JP4190599B2 - Information transmission device, information transmission method, information reception device, and information reception method - Google Patents
Information transmission device, information transmission method, information reception device, and information reception method Download PDFInfo
- Publication number
- JP4190599B2 JP4190599B2 JP01281097A JP1281097A JP4190599B2 JP 4190599 B2 JP4190599 B2 JP 4190599B2 JP 01281097 A JP01281097 A JP 01281097A JP 1281097 A JP1281097 A JP 1281097A JP 4190599 B2 JP4190599 B2 JP 4190599B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- transmission
- packet
- internet protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、例えば、通信衛星を用いて、データ配信サービスを行うための情報伝送装置及び方法並びに情報受信装置及び方法に関する。
【0002】
【従来の技術】
公衆電話回線、専用回線などを用いてデータ伝送する場合又は通話する場合、伝送情報の漏洩を防止するため又は伝送情報に対する妨害に対して情報の信頼性を維持するため、平文のデータを暗号化して伝送し、受信先で暗号化されたデータを復号している。
【0003】
代表的な暗号方式としては、共通鍵暗号方式と公開鍵暗号方式とが知られている。共通鍵暗号方式は対称暗号系とも呼ばれており、アルゴリズム非公開型とアルゴリズム公開型がある。アルゴリズム公開型の代表的なものとして、DES(Date Encryption Standard)が知られている。公開鍵暗号方式は、暗号化鍵から復号鍵を導出するために莫大な計算量が必要なため実質的に復号鍵が解読されないので、暗号化鍵を公開してもよい暗号方式であり、非対称鍵暗号方式ともよばれている。
【0004】
図17は、伝送路上のデータを共通鍵暗号方式で暗号化する暗号化データ伝送装置の一例を示す概略構成図である。この暗号化データ伝送装置は、送信者側の送信装置91と、受信者側の受信装置92とをつなぐデータ伝送路94から盗聴者側の盗聴装置93がデータを盗聴するのを防ぐ。
【0005】
伝送すべきデータには、送信装置91内の暗号化器96により暗号鍵97を用いての暗号化処理が施される。データ伝送路94により伝送されて受信装置92で受信された上記暗号化データは、復号鍵98を用いた復号器99により復号されて、復号データが得られる。
【0006】
ここで、盗聴装置93がデータ伝送路94から受信装置92と同様に暗号化されたデータを受信しても、復号鍵98を持たないので、復号することが困難である。すなわち、盗聴装置93では、そのままでは意味不明の暗号化処理(スクランブル)のかかったデータを扱うことになるから、現実的に盗聴装置93側に情報が漏洩することを防ぐことができる。この例における共通鍵暗号方式の主要な暗号化方法では、一般に暗号化鍵と復号鍵は同一ビット列である。
【0007】
なお、上述したような、暗号化方式は、伝送データが伝送される回線系統の種別、伝送データの機密度(機密性)、伝送データの量などに応じて決定される。例えば、専用回線を用いたデータ伝送においては、情報の漏洩、伝送データへの妨害の度合いは低いが、公衆電話回線を用いてデータ伝送する場合は情報の漏洩の度合い、妨害の度合いは高くなる。
【0008】
【発明が解決しようとする課題】
ところで、近年、通信衛星を用いたディジタルデータの伝送が可能になったことで、テレビジョン放送や映画などのアナログ映像・音声データのみならず、コンピュータなどで利用されるテキストやディジタル映像・音声データについても、通信衛星を用いて伝送されるようになったが、不特定多数の受信装置での受信が可能であることから情報の漏洩の度合い、妨害の度合いは一層高くなる。
【0009】
すなわち、上記通信衛星を用いるデータ伝送システムでは、電話回線、専用回線などの1対1通信と異なり、不特定多数の受信者が受信装置で容易に受信できるので、盗聴されやすい。このため、例えば有料のデータ伝送が盗聴される可能性が高い。そこで、上記データ伝送システムでも、データの暗号化が必要とされる。
【0010】
実際の上記データ伝送システムにおいては、全てのデータについて暗号化処理を施すのではなく、送信装置において伝送すべきデータの内容に応じて、暗号化すべきデータを暗号化して伝送路上に送出し、受信者は暗号化されたデータの全部又は一部を復号して、その結果得られた情報により、或いは、暗号化されずに伝送された部分により、そのデータが自分にとって必要なものであるか否かを知る。
【0011】
ここで、通信衛星を使った従来のテレビジョン放送サービスは、配信者が配信したデータを同時に多数のユーザが受信して使用する形態である。これに対して、コンピュータなどで使用されるディジタルデータを、通信衛星を介して配信する場合には、データ配信者から単数または複数の特定のユーザにデータを配信する機能が求められる。
【0012】
しかし、従来、データ配信者から多ユーザへの同時通信又は放送システムでは、全ユーザは常に同じ情報を受信して使用又は閲覧をしており、システムユーザ個人の識別情報がないため、データ配信者から特定ユーザのみへのデータの配信ができなかった。
【0013】
本発明は、上記実情に鑑みてなされたものであり、上記通信衛星を用いてディジタルデータを伝送する際にも、情報の漏洩の度合い、妨害の度合いを低くできる情報伝送装置及び方法の提供を目的とする。
【0014】
また、本発明は、上記実情に鑑みてなされたものであり、情報配信者からデータ伝送路を介して伝送されたディジタルデータを、データの種類に応じて特定のユーザのみが受信できるようにする情報受信装置及び方法の提供を目的とする。
【0015】
【課題を解決するための手段】
本発明に係る情報伝送装置は、上記課題を解決するために、ディジタルデータをインターネットプロトコルパケットのフォーマットに変換するインターネットプロトコルパケット化を行い、さらにこのインターネットプロトコルパケット化により得られたインターネットプロトコルパケットをトランスポートストリームパケットに入れ込むトランスポートストリームパケット化を行ってからデータ伝送路を介して伝送する情報伝送装置において、上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施す伝送データ提供事業者用の暗号化手段と、上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段と、上記伝送データ提供事業者用の暗号化手段と上記伝送路提供事業者用の暗号化手段による独立した二つの暗号化処理により得られた2重の暗号化データを送信する送信手段と、上記送信手段から上記データ伝送路を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施す受信手段とを備える。
【0016】
本発明に係る情報伝送方法は、上記課題を解決するために、ディジタルデータをインターネットプロトコルパケットのフォーマットに変換するインターネットプロトコルパケット化を行い、さらにこのインターネットプロトコルパケット化により得られたインターネットプロトコルパケットをトランスポートストリームパケットに入れ込むトランスポートストリームパケット化を行ってからデータ伝送路を介して伝送する情報伝送装置にあって実行される情報伝送方法において、上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施す伝送データ提供事業者用の暗号化手段によって実行される第1の暗号化工程と、上記伝送データ提供事業者用の上記暗号化工程によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段によって実行される第2の暗号化工程と、上記伝送データ提供事業者用の第1の暗号化工程と上記伝送路提供事業者用の第2の暗号化工程による独立した二つの暗号化処理により得られた2重の暗号化データを送信手段によって送信する送信工程と、上記送信工程を実行した送信工程により上記データ伝送路を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて受信手段で復号して受信する受信工程とを備える。
【0017】
本発明に係る情報受信装置は、上記課題を解決するために、ディジタルデータをインターネットプロトコルパケットのフォーマットに変換するインターネットプロトコルパケット化を行い、さらにこのインターネットプロトコルパケット化により得られたインターネットプロトコルパケットをトランスポートストリームパケットに入れ込むトランスポートストリームパケット化を行ってからデータ伝送路を介して送信する情報送信装置から送信されてきた暗号化データを受信する情報受信装置において、上記暗号化データは情報送信装置の伝送データ提供事業者用の暗号化手段が、上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施し、さらに上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段が上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施して得られた2重暗号化データであり、上記情報受信装置は上記第2の暗号鍵に対応した第2の復号鍵により上記第2の暗号化処理が施されたトランスポートストリームパケットデータを復号してから、上記第1の暗号鍵に対応した第1の復号鍵により上記第1の暗号化処理が施されたインターネットプロトコルパケットデータを復号する。
本発明に係る情報受信方法は、上記課題を解決するために、ディジタルデータをインターネットプロトコルパケットのフォーマットに変換するインターネットプロトコルパケット化を行い、さらにこのインターネットプロトコルパケット化により得られたインターネットプロトコルパケットをトランスポートストリームパケットに入れ込むトランスポートストリームパケット化を行ってからデータ伝送路を介して送信する情報送信装置から送信されてきた暗号化データを受信する情報受信装置にあって実行される情報受信方法において、上記暗号化データは、情報送信装置の伝送データ提供事業者用の暗号化手段で実行される第1の暗号化工程が上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施し、さらに上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段で実行される第2の暗号化工程が上記伝送データ提供事業者用の上記第1の暗号化工程によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施して得られた2重暗号化データであり、上記情報受信方法は上記第2の暗号鍵に対応した第2の復号鍵により上記第2の暗号化処理が施されたトランスポートストリームパケットデータをトランスポートストリームパケット復号部により復号するトランスポートストリームパケット復号工程と、上記トランスポートストリームパケット復号工程の後に、上記第1の暗号鍵に対応した第1の復号鍵により上記第1の暗号化処理が施されたインターネットプロトコルパケットデータをインターネットプロトコルパケット復号部により復号するインターネットプロトコルパケット復号工程とを備える。
【0018】
【発明の実施の形態】
以下、本発明に係る情報伝送装置及び方法並びに情報受信装置及び方法の実施の形態について図面を参照しながら説明する。この実施の形態は、ディジタルデータを所定のデータブロックに分割し、該データブロックを衛星回線を介して伝送する図1のデータ伝送システムである。
【0019】
このデータ伝送システムは、ディジタルデータに上記ディジタルデータの種類を示す識別子に応じた暗号鍵を用いた暗号化処理を含め、2重の暗号化処理を施し、この2重暗号化データを送信するデータ配信装置10と、このデータ配信装置10から上記衛星回線を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施すデータ受信装置30とを備えてなる。ここで、データ受信装置30は、例えばパーソナルコンピュータの拡張スロットに装着される。なお、図1には、パーソナルコンピュータをそのままデータ受信装置30として示している。
【0020】
データ配信装置10及びデータ受信装置30は、双方向の通信が可能な例えばISDNのような地上通信網を介して相互に通信が可能である。この地上通信網は、複数のシステム相互間でネットワークを介してディジタルデータの送受信を行うインターネットに接続されていてもよい。また、通信衛星18による衛星回線は、上記地上通信網よりも伝送容量が大きい。
【0021】
先ず、上記データ伝送システムにおけるデータの流れを説明する。ここでは、データ配信装置10を所有するデータ提供者とデータ受信装置30を所有する特定のユーザが、データの配送の契約を予め結んでいるものとする。なお、ここでいうデータ提供者とは、伝送情報を提供する事業者(以下、コンテンツプロバイダという)と、伝送路を提供する事業者(以下、サービスプロバイダという)の両方を含めている。
【0022】
データ受信装置30を所有するユーザは、例えば、地上通信網としてのISDNを介して、データ提供者が提供する所定のサービスを受けたい旨のリクエストをデータ配信装置10に送る。このリクエストを送る方法は、特に、限定されず、データの種類やユーザとの契約状況によって決められ、例えば郵便などでもよい。また、リクエストを送らずに、予め契約に従って、データ提供者がサービスを提供してもよい。
【0023】
データ配信装置10に送られたユーザからのリクエストは、データリクエスト受付部11で受け取られ、データ管理部12に送られる。データ管理部12は、ユーザの契約情報やリクエストが意味のあるものか否かのチェックを行い、問題が無ければ、データ蓄積部13にデータの読み出し要求を行う。データ蓄積部13は、データ読み出し要求に応じた、例えばデータを高速スイッチャ14を介してデータ作成部15に送る。
【0024】
データ作成部15では、データ蓄積部13からのデータに対してIPパケット化、メディアアクセス制御(Media Access Control、MAC)フレーム化、MPEG(Moving Picture Experts Group Phase)2のトランスポート化などのフォーマット変換を行う。また、データ作成部15は、データのIPパケット化後と、トランスポート化後に、上記2重の暗号化を行う。
【0025】
このフォーマット変換について以下に説明する。上述したように、近年、オーディオ、ビデオ信号やデータのような多種類のデータが多重化されて、大容量のディジタル回線で伝送されることが可能になってきた。この多重化の方法としては、例えばMPEG2の伝送フォーマットであるトランスポートストリーム(Transport Stream,TS)パケットが知られている。このTSパケットでは、情報データ部(ペイロード部)に暗号化処理を施している。この暗号化のための暗号化鍵は、TSパケットのヘッダ部分の13ビットのパケットID(PID)及び2ビットのスクランブル制御部に対応した固有のビット列を使用する。また、上記PIDは、各TSパケットの特定チャンネルのビデオやオーディオ等の情報種類を識別するのにも使われる。
【0026】
このTSパケットを用いてデータを伝送する場合には、データをインターネットで広く使用されているインターネットプロトコル(IP)パケットのフォーマットに変換し、さらにこのIPパケットをTSパケットに入れ込んでいる。
【0027】
ところで、多種類のデータがIPパケットとして伝送される場合、上記PIDはIPパケットのデータを他のビデオやオーディオのデータと識別するために使われており、又ビット長も13ビットしか無く、IPパケットで伝送される種々のデータの種別を識別させるには不十分なビット数である。そこでPID以外のデータ種類の識別方法が必要になる。
【0028】
例えば、インターネット上では受信データが自分宛のデータであるか否かを識別するのにIPパケットのIPヘッダに含まれる送信先アドレス(Destination Address)を用いている。TSパケットでIPパケットを伝送する場合でも、この送信先アドレス(以後、送信先IPアドレスという。)を用いて自分宛のデータであるかを識別することが可能である。
【0029】
しかし、例えば衛星回線を例にとるとデータ伝送速度が1中継器当たり30Mbpsとなり、データ受信側でリアルタイムに送信先IPアドレスの解析をソフトウェアで行うことは非常に困難である。何らかの手段により、自分宛の情報だけを抽出する手段が必要となる。
【0030】
さらに、具体的な情報のタイトルを指定しなくとも、自分の関心のある情報のジャンルの情報だけ指定しておけば、そのジャンルの情報だけが自動的に受信され、ダウンロードできると大変便利である。
【0031】
又、特定の加入者だけに受信可能とするために、上述したようにデータを暗号化した場合、受信側では暗号化されたデータを復号する必要がある。
そこで、上記データ伝送システムでは、データ配信装置10において複数種類のデータブロックからなる多重化データにデータの種類を示す識別子を付加し、通信衛星18を経由させて上記衛星回線により、データ受信装置30に送信している。そして、データ受信装置30では、ハードウェア的に上記識別子を読み取り、受信者が必要とする予め登録された種別のデータのみを抽出して復号する。
【0032】
この識別子の付加は、データ配信装置10のデータ作成部15によって行われる。データ配信装置10内のデータ蓄積部13には、ユーザが必要とするデータが何も加工されていない状態で蓄積されている。データ管理部12から、データの読み出し要求がユーザから来たことを知らされたデータ蓄積部13は、リクエストされたデータ及びユーザの宛先情報を同時にデータ作成部15に高速スイッチャ14を介して送る。
【0033】
ここで、ユーザの宛先情報とは、IPパケット送信に必要な送信先IPアドレスである。このデータ伝送システムでは、すべてのユーザに固有の送信先IPアドレスを割り振っている。一のユーザが持つ送信先IPアドレスは、一のユーザが確保している間は、一のユーザ以外のユーザは持たない。
【0034】
データ蓄積部13からのデータは、データ作成部15によって作成又はフォーマット変換された後、データ処理部16で他のオーディオ信号やビデオ信号と多重化され、多重化データとして送信アンテナ17から通信衛星18に無線回線を介して送られる。
【0035】
通信衛星18を介して送られた多重化データは、特定ユーザの所有するデータ受信装置30に限らず、データを受信できる状況にある全てのユーザが受信することが可能である。データ受信装置30は、通信衛星18からの全多重化データを受信し、その中から、自分が出したリクエストに応じたデータを選別して抽出し、復号化する。
【0036】
このデータ受信装置30は、データの種類を示す識別子が付加された複数種類のデータブロックよりなる多重化データを通信衛星18による衛星回線を介して受信し、上記識別子を読み取ることにより、予め登録された種類のデータブロックのみを抽出して復号する。
【0037】
すなわち、データ受信装置30は、リクエストに応じて送信されたデータを含む多数のデータブロックを受信し、その中から、自分宛のデータブロック、自分が受け取るべきデータブロック、自分が受け取ることができるデータブロックを選別して抽出する。なお、予めユーザとデータ提供者との契約によって、ユーザが持つデータ受信装置30は決定されている。
したがって、通常であれば、ユーザが持つデータ受信装置30を用いて、他のユーザ宛の特有のデータを選別することができない。
【0038】
しかし、通信衛星18を用いる上記データ伝送システムでは、電話回線、専用回線などの1対1通信と異なり、不特定多数の受信者が受信装置で容易に受信できるので、盗聴されやすい。すなわち、データ伝送が盗聴される可能性が高い。そこで、上記データ伝送システムでも、データの暗号化が必要とされる。
【0039】
このため、データ配信装置10は、図2に簡単に示すように、情報を提供するコンテンツプロパイダ18と、その情報を伝送するサービスプロパイダ19とで、暗号化器21と、暗号化器26により2重の暗号化処理を施している。
【0040】
このデータ配信装置10は、実際には、上述した図1に示すように構成されており、特に図2に示したコンテンツプロバイダ18と、サービスプロパイダ19の備える各部は、図3に示すようなデータ作成部15に含まれる。
【0041】
データ蓄積部13から送られてきた特定ユーザ宛のデータ及びIPアドレスは送信先IPパケット作成部20に送られる。IPパケット作成部20では、データ蓄積部13から送られてきたデータとその時点でユーザを特定する送信先IPアドレスを用いて、図4に示すIPパケット60を生成する。このIPパケット60の大きさはTCP/IP(Transmission Control Protocol/Internet Protocol)で規定され、ユーザがリクエストしたデータがその大きさを超える場合には、このデータは複数のIPパケットに分割されて次の暗号化器21に転送される。
【0042】
ここで使用されるIPパケット60のIPヘッダには、図5に示すユーザの送信先IPアドレス74と、送信元のIPアドレス73が入っている。ここで、送信先IPアドレス74は、32ビットである。
【0043】
IPパケット作成部20で作成されたIPパケット60は、暗号化器21に転送される。暗号化器21では、IPパケット60内の32ビットの上記送信先IPアドレス74によって、宛先が特定のユーザであることを知り、その時点で既にデータ提供者と特定のユーザとの間のみで知り合うIPパケット用暗号化鍵によってIPパケット60全体を暗号化する。暗号化式としては、例えばDES(Data Encryption Standard)などが採用される。
【0044】
この暗号化器21は、上記32ビットの送信先IPアドレス74を用いた暗号化を行うので、IPパケットの暗号化による限定受信だけでも2の32乗(=約43億)個の範囲に受信者を分けることができる。
【0045】
ここで、コンテンツプロバイダ18は、データ受信装置30に対して、伝送するIPパケットの送信先IPアドレスと、暗号化IPパケットを復号するための復号鍵を予め与えておく。そして、IPパケットのペイロード部分をこの復号鍵に対応する暗号鍵で暗号化し、サービスプロバイダ19に送る。
【0046】
ただし、暗号化は、特定のユーザに対する全てのデータについて施す必要はなく、データの種類によっては暗号化が行われないこともある。暗号化が行われない場合には、IPパケット作成部20からMACフレーム作成部22に直接IPパケット60が転送される。
【0047】
ここでは、暗号化が行われる場合について説明する。暗号化は通常64ビットの平文に対して行われ、暗号化すべきIPパケット60のデータ長が64ビットの倍数でない場合には、データの埋め合わせ、すなわち無効データのパディングを行うことでIPパケット60全体を64ビットの倍数にし、IPパケット61とする。
【0048】
特定のユーザ用のIPパケット61が暗号化されたIPパケット62は、MACフレーム作成部22に転送される。MACフレーム作成部22では、暗号化器21によって暗号化されたIPパケット62に対して、MACヘッダ70を付加する。
【0049】
このMACヘッダ70は、図6に示すように8ビットのSSID(Server System ID)と、24ビットのUDB(User Depend Block)1と、32ビットのUDB2の計64ビットで構成されている。特に、MACヘッダ70のUDB2には、上記IPヘッダ内に書かれた送信先IPアドレスと同様の送信先IPアドレスが書き込まれる。
【0050】
上記IPヘッダ内の送信先IPアドレスは暗号化されており、受信装置側では暗号を復号しなければ送信先IPアドレスを知ることができないが、上記MACヘッダ70にそれと同じ送信先IPアドレスがあれば、受信側では単にハードウェア的にそれを読み出すことで、自分宛のデータブロックであるか否かを知ることができる。この送信先IPアドレスはIPパケット作成部20からMACフレーム作成部22に直接渡される。
【0051】
なお、上記UDB1には、3ビットのPBL(Padding_Byte_Length)と、1ビットのCP(Control_Packet)と、1ビットのEN(Encrypted_or_Not)と、1ビットのPN(Protocol_Type Available_or_Not)と、2ビットのReserveと、16ビットのプロトコル番号(Protocol Type)がセットされる。
【0052】
この内、PBLは、パディングバイト長であり、暗号化の際に埋め合わせされた無効なデータの長さである。これは、暗号化されたIPパケットを受信したユーザが正規なデータ長を知るために必要となる。
【0053】
また、CPは、IPパケットに、ユーザが必要なデータかシステム運用に必要な制御データが入っているかを識別するビットである。通常、ユーザがリクエストした際に受け取るべきMACフレーム63のCPは、制御データではなくデータが入っていることを示している。
【0054】
ENは、IPパケットが暗号化器21によって暗号化されているか否かを示す制御ビットである。このビット情報によってユーザは受信したMACフレーム63を復号するかしないか決定する。PNは、Protocol Typeエリアに有用な情報があるか否かを示す制御ビットである。
【0055】
図3のMACフレーム作成部22では、以上の制御ビットをIPパケット62に付加している。ここで、UDB2には、上記送信先IPアドレスの他、IPパケットの情報の種類を表すコンテンツIDをセットしてもよい。このコンテンツIDについては後述する。UDB2にセットされたのが、上記送信先IPアドレスであるか上記コンテンツIDであるかを識別させるのが上記SSIDである。
【0056】
MACフレーム作成部22で生成されたMACフレーム63には、CRC計算部23にて計算されたCRC(Cyclic Redundancy Checking、巡回冗長検査)が付加される。このようにデータ配信装置10側でCRCの計算を行うことで、データ受信装置30は、受信したMACフレームが正しく通信衛星18から伝送されているかを検査することができる。CRC計算部23において生成された16ビットのCRCは、MACフレーム63の最後に付加されている。
【0057】
このMACフレーム63は、セクション作成部24に転送されてMPEG2で規定されるセクションに変換される。図4に示すように、MACフレーム63は、セクション(Sec)ヘッダ71の直後に付加され、プライベートセクション64と呼ばれる。
【0058】
このセクションヘッダ71のフォーマットを図7(A)に示す。セクションヘッダ71のフォーマットは、MPEG2によって、規定され、テーブル(ID)Tid、セクション−シンク−インディケータSsi、プライベート−インディケータPi、リザーブドRes、プライベート−セクション−レングスPslを有する。ここで、プライベート−セクション−レングスPslには、MACフレームのデータ長が入る。
【0059】
セクション作成部24で作成されたプライベートセクション64は、トランスポートパケット作成部25に転送される。トランスポートパケット作成部25では、転送されたプライベートセクション64をトランスポートパケット651,652,・・65nに分割する。
【0060】
トランスポートパケット651,652,・・65nは、それぞれ188バイトで構成されている。これらのトランスポートパケット651,652,・・65nには、4バイトのTSヘッダが付加される。
【0061】
例えばTSヘッダ72のフォーマットを図7(B)に示す。TSヘッダ72は、シンクバイトSyb、トランスポート−エラー−インディケータTei、ペイロード−ユニット−スタート−インディケータPui、トランスポート−プライオリティTp、上記PID、上記スクランブル制御部(トランスポート−スクランブル−コントロール)Tsc、アダプティション−フィールド−コントロールAfc及びコンティニティ−カウンタCcを有する。
【0062】
トランスポートパケット651,652,・・65nの1個分の大きさは、上述したように188バイトと規定されているので、一般的に、一つのセクション64を複数のトランスポートパケットに分割する必要がある。
【0063】
ここで、通常、一つのセクションは184バイト(188バイトからヘッダ長の4バイトを引いたバイト数)の整数倍長とは限らないので、一つのセクション64を複数のトランスポートパケット651,652,・・65nに分割する際には、図4に示すように、スタッフィングバイトを用いたデータの穴埋めを行う。すなわち、184バイトの倍数でない一つのセクションを複数のトランスポートパケットに分割した場合、最後のトランスポートパケットの余ったデータエリアに、全てのビットがスタッフィングされたスタッフィング領域を形成する。
【0064】
トランスポートパケット作成部25で作成された各トランスポートパケットは、暗号化器26に供給される。暗号化器26は、図2に示すようにTSパケット用暗号化鍵を用いて、上記各トランスポートパケットのデータ部分に暗号化処理を施す。
【0065】
サービスプロバイダ19は、データ受信装置30に対して、伝送するTSパケットのPID部分とスクランブル制御部の値と、このTSパケットを復号する復号鍵を予め与えておく。そして、コンテンツプラバイダ18から与えられた暗号化IPパケットをTSパケット化し、さらにこのTSパケットのペイロード部分を上記復号鍵に対応する暗号鍵で暗号化して、暗号化TSパケットを作成し、衛星回線上に送信する。
【0066】
ここで、暗号化のための暗号化鍵は、上述したように、図7の(b)に示したTSヘッダのPID(13ビット)とスクランブル制御部(2ビット)に対応した固有のビット列を使用する。このため、最大で15ビット分、4096通りの限定ができる。
【0067】
既にIPパケットの送信先IPアドレスを用いて上述したように2の32乗個の範囲に受信者を分けることができているので、このTSパケットの暗号化を組み合わせると、さらにその4096倍の範囲に受信者を分けることができ、より細やかな限定受信方式を構成できる。
【0068】
また、独立の暗号化を2重に行うことにより、盗聴者がいずれか一方の暗号を解読することに成功したとしても、もう一方の暗号を解読できなければ平文データを得ることはできないので、より安全性の高い限定受信方式を構成できる。
【0069】
また、ここではIPパケットの暗号化による限定受信方式と、TSパケットの暗号化による限定受信方式をそれぞれコンテンツプロバイダ18と、サービスプロバイダ19という別の事業者で行うので、他者とは独立の限定受信方式を構成できる。これは、伝送路を提供する事業者と、伝送データを提供する事業者が異なり、それぞれが独立にユーザと限定受信契約を結びたい場合に有効である。事業者間で暗号鍵に関する情報が漏れてしまう虞もない。
【0070】
コンテンツプロバイダ18と、サービスプロバイダ19で2重の暗号化が施されたデータは、データ転送部27に転送された後、マルチプレクサ等のデータ処理部16に伝送される。データ処理部16では、上記トランスポートパケットを他のディジタル化されたビデオ、オーディオ信号と多重化した後、変調、増幅する。
【0071】
ブロードキャストされた特定ユーザのためのデータは、ユーザ側の受信アンテナ31で受信され、特定のユーザのデータ受信装置30に転送される。
【0072】
受信アンテナ31により受信された信号は、IFの信号に変換され、データ受信装置30に入力される。図8にこのデータ受信装置30のブロック図を示す。また、図9には、このデータ受信装置30で行われる2重の復号処理のフローチャートを示す。
【0073】
チューナ33,A/D変換器34,復調器35及びデコーダ36からなるフロントエンド32に入力された信号は、ここでディジタル信号に変換され、QPSK復調処理及び誤り訂正処理が施されて、ステップS1のように暗号化されたTSパケットデータとして受信される。
【0074】
この暗号化されたTSパケットは、デスクランブラ37に供給される。デスクランブラ37は、上記暗号化されたTSパケットデータにTSパケットレベルのデスクランブル処理を施す。この場合、デスクランブラ37は、上記暗号化TSパケットデータのヘッダ部分からPID部とスクランブル制御部の値を読みとり、この値に対応するTSパケット用復号鍵がサービスプロバイダ19から与えられているか否かをステップS2で判断し、与えられているならばステップS3でこの暗号化TSパケットのペイロード部分をこの復号鍵により復号し、復号されたTSパケットを出力する。ここで、復号鍵がサービスプロバイダ19から予め与えられていなければ、ステップS7で暗号化TSパケットを破棄する。
【0075】
ステップS3で復号されたTSパケットは、デマルチプレクサ38に供給される。ここで、デマルプレクサ38は、上記データ処理部16で上記TSパケットデータと共に多重化されたオーディオデータとビデオデータを分割し、オーディオデータをオーディオデコーダ39に供給し、ビデオデータをビデオデコーダ40に供給する。オーディオデコーダ39は、アナログオーディオを出力し、ビデオーデコーダ40はNTSCエンコーダ41を介してアナログビデオを出力する。残ったTSパケットデータは、デパケタイザ45に供給される。
【0076】
デパケタイザ45は、図4で示したプライベートセクション64のフォーマットを再生し、CRCの値を計算し、データが正しく受信されたか否かを判定する。そして、デパケタイザ45は、ステップS4で上記プライベートセクション64をIPパケット化し、図10に示すようなフォーマットデータ75に変換する。このフォーマットデータ75は、FIFO46を介してこのIPパケットを復号する復号器47に転送される。
【0077】
復号器47では、フォーマットデータ75内のMACヘッダの図6に示したUDB2にセットされた識別子、ここでは送信先IPアドレスを取り出し、これに対応するIPパケット用復号鍵がコンテンツプラバイダ18から与えられているか否かをステップS5で判断し、与えられていれば、ステップS6でIPパケットのペイロード部分をこの復号鍵を用いて復号し、復号されたIPパケットを出力する。ここで、復号鍵がコンテンツプロバイダ18から予め与えられていなければ、ステップS7で暗号化IPパケットを破棄する。
【0078】
復号鍵は、上記識別子に対応させて、デュアルポートラム(DPRAM)48内の図11に示す参照テーブル80に収納されている。
【0079】
この参照テーブル80は、受信可能な種類のデータブロックの識別子をその識別子と対応する復号鍵と共に持っている。識別子としては4バイトを使っており、復号鍵としては8バイトを使っている。
【0080】
図中、識別子としては上述したように、送信先IPアドレスを用いても、コンテンツIDを用いて良く、その識別は受信パケットのMACヘッダの中のSSIDで行う。又参照テーブル80の値の設定はDPRAM48への入力を持つCPU42により行われる。
【0081】
復号器47は、上記図10のフォーマットで暗号化IPパケットデータを受信し、MACアドレス内のUDB2の識別子を取り出すと、DPRAM48にアクセスし、先頭のアドレスから16バイトおきにテーブル80中の識別子を検索し、識別子の後の4バイトに格納されたマスクビットの内、“1”となっている識別子のビットに対して受信パケット中の識別子とテーブル中の識別子の一致検出を行う。
【0082】
マスクビットがH“ffffffff”となっていれば、受信したパケットのMACアドレス中の識別子とテーブル中の識別子の全ビットの一致を確認し、入力した識別子と同じ識別子がDPRAM48内にあるとし、その識別子に対応する復号鍵(図中セッションキー)を取り出し、それ以降のIPパケットの復号処理を行う。
【0083】
予め登録された参照テーブル80中の識別子の最後には、ENDコードがストアされており、識別子を検索していき、ENDコードが検出された場合は、そこで検索を抜け出し、その受信パケットは受信せずにステップS7で示したようにこの復号器47で廃棄される。
【0084】
識別子としては、上述したように、送信先IPアドレスの他、コンテンツID(またはジャンルID)を使う。すなわち、図6に示したMACヘッダ70のUDB2には、送信先IPアドレスの他、コンテンツIDがセットされてもよい。SSIDとして例えば“0”がセットされている場合には、送信先IPアドレスを用いることを示し、例えば“1”がセットされている場合には、ジャンルIDを用いることを規定する。SSIDを受信側で解析することによりどちらが使われているかを判別できる。
【0085】
例えば、UDB2に送信先IPアドレスを用いた場合、ユニキャストアドレスに対応する個人宛、及びマルチキャストアドレスを用いてグループのユーザ宛のデータを伝送することが可能となり、受信側では自分宛かあるいは自分が所属しえいるグルーブ宛のデータのみリアルタイムで受信することが可能となる。
【0086】
この場合、データ受信装置30のDPRAM48は図12に示すようなフォーマットの参照テーブル81を備えていればよい。この参照テーブル81は、受信可能な種類のデータブロックの送信先IPアドレスをその送信先IPアドレスと対応する復号鍵と共に持っている。例えば、始めの16バイトには上記マルチキャストアドレスのようなグループ用の送信先IPアドレス1がセットされている。
【0087】
この送信先IPアドレス1の暗号化ON/OFFフラグは0である。また、次の16バイトには上記ユニキャストアドレスのような個人宛の送信先IPアドレス2がセットされている。暗号化ON/OFFフラグは1である。送信先IPアドレス2にもセッションキーがセットされている。
【0088】
復号器47は、上記図10のフォーマットでIPパケットデータを受信し、MACアドレス内の送信先IPアドレスを入力すると、DPRAM48にアクセスし、先頭のアドレスから16バイトおきにテーブル81中の送信先IPアドレスを検索し、該IPアドレスの後の4バイトに格納されたマスクビットの内、“1”となっている識別子のビットに対して受信パケット中の識別子とテーブル中の識別子の一致検出を行う。
【0089】
マスクビットがH“ffffffff”となっていれば、受信したパケットのMACアドレス中の送信先IPアドレスとテーブル中の送信先IPアドレスの全ビットの一致を確認し、入力したIPアドレスと同じIPアドレスがDPRAM48内にあるとし、そのIPアドレスに対応する復号鍵を取り出し、それ以降のIPパケットの復号処理を行う。
【0090】
予め登録された参照テーブル81中のIPアドレスの最後には、ENDコードがストアされており、IPアドレスを検索していき、ENDコードが検出された場合は、そこで検索を抜け出し、その受信パケットは受信せずにこの復号器47でステップS7のように廃棄される。
【0091】
一方、UDB2として32ビットをフルに使ったコンテンツIDを用いる場合は、予め登録しておいたジャンルのデータが受信された場合にデータをPCに転送し、ハードディスクに自動的にダウンロードすることが可能となる。
【0092】
この場合、データ受信装置30のDPRAM48は図13に示すようなフォーマットの参照テーブル82を備えていればよい。この参照テーブル82は、受信可能な種類のデータブロックの例えばコンテンツID83を32ビットフルに使って、記憶している。
【0093】
このような32ビットのコンテンツID83は、図14の(A)に示すように、8ビットの大分類D0と、6ビットの中分類D1と、4ビットの小分類D2と、14ビットの情報IDとによって構成されている。大分類D0は、コンピュータソフト、出版物、ゲームソフトというような大きなカテゴリーを表す。中分類D1は大分類D0が出版物であれば、書籍、雑誌、新聞というような中間のカテゴリーを示す。さらに、小分類D2は中分類D1が新聞であれば、A新聞、B新聞、S新聞という新聞社名を表すカテゴリーを示す。そして、この小分類D2の中の唯一のIDにより一つのデータ単位が識別される。この場合、新聞の発行の日付が情報IDとなり、結果的に例えば図14の(B)に示すようなコンテンツIDとなる。
【0094】
このようなコンテンツIDを識別子として用いた場合の実際の情報識別の方法を以下に述べる。例えば、上記図14の例では、A新聞を契約する場合は、マスクビットをH“ffffc000”としてこのマスクビットが1のビット位置の受信パケットの識別子とテーブル中の識別子の一致を検出すればよい。また、固有の新聞名によらず、全ての新聞を受信する場合は、マスクビットをH“fffc0000”としておけば、A新聞H“02084000+発行日ID”、B新聞H“02088000+発行日ID”も全て一つの設定でダウンロードすることができる。
【0095】
これは、いちいち個々の情報のIDを指定しなくても、必要な情報のジャンルだけ指定しておけば、自動的に指定したジャンルの情報が受信できる、という点で、大変有用な方法である。
【0096】
ただこの場合、例えば各新聞が別々のセッションキーで暗号化されているように、各情報が暗号化されている場合は、コンテンツIDを設定するだけでは、各新聞に対するセッションキーを設定できないため、あくまでも各情報が暗号化されていない場合に有効な方法である。
【0097】
なお、上記情報の識別子としては、48ビット長で各製品に割り当てられているMACアドレスを用いる方法もある。
【0098】
復号器47で、送信先IPアドレスや、コンテンツIDを読むことが出来れば、このデータブロックが予め登録された種類のデータブロックであると判断して抽出し、フォーマットデータ75内の暗号化されたIPヘッダとIPデータを上述したように復号する。
【0099】
復号化されたデータブロックは、パーソナルコンピュータ上のメインメモリにFIFO49及びPCIインターフェース50を介して転送される。そして、このパーソナルコンピュータのソフトウェアによる処理がなされる。
【0100】
CPU42は、DPRAM48の読み出しを制御すると共に、参照テーブルの値の設定を行う。また、CPU42は、ROM44からRAM43に読み込まれたプログラムにしたがって、デマルチプレクサ38、DPRAM48、DPRAM52を制御する。また、CPU42は、ICカードリーダ53から読み込んだデータを処理し、上記復号鍵を生成してもよい。また、上記リクエストをモデム54、及び電話回線56を介してISDNによりデータ供給元に送信する。
【0101】
以上説明したように、このデータ受信装置30は、データ配信装置10によりMACフレームのDBU2にセットされて伝送されてきた、送信先IPアドレスや、コンテンツIDを復号器47により読み取り、予め登録された種類のデータブロックのみを抽出することができるので、種々の暗号化されたデータが多重化された受信データの中から高速に、自分宛あるいは必要とする情報だけを抽出して復号できる。
【0102】
また、伝送されたデータは、図2に示したように、コンテンツプロパイダ18、サービスプロパイダ19で2重に暗号化されており、データ受信装置30のみが、それを復号化する二つの復号鍵を持っていることから、データが他人に盗用されることを防止できる。
【0103】
なお、この実施の形態となるデータ伝送システムは、データ配信装置10側の2重暗号化処理を図15に示すような構成で行ってもよい。すなわち、IPパケットの暗号化処理をコンテンツプロバイダ18に行わせるのではなく、サービスプロバイダ19に行わせる。このため、コンテンツプロバイダ18は、経費を節約できる。
【0104】
すなわち、一つの事業者が両方の暗号化処理を行うように構成すれば、もう一方の事業者は暗号化処理のための設備を持つ必要がなくなる。これは、例えば一つのサービスプロバイダの提供する伝送路を複数のコンテンツプロバイダが利用する場合に、それぞれのコンテンツプロバイダが暗号化処理設備を持たなくてよいので有効である。
【0105】
ここで各部の動作は、図2に示した各部の動作と同様であり、またデータ受信装置30の構成も同様であるので説明を省略する。
また、データ受信装置30内の構成を図16に示すようにしてもよい。すなわち、デパケタイザ45と復号器47との間に例えばハードディスクドライバのような記憶装置58を設け、暗号化されたIPパケットを蓄積しておく構成としてもよい。このようにすれば、予めIPパケットを復号する復号鍵を得ていなくても、暗号化されたIPパケットを記憶装置58に蓄積しておいて、後から上記復号鍵を得た時点で復号すればよい。
【0106】
すなわち、暗号化されたパケットを記憶装置に保存しておくようにすることにより、受信装置が復号鍵を後から得てもデータが有効となるようにできる。例えば、予め大量のデータを記憶装置に保存しておき、ユーザが意図した段階で復号鍵を得てデータを利用することにより、ユーザが意図してからデータを受信し始めるのに比べて、大量のデータを受信するための時間が節約できる。
【0107】
ここでは、受信装置30がIPパケットを復号するための復号鍵を得ていない場合を説明したが、TSパケットを復号するための復号鍵を得ていない場合でも、暗号化されたままのTSパケットを記憶装置に保存しておくことにより同様の処理を行える。
【0108】
さらに、暗号化されたデータは、保存できるが、復号されたデータや復号鍵は保存できないような仕組みを付け加えることにより、平文データがコピーされることを防ぐことも可能になる。
【0109】
また、上述した各例では、伝送データとしてIPパケットを考えたが、同様の構造を持つ他の伝送プロトコルパケットを考えても、同様の限定受信方式が構成可能である。また、伝送データのパケット化を3重以上として、3つ以上の限定受信方式を組み合わせてもよい。このため、IPパケット化前のファイルデータに暗号化処理を施しておいてもよい。
【0110】
また、例えば、MACフレームのデータ圧縮方法は、MPEG2には限定されず、他の圧縮方法を用いてよい。また、インターネットプロトコルは、TCP/IPには限定されず、例えばOSI(Open System Interconnection)方式を用いてもよい。
【0111】
【発明の効果】
本発明に係る情報伝送装置及び方法は、ディジタルデータにディジタルデータの種類を示す識別子に応じた暗号鍵を用いた暗号化処理を含めた少なくとも2重の暗号化処理を施してからこの暗号化データを送信し、データ伝送路を介して受信した上記暗号化データにそれぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施すので、通信衛星を用いてディジタルデータを伝送する際にも、情報の漏洩の度合い、妨害の度合いを低くできる。
【0112】
また、本発明に係る情報受信装置及び方法は、データの種類を示す識別子が付加された複数種類のデータブロックをデータ伝送路を介して受信し、上記識別子を読み取り、予め登録された種類のデータブロックのみを抽出して復号するので、情報配信者からデータ伝送路を介して伝送されたディジタルデータを、高速にデータの種類に応じて特定のユーザに受信させることができる。
【図面の簡単な説明】
【図1】本発明の実施の形態となるデータ伝送システムの構成図である。
【図2】上記データ伝送システムの2重暗号化処理に関わる構成を簡単に示したブロック図である。
【図3】上記図1に示したデータ作成部の構成を示すブロック図である。
【図4】上記図3に示したデータ作成部でのデータ作成の過程を説明するための図である。
【図5】IPヘッダの詳細な構成を示すフォーマット図である。
【図6】MACヘッダのフォーマット図である。
【図7】セクションヘッダとTSヘッダのフォーマット図である。
【図8】上記データ伝送システムを構成するデータ受信装置のブロック図である。
【図9】上記データ受信装置で行う復号化処理を説明するためのフローチャートである。
【図10】上記データ受信装置内のデパケタイザから復号器へのデータの転送を説明するための図である。
【図11】上記データ受信装置内のDPRAMが格納する参照テーブルの基本的な構成図である。
【図12】上記参照テーブルの第1の具体例を示す図である。
【図13】上記参照テーブルの第2の具体例を示す図である。
【図14】コンテンツIDの具体的構成例を示す図である。
【図15】上記データ伝送システム内のデータ配信装置の他の具体例を示すブロック図である。
【図16】上記データ伝送システム内のデータ受信装置の他の具体例を示すブロック図である。
【図17】伝送路上のデータを共通鍵暗号方式で暗号化する暗号化データ伝送装置の一例を示す概略構成図である。
【符号の説明】
10 データ配信装置、18 コンテンツプロバイダ、19 サービスプロバイダ、21 暗号化器、25 TSパケット作成部、26 暗号化器、30 データ受信装置、37 デスクランブラ、45 デパケタイザ、47 復号器[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an information transmission apparatus and method and an information reception apparatus and method for performing a data distribution service using, for example, a communication satellite.
[0002]
[Prior art]
When data is transmitted using public telephone lines, leased lines, etc., plaintext data is encrypted in order to prevent transmission information leakage or to maintain the reliability of information against interference with transmission information. The encrypted data is decrypted at the receiver.
[0003]
As typical encryption methods, a common key encryption method and a public key encryption method are known. The common key cryptosystem is also called a symmetric cryptosystem, and there are an algorithm private type and an algorithm public type. DES (Date Encryption Standard) is known as a typical algorithm open type. The public key cryptosystem is an asymmetric scheme in which the decryption key may not be decrypted because a huge amount of calculation is required to derive the decryption key from the encryption key. It is also called a key encryption method.
[0004]
FIG. 17 is a schematic configuration diagram illustrating an example of an encrypted data transmission apparatus that encrypts data on a transmission path using a common key cryptosystem. This encrypted data transmission apparatus prevents an eavesdropper 93 on the eavesdropper from eavesdropping on a
[0005]
Data to be transmitted is subjected to an encryption process using an
[0006]
Here, even if the eavesdropping device 93 receives encrypted data from the
[0007]
Note that the encryption method as described above is determined according to the type of the line system through which the transmission data is transmitted, the confidentiality (confidentiality) of the transmission data, the amount of transmission data, and the like. For example, in data transmission using a dedicated line, the degree of information leakage and interference with transmission data is low, but when data transmission is performed using a public telephone line, the degree of information leakage and interference is high. .
[0008]
[Problems to be solved by the invention]
By the way, digital data transmission using communication satellites has become possible in recent years, so that not only analog video / audio data such as television broadcasts and movies but also text and digital video / audio data used in computers etc. However, since the information can be received by an unspecified number of receiving devices, the degree of information leakage and the degree of interference are further increased.
[0009]
That is, in the data transmission system using the communication satellite, unlike a one-to-one communication such as a telephone line or a dedicated line, an unspecified number of recipients can be easily received by a receiving device, and thus is easily wiretapped. For this reason, for example, there is a high possibility that pay data transmission will be wiretapped. Therefore, the data transmission system also requires data encryption.
[0010]
In the actual data transmission system, not all data is encrypted, but the data to be encrypted is encrypted and sent out on the transmission line according to the content of the data to be transmitted in the transmission device, and received. The person decrypts all or part of the encrypted data, and whether the data is necessary for himself / herself by the information obtained as a result or by the part transmitted without being encrypted Know what.
[0011]
Here, a conventional television broadcasting service using a communication satellite is a form in which a large number of users simultaneously receive and use data distributed by a distributor. On the other hand, when digital data used in a computer or the like is distributed via a communication satellite, a function of distributing data to one or more specific users from a data distributor is required.
[0012]
However, conventionally, in a simultaneous communication or broadcasting system from a data distributor to all users, all users always receive and use or browse the same information, and there is no identification information of individual system users. Data could not be distributed only to specific users.
[0013]
The present invention has been made in view of the above circumstances, and provides an information transmission apparatus and method capable of reducing the degree of information leakage and the degree of interference even when digital data is transmitted using the communication satellite. Objective.
[0014]
In addition, the present invention has been made in view of the above circumstances, and enables only a specific user to receive digital data transmitted from an information distributor via a data transmission path according to the type of data. An object is to provide an information receiving apparatus and method.
[0015]
[Means for Solving the Problems]
In order to solve the above problems, an information transmission apparatus according to the present invention performs Internet protocol packetization for converting digital data into an Internet protocol packet format, and further converts the Internet protocol packet obtained by the Internet protocol packetization. In an information transmission apparatus that performs transport stream packetization into a port stream packet and then transmits the data through a data transmission path, a first encryption key is used after the digital data is converted into an Internet protocol packet. Encrypt processing An Internet protocol packet that has been subjected to a first encryption process using a first encryption key by the encryption means for the transmission data provider and the encryption means for the transmission data provider For a transmission line provider different from the transmission data provider for performing a second encryption process using a second encryption key different from the first encryption key after being converted into a transport stream packet Encryption means for the transmission data provider, and the encryption means for the transmission data provider and the encryption means for the transmission path provider, and obtained by two independent encryption processes. Transmitting means for transmitting encrypted data; and the above-mentioned data transmitted from the transmitting means via the data transmission path Double Receiving means for receiving encrypted data and performing a decryption process using each decryption key corresponding to each encryption key.
[0016]
In order to solve the above problems, an information transmission method according to the present invention performs Internet protocol packetization for converting digital data into an Internet protocol packet format, and further transmits the Internet protocol packet obtained by the Internet protocol packetization. In an information transmission method executed in an information transmission apparatus that performs transport stream packetization into a port stream packet and then transmits the data via a data transmission path, the digital data is converted into an Internet protocol packet and then the first Perform the first encryption process using the encryption key The first encryption step executed by the encryption means for the transmission data provider and the first encryption using the first encryption key by the encryption step for the transmission data provider The transmission data provider that performs a second encryption process using a second encryption key different from the first encryption key after converting the processed Internet protocol packet into the transport stream packet A second encryption step executed by an encryption means for a transmission line provider different from the first, a first encryption step for the transmission data provider, and a first encryption step for the transmission line provider Double obtained by two independent encryption processes by two encryption processes Means to send encrypted data By The transmission step transmitted and the transmission step performed through the data transmission path through the transmission step. Double A receiving step of receiving the encrypted data, decrypting the received data by the receiving means using each decryption key corresponding to each encryption key.
[0017]
In order to solve the above problems, an information receiving apparatus according to the present invention performs Internet protocol packetization for converting digital data into an Internet protocol packet format, and further converts the Internet protocol packet obtained by the Internet protocol packetization. In the information receiving apparatus for receiving the encrypted data transmitted from the information transmitting apparatus that transmits the data through the data transmission path after performing the transport stream packet into the port stream packet, the encrypted data is the information transmitting apparatus The transmission data provider encrypts the digital data into an Internet protocol packet, performs a first encryption process using a first encryption key, and further transmits the transmission data provider The encryption means for the different transmission path provider provides the Internet protocol packet that has been subjected to the first encryption process using the first encryption key by the encryption means for the transmission data provider. A duplex obtained by performing a second encryption process using a second encryption key different from the first encryption key after being converted into a transport stream packet And the information receiving device decrypts the transport stream packet data subjected to the second encryption process with a second decryption key corresponding to the second encryption key, and then The Internet protocol packet data subjected to the first encryption process is decrypted with a first decryption key corresponding to one encryption key.
In order to solve the above problems, an information receiving method according to the present invention performs Internet protocol packetization for converting digital data into an Internet protocol packet format, and further converts the Internet protocol packet obtained by the Internet protocol packetization. In an information receiving method executed in an information receiving apparatus that receives encrypted data transmitted from an information transmitting apparatus that performs transmission over a data transmission path after performing transport stream packetization into a port stream packet The encrypted data is transmitted from the information transmission device. The first encryption step executed by the encryption means for the transmission data provider in the above process converts the digital data into an Internet protocol packet, and then performs a first encryption process using the first encryption key, Further, the second encryption step executed by the encryption means for the transmission line provider different from that for the transmission data provider is the first encryption step for the transmission data provider by the first encryption step. After the Internet protocol packet that has been subjected to the first encryption process using the encryption key is converted to the transport stream packet, the second encryption key that is different from the first encryption key is used for the second Obtained by applying the encryption process of And the information receiving method uses the transport stream packet decrypting unit to convert the transport stream packet data that has been subjected to the second encryption process using the second decryption key corresponding to the second encryption key. A transport stream packet decrypting step for decrypting, and an Internet protocol packet data subjected to the first encryption processing with a first decryption key corresponding to the first encryption key after the transport stream packet decrypting step And an Internet protocol packet decoding step of decoding the Internet protocol packet decoding unit.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of an information transmission apparatus and method and an information reception apparatus and method according to the present invention will be described below with reference to the drawings. This embodiment is the data transmission system of FIG. 1 that divides digital data into predetermined data blocks and transmits the data blocks via a satellite line.
[0019]
This data transmission system performs double encryption processing including digital data including encryption processing using an encryption key corresponding to an identifier indicating the type of digital data, and transmits the double encrypted data. A data receiving device that receives the double-encrypted data transmitted from the data distributing device via the satellite line and performs a decryption process using each decryption key corresponding to each encryption key The apparatus 30 is provided. Here, the data receiving device 30 is mounted in, for example, an expansion slot of a personal computer. In FIG. 1, the personal computer is shown as the data receiving device 30 as it is.
[0020]
The data distribution device 10 and the data reception device 30 can communicate with each other via a terrestrial communication network such as ISDN capable of bidirectional communication. The terrestrial communication network may be connected to the Internet that transmits and receives digital data between a plurality of systems via the network. Further, the satellite link by the communication satellite 18 has a transmission capacity larger than that of the terrestrial communication network.
[0021]
First, the data flow in the data transmission system will be described. Here, it is assumed that a data provider who owns the data distribution apparatus 10 and a specific user who owns the data receiving apparatus 30 have made a data delivery contract in advance. Note that the data providers referred to here include both a provider that provides transmission information (hereinafter referred to as a content provider) and a provider that provides a transmission path (hereinafter referred to as a service provider).
[0022]
A user who owns the data receiving device 30 sends a request to the data distribution device 10 to receive a predetermined service provided by the data provider, for example, via ISDN as a ground communication network. The method of sending this request is not particularly limited, and is determined according to the type of data and the contract status with the user, and may be, for example, mail. Moreover, a data provider may provide a service in accordance with a contract in advance without sending a request.
[0023]
The request from the user sent to the data distribution device 10 is received by the data request reception unit 11 and sent to the data management unit 12. The data management unit 12 checks whether the user's contract information or request is meaningful. If there is no problem, the data management unit 12 makes a data read request to the data storage unit 13. In response to the data read request, the data storage unit 13 sends, for example, data to the
[0024]
The
[0025]
This format conversion will be described below. As described above, in recent years, it has become possible to multiplex and transmit various types of data such as audio, video signals and data through a large-capacity digital line. As a multiplexing method, for example, a transport stream (Transport Stream, TS) packet, which is an MPEG2 transmission format, is known. In this TS packet, the information data part (payload part) is encrypted. The encryption key for this encryption uses a 13-bit packet ID (PID) in the header portion of the TS packet and a unique bit string corresponding to the 2-bit scramble control unit. The PID is also used to identify information types such as video and audio of a specific channel of each TS packet.
[0026]
When data is transmitted using the TS packet, the data is converted into an Internet protocol (IP) packet format widely used on the Internet, and the IP packet is inserted into the TS packet.
[0027]
When various types of data are transmitted as IP packets, the PID is used to distinguish the IP packet data from other video and audio data, and the bit length is only 13 bits. The number of bits is insufficient to identify various types of data transmitted in packets. Therefore, a method for identifying data types other than PID is required.
[0028]
For example, on the Internet, a destination address (Destination Address) included in an IP header of an IP packet is used to identify whether received data is data addressed to itself. Even when an IP packet is transmitted using a TS packet, it is possible to identify whether the data is addressed to itself using this transmission destination address (hereinafter referred to as a transmission destination IP address).
[0029]
However, taking a satellite line as an example, the data transmission rate is 30 Mbps per repeater, and it is very difficult to analyze the destination IP address with software in real time on the data receiving side. Some means is required to extract only the information addressed to you.
[0030]
Furthermore, even if you do not specify the title of specific information, if you specify only the information of the genre of the information you are interested in, it is very convenient that only the information of that genre is automatically received and downloaded. .
[0031]
In addition, when data is encrypted as described above so that it can be received only by a specific subscriber, it is necessary for the receiving side to decrypt the encrypted data.
Therefore, in the data transmission system, an identifier indicating the data type is added to the multiplexed data composed of a plurality of types of data blocks in the data distribution device 10, and the data reception device 30 is transmitted via the communication satellite 18 through the satellite line. Is sending to. Then, the data receiving device 30 reads the identifier in hardware, extracts and decodes only the pre-registered type data required by the receiver.
[0032]
The addition of this identifier is performed by the
[0033]
Here, the user destination information is a destination IP address necessary for IP packet transmission. In this data transmission system, a unique destination IP address is allocated to all users. A destination IP address possessed by one user is not possessed by a user other than the one user while the one user has secured it.
[0034]
Data from the data storage unit 13 is created or format-converted by the
[0035]
The multiplexed data transmitted via the communication satellite 18 can be received not only by the data receiving device 30 owned by the specific user but also by all users who can receive the data. The data receiving device 30 receives all multiplexed data from the communication satellite 18, selects and extracts data corresponding to the request issued by the data receiving device 30, and decodes it.
[0036]
The data receiving device 30 receives multiplexed data composed of a plurality of types of data blocks to which an identifier indicating the type of data is added via a satellite line by the communication satellite 18 and reads the identifier to register in advance. Extract and decode only the types of data blocks.
[0037]
That is, the data receiving device 30 receives a large number of data blocks including data transmitted in response to a request, and among them, a data block addressed to itself, a data block to be received by itself, and data that can be received by the data receiving device 30 Select and extract blocks. Note that the data receiving device 30 possessed by the user is determined in advance by a contract between the user and the data provider.
Therefore, normally, it is not possible to select specific data addressed to other users using the data receiving device 30 owned by the user.
[0038]
However, in the data transmission system using the communication satellite 18, unlike a one-to-one communication such as a telephone line or a dedicated line, an unspecified number of recipients can be easily received by a receiving device, and thus is easily wiretapped. That is, there is a high possibility that the data transmission will be wiretapped. Therefore, the data transmission system also requires data encryption.
[0039]
For this reason, as shown in FIG. 2, the data distribution apparatus 10 includes a content provider 18 that provides information and a service provider 19 that transmits the information by an
[0040]
The data distribution apparatus 10 is actually configured as shown in FIG. 1 described above, and in particular, each component included in the content provider 18 and the service provider 19 shown in FIG. 2 includes data as shown in FIG. It is included in the
[0041]
The data and IP address addressed to the specific user sent from the data storage unit 13 are sent to the destination IP
[0042]
The IP header of the
[0043]
The
[0044]
Since the
[0045]
Here, the content provider 18 gives the data receiving device 30 in advance a destination IP address of the IP packet to be transmitted and a decryption key for decrypting the encrypted IP packet. Then, the payload portion of the IP packet is encrypted with the encryption key corresponding to this decryption key and sent to the service provider 19.
[0046]
However, it is not necessary to perform encryption on all data for a specific user, and encryption may not be performed depending on the type of data. When encryption is not performed, the
[0047]
Here, a case where encryption is performed will be described. Encryption is normally performed on 64-bit plain text. When the data length of the
[0048]
The
[0049]
As shown in FIG. 6, the
[0050]
The destination IP address in the IP header is encrypted, and the receiving device cannot know the destination IP address without decrypting the cipher, but the
[0051]
The
[0052]
Of these, PBL is the padding byte length, and is the length of invalid data that has been compensated for during encryption. This is necessary for the user who receives the encrypted IP packet to know the proper data length.
[0053]
The CP is a bit for identifying whether the IP packet contains data required by the user or control data required for system operation. Normally, the CP of the
[0054]
EN is a control bit indicating whether the IP packet is encrypted by the
[0055]
The MAC
[0056]
A CRC (Cyclic Redundancy Checking) calculated by the
[0057]
The
[0058]
The format of this
[0059]
The
[0060]
Transport packet 65 1 , 65 2 , ... 65 n Are each composed of 188 bytes. These transport packets 65 1 , 65 2 , ... 65 n Is appended with a 4-byte TS header.
[0061]
For example, the format of the
[0062]
Transport packet 65 1 , 65 2 , ... 65 n Since the size of one is defined as 188 bytes as described above, it is generally necessary to divide one
[0063]
Here, since one section is not always an integral multiple of 184 bytes (the number of bytes obtained by subtracting 4 bytes of the header length from 188 bytes), one
[0064]
Each transport packet created by the transport
[0065]
The service provider 19 previously gives the data receiving device 30 the PID portion of the TS packet to be transmitted, the value of the scramble control unit, and the decryption key for decrypting this TS packet. Then, the encrypted IP packet given from the content provider 18 is converted into a TS packet, and the payload portion of the TS packet is encrypted with an encryption key corresponding to the decryption key to create an encrypted TS packet. Send on the line.
[0066]
Here, as described above, the encryption key for encryption is a unique bit string corresponding to the PID (13 bits) of the TS header and the scramble control unit (2 bits) shown in FIG. use. For this reason, a maximum of 15 bits and 4096 types can be limited.
[0067]
Since the recipients have already been divided into the 2 32 range as described above using the destination IP address of the IP packet, when this TS packet encryption is combined, the range is 4096 times that The recipients can be divided into more detailed limited reception methods.
[0068]
In addition, by performing independent encryption twice, even if an eavesdropper succeeds in decrypting one of the ciphers, plaintext data cannot be obtained unless the other cipher can be decrypted. A safer conditional access system can be configured.
[0069]
Further, here, the conditional access method based on the encryption of the IP packet and the conditional access method based on the encryption of the TS packet are performed by different providers such as the content provider 18 and the service provider 19, respectively. The reception method can be configured. This is effective when the provider that provides the transmission path and the provider that provides the transmission data are different and each of them wants to make a limited reception contract with the user independently. There is no risk of leakage of information regarding encryption keys between providers.
[0070]
Data that has been double-encrypted by the content provider 18 and the service provider 19 is transferred to the
[0071]
The broadcasted data for the specific user is received by the receiving
[0072]
A signal received by the receiving
[0073]
The signal input to the
[0074]
The encrypted TS packet is supplied to the
[0075]
The TS packet decoded in step S3 is supplied to the
[0076]
The
[0077]
In the
[0078]
The decryption key is stored in the reference table 80 shown in FIG. 11 in the dual port RAM (DPRAM) 48 in correspondence with the identifier.
[0079]
This reference table 80 has an identifier of a receivable type of data block together with a decryption key corresponding to the identifier. The identifier uses 4 bytes and the decryption key uses 8 bytes.
[0080]
In the figure, as described above, the content ID may be used as the identifier even if the destination IP address is used, and the identification is performed by the SSID in the MAC header of the received packet. The value of the reference table 80 is set by the
[0081]
When the
[0082]
If the mask bit is H “ffffffff”, it is confirmed that the identifier in the MAC address of the received packet matches all bits of the identifier in the table, and the same identifier as the input identifier is in the
[0083]
At the end of the identifier in the pre-registered reference table 80, an END code is stored, and the identifier is searched. When the END code is detected, the search is exited and the received packet is not received. Instead, it is discarded by the
[0084]
As described above, the content ID (or genre ID) is used in addition to the transmission destination IP address as the identifier. That is, the content ID may be set in addition to the transmission destination IP address in UDB2 of the
[0085]
For example, when a destination IP address is used for UDB2, it becomes possible to transmit data addressed to individuals corresponding to a unicast address and to a group user using a multicast address. It is possible to receive only data addressed to the groove to which the user belongs in real time.
[0086]
In this case, the
[0087]
The encryption ON / OFF flag of this
[0088]
When the
[0089]
If the mask bit is H “ffffffff”, it is confirmed that all the bits of the destination IP address in the MAC address of the received packet match the destination IP address in the table, and the same IP address as the input IP address Is in the
[0090]
At the end of the IP address in the pre-registered reference table 81, an END code is stored, and the IP address is searched. If an END code is detected, the search is exited, and the received packet is Without being received, the
[0091]
On the other hand, when a content ID that uses 32 bits fully is used as UDB2, when data of a genre registered in advance is received, the data can be transferred to a PC and automatically downloaded to the hard disk. It becomes.
[0092]
In this case, the
[0093]
Such a 32-
[0094]
An actual information identification method using such a content ID as an identifier will be described below. For example, in the example of FIG. 14 described above, when contracting A newspaper, the mask bit is H “ffffc000”, and it is only necessary to detect a match between the identifier of the received packet whose bit position is 1 and the identifier in the table. . In addition, when all newspapers are received regardless of the unique newspaper name, if the mask bit is set to H “ffc0000”, the A newspaper H “020084000 + issue date ID” and the B newspaper H “020088000 + issue date ID” are also used. All can be downloaded with one setting.
[0095]
This is a very useful method in that it is possible to automatically receive information of the specified genre if only the genre of the necessary information is specified without specifying the ID of each individual information. .
[0096]
However, in this case, if each information is encrypted, for example, each newspaper is encrypted with a separate session key, the session key for each newspaper cannot be set only by setting the content ID. This is an effective method only when each information is not encrypted.
[0097]
In addition, as an identifier of the information, there is a method using a MAC address assigned to each product with a 48-bit length.
[0098]
If the
[0099]
The decrypted data block is transferred to the main memory on the personal computer via the
[0100]
The
[0101]
As described above, the data receiving device 30 reads the transmission destination IP address and the content ID that have been set in the
[0102]
Further, as shown in FIG. 2, the transmitted data is double-encrypted by the content provider 18 and the service provider 19, and only the data receiving device 30 has two decryption keys for decrypting it. Since it has, it can prevent data from being stolen by others.
[0103]
In the data transmission system according to this embodiment, the double encryption processing on the data distribution apparatus 10 side may be performed with a configuration as shown in FIG. That is, the content provider 18 does not perform the IP packet encryption processing, but the service provider 19 performs the processing. For this reason, the content provider 18 can save expenses.
[0104]
That is, if one provider performs both encryption processes, the other provider does not need to have facilities for encryption processing. This is effective because, for example, when a plurality of content providers use a transmission path provided by one service provider, each content provider does not have to have an encryption processing facility.
[0105]
Here, the operation of each unit is the same as the operation of each unit shown in FIG.
Further, the configuration in the data receiving device 30 may be as shown in FIG. In other words, a
[0106]
That is, by storing the encrypted packet in the storage device, the data can be made valid even if the receiving device obtains the decryption key later. For example, by storing a large amount of data in a storage device in advance and obtaining the decryption key at the stage intended by the user and using the data, a larger amount of data is obtained than when the user starts receiving data after the user intends. Can save time for receiving data.
[0107]
Here, a case has been described in which the receiving device 30 does not obtain a decryption key for decrypting an IP packet. However, even if a decryption key for decrypting a TS packet is not obtained, the TS packet remains encrypted. Can be stored in the storage device to perform the same processing.
[0108]
Furthermore, it is possible to prevent the plaintext data from being copied by adding a mechanism that can store the encrypted data but cannot store the decrypted data and the decryption key.
[0109]
In each example described above, an IP packet is considered as transmission data, but a similar conditional access system can be configured even when other transmission protocol packets having a similar structure are considered. Also, the transmission data packetization may be triple or more, and three or more conditional access methods may be combined. For this reason, encryption processing may be performed on file data before IP packetization.
[0110]
For example, the data compression method of the MAC frame is not limited to MPEG2, and other compression methods may be used. Further, the Internet protocol is not limited to TCP / IP, and for example, an OSI (Open System Interconnection) method may be used.
[0111]
【The invention's effect】
The information transmission apparatus and method according to the present invention performs at least double encryption processing including encryption processing using an encryption key corresponding to an identifier indicating the type of digital data on the digital data, and then the encrypted data. The encrypted data received via the data transmission path is decrypted using the respective decryption keys corresponding to the respective encryption keys, so that even when digital data is transmitted using a communication satellite , The degree of information leakage and the degree of interference can be lowered.
[0112]
The information receiving apparatus and method according to the present invention receives a plurality of types of data blocks to which an identifier indicating the type of data is added via a data transmission path, reads the identifier, and stores data of a type registered in advance. Since only the blocks are extracted and decoded, digital data transmitted from the information distributor via the data transmission path can be received by a specific user at high speed according to the type of data.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a data transmission system according to an embodiment of the present invention.
FIG. 2 is a block diagram simply showing a configuration related to double encryption processing of the data transmission system.
FIG. 3 is a block diagram illustrating a configuration of a data creation unit illustrated in FIG. 1;
4 is a diagram for explaining a data creation process in the data creation unit shown in FIG. 3; FIG.
FIG. 5 is a format diagram showing a detailed configuration of an IP header.
FIG. 6 is a format diagram of a MAC header.
FIG. 7 is a format diagram of a section header and a TS header.
FIG. 8 is a block diagram of a data receiving device constituting the data transmission system.
FIG. 9 is a flowchart for explaining a decoding process performed by the data receiving apparatus.
FIG. 10 is a diagram for explaining data transfer from a depacketizer to a decoder in the data receiving apparatus.
FIG. 11 is a basic configuration diagram of a reference table stored in a DPRAM in the data receiving apparatus.
FIG. 12 is a diagram showing a first specific example of the reference table.
FIG. 13 is a diagram showing a second specific example of the reference table.
FIG. 14 is a diagram illustrating a specific configuration example of a content ID.
FIG. 15 is a block diagram showing another specific example of the data distribution apparatus in the data transmission system.
FIG. 16 is a block diagram showing another specific example of the data receiving device in the data transmission system.
FIG. 17 is a schematic configuration diagram illustrating an example of an encrypted data transmission apparatus that encrypts data on a transmission path using a common key cryptosystem.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 Data delivery apparatus, 18 Content provider, 19 Service provider, 21 Encryptor, 25 TS packet preparation part, 26 Encryptor, 30 Data receiver, 37 Descrambler, 45 Depacketizer, 47 Decryptor
Claims (4)
上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施す伝送データ提供事業者用の暗号化手段と、
上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段と、
上記伝送データ提供事業者用の暗号化手段と上記伝送路提供事業者用の暗号化手段による独立した二つの暗号化処理により得られた2重の暗号化データを送信する送信手段と、
上記送信手段から上記データ伝送路を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施す受信手段と
を備えることを特徴とする情報伝送装置。Internet protocol packetization that converts digital data into the format of Internet protocol packets, and transporting the data into the transport stream packet by inserting the Internet protocol packet obtained by this Internet protocol packetization into the transport stream packet In an information transmission device that transmits via a path,
A first first encryption means for encryption to facilities transmission data provider using an encryption key after Internet Protocol packetized said digital data,
The first encryption after the Internet protocol packet subjected to the first encryption process using the first encryption key by the encryption means for the transmission data provider is converted into the transport stream packet. Encryption means for a transmission path provider different from the transmission data provider for performing the second encryption process using a second encryption key different from the key;
A transmission means for transmitting double encrypted data obtained by two independent encryption processes by the encryption means for the transmission data provider and the encryption means for the transmission path provider ;
Receiving means for receiving the double- encrypted data transmitted from the transmission means via the data transmission path, and performing decryption processing using each decryption key corresponding to each encryption key. Information transmission device.
上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施す伝送データ提供事業者用の暗号化手段によって実行される第1の暗号化工程と、
上記伝送データ提供事業者用の上記暗号化工程によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段によって実行される第2の暗号化工程と、
上記伝送データ提供事業者用の第1の暗号化工程と上記伝送路提供事業者用の第2の暗号化工程による独立した二つの暗号化処理により得られた2重の暗号化データを送信手段によって送信する送信工程と、
上記送信工程を実行した送信工程により上記データ伝送路を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて受信手段で復号して受信する受信工程と
を備えることを特徴とする情報伝送方法。Internet protocol packetization that converts digital data into the format of Internet protocol packets, and transporting the data into the transport stream packet by inserting the Internet protocol packet obtained by this Internet protocol packetization into the transport stream packet In an information transmission method executed in an information transmission apparatus for transmitting via a path,
A first encryption step performed by the first of the first encryption process to facilities transmission data provider for encryption means using the encryption key after Internet Protocol packetized said digital data,
The first encryption after the Internet protocol packet that has been subjected to the first encryption process using the first encryption key in the encryption process for the transmission data provider is converted into the transport stream packet. Second encryption executed by encryption means for a transmission path provider different from the transmission data provider for performing the second encryption process using a second encryption key different from the key Process,
Transmission means for transmitting double encrypted data obtained by two independent encryption processes by the first encryption process for the transmission data provider and the second encryption process for the transmission line provider a transmission step of transmitting by,
Receives the double encrypted data transmitted through the data transmission path by the transmission step in which the transmission step is executed, and decrypts and receives the data using a decryption key corresponding to each encryption key. An information transmission method comprising: a receiving step.
上記暗号化データは情報送信装置の伝送データ提供事業者用の暗号化手段が、上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施し、さらに上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段が上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用 いて第2の暗号化処理を施して得られた2重暗号化データであり、
上記情報受信装置は上記第2の暗号鍵に対応した第2の復号鍵により上記第2の暗号化処理が施されたトランスポートストリームパケットデータを復号してから、上記第1の暗号鍵に対応した第1の復号鍵により上記第1の暗号化処理が施されたインターネットプロトコルパケットデータを復号する
ことを特徴とする情報受信装置。Internet protocol packetization that converts digital data into the format of Internet protocol packets, and transporting the data into the transport stream packet by inserting the Internet protocol packet obtained by this Internet protocol packetization into the transport stream packet In the information receiving device that receives the encrypted data transmitted from the information transmitting device that transmits via the path,
The encrypted data is subjected to a first encryption process using a first encryption key after encryption means for a transmission data provider of the information transmitting apparatus converts the digital data into an Internet protocol packet, and The encryption means for the transmission line provider different from that for the transmission data provider performs the first encryption process using the first encryption key by the encryption means for the transmission data provider. double encryption internet protocol packets subjected obtained by performing second encryption processing have use a different second encryption key and the first encryption key after the transport stream packet of Data,
The information receiving apparatus decrypts the transport stream packet data subjected to the second encryption process with a second decryption key corresponding to the second encryption key, and then corresponds to the first encryption key. An information receiving apparatus, wherein the Internet protocol packet data subjected to the first encryption process is decrypted with the first decryption key.
上記暗号化データは、情報送信装置の伝送データ提供事業者用の暗号化手段で実行される第1の暗号化工程が上記ディジタルデータをインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施し、さらに上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段で実行される第2の暗号化工程が上記伝送データ提供事業者用の上記第1の暗号化工程によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットを上記トランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施して得られた2重暗号化データであり、
上記情報受信方法は上記第2の暗号鍵に対応した第2の復号鍵により上記第2の暗号化処理が施されたトランスポートストリームパケットデータをトランスポートストリームパケット復号部により復号するトランスポートストリームパケット復号工程と、
上記トランスポートストリームパケット復号工程の後に、上記第1の暗号鍵に対応した第1の復号鍵により上記第1の暗号化処理が施されたインターネットプロトコルパケットデータをインターネットプロトコルパケット復号部により復号するインターネットプロトコルパケット復号工程と
を備えることを特徴とする情報受信方法。Internet protocol packetization that converts digital data into the format of Internet protocol packets, and transporting the data into the transport stream packet by inserting the Internet protocol packet obtained by this Internet protocol packetization into the transport stream packet In an information receiving method executed in an information receiving apparatus that receives encrypted data transmitted from an information transmitting apparatus that transmits via a path,
The encrypted data uses the first encryption key after the first encryption process executed by the encryption means for the transmission data provider of the information transmitting apparatus converts the digital data into an Internet protocol packet. A second encryption step, which is performed by the encryption means for the transmission path provider different from the transmission data provider for the first encryption process, is the above for the transmission data provider. A second different from the first encryption key after the Internet protocol packet subjected to the first encryption process using the first encryption key in the first encryption step is converted into the transport stream packet. Double- encrypted data obtained by performing the second encryption process using the encryption key of
The information reception method includes a transport stream packet in which transport stream packet data subjected to the second encryption process using a second decryption key corresponding to the second encryption key is decrypted by a transport stream packet decrypting unit. Decryption step;
Internet for decrypting Internet protocol packet data subjected to the first encryption processing by a first decryption key corresponding to the first encryption key by an Internet protocol packet decryption unit after the transport stream packet decrypting step And a protocol packet decoding step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01281097A JP4190599B2 (en) | 1996-11-27 | 1997-01-27 | Information transmission device, information transmission method, information reception device, and information reception method |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8-316726 | 1996-11-27 | ||
| JP31672696 | 1996-11-27 | ||
| JP01281097A JP4190599B2 (en) | 1996-11-27 | 1997-01-27 | Information transmission device, information transmission method, information reception device, and information reception method |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006028694A Division JP4497099B2 (en) | 1996-11-27 | 2006-02-06 | Information transmission equipment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10215244A JPH10215244A (en) | 1998-08-11 |
| JP4190599B2 true JP4190599B2 (en) | 2008-12-03 |
Family
ID=26348483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01281097A Expired - Fee Related JP4190599B2 (en) | 1996-11-27 | 1997-01-27 | Information transmission device, information transmission method, information reception device, and information reception method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4190599B2 (en) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3478962B2 (en) * | 1997-12-19 | 2003-12-15 | 三菱電機株式会社 | How to prevent unauthorized remote access |
| US7457415B2 (en) * | 1998-08-20 | 2008-11-25 | Akikaze Technologies, Llc | Secure information distribution system utilizing information segment scrambling |
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| ATE441275T1 (en) | 1998-10-30 | 2009-09-15 | Virnetx Inc | NETWORK PROTOCOL FOR SECURE COMMUNICATION WITH SECURE SYSTEM AVAILABILITY |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| JP3457243B2 (en) * | 1999-01-25 | 2003-10-14 | 日本電信電話株式会社 | Push network |
| MY123388A (en) * | 1999-03-15 | 2006-05-31 | Sony Corp | Processing method and apparatus for encrypted data transfer |
| JP4577538B2 (en) * | 1999-11-01 | 2010-11-10 | ソニー株式会社 | Information transmission system and information transmission method |
| US7069436B1 (en) | 1999-11-01 | 2006-06-27 | Sony Corporation | Information transmission system and method, transmitting apparatus, receiving apparatus, data processing device and data processing method, and recording medium |
| JP2001144744A (en) * | 1999-11-12 | 2001-05-25 | Deijitei Minimi:Kk | Data distribution system and data reproducing terminal device |
| JP2001230769A (en) * | 2000-02-18 | 2001-08-24 | Nippon Telegr & Teleph Corp <Ntt> | Transmission terminal, reception terminal and password key synchronization system in packet communication system |
| JP2002185448A (en) * | 2000-12-15 | 2002-06-28 | Cognitive Research Laboratories Inc | Data distributing system enhancing data security |
| KR20030022640A (en) * | 2001-09-11 | 2003-03-17 | 주식회사 에이스테크놀로지 | Information transmission method by using user's signal in redundant band of satellite network |
| TWI231132B (en) * | 2002-03-26 | 2005-04-11 | Culture Com Technology Macau Ltd | System and method for secure electronic commerce trading |
| EP1531578A1 (en) * | 2002-08-08 | 2005-05-18 | Matsushita Electric Industrial Co., Ltd. | Encrypting/decrypting device and method, encrypting device and method, decrypting device and method, and transmitting/receiving device |
| US7664966B2 (en) * | 2004-05-17 | 2010-02-16 | Microsoft Corporation | Secure storage on recordable medium in a content protection system |
| JP4686219B2 (en) * | 2005-03-11 | 2011-05-25 | 株式会社東芝 | Content reproduction system, apparatus and program |
| JP4667236B2 (en) * | 2005-12-28 | 2011-04-06 | 日本電信電話株式会社 | Data distribution / reception system, data redistribution device, data reception device, and methods thereof |
| JP2008072241A (en) * | 2006-09-12 | 2008-03-27 | Ricoh Co Ltd | Wireless communication apparatus and method |
| KR100840901B1 (en) * | 2007-06-22 | 2008-06-24 | 주식회사 케이티프리텔 | System for supporting over-the-air service and method thereof |
| FR2933564A1 (en) * | 2008-07-02 | 2010-01-08 | Thomson Licensing | METHOD OF LOCKING AND UNLOCKING FOR THE TRANSPORT OF MPEG2 VIDEO AUDIO DATA FLOW |
| EP2373073B1 (en) | 2008-12-26 | 2016-11-09 | Panasonic Intellectual Property Corporation of America | Communication device |
| JPWO2011065007A1 (en) | 2009-11-30 | 2013-04-11 | パナソニック株式会社 | Portable communication device, communication method, integrated circuit, program |
| USRE45980E1 (en) | 2009-11-30 | 2016-04-19 | Panasonic Intellectual Property Corporation Of America | Communication device |
| EP2509334B1 (en) | 2009-11-30 | 2018-09-12 | Sun Patent Trust | Communication apparatus |
| JP5524601B2 (en) * | 2009-12-25 | 2014-06-18 | 株式会社バンダイナムコゲームス | Program, electronic device, server system, and information providing system |
| CN103221986B (en) | 2010-11-25 | 2016-04-13 | 松下电器(美国)知识产权公司 | Communication facilities |
| JP2013042330A (en) * | 2011-08-15 | 2013-02-28 | Kddi Corp | Unidirectional communication system, method, and program |
| JP6047933B2 (en) * | 2012-06-05 | 2016-12-21 | 凸版印刷株式会社 | Information processing apparatus, information processing method, and information processing system |
| JP6126676B1 (en) * | 2015-12-16 | 2017-05-10 | エフシーアイ インク | Private section packet structure, null packet structure and receiving modem |
-
1997
- 1997-01-27 JP JP01281097A patent/JP4190599B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH10215244A (en) | 1998-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4190599B2 (en) | Information transmission device, information transmission method, information reception device, and information reception method | |
| US6424714B1 (en) | Method and apparatus for providing conditional access in connection-oriented interactive networks with a multiplicity of service providers | |
| JP3586146B2 (en) | Secure transmission of wideband data messages | |
| JP2940639B2 (en) | Method for sending conditional access information to a decoder in a packet-based multiplex communication system | |
| EP0872077B1 (en) | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers | |
| US6373952B2 (en) | Data transmitting apparatus, data transmitting method, data receiving apparatus, data receiving method, data transmission apparatus, and data transmission method | |
| US20080267409A1 (en) | Encryption processing for streaming media | |
| JPH0756831A (en) | Method for transmission and reception of program for personal use | |
| CA2237293A1 (en) | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers | |
| JP2002536877A (en) | Transmission system | |
| WO2007095803A1 (en) | A method and system for encrypting and decrypting the on demand stream media data in wmv format | |
| KR20060064469A (en) | Apparatus and method for protecting multicast streamed motion picture files | |
| WO2011120901A1 (en) | Secure descrambling of an audio / video data stream | |
| JP2001127757A (en) | Data reception method and data receiver | |
| JP4391610B2 (en) | Transport stream processing device | |
| JP4951729B2 (en) | Streaming media encryption method | |
| EP1499061A1 (en) | Individual video encryption system and method | |
| JP3794050B2 (en) | Data transmission apparatus and method and data receiving apparatus | |
| CN1295763B (en) | Transmission system | |
| JP4497099B2 (en) | Information transmission equipment | |
| JP3887945B2 (en) | Data receiving apparatus and data receiving method | |
| JPH10290222A (en) | Information decoder, its method and information transmitter-receiver | |
| WO2006024234A1 (en) | Method ano apparatus for protecting broadband video and audio broadcast content | |
| EP1499062B1 (en) | Individual video encryption system and method | |
| JP2001292432A (en) | Limited reception control system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050329 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050621 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050822 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20051206 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060206 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071203 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080917 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110926 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110926 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120926 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120926 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130926 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |