は何らかの受信異常か、何らかの改竄が起こったものと考えられるので、この時点で処理を終了する。
【0087】
検証に成功した場合は、当該身体的特徴に対応するチャネル契約情報である第2のチャネル契約情報と当該身体的特徴の1つである指紋特徴ベクトルとその取得日付、当該受信パケット中の契約者IDと指紋IDと虹彩IDと、を契約情報格納部10に格納する(ステップS147、ステップS148)。この指紋特徴ベクトルの取得日付は、指紋ID認証部26に指紋特徴ベクトルが登録(入力)されたときに当該指紋特徴ベクトルに対応付けて記憶されたものである。
【0088】
契約情報格納部10には、上記のようにして、複数のユーザについてのそれぞれのチャネル契約情報などが、例えば図17に示すような形式で格納される。
【0089】
契約情報格納部10には、複数のユーザのそれぞれについての視聴制御情報として、契約者ID、第1のチャネル契約情報、第1の更新日付、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付が格納されている。
【0090】
契約者ID、第1のチャネル契約情報は、それぞれ個別制御情報に含まれていた契約者ID、第1のチャネル契約情報である。
【0091】
第1の更新日付は契約者IDを最後に認識した日付(最近の入力日付)である(図15のステップS142で記録される日付に相当するが、詳細は、後述の図18参照)。契約者IDはICカード内に実装されているのが普通であるが、複数機器での利用のため、ICカードが常に当該機器に挿入されているとは限らない。このため後述するように定期的にICカード挿入を確認する。すなわち、1回入力された契約者IDは、予め定められた期間(例えば7日間)有効であるということである。
【0092】
指紋IDは契約情報にある指紋ID、指紋特徴ベクトルは、当該放送受信装置に入力された指紋特徴ベクトルであって、当該指紋IDにマッチングした最新の指紋特徴ベクトルである。虹彩ID、第2のチャネル契約情報は契約情報中に含まれているそれであり、第2の更新日付は当該指紋特徴ベクトルを取得した(当該放送受信装置に入力した)日付である(図15のステップS148で記録される日付に相当するが、詳細は、後述の図18参照)。当該放送受信装置に入力された指紋特徴ベクトルは、それらが入力されたときから予め定められた所定期間(例えば1日)有効である。すなわち、第2の更新日付から上記所定期間は、当該指紋特徴ベクトルは有効であるということである。
【0093】
尚、図17では、同一の行にある情報は同一の契約者についての視聴制御情報であり、契約者ID「0x123456」「0x234567」「0x345678」「0x456789」の4名の視聴制御情報を示している。
【0094】
統合チャネル契約情報は、上記4名の各契約者のチャネル契約情報を統合したものである。統合チャネル契約情報は当該放送受信装置の契約情報とも言うことができ、契約判定部9で視聴可否の判断を行う際には、この統合チャネル契約情報を参照する(図13のステップS103、ステップS104参照)。
【0095】
また、本実施形態におけるチャネル契約情報の統合は単純に全てのチャネル契約情報のOR(論理和)をとるという方法を採用している。例えば、図17に示したように、4人の契約者についての視聴制御情報があれば、これら4人の第1のチャネル契約情報と第1のチャネル契約情報がなければ第2のチャネル契約情報の全ての論理和を求めることにより、統合チャネル契約情報が得られる。
【0096】
当然より複雑な契約管理のためにはより高度な統合が必要となるが、それは本発明の本質的な部分ではないので、本実施形態では簡単のためこのようにしている。
【0097】
例えば「0x123456」の契約者IDを持つ契約者は、当該放送受信装置の持ち主であり、よってICカードに記載された契約者IDを持っている。従って、当該契約者はICカードを当該放送受信装置に読み込ませることにより、自身の契約者IDを登録している。個別制御情報パケットを受信した際には、当該受信した個別制御情報パケット中に当該契約者IDに一致する契約情報が含まれていれば(図15のステップS139)、当該契約情報中の当該契約者IDに対応する第1のチャネル契約情報が、当該契約者に対応する視聴制御情報として、契約情報格納部10に格納される。このため指紋ID、虹彩ID、第2のチャネル契約情報は全て「0」となっている。図15に示すように、ステップS139に、契約者ID認証部214に受信した個別制御情報パケット中に含まれている契約者IDに一致する契約者IDがあるときは、第2のチャネル契約情報を取得する処理は行わない(行う必要がない)からである。
【0098】
次に、契約者ID「0x234567」の契約者は、契約者IDを入力せずにICカードを提示せずに)、代わりに、自らの指紋と虹彩を提示することにより、第2のチャネル契約情報を取得ている。ICカードを提示していないため第1のチャネル契約情報は取得できす、「0」となっている。契約者ID「0x345678」の契約者も同様である。また、契約者ID「0x456789」の契約者は当該受信装置の持ち主ではないが、ICカードを提示したので、上記契約者ID「0x123456」の契約者の場合と同様に、第1のチャネル契約情報を取得し、指紋ID、虹彩ID、第2のチャネル契約情報が「0」となっている。
【0099】
図17に示したように4人の視聴制御情報が契約情報格納部10に格納されているときの、当該4人のそれぞれについてのチャネル契約情報は、順番に第1のチャネル契約情報「10000010101」、第2のチャネル契約情報「00010110101」、第2のチャネル契約情報「01010010101」、第1のチャネル契約情報「10000011001」であり、これらの論理和を求めることにより、当該放送受信装置で視聴可能なチャネルを表す統合チャネル契約情報は「11010111101」となる。
【0100】
次に、図15のステップS148とステップS142における契約情報格納部10の処理について、図18と、図46に示すフローチャートを参照して説明する。
【0101】
まず、図15のステップS148における契約情報格納部10の処理について図18に示すフローチャートを参照して説明する。
【0102】
契約情報格納部10では、ある1人の視聴者に対応する視聴制御情報(この場合、契約者ID、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付を含む視聴制御情報)の入力を受けて、当該入力された指紋特徴ベクトルを含む視聴制御情報が契約情報格納部10内に存在するかを検索する(ステップS151、ステップS152)。ここで存在しなかった場合、次に入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在するかを調べる(ステップS153)。ここで当該視聴制御情報が存在する場合は、以前から視聴している契約者が再度指紋を提示したことを意味するので、第2の更新日付と第2のチャネル契約情報を更新し(ステップS154)、この第2のチャネル契約情報の内容に応じて、統合チャネル契約情報を更新して終了する(ステップS155)。
【0103】
一方、ステップS153で、入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在せず、さらに、契約情報格納部10に、ステップS151で入力した契約者IDが存在しないときは(ステップS156a)、新規に当該放送受信装置に登録した契約者であるので、当該契約者の契約者ID、指紋ID、指紋特徴ベクトル、虹彩ID、第2のチャネル契約情報、第2の更新日付を含む入力された当該視聴制御情報を新規に登録し(ステップS156b)、それに伴い、統合チャネル契約情報を更新して終了する(ステップS155)。
【0104】
ステップS153で、入力された指紋ID、虹彩IDを持つ視聴制御情報が契約情報格納部10の中に存在しないが、契約情報格納部10には、ステップS151で入力した契約者IDが存在するときは(ステップS156a)、第1のチャネル契約情報と第1の更新日付を含む視聴制御情報が既に記憶されているので、当該視聴制御情報に、ステップS151で入力された第2のチャネル契約情報、指紋ID、虹彩ID、第2の更新日付を追加記録する(ステップS156c)。これに伴い統合チャネル契約情報も更新し処理を終える(ステップS155)。
【0105】
ステップS152において、入力された当該指紋特徴ベクトルを持つ視聴制御情報がレコードとして契約情報格納部10内に存在する場合は、指紋特徴ベクトルが変化していないということであるので、第2の更新日付を変更せず、第2のチャネル契約情報を更新すべきかだけを判断する。即ち、当該レコード中の第2のチャネル契約情報と入力された第2のチャネル契約情報を比較して、異なっていれば当該新たに入力された第2のチャネル契約情報に更新し(ステップS157、ステップS158)、それに伴い統合チャネル契約情報も更新し処理を終える(ステップS159)。ステップS157で、当該レコード中の第2のチャネル契約情報と入力さたれ第2のチャネル契約情報とが同じであれば更新せずに終了する。
【0106】
尚、ここでは契約情報格納部10に虹彩特徴ベクトルが含まれていないが、これは似通った指紋特徴ベクトルを持った人は多くいるだろうが、当該放送受信装置を視聴する人の中に限ると殆どいないと考えられる。よって指紋特徴ベクトル以外に虹彩特徴ベクトルを契約情報格納部10に登録しなくても殆ど不正視聴は起きないと考えられる。逆に、虹彩特徴ベクトルまで契約情報格納部10に含めるとデータサイズが大きくなるデメリットもある。勿論、虹彩特徴ベクトルを契約情報格納部10に登録するような構成にしても本実施形態の構成は自明な変形で足りる。
【0107】
次に、図15のステップS142における契約情報格納部10の処理について図46に示すフローチャートを参照して説明する。
【0108】
契約情報格納部10では、ある1人の視聴者に対応する視聴制御情報(この場合、契約者ID、第1のチャネル契約情報、第1の更新日付を含む視聴制御情報)の入力を受けて、当該入力された契約者IDを含む視聴制御情報が契約情報格納部10内に存在するかを検索する(ステップS501、ステップS502)。ここで存在した場合、当該契約情報格納部10に存在する視聴制御情報に第1のチャネル契約情報が含まれているかを調べる(ステップS503)。ここで存在する場合には、すでに以前から、当該契約者IDに対応するユーザは、当該契約者IDを提示することにより視聴をしていることになるので、次に、第1のチャネル契約情報を更新すべきか否かを判断するために、当該契約情報格納部10に存在する視聴制御情報に含まれている第1のチャネル契約情報が、ステップS501で入力された第1のチャネル契約情報と同一か否かを調べる(ステップS504)。同一であれば、ここで処理を終了する。一方、同一でなければ、契約情報格納部10に存在する視聴制御情報に含まれている第1のチャネル契約情報を、ステップS501で入力された第1のチャネル契約情報で更新し(ステップS505)、さらに、統合チャネル契約情報を更新して終了する(ステップS506)。
【0109】
一方、ステップS502で、ステップS501で入力された契約者IDを含む視聴制御情報が契約情報格納部10内に存在しないときには、新規に当該放送受信装置に契約者IDを入力(登録)した契約者であるので、当該契約者の契約者ID、第1のチャネル契約情報、第1の更新日付を含む入力された当該視聴制御情報を新規に登録し(ステップS507)、それに伴い、統合チャネル契約情報を更新して終了する(ステップS506)。
【0110】
また、ステップS502で、ステップS501で入力された契約者IDを含む視聴制御情報は契約情報格納部10内に存在するが、当該視聴制御情報には第1のチャネル契約情報が含まれていないとき、当該ユーザ(契約者)は、以前は、指紋や虹彩といった身体的特徴を放送受信装置に入力(登録)することにより視聴を行ったことのあるユーザであるが、今回改めて契約者IDを当該放送受信装置に入力(登録)したものと考えられる。そこで、当該契約者IDに対応する視聴制御情報に、ステップS501で入力した第1のチャネル契約情報と第1の更新日付を追加記録する(ステップS508)。これに伴い統合チャネル契約情報も更新し処理を終える(ステップS506)。
【0111】
次に、共通制御情報パケットの処理について、図19に示すフローチャートを参照して説明する。
【0112】
フィルター部6で共通制御情報パケットが抽出されると(図12のステップS7)、当該パケットは、共通制御情報復号部41に出力される(ステップS8)。
【0113】
共通制御情報復号部41では、当該パケットから第1および第2のマスター鍵識別子を抽出し(ステップS161)、当該第1および第2のマスター鍵識別子をキーにして、マスター鍵格納部22を検索し、当該第1および第2のマスター鍵識別子のそれぞれに対応するマスター鍵Kmがあるかどうかを判定する(ステップS162、ステップS163)。ここで各識別子に対応するマスター鍵があった場合は処理をここで終了する。なかった場合は新たに生成する必要があるが、その前に送信エラーやデータ改竄がないかを共通制御情報パケットに含まれるデジタル署名で検証する(ステップS164)。検証のアルゴリズムは個別制御情報パケットにおけるそれと同様であるから改めて述べない。ここで、デジタル署名が検証されなかった場合は(ステップS165)、送信エラーやデータ改竄の恐れがあるので、当該データでは新たなマスター鍵を生成せず、処理を終了する。
【0114】
デジタル署名の検証が成功した場合は(ステップS165)、第1および第2のマスター鍵識別子のうち、マスター鍵の存在しないマスター鍵識別子に対応するマスター鍵生成情報(第1のマスター鍵生成情報、第2のマスター鍵生成情報の両方あるいはいずれか一方)をマスター鍵生成部42へ送る。
【0115】
マスター鍵生成部42では当該マスター鍵生成情報に基づいて秘密のアルゴリズムを用いて、マスター鍵を生成する(ステップS166)。生成したマスター鍵は対応するマスター鍵識別子と共にマスター鍵格納部22へ格納され、全ての処理を終える(ステップS167)。
【0116】
ここで共通制御情報パケット(以下、簡単に共通制御情報とも呼ぶ)の役割について触れなくてはならない。共通制御情報はマスター鍵を安全に変更するための仕組みである。本実施形態の限定受信方式は共通のマスター鍵を持っているので、該マスター鍵がいずれかの受信装置から漏洩した場合には有料放送システムは大きな打撃を受ける。共通制御情報はこのような時、マスター鍵を安全に変更することにより、危機を回避する役割りを持っている。
【0117】
次に、契約者が放送受信装置の指紋提示部28に対して指紋を提示した時の処理を図20に示すフローチャートを参照して説明する。契約者は放送受信装置に付随する指紋提示部28に自分の指を示し、なんらかの操作をすることによって本処理が開始される。まず、指紋提示部28は、提示された指紋画像をスキャナー機能等で画像(白黒画像)で取り込み(ステップS171)、その画像から指紋IDの説明の部分で説明した手段によって、指紋特徴抽出部27は指紋特徴ベクトルを作成する(ステップS172)。作成された指紋特徴ベクトルは当該指紋特徴ベクトルを作成した日付(第2の更新日付)と共に図16に示すような形式で指紋ID認証部26に格納される(ステップS173)。尚、契約者が放送受信装置の虹彩提示部31に、虹彩情報を提示した時には、虹彩ID認証部29でも上記同様の処理が行われる。
【0118】
次に、契約情報更新部43における視聴制御情報の更新処理を図11に示す全体構成図と図21に示すフローチャートに従って説明する。
【0119】
前述したように、契約情報格納部10には、図17に示すような複数の視聴者のそれぞれに対応する視聴制御情報と、これら各視聴制御情報に含まれている第1および第2のチャネル契約情報の論理和としての統合チャネル契約情報が記録されている。
【0120】
視聴制御情報中の第1の更新日付は、前述したように、契約者IDが当該放送受信装置に登録(入力)された日付であり、この日付から予め定められた第1の有効期間(例えば、7日)の間は、当該登録された契約者IDは当該放送受信装置内では有効である。また、視聴制御情報中の第2の更新日付は、前述したように、指紋特徴ベクトルが図20に示したようにして当該放送受信装置に登録(入力)された日付であり、この日付から予め定められた第2の有効期間(例えば、3日)の間は、当該登録された指紋特徴ベクトルは当該放送受信装置内では有効である。そこで、契約情報更新部43では、登録された契約者ID、指紋特徴ベクトルが上記有効期間を経過したときに、無効となった契約者IDや指紋特徴ベクトルを含む視聴制御情報中の第1,第2のチャネル契約情報を削除する処理(更新処理)を行う。
【0121】
この更新処理は、限定受信部50内に存在する時計(図示せず)が一定時刻になったとき、若しくは前回の更新処理から一定時間経過後に起動される。
【0122】
まず、変数iを「1」に初期化する(ステップS181)。次に契約情報格納部10の第i番目の視聴制御情報を抽出する(ステップS182)。抽出した視聴制御情報の第1の更新日付を参照し、その日付が、現在より第1の有効期間(例えば、ここでは、7日)以上前であれば第1のチャネル契約情報を消去する(ステップS183、ステップS184)。第1の更新日付が現在より7日以上経過したものでなければ、次に、第2の更新日付を参照し、第2の有効期間(例えば、ここでは、3日)以上前であれば第2のチャネル契約情報を消去し(ステップS185、ステップS186)、iを1つインクリメントする(ステップS187)。
【0123】
ステップS185で、第2の更新日付が現在より3日以上経過したものでなければ上記処理を行わずにiを1つインクリメントする(ステップS187)。
【0124】
Nを契約情報格納部10に現在格納されている視聴制御情報の数を表すとき、iを1つインクリメントした後、iとNの大小を確認し、i>Nであれば、現在格納されている全ての視聴制御情報について、上記ステップS182からステップS186の処理を施したことになるので、次に、統合チャネル契約情報を更新して処理を終了する(ステップS188、ステップS189)。
【0125】
ステップS188で、iがN以下であれば、ステップS182に戻る。
【0126】
(2)契約管理装置
次に、第1の実施形態における契約管理装置の構成と動作について説明する。契約管理装置の構成例を図22に示す。本実施形態における契約管理装置には、加入者DB101、チャネルキーDB102、マスター鍵DB103の3つのデータベース(DB)があり、それぞれ、図23から図25に示すデータ構造を持つレコードを有している。
【0127】
まず、加入者DB101の1つのレコードは図23に示すように、契約者1人に対応する。各レコード(加入者データ)は、加入者ID、契約者ID、第1のチャネル契約情報、指紋ID,虹彩ID、第2のチャネル契約情報からなっている。加入者IDは加入者DB101が管理のために番号付けした番号である。本実施形態では処理アルゴリズムの簡素化のため、MAXIDまでの番号が振られており、途中欠番があっても良いとしている。契約者ID以下の意味は契約情報におけるそれと同じであるから省略する。
【0128】
チャネルキーDB102の1つのレコードは図24に示すように、1つのチャネルに対応する。各レコードは、チャネルID、チャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーからなっている。チャネルIDはチャネルキーDB102が管理のために番号付けした番号である。本実施形態では処理アルゴリズムの簡素化のため、MAXCHまでの番号が振られており途中欠番があっても良いとしている。チャネル識別子以下の意味はチャネルキー情報におけるそれと同じであるから省略する。
【0129】
マスター鍵DB103の1つのレコードは、2組のマスター鍵識別子とマスター鍵生成情報とマスター鍵とからなり、図25に示すように、第1のマスター鍵識別子、第1のマスター鍵生成情報、第1のマスター鍵、第2のマスター鍵識別子、第2のマスター鍵生成情報、第2のマスター鍵からなっている。マスター鍵識別子、マスター鍵生成情報は前述した共通制御情報のそれを同じである。また、マスター鍵はマスター鍵生成情報から限定受信部50内のマスター鍵生成部42で生成されるマスター鍵である。第1のマスター鍵と第2のマスター鍵は、それぞれ現在の利用されているマスター鍵、次回使用されるマスター鍵であり、いずれも随時生成されマスター鍵DB103に入力されているとする。
【0130】
まず、個別制御情報パケットの生成アルゴリズムを図26に示すフローチャートを参照して説明する。本アルゴリズムは放送開始時に放送送信制御部113からの指示で開始され、個別制御情報制御部112において停止することなく動き続ける。
【0131】
個別制御情報制御部112では、初めに変数i、kを「1」に初期化する(ステップS201)。ここでiは加入者ID、kはチャネルIDを表す変数である。セットされたi、kに対してまず加入者IDがiであるような加入者DB101のレコードがあるかどうか判定する。なかった場合は図28に示すフローチャートのようにiを1つインクリメントし(ステップS225)、iがMAXIDを超えるかどうかを判定する(ステップS226)。ここでiがMAXID以下であれば、図26のステップS202の加入者IDの検索に戻る。iがMAXIDを超えた場合はそれ以上加入者レコードがないので、図26のステップS201に戻り、i,kの初期化を行う。
【0132】
加入者DB101に加入者IDがiであるレコードがあったとする(図26のステップS202)。このとき当該レコードから契約者IDと第1のチャネル契約情報を取得する(ステップS203)。更に、当該レコードに指紋ID、虹彩IDが存在するかを検出し、両方とも存在した場合は、指紋ID、虹彩ID、第2のチャネル契約情報を当該レコードから取得し、取得したデータを先に取得した契約者ID、第1のチャネル契約情報と共に個別制御情報作成部111に送り、契約情報本体の生成処理に移る(ステップS204〜ステップS207)。
【0133】
ステップS204、ステップS205において、指紋ID、虹彩IDが存在しなかった場合は、契約者IDと第1のチャネル契約情報のみを個別制御情報作成部111へ送信し、契約情報本体の生成処理に移る(ステップS207)。
【0134】
ステップS207の個別制御情報作成部111における契約情報本体の生成処理について説明する。ここで言う契約情報本体とは、図4(c)に示すような契約情報のうち、情報識別子から第2のチャネル契約情報までの部分であり、言い換えればデジタル署名を生成するための範囲でもある。この生成は予め定められた情報識別子や、IDと関係付けられたID識別子と、加入者DB101のレコードから抽出されたデータを連結して行う。
【0135】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵とその識別子を取得し、当該作成された契約情報本体に対してデジタル署名を施す(ステップS208)。当該デジタル署名を契約情報本体に連結して契約情報を生成する(ステップS209)。
【0136】
次に、チャネルキー情報の生成に移る。個別制御情報作成部111はチャネルキーDB102にアクセスしてチャネルIDがkであるようなチャネルがあるかを調べる(ステップS210)。チャネルIDがkであるようなチャネルがなかった場合は、図29の示すフローチャートのようにkを1つインクリメントし(ステップS231)、kがMAXCHを超えるかどうかを判定する(ステップS232)。ここでkがMAXCH以下であれば、図26のステップS210に戻り、更新された新たなkで、再びチャネルIDの検索を行う。kがMAXCHを超えた場合は(図29のステップS232)、それ以上チャネルレコードがないのでkの初期化を行い(ステップS233)、図26のステップS210に戻り、チャネルIDの検索を行う。
【0137】
チャネルキーDB102にチャネルIDがkであるレコードがあったとする(ステップS210)。このとき当該レコードからチャネル識別子と、1対のチャネルキー識別子とチャネルキーを取得する(ステップS211)。取得したデータをチャネルキー情報のために予め定められた情報識別子と取得した上記データを図4(b)に示したチャネルキー情報の形態に連結してチャネルキー情報を生成する(ステップS212)。
【0138】
以上の処理で契約情報とチャネルキー情報が生成されたので、次にこれらを暗号化するためマスター鍵とそのマスター鍵識別子をマスター鍵DB103から取得する(図27のステップS221)。尚、この処理では現在使われている第1のマスター鍵と第1のマスター鍵識別子を取得する。
【0139】
取得したマスター鍵を利用して、まずチャネルキー情報を暗号化し(ステップS222)、次に契約情報を暗号化する(ステップS223)。このようにして、暗号化された契約情報及び暗号化されたチャネルキー情報が生成されると、次に、これら暗号化された契約情報及び暗号化されたチャネルキー情報と、個別制御情報に対して予め定められている情報識別子と、ステップS221で取得したマスター鍵識別子を図4(a)に示した形式に連結することで個別制御情報パケットを生成する(ステップS224)。
【0140】
個別制御情報作成部111で生成された個別制御情報パケットは個別制御情報制御部112を経由して放送送信制御部113から予め定められた周期毎に(あるいはスケジュールに従って)限定受信チャネルに放送送信される。
【0141】
1つの個別制御情報が生成されたら、次の個別制御情報の生成処理に入る。
【0142】
このとき、図28のフローチャートに示すとおり、変数iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する。ここでiがMAXID以下であれば、図26のステップS202の加入者IDの検索に戻る。iがMAXIDを超えた場合は、それ以上加入者レコードがないので、図26のステップS201のi,kの初期化に戻る。
【0143】
次に、共通制御情報作成部115における共通制御情報パケットの生成アルゴリズムを図30に示すフローチャートに従って説明する。本アルゴリズムはマスター鍵DB103が更新された際に、放送送信制御部113により起動される。放送送信制御部113によって起動された後、処理は共通制御情報制御部114、共通制御情報作成部115へと移される。
【0144】
共通制御情報作成部115では、マスター鍵DB103から第1のマスター鍵生成情報、第1のマスター鍵識別子、第2のマスター鍵生成情報、第2のマスター鍵識別子を取得する(ステップS251)。この取得した情報と共通制御情報に予め割り当てられた情報識別子から、図5に示したような形式で、情報識別子から第2のマスター鍵生成情報までを連結する。次に、この連結したデータに対してデジタル署名を施すため、デジタル署名生成鍵格納部117からデジタル署名生成鍵とデジタル署名検証鍵識別子を取得し、デジタル署名を作成する(ステップS252)。
【0145】
作成したデジタル署名とデジタル署名検証鍵識別子を前記連結したデータに、図5に示した形式で連結して共通制御情報パケットが完成する(ステップS253)。
【0146】
完成した共通制御情報パケットは共通制御情報制御部114を経由して放送送信制御部113から予め定められたスケジュールに従って限定受信チャネルに放送送信される。
【0147】
以上で、本実施形態の契約制御装置の説明を終了する。
【0148】
(3)第1の実施形態の変形例
ここで、幾つかのバリエーションを述べる。第1のバリエーションは契約者認識方法に関するバリエーションである。本実施形態において契約者認識の方式はICカードなどの中に実装されている契約者IDによる認識、指紋による認識、虹彩による認識であったが、これ以外にも多くの認識方式が知られている。
【0149】
まず、ICカードなどの契約者の所有物による認証方式では契約者毎に配布されているバーコードを読み込んで認識する方式が、契約者本人の記憶に基づく方式としてはパスワード方式が知られている。更に身体的特徴に基づく方式としては顔の特徴を利用する顔認識、手などの静脈を利用する静脈認識などがある。また、身体的特徴ではないが、個人の特性が出る手書き文字を利用する文字認識、声紋を利用する音声認識などがある。
【0150】
これらはバイオメトリクスと総称されている個人に依存する特徴に基づく認識方式である。本実施形態ではこれらの特徴を(個人の特性による認証も含めて)身体的特徴と言っている。
【0151】
これらに対応するIDはバーコードの場合はバーコードによって表現されている数字列、パスワードの場合はパスワードの数字列(パスワードが文字列の場合はコード化などの手段で数字列に対応させた数字列)。身体的特徴に基づく認識方式の場合はその特徴ベクトルがIDとなる。
【0152】
尚、ここに挙げた認識方式は一例であって、基本的に契約者が何らかの形で認証できる方式ならば何でもよく、その意味で将来発明される認証方式も含まれる。
【0153】
第2のバリエーションは契約情報内のチャネル契約情報に関するバリエーションである。本実施形態においてチャネル契約情報は、契約者IDのような、身体的特徴に基づかないIDに対応した第1のチャネル契約情報と、身体的特徴に基づくIDに対応した第2のチャネル契約情報に分かれていたが、これを統一して1つにすることも考えられるし、逆に身体的特徴に基づくか基づかないかに寄らず、少なくとも1つのIDからなる組に対して1つのチャネル契約情報を対応付ける方法も考えられる。更に極端に各IDに1つのチャネル契約情報を対応付ける方法も考えられる。これらのどれを実現するかは放送サービスが決めることであって、放送サービスによって特別な構成方法が意味を持つことがある。
【0154】
例えば信頼性の高い認識方式は他人の契約情報を誤認識することはほとんどないので契約どおりのチャネル契約情報を与える。これにはICカードやバーコードによる契約者IDの認証があたる。これらによる認識はほとんど誤ることはない。一方、第1のバリエーションで述べた文字認識や音声認識による認証は似た文字を書く人は多いし、似た声を出す人は多いので誤認識する可能性が高い。このため、このような認識で得られるチャネル契約情報は実際契約しているチャネル契約情報よりも視聴できるチャネルを限定する(例えば、視聴可能なチャネル数を少なくする)。このようにすることによって視聴者はより信頼性の高い認識方法で認証しようとするからである。
【0155】
尚、本バリエーションを構成するには前述の構成とアルゴリズムに自明な変形を施せば良い。
【0156】
第3のバリエーションは契約者認証方式にパスワードを含めるものである。上記第1の実施形態においては身体的特徴による認証として指紋特徴と虹彩特徴を扱ったが、これらはID自体のデータ量が大きいばかりでなく、マッチング処理に時間がかかるという問題点があった。かといってどちらか1つだけでは類似した特徴を持つ他の契約者の存在があり、現実的ではなかった。そこで指紋特徴による認証に加えて、パスワード認証を行うことにより、(360次元空間で指紋特徴が似通っている人はそう多くはないので)コストを掛けて虹彩特徴による認証を行わなくても正確な契約者認証が実現できる。このバリエーションを実現するには虹彩IDをパスワードに置換えて、虹彩による認証を行う部分をパスワード認証に置換えれば足りる。
【0157】
以上説明したように、上記第1の実施形態によれば、配信装置としての契約管理装置は、放送配信されるコンテンツ情報を利用する複数のユーザのそれぞれに対し、各ユーザ個別の制御情報(個別制御情報パケット)を暗号化して配信し、この制御情報には、(a)当該ユーザを認証するための当該ユーザに予め定められた第1の認証情報(契約者ID)と、(b)当該制御情報を受信した受信装置において、当該第1の認証情報により当該ユーザが認証されたときに、複数のコンテンツ情報のうち当該ユーザが利用可能なコンテンツ情報を再生可能にする第1の制御情報(第1のチャネル契約情報)と、(c)当該制御情報を受信した受信装置において、第1の認証情報では当該ユーザを認証することはできないときに用いられる認証情報であって、当該ユーザを認証するための当該ユーザの身体的特徴に基づき生成された第2の認証情報(指紋IDと虹彩ID)と、(d)当該制御情報を受信した受信装置において、当該第2の認証情報により当該ユーザが認証されたときに、複数のコンテンツ情報のうち当該ユーザが利用可能なコンテンツ情報を再生可能にする第2の制御情報(第2のチャネル契約情報)を含む。
【0158】
放送受信装置(受信装置)は、当該受信装置を利用しようとするユーザにより入力された、当該ユーザを認証する際に用いられる、当該ユーザの識別情報(契約者IDなどの文字列情報)と当該ユーザの身体的特徴情報(指紋と虹彩の特徴ベクトル)のうちの少なくとも一方が登録される。暗号化された制御情報を受信、および復号するたびに、登録されている文字列情報や身体的特徴情報と、当該復号された制御情報に含まれる第1の認証情報と第2の認証情報とを照合する。そして、当該第1の認証情報と一致する識別情報が登録されているときには、当該制御情報に含まれている第1の制御情報より利用可能と指定されているコンテンツ情報を再生することができる。また、当該復号された制御情報に含まれる第1の認証情報と一致する識別情報は登録されていないときでも、当該制御情報に含まれている第2の認証情報と所定の類似範囲にある身体的特徴情報が登録されているときには、当該制御情報に含まれている第2の制御情報により利用可能と指定されているコンテンツ情報を再生することができる。
【0159】
なお、放送受信装置に登録された契約者IDや指紋ID、虹彩IDなどの認証情報には、それぞれ有効期間が定められており、前契約者IDや指紋ID、虹彩IDが登録されてから、それぞれに予め定められた有効期間が経過したときには、当該認証情報は所定の記憶手段から消去される。
【0160】
指紋IDや虹彩IDなどの身体的特徴情報で視聴する場合には、契約者IDで視聴する場合よりもより限定された条件(例えば、視聴できるチャネル数や視聴時間帯など)でしか視聴できないようにすることにより、モバイル放送に適した有料放送サービスを実現することもできる。
【0161】
また、上記実施形態によれば、1つの放送受信装置に複数の契約者がそれぞれの契約者ID、指紋IDや虹彩IDなどの身体的特徴情報を登録すると、各契約者に対応するチャネル契約情報(契約者の登録したIDに応じて、第1のチャネル契約情報であることもあれば第2のチャネル契約情報であることもある)が放送受信装置の契約情報格納部10に記憶されることになる(図17参照)。その際、契約情報格納部10に格納されている複数の契約者のそれぞれに対応する複数のチャネル契約情報の論理和としての統合チャネル契約情報に基づき、コンテンツ情報を再生することになる。すなわち、契約情報格納部10に格納されている複数の契約者のそれぞれに対応する複数のチャネル契約情報のうちの少なくとも1つにより利用可能と指定されているコンテンツ情報を再生することができる。
【0162】
このように、上記第1の実施形態に係る放送システムによれば、例えば契約者IDを記録したIDカードなどをわざわざ所持しなくとも、契約者自身の身体的特徴を放送受信装置に入力(登録)しさえすれば、契約したチャネルをどの放送受信装置からでも視聴することができる。
【0163】
また、チャネル契約情報に、所定の料金の支払いにより契約された契約期間のみ視聴可能なように、当該チャネル契約情報の有効期限を追加してもよい。そして、各チャネル契約情報の有効期限は、チャネル契約情報とともに契約情報格納部10に格納され、図13のステップS104で、コンテンツ情報を復号するためのチャネルキーを出力する際に、当該チャネルに対応する契約フラグが「1」である(複数、あるいは少なくとも1つの)チャネル契約情報のうちの少なくとも1つが当該有効期限内であればチャネルキーを出力する。当該チャネルに対応する契約フラグが「1」であるチャネル契約情報が全て当該有効期限切れであれば、チャネルキーは出力しない。このように制御することで、契約者は、契約したチャネルを契約期間内のみ、どの放送受信装置からでも視聴することができる。
【0164】
(第2の実施形態)
第2の実施形態は放送受信装置毎に個別のマスター鍵を有する限定受信システムの場合について説明する。このような限定受信システムにおいては各放送受信装置対し、個別に契約情報を暗号化して送信する必要がある。このため、放送送信量は膨大になるが、1つのマスター鍵が破られても被害範囲は当該放送受信装置のみに限定されるという利点がある。
【0165】
従来の技術として説明したように、このような限定受信は図31に示すように、3段の鍵構成を採用している。即ちチャネルキーKchをワーク鍵で暗号化して送信し、当該チャネルを含む契約チャネルのワーク鍵はチャネル契約情報と共に放送受信装置に個別に設定されたマスター鍵Kmで暗号化されて送信される。
【0166】
該送信されたチャネルキーを使って放送コンテンツを復号する。ここで、放送コンテンツはチャネルキーKchを使って共通鍵暗号方式で暗号化されているので、このチャネルキーで復号できる。
【0167】
ここでチャネルキーは解読を防ぐため通常10秒程度の短時間で変更しなくてはならない。このチャネルキーを契約者個別のマスター鍵で暗号化して個別に送信したのでは送信量が膨大になり過ぎ送信不可能となる。そこで中間にワーク鍵と呼ばれる鍵を用意し、チャネルキーは該ワーク鍵で暗号化し、ワーク鍵の変更を1ヶ月に1回程度とし、これを個別のマスター鍵で送信している。
【0168】
さて、本実施形態の限定受信システムにおいて放送受信装置が受信するデータは、第1の実施形態と同様にコンテンツパケット、個別制御情報パケット、共通制御情報パケットの3種類である。コンテンツパケットは第1の実施形態と同じである。
【0169】
個別制御情報パケットは、各放送受信装置個別のマスター鍵で暗号化された契約情報(チャネル契約情報とワーク鍵を含む)を配信するためのパケットで、図32に示すデータ構造のパケットである。なお、図32(a)に示すパケットは、契約者の契約者IDなどに対応する身体的特徴ではないIDに対応する第1の契約関連情報を送信するためのパケットであり、図32(b)に示すパケットは、契約者の指紋IDや虹彩IDなどの身体的特徴に基づきIDに対応する第2の契約関連情報を送信するためのパケットである。
【0170】
個別情報制御パケットのデータ構造は、どちらも、情報識別子、IDの数、該IDの数だけのID識別子とIDのペア、暗号化された契約関連情報からなっている。
【0171】
情報識別子は当該パケットの種別を示すもので、ここでは個別制御情報パケットであることを示す識別子を記述する。IDの数はIDとID識別子のペアの数を表している。図32(a)に示すパケットではIDの数は1つである。ID識別子は、これに続くIDが何に関するIDであるかを示すものであり、図32(a)の例におけるID識別子は、契約者IDを示す識別子が入る。IDは第1の実施形態のそれと同じである。
【0172】
図32(b)に示す個別制御情報パケットではIDの数は2つあり、前半のID識別子には指紋IDを示す識別子が、後半のID識別子には虹彩IDを示す識別子が入る。
【0173】
図32(a)(b)に示す個別制御情報パケットには、暗号化された契約関連情報が含まれている。どちらの契約関連情報も図33に示すようなデータ構造をもつ。すなわち、ワーク鍵情報の数nとn個のワーク鍵情報、チャネル契約情報、署名検証鍵識別子、デジタル署名からなる。
【0174】
ワーク鍵情報の数nは、これに続くワーク鍵情報の数を示している。チャネル契約情報は、第1の実施形態と同じく契約者IDに対応したチャネル契約情報であり、図32(a)の個別制御情報パケットの場合には、第1のチャネル契約情報であり、図32(b)の個別制御情報パケットの場合は、第2のチャネル契約情報である。第1および第2のチャネル契約情報は前述した第1の実施形態の場合と同様である。
【0175】
デジタル署名検証鍵識別子は、これに続くデジタル署名を検証するための検証鍵の識別子を表し、デジタル署名は図32(a)、(b)の情報識別子から第1、第2のチャネル契約情報までの部分をデジタル署名検証鍵識別子で示されたデジタル署名検証鍵に対応したデジタル署名生成鍵で署名したデータである。
【0176】
契約関連情報に含まれている第1〜第nのワーク鍵情報のそれぞれは、図34に示すようなデータ構造をもつ。すなわち、当該ワーク鍵はチャネル毎に設けられているので、当該チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵からなっている。ここで、チャネル識別子は、これに続くワーク鍵識別子とワーク鍵のベアがどのチャネルに対応するものかを示す情報である。ワーク鍵識別子は、これに続くワーク鍵の識別子を表している。
【0177】
図34ではワーク鍵識別子とワーク鍵を2組含めて送信しているが、これは更新時に視聴が途切れないようにするため、現在のワーク鍵と次のワーク鍵を2組同時に送信している。尚、このようにワーク鍵を2組送信してもよし、1組のみを送信する構成でもよいし、また、3組以上送信しても良い。これらを実現するのは、以下の実施形態に自明な変形を施すだけで足りる。
【0178】
個別制御情報パケットは、例えば現行放送規格のEMM(Entitlement Management Message)にあたる。
【0179】
共通制御情報パケットは、ワーク鍵で暗号化されたチャネルキーを配信するためにもので、図35に示すようなデータ構造のパケットである。情報識別子、ワーク鍵識別子、チャネル識別子、チャネルキー識別子とチャネルキーのペアからなっている。
【0180】
情報識別子は当該パケットの種別を示すもので、ここでは、共通制御情報パケットであることを示す識別子を記述する。
【0181】
ワーク鍵識別子は、チャネル識別子以下を復号できるワーク鍵の識別子を表している。チャネル識別子は以下のチャネルキーがどのチャネルに関するものかを示すための識別子である。またチャネルキー識別子は続くチャネルキーの識別子である。チャネルキー識別子とチャネルキーが2組ある理由は前記ワーク鍵の場合と同様である。
【0182】
この共通制御情報パケットは、例えば現行CS放送規格のECM(Entitlement Contorol Message)にあたる。
【0183】
(1)放送受信装置
次に、第2の実施形態に係る放送受信装置の構成と動作について説明する。放送受信装置の全体の構成例を図36に示し、全体のアルゴリズムを図37〜図38のフローチャートに示す。
【0184】
なお、図36において、図11と同一部分には同一符号を付し、異なる部分の構成と、動作についてのみ図37〜図38に従って説明する。すなわち、図12のステップS0〜ステップS6までの処理は、そのまま図36の放送受信装置にも適用でき、ステップS7〜ステップS10の個別制御情報パケットの処理と共通制御情報パケットの処理のみを説明する。
【0185】
まず、個別制御情報パケットの処理動作につい説明する。
【0186】
フィルター部6で個別制御情報パケットが抽出されると(図12のステップS9)、当該個別制御情報パケットは、契約情報認証部23に出力される(図12のステップS10)。
【0187】
個別制御情報パケットが契約情報認証部23に入力されると、契約情報認証部23では、当該パケットからID識別子を抽出する(図37のステップS301)。抽出されたID識別子の中に契約者IDがある場合は契約者ID認証部24に該契約者IDと一致する契約者IDが登録されているか問い合わせる(ステップS302)。契約者IDが登録されてない場合は、当該個別制御情報パケットの処理を終了する(ステップS303)。
【0188】
当該契約者IDが登録されていた場合は、マスター鍵生成部42に当該契約者IDと暗号化された契約関連情報を出力する。マスター鍵生成部42では契約者IDを参照して、当該契約者IDに対応する第1のマスター鍵をマスター鍵としてマスター鍵格納部22から取り出す(ステップS304)。
【0189】
一方、ステップS302で、個別契約情報パケット中に契約者IDに対応するID識別子がないときには、契約情報認証部23は、当該パケット中のID識別子に指紋IDに対応するID識別子があるか否かを調べる(ステップS310)。指紋IDに対応するID識別子があれば、当該パケット中の指紋IDを指紋ID認証部26渡し、当該指紋IDにマッチングする指紋特徴ベクトルがあるか否かを調べる(ステップS311)。指紋特徴ベクトルと指紋IDとのマッチングは第1の実施形態と同様である。ここでもしマッチする指紋特徴ベクトルがない場合はここで処理を終了する。マッチする指紋特徴ベクトルがあった場合は、さらに、虹彩ID認証部29に登録されている虹彩特徴ベクトルの中に、個別制御情報パケット中の虹彩IDにマッチングする虹彩特徴ベクトルがあれば(ステップS312)、当該個別制御情報パケットをマスター鍵生成部42に出力する。マスター鍵生成部42では個別制御情報パケット中の指紋ID及び虹彩IDから秘密のアルゴリズムを使って、第2のマスター鍵を生成し、これをマスター鍵とする(ステップS313)。
【0190】
なお、ステップS312において、虹彩ID認証部29に登録されている虹彩特徴ベクトルの中に、個別制御情報パケット中の虹彩IDにマッチングする虹彩特徴ベクトルがないときは、当該パケットの処理を終了する。
【0191】
ここでは、マスター鍵は個別に放送受信装置若しくはICカードに与えられている。しかし、ICカードを持たず契約者本人の所有でない放送受信装置で視聴するため、指紋IDや虹彩IDなどの身体的特徴で認識した場合は契約者のマスター鍵(上記第1のマスター鍵に対応する)を利用することができない。そのような場合は、上記のように身体的特徴から求められたID情報を利用してマスター鍵(上記第2のマスター鍵に対応する)を生成する必要がある。
【0192】
第2のマスター鍵の生成の方法は、例えば任意長のデータを固定長のデータにするハッシュ関数などを用いる方法、ハッシュ関数で得た値を鍵として固定したデータで暗号化してできたデータを使う方法など様々考えられる。
【0193】
さて、ステップS304やステップS313でマスター鍵が得られると、次に、ステップS305へ進み、個別制御情報パケットは個別制御情報復号部21に送られ、ここで、上記マスター鍵を利用して契約関連情報の復号を行う。
【0194】
復号された第1、第2の契約関連情報から署名検証鍵識別子とデジタル署名を取得し、デジタル署名検証部25にて署名検証鍵識別子の署名検証鍵を利用してデジタル証明書の検証を行う(ステップS306)。ここで検証に失敗した場合は(ステップS307)、当該個別制御情報パケットの処理を終了する。署名検証に成功した場合は、次に、契約関連情報に含まれているワーク鍵情報を取得し、ワーク鍵格納部62に格納する(図38のステップS314、ステップS315)。
【0195】
次に、チャネル契約情報を取得する。現在処理対象の個別制御情報パケットが図32(a)に示したような契約者IDに対応する第1のチャネル契約情報を含むパケットとである場合には(ステップS316)、復号された契約関連情報から第1のチャネル契約情報を取り出して、それと、契約者IDと日付(登録された契約者IDに対応付けられている日付であって、当該契約者IDが登録された日付)とともに契約情報格納部10に格納する(ステップS317)。現在処理対象の個別制御情報パケットが図32(b)に示したような指紋ID、虹彩IDに対応する第2のチャネル契約情報を含むパケットとである場合には(ステップS316)、復号された契約関連情報から第2のチャネル契約情報を取り出して、それと、指紋IDと虹彩IDと指紋特徴ベクトルと日付(登録された指紋特徴ベクトルに対応付けられている日付であって、当該指紋特徴ベクトルが登録された日付)とともに契約情報格納部10に格納する(ステップS318)。
【0196】
以上で個別制御情報の処理の説明を終了する。
【0197】
次に、共通制御情報パケットの処理について、図39のフローチャートに従って説明する。
【0198】
フィルター部6で共通制御情報パケットが抽出されると(図12のステップS7)、当該パケットは、共通制御情報復号部41に出力される(ステップS8)。
【0199】
共通制御情報パケットが共通制御情報復号部41に入力されると、共通制御情報復号部41では、当該パケットからワーク鍵識別子を抽出し(図39のステップS321)、該ワーク鍵識別子をキーにして、ワーク鍵格納部62を検索する(ステップS322)。ここで当該ワーク鍵識別子に対応するワーク鍵がなかった場合は、処理をここで終了する(ステップS323)。あった場合は当該ワーク鍵を取得し、共通制御情報の暗号化部分(チャネル識別子から第2のチャネルキーまでの部分)を復号して(ステップS324)、チャネル識別子と、第1及び第2のチャネルキー識別子とチャネルキー情報を取得する。
【0200】
取得されたチャネル識別子と第1及び第2のチャネルキー識別子とチャネルキー情報をチャネルキー格納部11に格納する(ステップS325)。以上で共通制御情報の処理の説明を終了する。
【0201】
尚、契約者が放送受信装置の指紋提示部28に対して指紋を提示した時の処理及び契約情報更新部43における視聴制御情報の更新処理は第1の実施形態と同様である。以上で第2の実施形態の受信装置の説明を終了する。
【0202】
(2)契約管理装置
次に、第2の実施形態にかかる契約管理装置の構成と動作について説明する。
【0203】
契約管理装置の構成例を図40に示す。なお、図40において、図22と同一部分には同一符号を付し、異なる部分について説明する。
【0204】
第2の実施形態における契約管理装置には、加入者DB101、チャネルキーDB102、図22のマスター鍵DB103に代わるワーク鍵DB104の3つのデータベースがある。チャネルキーDB102に記憶されているデータ(レコード)のデータ構造は、第1の実施形態と同様である(図24参照)。異なるのは、加入者DB101とワーク鍵DB104に記憶されているデータ(レコード)のデータ構造であり、これらを図41、図42に示す。
【0205】
加入者DB101の1つのレコードは契約者1人に対応し、図41に示すように、加入者ID、契約者ID、第1のチャネル契約情報、第1のマスター鍵、指紋ID、虹彩ID、第2のチャネル契約情報、第2のマスター鍵からなっている。
【0206】
第1のマスター鍵、第2のマスター鍵が追加されている以外は、第1の実施形態の場合と同様であるので、説明は省略する。第1のマスター鍵と第2のマスター鍵は、第2の実施形態にかかる放送受信装置において、個別制御情報を復号する際に用いたものと同じもので(図37のステップS304、ステップS313参照)、第1のマスター鍵は、契約者IDに対応する契約関連情報を暗号化する鍵であり、第2のマスター鍵は、指紋ID、虹彩IDに対応する契約関連情報を暗号化する鍵である。
【0207】
ワーク鍵DB104の1つのレコードは1つのチャネルに対応し、図42に示すように、チャネルID、チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵からなっている。
【0208】
チャネルIDはチャネルキーDB102が管理のために番号付けした番号である。第2の実施形態では処理アルゴリズムの簡素化のため、MAXCHまでの番号が振られており途中欠番があっても良いとしている。
【0209】
チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵は、図34に示したワーク鍵情報と同様である。
【0210】
次に、個別制御情報パケットの生成アルゴリズムを図40の全体構成図を参照しながら、図43、図44のフローチャートに従って説明する。本アルゴリズムは放送開始時に放送送信制御部113からの指示で開始され、個別制御情報制御部112において停止することなく動き続ける。個別制御情報制御部112では、初めに変数iを「1」に初期化する(ステップS401)。ここでiは加入者IDを表す変数である。セットされたiに対して、まず加入者IDがiであるような加入者DB101のレコードがあるかどうか判定する(ステップS402)。
【0211】
ステップS402において、加入者IDがiであるような加入者DB101のレコードが存在しないときは、図44のステップS421へ進み、iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する(ステップS422)。ここでiがMAXID以下であれば、図43のステップS402の加入者IDの検索に戻る。iがMAXIDを超えた場合は、それ以上加入者レコードがないので、図43のステップS401のiの初期化に戻る。
【0212】
さて、ステップS402において、加入者DB101に加入者IDがiであるレコードがあったとする。このとき当該レコードから契約者IDと第1のチャネル契約情報を取得する(ステップS403)。更に第1のチャネル契約情報を参照して、当該契約者の契約したチャネルのワーク鍵情報(チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵)をワーク鍵DB104から取得する(ステップS404)。すなわち、ステップS403で取得した当該契約者の第1のチャネル契約情報中のフラグが「1」のチャネルに対応するワーク鍵情報をワーク鍵DB104から取得する。ここで取得したワーク鍵情報が全部でn個であるとすると、ここでは、これらを第1〜第nのワーク鍵情報と呼ぶ。
【0213】
これら取得したデータは、個別制御情報作成部111に送られ、個別制御情報作成部111では、これらデータを繋げて、図33に示したようなデータ構造の契約関連情報本体を作成する(ステップS405)。すなわち、図33に示すように、先頭は、ワーク鍵情報の数nであり、これに続き、第1〜第nのワーク鍵情報と第1のチャネル契約情報を繋げて契約関連情報本体を作成する。
【0214】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵情報を取得し、図32(a)に示すような個別制御情報パケットを構成する情報識別子から契約者IDの部分にさらに、該契約関連情報本体を連結したものに対し、該デジタル署名生成鍵を使ってデジタル署名を施し、この生成されたデジタル署名をデジタル署名生成鍵識別子と共に、図33に示すような形式に契約関連情報本体の後に連結して契約関連情(すなわち、第1の契約関連情報)を作成する(ステップS406、ステップS407)。
【0215】
次に、ステップS402で取得した当該加入者レコードにある第1のマスター鍵を取得し(ステップS408)、当該第1のマスター鍵を利用して、図33に示した構成の第1の契約関連情報を暗号化する(ステップS409)。暗号化された第1の契約関連情報に、図32(a)に示す情報識別子から契約者IDまでの部分を、図32(a)に示す形式になるよう連結して個別制御情報を生成する(ステップS410)。
【0216】
第1のチャネル契約情報に対応する個別制御情報の生成が終了したら、次に、第2のチャネル契約情報に対応する個別制御情報の生成処理に移る。ステップS402で取得した当該加入者レコードに指紋ID,虹彩IDが存在するかを検出し、両方とも存在した場合は指紋ID,虹彩ID,第2のチャネル契約情報を当該レコードから取得する(図44のステップS411〜ステップS413)。
【0217】
更に第2のチャネル契約情報を参照して、当該契約者の契約したチャネルのワーク鍵情報(チャネル識別子、第1のワーク鍵識別子、第1のワーク鍵、第2のワーク鍵識別子、第2のワーク鍵)をワーク鍵DB104から取得する(ステップS414)。すなわち、ステップS413で取得した当該契約者の第2のチャネル契約情報中のフラグが「1」のチャネルに対応するワーク鍵情報をワーク鍵DB104から取得する。ここで取得したワーク鍵情報が全部でn個であるとすると、ここでは、これらを第1〜第nのワーク鍵情報と呼ぶ。
【0218】
これら取得したデータは個別制御情報作成部111に送られ、契約情報本体の生成処理に移る。
【0219】
個別制御情報作成部111では、これら取得したデータを繋げて、図33に示したようなデータ構造の契約関連情報本体を作成する(ステップS415)。
【0220】
次に、デジタル署名生成鍵格納部117からデジタル署名生成鍵情報を取得し、図32(b)に示すような個別制御情報パケットを構成する情報識別子から虹彩IDの部分にさらに、該契約関連情報本体を連結したものに対し、該デジタル署名生成鍵を使ってデジタル署名を施し、この生成されたデジタル署名をデジタル署名生成鍵識別子と共に、図33に示すような形式に契約関連情報本体の後に連結して契約関連情報(すなわち、第2の契約関連情報)を作成する(ステップS416、ステップS417)。
【0221】
次に、ステップS402で取得した当該加入者レコードにある第2のマスター鍵を取得し(ステップS418)、当該第2のマスター鍵を利用して、図33に示した構成の第2の契約関連情報を暗号化する(ステップS419)。暗号化された第2の契約関連情報に、図32(b)に示す情報識別子から契約者IDまでの部分を、図32(b)に示す形式になるよう連結して個別制御情報を生成する(ステップS420)。
【0222】
生成された個別制御情報パケットは個別制御情報制御部112を経由して放送送信制御部113からスケジュールに従って限定受信チャネルを通じて放送送信される。
【0223】
以上が1加入者レコードに対する個別制御情報パケットの生成処理である。次の加入者レコードに進むには、次に、ステップS421へ進み、iを1つインクリメントし、iがMAXIDを超えるかどうかを判定する(ステップS422)。ここでiがMAXID以下であれば、図43のステップS402の加入者IDの検索に戻り、iがMAXIDを超えた場合は、それ以上加入者レコードがないので、ステップS401の初期化に戻ることによって、個別制御情報を間断なく繰り返し作成し送信する。
【0224】
次に、共通制御情報パケットの生成アルゴリズムを、図40の全体構成図を参照しながら図45のフローチャートに従って説明する。本アルゴリズムは放送開始時に放送送信制御部113により起動される。本アルゴリズムは放送送信制御部113によって起動された後、処理は共通制御情報制御部114、共通制御情報作成部115へと移され、共通制御情報作成部115においてチャネルIDを示す変数iを「1」に初期化する(ステップS421)。セットされたiに対してまずチャネルIDがiであるようなレコードがチャネルキーDB102にあるかどうか判定する(ステップS422)。ない場合は、ステップS427へ進み、iを1つインクリメントし、iがMAXCHを超えるかどうかを判定する(ステップS428)。MAXCHは第1の実施形態と同様にチャネルIDの最大値である。ステップS428で、iがMAXCH以下であれば、ステップS422のチャネルID検索に戻る。iがMAXIDを超えた場合は、それ以上チャネルキーレコードがないので、ステップS421のiの初期化に戻る。
【0225】
ステップS422において、チャネルキーDB102に、チャネルIDがiであるレコードがあったとする。このとき当該レコードからチャネル識別子、2組のチャネルキー識別子とチャネルキーのペア(第1のチャネルキー識別子と第1のチャネルキー、第2のチャネルキー識別子と第2のチャネルキー)を取得する(ステップS423)。更にワーク鍵DB104を検索して、当該取得したチャネル識別子に対応するワーク鍵情報を取得する(ステップS424)。
【0226】
一方、取得したチャネル識別子、第1のチャネルキー識別子、第1のチャネルキー、第2のチャネルキー識別子、第2のチャネルキーを図35に示す形式に連結し、主要部データを作成する。次に、ステップS424で取得したワーク鍵情報からワーク鍵を抽出し、該ワーク鍵で当該主要部データを暗号化する(ステップS425)。当該暗号化された主要部データと該ワーク鍵情報から抽出したワーク鍵識別子及び共通制御情報であることを示す情報識別子を、図35のようの連結して共通制御情報が作成される(ステップS426)。
【0227】
作成された共通制御情報は共通制御情報制御部114を経由して放送送信制御部113からスケジュールに従って限定受信チャネルで放送送信される。
【0228】
以上が1チャネルキーレコードに対する共通制御情報パケットの生成処理である。次のチャネルキーレコードに進むにはiを1つインクリメントし(ステップS427)、iがMAXCHを超えるかどうかを判定する(ステップS428)。ここでiがMAXCH以下であれば、ステップS422のチャネルキーIDの検索に戻り、iがMAXCHを超えた場合は、それ以上チャネルキーレコードがないので、ステップS4221のiの初期化に戻ることによって、共通制御情報を間断なく繰り返し作成し送信する。
【0229】
以上で第2の実施形態の契約制御装置の説明を終了する。
【0230】
(3)第2の実施形態の変形例
第2の実施形態についても、第1の実施形態で説明したのと同様のバリエーションが成立し、同様の効果がある。但し、第1の実施形態の第3のバリエーションに関しては、単に、個別制御情報パケット中の虹彩IDをパスワードに置換えるのではなく、パスワードは契約関連情報に含め、第2のマスター鍵で暗号化しておく構成が望ましい。何故なら、パスワードは契約本人以外でも入力すれば足りるものであるから未暗号化部にパスワードが存在すると、それを発見した他の契約者が自分の指紋特徴ベクトルとマッチングする指紋IDに付けられているパスワードを盗聴し、該盗聴したパスワードを放送受信装置に入力することにより、他の契約者に成りすまして視聴することが可能となるからである。このように、上記第2の実施形態において、パスワードを契約関連情報に含め、放送受信装置では、指紋特徴による認証に加えて、パスワード認証を行うことにより、(360次元空間で指紋特徴が似通っている人はそう多くはないので)コストを掛けて虹彩特徴による認証を行わなくても正確な契約者認証が実現できる。
【0231】
一方、契約者が少ない場合は第3のバリエーションを第1の実施形態の通り実現しても(すなわち、個別制御情報パケット中の虹彩IDをパスワードに置換える)、自分の指紋特徴ベクトルとマッチングする他の契約者の指紋IDが見つかる可能性が低いので特に問題にならない。
【0232】
以上説明したように、上記第2の実施形態によれば、前述した第1の実施形態と同様の効果が得られる。
【0233】
なお、上記第1の実施形態と同様に、チャネル契約情報に、所定の料金の支払いにより契約された契約期間のみ視聴可能なように、当該チャネル契約情報の有効期限を追加してもよい。
【0234】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピーディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0235】
なお、本発明は、上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。さらに、上記実施形態には種々の段階の発明は含まれており、開示される複数の構成要件における適宜な組み合わせにより、種々の発明が抽出され得る。例えば、実施形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題(の少なくとも1つ)が解決でき、発明の効果の欄で述べられている効果(のなくとも1つ)が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【0236】
【発明の効果】
以上説明したように、本発明によれば、例えば所定の料金の支払いにより、利用可能(視聴可能)なコンテンツ情報をどこでも(どの受信装置からでも)受信・再生することができる。
【図面の簡単な説明】
【図1】チャネル契約情報の一具体例を示した図。
【図2】第1の実施形態に係る鍵構造を説明するための図。
【図3】コンテンツパケットのデータ構造を示した図。
【図4】個別制御情報パケットのデータ構造を示した図。
【図5】共通制御情報パケットのデータ構造を示した図。
【図6】指紋の画像の一例を示した図。
【図7】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図8】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図9】指紋の画像から特徴ベクトルを抽出する処理を説明するための図。
【図10】指紋特徴ベクトルについて説明するための図。
【図11】第1の実施形態にかかる放送受信装置の構成例を示した図。
【図12】放送受信装置の処理動作を説明するためのフローチャート。
【図13】放送受信装置の処理動作のうち、コンテンツパケットに対する処理を説明するためのフローチャート。
【図14】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図15】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図16】指紋ID認識部における、ユーザにより登録された指紋IDの記憶例を示した図。
【図17】契約情報格納部におけるチャネル契約情報と統合チャネル契約情報の記憶例を示した図。
【図18】契約情報格納部の処理動作を説明するためのフローチャート。
【図19】放送受信装置の処理動作のうち、共通制御情報パケットに対する処理を説明するためのフローチャート。
【図20】放送受信装置の指紋提示部に対してユーザが指紋を提示した時の処理動作を説明するためのフローチャート。
【図21】契約情報更新部における視聴制御情報の更新処理を説明するためのフローチャート。
【図22】第1の実施形態にかかる契約管理装置の構成例を示した図。
【図23】加入者DBに記憶されているデータの構造を示した図。
【図24】チャネルキーDBに記憶されているデータの構造を示した図。
【図25】マスター鍵DBに記憶されているデータの構造を示した図。
【図26】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図27】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図28】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図29】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図30】契約管理装置における共通制御パケットの生成処理動作を説明するためのフローチャート。
【図31】第2の実施形態にかかる鍵構造を説明するための図。
【図32】個別制御情報パケットのデータ構造を示した図。
【図33】契約関連情報のデータ構造を示した図。
【図34】ワーク鍵情報のデータ構造を示した図。
【図35】共通制御情報パケットのデータ構造を示した図。
【図36】第2の実施形態にかかる放送受信装置の構成例を示した図。
【図37】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図38】放送受信装置の処理動作のうち、個別制御情報パケットに対する処理を説明するためのフローチャート。
【図39】放送受信装置の処理動作のうち、共通制御情報パケットに対する処理を説明するためのフローチャート。
【図40】第2の実施形態にかかる契約管理装置の構成例を示した図。
【図41】加入者DBに記憶されているデータの構造を示した図。
【図42】ワーク鍵DBに記憶されているデータの構造を示した図。
【図43】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図44】契約管理装置における個別制御パケットの生成処理動作を説明するためのフローチャート。
【図45】契約管理装置における共通制御パケットの生成処理動作を説明するためのフローチャート。
【図46】契約情報格納部の処理動作を説明するためのフローチャート。
【符号の説明】
6…フィルター部
7…デスクランブル部
8…チャネルキー出力部
9…契約判定部
10…契約情報格納部
11…チャネルキー格納部
12…チャネル情報入力部
21…個別制御情報復号部
22…マスター鍵格納部
23…契約情報認証部
24…契約者ID認証部
25…デジタル署名検証部
26…指紋ID認証部
27…指紋特徴抽出部
28…指紋提示部
29…虹彩ID認証部
30…虹彩特徴抽出部
31…虹彩提示部
41…共通制御情報復号部
42…マスター鍵生成部
43…契約情報更新部
62…ワーク鍵格納部
50、51…限定受信部
Claims (16)
- ユーザを識別する少なくとも1種類の識別情報を記憶する第1の記憶手段と、
前記ユーザを認証するための異なる種類の第1および第2の認証情報と、当該第1及び第2の認証情報にそれぞれ対応して当該ユーザが利用可能なコンテンツ情報を指定する第1および第2のコンテンツ指定情報とを含む当該ユーザに対応する制御情報を受信する制御情報受信手段と、
(a)前記制御情報に含まれる前記第1の認証情報に対応する識別情報が前記第1の記憶手段に記憶されているとき、前記第2の認証情報を利用せずに、前記第1のコンテンツ指定情報を取得し、(b)前記制御情報に含まれる前記第1及び第2の認証情報のうち前記第2の認証情報に対応する識別情報のみが前記第1の記憶手段に記憶されているとき、前記第2のコンテンツ指定情報を取得する取得手段と、
前記第1及び第2のコンテンツ指定情報のうち前記取得手段で取得されたコンテンツ指定情報を記憶する第2の記憶手段と、
放送配信される暗号化された複数のコンテンツ情報を受信する受信手段と、
前記受信手段で受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段で記憶された前記コンテンツ指定情報により指定されるコンテンツ情報を再生する再生手段と、
を具備したことを特徴とする受信装置。 - 前記第2の認証情報は、前記ユーザの身体的特徴情報に基づく前記ユーザの識別情報であることを特徴とする請求項1記載の受信装置。
- 前記第1のコンテンツ指定情報に基づき利用可能なコンテンツ情報の数は、前記第2のコンテンツ指定情報に基づき利用可能なコンテンツ情報の数より多いことを特徴とする請求項1記載の受信装置。
- 前記第2の認証情報は、前記ユーザの2種類の異なる身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と第2の特徴情報を含み、
前記取得手段は、前記第1の記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記第2の特徴情報に対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報を取得することを特徴とする請求項1記載の受信装置。 - 前記第2の認証情報は、前記ユーザの身体的特徴に基づく当該ユーザの識別情報としての第1の特徴情報と、当該ユーザの識別情報としてのパスワードを含み、
前記取得手段は、前記第1の記憶手段に、前記制御情報に含まれている前記第2の認証情報としての前記第1の特徴情報に対応する識別情報が記憶されているとき、さらに、当該第2の認証情報としての前記パスワードに対応する識別情報が記憶されているときに、当該制御情報に含まれている前記第2のコンテンツ指定情報を取得することを特徴とする請求項1記載の受信装置。 - 前記第1の記憶手段に記憶された識別情報には、有効期間が定められており、当該識別情報が記憶されてから前記有効期間が経過したときには、当該識別情報は前記第1の記憶手段から消去されることを特徴とする請求項1記載の受信装置。
- 前記第1の記憶手段は、複数のユーザのそれぞれの前記識別情報を記憶し、
前記制御情報受信手段は、前記複数のユーザのそれぞれに対応するユーザ個別の複数の前記制御情報を受信し、
前記取得手段は、前記第1及び第2の認証情報のうち各ユーザの前記識別情報に対応する認証情報を含む各制御情報から、前記第 1 及び第2のコンテンツ指定情報のうち該認証情報に対応するコンテンツ指定情報を取得することにより、前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を取得し、
前記第2の記憶手段は、前記取得手段で取得した前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を記憶し、
前記再生手段は、前記受信手段で受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段で記憶された前記複数のコンテンツ指定情報のうちのいずれか1つにより指定されるコンテンツ情報を再生することを特徴とする請求項1記載の受信装置。 - 暗号化された複数のコンテンツ情報を複数の受信装置に放送配信する手段と、
前記複数のコンテンツ情報のうち各ユーザに予め定められた利用可能なコンテンツ情報の再生を可能にするための各ユーザ個別の制御情報を前記複数の受信装置に放送配信する手段と、
を具備し、
前記各ユーザ個別の制御情報には、(a)当該ユーザを認証するための当該ユーザに予め定められた第1の認証情報と、(b)当該第1の認証情報に対応して当該ユーザが利用可能なコンテンツ情報を指定するとともに、当該制御情報を受信した受信装置において、当該第1の認証情報により当該ユーザが認証されたときに、当該ユーザが利用可能なコンテンツ情報を再生可能にする第1のコンテンツ指定情報と、(c)当該制御情報を受信した受信装置において、前記第1の認証情報では当該ユーザを認証することはできないときに用いられる認証情報であって、当該第1の認証情報とは異なる種類の第2の認証情報と、(d)当該第2の認証情報に対応して当該ユーザが利用可能なコンテンツ情報を指定するとともに、当該制御情報を受信した受信装置において、当該第2の認証情報により当該ユーザが認証されたときに、当該ユーザが利用可能なコンテンツ情報を再生可能にする第2のコンテンツ指定情報を含むことを特徴とする配信装置。 - 前記第2の認証情報は、前記ユーザの身体的特徴情報に基づく当該ユーザの識別情報であることを特徴とする請求項8記載の配信装置。
- 前記第1のコンテンツ指定情報に基づき利用可能なコンテンツ情報の数は、前記第2のコンテンツ指定情報に基づき利用可能なコンテンツ情報の数より多いことを特徴とする請求項8記載の配信装置。
- 前記第2の認証情報は、前記ユーザの身体的特徴に基づく当該ユーザの識別情報としての複数種類の身体的特徴情報を含み、
前記第2のコンテンツ指定情報は、前記制御情報を受信した受信装置において、前記複数種類の身体的特徴情報のそれぞれが前記ユーザの身体的特徴に当てはまるとき、当該受信装置でのコンテンツ情報の再生を可能にすることを特徴とする請求項8記載の配信装置。 - ユーザを識別する少なくとも1種類の識別情報を第1の記憶手段に記憶する第1の記憶ステップと、
前記ユーザを認証するための異なる種類の第1および第2の認証情報と、当該第1及び第2の認証情報にそれぞれ対応して当該ユーザが利用可能なコンテンツ情報を指定する第1および第2のコンテンツ指定情報とを含む当該ユーザに対応する制御情報を受信する第1の受信ステップと、
(a)前記制御情報に含まれる前記第1の認証情報に対応する識別情報が前記第1の記憶手段に記憶されているとき、前記第2の認証情報を利用せずに、前記第1のコンテンツ指定情報を取得し、(b)前記制御情報に含まれる前記第1及び第2の認証情報のうち前 記第2の認証情報に対応する識別情報のみが前記第1の記憶手段に記憶されているとき、前記第2のコンテンツ指定情報を取得する取得ステップと、
前記第1及び第2のコンテンツ指定情報のうち取得されたコンテンツ指定情報を第2の記憶手段に記憶する第2の記憶ステップと、
放送配信される暗号化された複数のコンテンツ情報を受信する第2の受信ステップと、
受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段に記憶された前記コンテンツ指定情報により指定されるコンテンツ情報を再生する再生ステップと、
を含むことを特徴とする受信方法。 - 前記第1の記憶ステップは、複数のユーザのそれぞれの前記識別情報を前記第1の記憶手段に記憶し、
前記第1の受信ステップは、前記複数のユーザのそれぞれに対応するユーザ個別の複数の前記制御情報を受信し、
前記取得ステップは、前記第1及び第2の認証情報のうち各ユーザの前記識別情報に対応する認証情報を含む各制御情報から、前記第 1 及び第2のコンテンツ指定情報のうち該認証情報に対応するコンテンツ指定情報を取得することにより、前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を取得し、
前記第2の記憶ステップは、前記取得ステップで取得した前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を前記第2の記憶手段に記憶し、
前記再生ステップは、前記第2の受信ステップで受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段に記憶された前記複数のコンテンツ指定情報のうちのいずれか1つにより指定されるコンテンツ情報を再生することを特徴とする請求項12記載の受信方法。 - 暗号化された複数のコンテンツ情報を複数の受信装置に放送配信するとともに、
前記複数のコンテンツ情報のうち各ユーザに予め定められた利用可能なコンテンツ情報の再生を可能にするための各ユーザ個別の制御情報を前記複数の受信装置に放送配信し、
前記各ユーザ個別の制御情報には、(a)当該ユーザを認証するための当該ユーザに予め定められた第1の認証情報と、(b)当該第1の認証情報に対応して当該ユーザが利用可能なコンテンツ情報を指定するとともに、当該制御情報を受信した受信装置において、当該第1の認証情報により当該ユーザが認証されたときに、当該ユーザが利用可能なコンテンツ情報を再生可能にする第1のコンテンツ指定情報と、(c)当該制御情報を受信した受信装置において、前記第1の認証情報では当該ユーザを認証することはできないときに用いられる認証情報であって、当該第1の認証情報とは異なる種類の第2の認証情報と、(d)当該第2の認証情報に対応して当該ユーザが利用可能なコンテンツ情報を指定するとともに、当該制御情報を受信した受信装置において、当該第2の認証情報により当該ユーザが認証されたときに、当該ユーザが利用可能なコンテンツ情報を再生可能にする第2のコンテンツ指定情報を含むことを特徴とする配信方法。 - コンピュータを、
ユーザを識別する少なくとも1種類の識別情報を記憶する第1の記憶手段、
前記ユーザを認証するための異なる種類の第1および第2の認証情報と、当該第1及び第2の認証情報にそれぞれ対応して当該ユーザが利用可能なコンテンツ情報を指定する第1および第2のコンテンツ指定情報とを含む当該ユーザに対応する制御情報を受信する制御情報受信手段、
(a)前記制御情報に含まれる前記第1の認証情報に対応する識別情報が前記第1の記憶手段に記憶されているとき、前記第2の認証情報を利用せずに、前記第1のコンテンツ指定情報を取得し、(b)前記制御情報に含まれる前記第1及び第2の認証情報のうち前記第2の認証情報に対応する識別情報のみが前記第1の記憶手段に記憶されているとき、前記第2のコンテンツ指定情報を取得する取得手段、
前記第1及び第2のコンテンツ指定情報のうち前記取得手段で取得されたコンテンツ指定情報を記憶する第2の記憶手段、
放送配信される暗号化された複数のコンテンツ情報を受信する受信手段、
前記受信手段で受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段で記憶された前記コンテンツ指定情報により指定されるコンテンツ情報を再生する再生手段、
として機能させるためのプログラム。 - 前記第1の記憶手段は、複数のユーザのそれぞれの前記識別情報を記憶し、
前記制御情報受信手段は、前記複数のユーザのそれぞれに対応するユーザ個別の複数の前記制御情報を受信し、
前記取得手段は、前記第1及び第2の認証情報のうち各ユーザの前記識別情報に対応する認証情報を含む各制御情報から、前記第 1 及び第2のコンテンツ指定情報のうち該認証情報に対応するコンテンツ指定情報を取得することにより、前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を取得し、
前記第2の記憶手段は、前記取得手段で取得した前記複数のユーザのそれぞれに対応する複数の前記コンテンツ指定情報を記憶し、
前記再生手段は、前記受信手段で受信された前記複数のコンテンツ情報のうち、前記第2の記憶手段で記憶された前記複数のコンテンツ指定情報のうちのいずれか1つにより指定されるコンテンツ情報を再生することを特徴とする請求項15記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002362605A JP3927114B2 (ja) | 2002-12-13 | 2002-12-13 | 受信装置、配信装置、受信方法、配信方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002362605A JP3927114B2 (ja) | 2002-12-13 | 2002-12-13 | 受信装置、配信装置、受信方法、配信方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004194212A JP2004194212A (ja) | 2004-07-08 |
| JP3927114B2 true JP3927114B2 (ja) | 2007-06-06 |
Family
ID=32761009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002362605A Expired - Fee Related JP3927114B2 (ja) | 2002-12-13 | 2002-12-13 | 受信装置、配信装置、受信方法、配信方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3927114B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4603570B2 (ja) * | 2007-09-03 | 2010-12-22 | 富士通株式会社 | 通信システムおよび通信方法 |
| JP4791521B2 (ja) * | 2008-12-08 | 2011-10-12 | 富士通株式会社 | 受信機および受信機により実行される方法 |
| JP4791583B2 (ja) * | 2010-03-26 | 2011-10-12 | 富士通株式会社 | 通信システム |
| JP4791584B2 (ja) * | 2010-03-26 | 2011-10-12 | 富士通株式会社 | 受信機 |
| JP5129834B2 (ja) * | 2010-03-26 | 2013-01-30 | 富士通株式会社 | 送信機及び送信機により実行される方法 |
| JP4843729B2 (ja) * | 2010-09-06 | 2011-12-21 | 富士通株式会社 | 通信システム |
| JP2012054979A (ja) * | 2011-10-12 | 2012-03-15 | Fujitsu Ltd | 送信機及び送信機により実行される方法 |
| CN109997141B (zh) * | 2016-10-24 | 2023-10-17 | 乐威指南公司 | 用于使用双因素认证来控制对媒体资产访问的系统和方法 |
-
2002
- 2002-12-13 JP JP2002362605A patent/JP3927114B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004194212A (ja) | 2004-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7698718B2 (en) | Method and system for restricting use of data in a circuit | |
| EP1473722B1 (en) | System and method for mutual authentication thereby scrambling information for accessing a confidential data storage area | |
| US7792296B2 (en) | Access-controlled encrypted recording method for site, interaction and process monitoring | |
| KR100264635B1 (ko) | 인증 정보를 화상에 은폐하는 시스템 및 화상 인증 시스템 | |
| KR100426740B1 (ko) | 방송 서비스를 위한 전체적인 조건부 액세스 관리 방법 | |
| US20010025342A1 (en) | Biometric identification method and system | |
| US20060150211A1 (en) | Method and terminal for limited-access receiving of data as well as remote server | |
| US7017182B2 (en) | Method of securely transmitting information | |
| ZA200304024B (en) | Method of secure transmission of digital data from a source to a receiver. | |
| Pramanik et al. | Signature image hiding in color image using steganography and cryptography based on digital signature concepts | |
| JP3927114B2 (ja) | 受信装置、配信装置、受信方法、配信方法およびプログラム | |
| JP2004363724A (ja) | 受信管理装置、放送受信装置、情報配信装置、情報配信方法およびプログラム | |
| JP4713745B2 (ja) | 認証通信装置及び認証通信システム | |
| CN108052828B (zh) | 录屏文件的生成方法、装置、终端及存储介质 | |
| JP3331552B2 (ja) | ディジタル情報通信システム及びその方法 | |
| JP2000295541A (ja) | 放送受信装置,放送受信装置の契約情報処理方法および放送受信装置の契約情報処理プログラム記録媒体 | |
| KR100422198B1 (ko) | 생체인식정보와 디지털 워터마크기술을 이용하는공개키기반구조 | |
| CN106559682B (zh) | 一种数字电视指纹水印保护的方法及装置 | |
| CN112769783B (zh) | 数据传输方法及云服务器、接收端和发送端 | |
| Kim | Secure communication in digital TV broadcasting | |
| KR100820228B1 (ko) | 1회용 비밀번호를 이용한 사용자 시청권한 인증 시스템 및그 방법 | |
| JP2007221324A (ja) | コンテンツ再生装置、コンテンツ再生システム、およびプログラム | |
| JP2004252966A (ja) | コンテンツ配信システム | |
| De Santis et al. | A blocker-proof conditional access system | |
| KR101314417B1 (ko) | 보안 칩셋을 이용한 콘텐츠 제공 및 재생 장치, 그리고 콘텐츠 제공 및 재생 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040609 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060928 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061107 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070227 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070301 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100309 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110309 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120309 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130309 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130309 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140309 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |