JP5143186B2 - Information communication method and server - Google Patents

Information communication method and server Download PDF

Info

Publication number
JP5143186B2
JP5143186B2 JP2010109962A JP2010109962A JP5143186B2 JP 5143186 B2 JP5143186 B2 JP 5143186B2 JP 2010109962 A JP2010109962 A JP 2010109962A JP 2010109962 A JP2010109962 A JP 2010109962A JP 5143186 B2 JP5143186 B2 JP 5143186B2
Authority
JP
Japan
Prior art keywords
communication terminal
terminal device
server
identification information
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010109962A
Other languages
Japanese (ja)
Other versions
JP2010178388A (en
Inventor
治 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2010109962A priority Critical patent/JP5143186B2/en
Publication of JP2010178388A publication Critical patent/JP2010178388A/en
Application granted granted Critical
Publication of JP5143186B2 publication Critical patent/JP5143186B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークを介してコンテンツ配信を行う際などに、通信端末装置の固有情報を暗号化する情報通信方法およびサーバに関する。   The present invention relates to an information communication method and server for encrypting unique information of a communication terminal device when content is distributed via a network.

一般に、ユーザ側の通信端末装置は、たとえばポータルサーバとの間で情報の送受信をセキュアに行いたい場合、SSL(Secure Sockets Layer)セッションを確立する。SSLは、公開鍵暗号を用いた鍵交換により通信端末装置とサーバ間でデータ暗号用の鍵を共有し、メッセージを暗号化して送受するものである(特許文献1)。このプロトコルは、RFC(Request For Comment)4346「The Transport Layer Security Protocol Version1.1」としても規定されている。   Generally, a communication terminal device on the user side establishes an SSL (Secure Sockets Layer) session, for example, when it is desired to securely transmit and receive information to and from a portal server. SSL shares a key for data encryption between a communication terminal device and a server by key exchange using public key encryption, and encrypts a message for transmission / reception (Patent Document 1). This protocol is also defined as RFC (Request For Comment) 4346 “The Transport Layer Security Protocol Version 1.1”.

米国特許第5657390号明細書US Pat. No. 5,657,390

ここで、ユーザ側の通信端末装置としては、画像表示装置、たとえばデジタル放送受信装置(テレビジョン受像機)が考えられる。このデジタル放送受信装置は、ポータルサーバとSSLセッションを確立し、このポータルサーバから配信された画像を表示したりする。
前述の技術では、サーバ側の構成としてポータルサーバと顧客管理サーバとを別々の構成にする場合が多い。この結果、顧客や端末装置に対して固有のサービスを提供する際には、たとえばIDやパスワードなどを入力して端末装置や顧客を認証する必要があった。 Here, as the communication terminal device on the user side, an image display device, for example, a digital broadcast receiving device (television receiver) can be considered. This digital broadcast receiving apparatus establishes an SSL session with the portal server and displays an image distributed from the portal server.
In the above-described technology, the portal server and the customer management server are often configured separately as the server-side configuration. As a result, when providing a unique service to a customer or a terminal device, it is necessary to authenticate the terminal device or the customer by inputting, for example, an ID or a password.

上記に鑑み、本発明は、IDやパスワードなどの入力なしにセキュアに通信端末装置の情報を認証することができる情報通信方法およびサーバを提供することを目的とする。   In view of the above, an object of the present invention is to provide an information communication method and server capable of securely authenticating information of a communication terminal device without inputting an ID, a password, or the like.

本発明の一態様に係る情報通信方法は、第1のサーバが、通信端末装置と第1の暗号化鍵を共有するステップと、前記第1のサーバが、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信するステップと、前記第1のサーバが、前記通信端末装置の識別情報を、第1の復号化鍵で復号化するステップと、前記通信端末装置を認証する第2のサーバが、前記第1のサーバで復号化された通信端末装置の識別情報を受信するステップと、前記第2のサーバが、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化するステップと、前記第2のサーバが、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証するステップと、前記第2のサーバが、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化するステップと、前記第1のサーバが、前記認証結果を受信するステップと、前記第1のサーバが、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信するステップと、前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化するステップと、前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、この通信端末装置に送信するステップと、を含むことを特徴とする。 An information communication method according to an aspect of the present invention includes a step in which a first server shares a first encryption key with a communication terminal device, and the first server receives a second from the communication terminal device. Receiving the identification information of the communication terminal device encrypted with the encryption key and the first encryption key; and the first server decrypting the identification information of the communication terminal device with a first decryption Decrypting with a key, a second server authenticating the communication terminal device receiving the identification information of the communication terminal device decrypted with the first server, and the second server, A step of decrypting the received identification information of the communication terminal device with a second decryption key; and the second server, based on the decrypted identification information of the communication terminal device, the communication terminal device a step of authenticating the second server But on the basis of the authentication, encrypting with said second encryption key identification information of the communication terminal identification information of the device and including a first server identification information the communication terminal device, the A first server receiving the authentication result; a first server distributing content to the communication terminal device based on the received authentication result; and the first server A step of encrypting the encrypted identification information of the communication terminal device with the first encryption key, and the first server identifying the encrypted identification information of the communication terminal device, And transmitting to the communication terminal device .

本発明の一態様に係るサーバは、通信端末装置と第1の暗号化鍵を共有する共有部と、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、第1の復号化鍵で復号化する第1の復号化部と、前記復号化した通信端末装置の識別情報を、第2のサーバに送信する第1の送信部と、第2のサーバからの前記通信端末装置の認証結果を受信した際に、この認証結果に基づいて、前記通信端末装置にコンテンツを配信する配信部と、前記第2のサーバから前記第2の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化する第1の暗号化部と、前記暗号化された前記通信端末装置の識別情報をこの通信端末装置に送信する第3の送信部と、を有する第1のサーバと、前記第1のサーバからの前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を第2の復号化鍵で復号化する第2の復号化部と、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部と、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化する第2の暗号化部と、前記認証結果及び前記暗号化された前記通信端末装置の識別情報を前記第1のサーバに送信する第2の送信部と、を有する第2のサーバと、を具備することを特徴とする。 A server according to an aspect of the present invention encrypts a sharing unit that shares a first encryption key with a communication terminal device, a second encryption key from the communication terminal device, and the first encryption key. When the received identification information of the communication terminal apparatus is received, a first decryption unit that decrypts the identification information of the communication terminal apparatus with a first decryption key, and the decrypted communication terminal apparatus When receiving the authentication result of the communication terminal device from the first transmission unit that transmits the identification information to the second server and the second server, content is transmitted to the communication terminal device based on the authentication result. And when receiving the identification information of the communication terminal device encrypted with the second encryption key from the second server, the identification information of the communication terminal device is received as the first identification information. A first encryption unit for encrypting with the encryption key of A third transmission unit for transmitting identification information of the serial communication terminal apparatus to the communication terminal device, the first server having, when receiving the identification information of the communication terminal apparatus from said first server, A second decryption unit that decrypts the identification information of the communication terminal device with a second decryption key, and an authentication unit that authenticates the communication terminal device based on the decrypted identification information of the communication terminal device And a second encryption for encrypting the identification information of the communication terminal device including the identification information of the communication terminal device and the identification information of the first server based on the authentication with the second encryption key. And a second server having a second transmitting unit that transmits the authentication result and the encrypted identification information of the communication terminal device to the first server. And

本発明によれば、IDやパスワードなどの入力なしにセキュアに通信端末装置の情報を認証することができる情報通信方法およびサーバを提供できる。   ADVANTAGE OF THE INVENTION According to this invention, the information communication method and server which can authenticate the information of a communication terminal device securely, without inputting ID, a password, etc. can be provided.

本発明の一実施形態に係る情報通信システムの構成を表す概念図である。It is a conceptual diagram showing the structure of the information communication system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信端末装置の構成を表すブロック図である。It is a block diagram showing the structure of the communication terminal device which concerns on one Embodiment of this invention. 本発明の一実施形態に係るポータルサーバと顧客管理サーバの概略構成を表すブロック図である。It is a block diagram showing schematic structure of the portal server and customer management server which concern on one Embodiment of this invention. 図1に示した情報通信システムの動作シーケンスを表す図である。It is a figure showing the operation | movement sequence of the information communication system shown in FIG. 図2に示したブラウザの動作を表すフローチャートである。3 is a flowchart showing the operation of the browser shown in FIG. 第1の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。It is a figure showing the structure of the data produced | generated with the communication terminal device which concerns on 1st Embodiment. 第1の実施形態に係るサーバで生成されるデータの構成を表す図である。It is a figure showing the structure of the data produced | generated by the server which concerns on 1st Embodiment. 第2の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。It is a figure showing the structure of the data produced | generated with the communication terminal device which concerns on 2nd Embodiment. 第2の実施形態に係るサーバで生成されるデータの構成を表す図である。It is a figure showing the structure of the data produced | generated by the server which concerns on 2nd Embodiment. 第3の実施形態に係る情報通信システムの動作シーケンスを表す図である。It is a figure showing the operation | movement sequence of the information communication system which concerns on 3rd Embodiment. 第3の実施形態に係るサーバで生成されるデータの構成を表す図である。It is a figure showing the structure of the data produced | generated by the server which concerns on 3rd Embodiment.

以下、図面を参照して、本発明の実施の形態を詳細に説明する。本実施形態では、通信端末装置としてデジタル放送受信装置を例として説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In this embodiment, a digital broadcast receiving apparatus will be described as an example of a communication terminal apparatus.

(第1の実施形態)
図1は、本発明の一実施形態に係る情報通信システム1の構成を表す概念図である。 (First embodiment)
FIG. 1 is a conceptual diagram showing a configuration of an information communication system 1 according to an embodiment of the present invention.

情報通信システム1は、通信端末装置10と、ポータルサーバ20と、顧客管理サーバ30とから構成される。なお、通信端末装置10とポータルサーバ20とは、インターネットの通信網40などで接続される。ポータルサーバ20と顧客管理サーバ30とは、専用線やLAN50などで接続される。   The information communication system 1 includes a communication terminal device 10, a portal server 20, and a customer management server 30. The communication terminal device 10 and the portal server 20 are connected by an Internet communication network 40 or the like. The portal server 20 and the customer management server 30 are connected by a dedicated line, a LAN 50, or the like.

通信端末装置10は、図示しないアンテナからデジタル放送電波を受信する。通信端末装置10は、有料放送の受信履歴をサービス提供事業者のポータルサーバ20に対して送信する。通信端末装置10は、ポータルサーバ20からコンテンツを取得する。また、通信端末装置10には、図示しない、コンテンツ画像を表示するモニタ、コンテンツ音声を発生するスピーカ、後述する限定受信用のICカード151を挿入するためのカードスロット、リモートコントローラ(以下、「リモコン」という)110からの赤外線信号を受信するリモコン受信部を備える。   The communication terminal device 10 receives digital broadcast radio waves from an antenna (not shown). The communication terminal device 10 transmits the pay broadcast reception history to the portal server 20 of the service provider. The communication terminal device 10 acquires content from the portal server 20. The communication terminal device 10 includes a monitor (not shown) for displaying a content image, a speaker for generating content audio, a card slot for inserting an IC card 151 for limited reception described later, a remote controller (hereinafter referred to as “remote controller”). A remote control receiving unit for receiving an infrared signal from 110.

図2は、本発明の一実施形態に係る通信端末装置10の構成を表すブロック図である。通信端末装置10は、チューナ部102と、デスクランブラ103と、TSデコード部104と、映像音声デコード部105と、表示処理部106と、通信処理部107と、制御部108と、キー入力部109と、リモコン110と、ICカードI/F(インターフェース)部111と、メモリ112と、DRM処理部113と、ブラウザ114と、認証処理部115と、を備える。   FIG. 2 is a block diagram showing the configuration of the communication terminal apparatus 10 according to an embodiment of the present invention. The communication terminal device 10 includes a tuner unit 102, a descrambler 103, a TS decoding unit 104, a video / audio decoding unit 105, a display processing unit 106, a communication processing unit 107, a control unit 108, and a key input unit 109. A remote controller 110, an IC card I / F (interface) unit 111, a memory 112, a DRM processing unit 113, a browser 114, and an authentication processing unit 115.

図3は、本発明の一実施の形態に係るポータルサーバ20と顧客管理サーバ30の概略構成を表すブロック図である。ポータルサーバ20は、通信処理部201,202と、復号化部203と、配信部204と、データベース205と、暗号化部206と、を備える。
顧客管理サーバ30は、通信処理部301と、復号化部302と、認証部303と、ID管理データベース304と、を備える。 FIG. 3 is a block diagram showing a schematic configuration of the portal server 20 and the customer management server 30 according to the embodiment of the present invention. The portal server 20 includes communication processing units 201 and 202, a decryption unit 203, a distribution unit 204, a database 205, and an encryption unit 206.
The customer management server 30 includes a communication processing unit 301, a decryption unit 302, an authentication unit 303, and an ID management database 304.

(各部の特徴および動作)
チューナ部102は、通信端末装置10に入力されたデジタル放送波から所望のチャンネルを選局する。チューナ部102は、この選局したチャンネルのトランスポートストリーム(以下、TSと記す)をデスクランブラ103へ出力する。TSは、コンテンツ保護のためにスクランブルされる。
デスクランブラ103は、チューナ部102または通信処理部107から入力されたTSをデスクランブルしてTSデコード部104へ出力する。 (Characteristics and operation of each part)
The tuner unit 102 selects a desired channel from the digital broadcast wave input to the communication terminal device 10. The tuner unit 102 outputs a transport stream (hereinafter referred to as TS) of the selected channel to the descrambler 103. The TS is scrambled for content protection.
The descrambler 103 descrambles the TS input from the tuner unit 102 or the communication processing unit 107 and outputs the descrambler to the TS decoding unit 104.

TSデコード部104は、デスクランブラ103から入力されたTSから必要なパケットを分離する。TSデコード部104は、この分離したパケットから更に、放送番組信号(映像、音声)の抽出や各種多重データ(各種SI(Service Information)データやECM(Entitlement Control Massage),EMM(Entitlement Management Massage)等)を分離する。また、TSデコード部104は、分離した放送番組信号(映像、音声)を映像音声デコード部105へ出力する。
映像音声デコード部105は、TSデコード部104から入力された放送番組信号(映像、音声)のデコードを行い、表示処理部106へ出力する。 The TS decoding unit 104 separates necessary packets from the TS input from the descrambler 103. The TS decoding unit 104 further extracts broadcast program signals (video, audio), various multiplexed data (various SI (Service Information) data, ECM (Entitlement Control Massage), EMM (Entitlement Management Massage), etc.) from the separated packets. ). Further, the TS decoding unit 104 outputs the separated broadcast program signal (video, audio) to the video / audio decoding unit 105.
The video / audio decoding unit 105 decodes the broadcast program signal (video, audio) input from the TS decoding unit 104 and outputs the decoded signal to the display processing unit 106.

表示処理部106は、ユーザとのインターフェース機能を果たすために各種エラー情報の表示画像信号を生成する。表示処理部106は、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。また、表示処理部106は、TSデコード部104で分離されたSIデータから構成されたEPG(Electronic Program Guide)画像信号を生成する。表示処理部106は、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。   The display processing unit 106 generates display image signals of various types of error information in order to perform an interface function with the user. The display processing unit 106 has a function of outputting the generated image signal instead of the broadcast program signal (video, audio) or synthesizing it with the broadcast program signal (video, audio). Further, the display processing unit 106 generates an EPG (Electronic Program Guide) image signal composed of the SI data separated by the TS decoding unit 104. The display processing unit 106 has a function of outputting the generated image signal instead of the broadcast program signal (video, audio) or synthesizing it with the broadcast program signal (video, audio).

通信処理部107は、Ethernet(登録商標)等のネットワーク回線に接続され、ネットワークを介してデータの送受を行うものである。通信処理部107は、サービス提供事業者側のポータルサーバ20からコンテンツの受信(VOD(Video on Demand)やIP(Internet Protocol)放送)、ライセンスの受信の機能を有する。また、通信処理部107は、通信端末装置10の識別情報である端末ID(Identifier) の送信要求およびポータルサーバ20を認証する認証情報を受信する受信部として機能する。
制御部108は、通信端末装置10全体を制御する制御部である。制御部108は、バス接続やシリアル通信接続等で接続された通信端末装置10内の各ブロックによる機能を制御する。 The communication processing unit 107 is connected to a network line such as Ethernet (registered trademark), and transmits and receives data via the network. The communication processing unit 107 has functions of receiving content (VOD (Video on Demand) or IP (Internet Protocol) broadcasting) and license reception from the portal server 20 on the service provider side. The communication processing unit 107 functions as a receiving unit that receives a transmission request for a terminal ID (Identifier) that is identification information of the communication terminal device 10 and authentication information for authenticating the portal server 20.
The control unit 108 is a control unit that controls the entire communication terminal device 10. The control unit 108 controls the function of each block in the communication terminal device 10 connected by a bus connection or a serial communication connection.

キー入力部109は、ポータルサーバ20から配信されるコンテンツを受信するための情報やコンテンツを視聴するための情報などを入力する、たとえばキーボードなどからなる。リモコン110も、同様に、情報を入力する機能を有する。   The key input unit 109 includes, for example, a keyboard for inputting information for receiving content distributed from the portal server 20 and information for viewing the content. Similarly, the remote controller 110 has a function of inputting information.

放送信号においては、ICカードI/F部111を介して接続されるICカード151にECMを送ってスクランブル鍵が得られる。このスクランブル鍵をデスクランブラ103にセットしてデスクランブルを行う。通信からのコンテンツについては、DRM処理部113でポータルサーバ20から取得した鍵、もしくはDRM処理部113でECMを復号した鍵をデスクランブラ103にセットする。   In the broadcast signal, an ECM is sent to the IC card 151 connected via the IC card I / F unit 111 to obtain a scramble key. This scramble key is set in the descrambler 103 to perform descrambling. For content from communication, the key acquired from the portal server 20 by the DRM processing unit 113 or the key obtained by decrypting the ECM by the DRM processing unit 113 is set in the descrambler 103.

メモリ112には、通信端末装置10の端末IDに関する情報が例えば出荷時に記憶される。通信端末装置10がコンテンツアクセスする場合、顧客管理サーバ30が、この通信端末装置10を特定する手段としてこの端末IDを取得することが考えられる。   Information regarding the terminal ID of the communication terminal device 10 is stored in the memory 112 at the time of shipment, for example. When the communication terminal device 10 accesses content, it is conceivable that the customer management server 30 acquires this terminal ID as means for specifying the communication terminal device 10.

図4は、図1に示した情報通信システム1の動作シーケンスを表す図である。この端末IDを取得するシーケンスは、図4のようにブラウザ114を介して行われる。
通信端末装置10のブラウザ114からポータルサーバ20へセキュアなアクセスを行う際には、SSLセッション(RFC 2246で規定される)などを使用して暗号化通信が行われる。このSSLセッションでは、認証局CAが署名した公開鍵証明書(サーバ証明書)をブラウザ114で解釈する。ここで、認証局CAの署名が検証された場合には、正しいサーバとして暗号化通信のための鍵交換シーケンスを実行する。そして、セッション鍵Ksec(第1の暗号化鍵、第1の復号化鍵)をポータルサーバ20と共有する。ブラウザ114は、第1のサーバと第1の暗号化鍵を共有する共有部として機能する。 FIG. 4 is a diagram showing an operation sequence of the information communication system 1 shown in FIG. The sequence for acquiring the terminal ID is performed via the browser 114 as shown in FIG.
When secure access from the browser 114 of the communication terminal device 10 to the portal server 20 is performed, encrypted communication is performed using an SSL session (defined in RFC 2246) or the like. In this SSL session, the browser 114 interprets the public key certificate (server certificate) signed by the certificate authority CA. Here, when the signature of the certificate authority CA is verified, a key exchange sequence for encrypted communication is executed as a correct server. The session key Ksec (first encryption key, first decryption key) is shared with the portal server 20. The browser 114 functions as a sharing unit that shares the first encryption key with the first server.

このSSLセッション下において、端末IDを取得するスクリプトを含むページを通信端末装置10が取得すると、そのスクリプトにしたがってブラウザ114は端末IDの取得処理を行う。
図5は、ブラウザ114の動作を表すフローチャートである。ブラウザ114は、SSLセッション構築時に取得したサーバ証明書の特定項目を抽出する。たとえばCN属性における名前情報やドメイン情報を検出する(ステップS401)。なお、本実施形態では、ポータルサーバ20を認証する認証情報として、このポータルサーバ20のドメイン情報を用いる。 Under the SSL session, when the communication terminal apparatus 10 acquires a page including a script for acquiring a terminal ID, the browser 114 performs a terminal ID acquisition process according to the script.
FIG. 5 is a flowchart showing the operation of the browser 114. The browser 114 extracts a specific item of the server certificate acquired when the SSL session is established. For example, name information and domain information in the CN attribute are detected (step S401). In the present embodiment, domain information of the portal server 20 is used as authentication information for authenticating the portal server 20.

次に、ブラウザ114は、この検出したサーバ証明書のドメイン情報が、サービス提供事業者のポータルサーバとして許可されているドメイン情報かどうか判断する(ステップS402)。この判断では、図3に示すSSLセッションで取得したサーバ証明書の特定項目(識別情報:ドメイン情報)と所定の値とを比較する。この所定の値は、通信端末装置10がコンテンツの配信を要求する少なくとも1つのポータルサーバのドメイン情報である。この所定の値は、事前にサービス提供事業者とユーザとの取り決めで設定される値で、たとえば通信端末装置10のメモリ112にリスト形式で記憶されている。さらに、サービス提供事業者とユーザは、顧客管理サーバ30と認証処理部115間での暗号化データによる認証を行うために、共通鍵(第2の暗号化鍵、第2の復号化鍵)Kdを事前に共有する。この共通鍵Kdは、たとえばメモリ112に記憶される。   Next, the browser 114 determines whether the detected domain information of the server certificate is domain information that is permitted as a portal server of the service provider (step S402). In this determination, a specific item (identification information: domain information) of the server certificate acquired in the SSL session shown in FIG. 3 is compared with a predetermined value. This predetermined value is domain information of at least one portal server from which the communication terminal device 10 requests content distribution. This predetermined value is a value set in advance by an agreement between the service provider and the user, and is stored in the memory 112 of the communication terminal device 10 in a list format, for example. Further, the service provider and the user use a common key (second encryption key, second decryption key) Kd to perform authentication using encrypted data between the customer management server 30 and the authentication processing unit 115. Share in advance. The common key Kd is stored in the memory 112, for example.

ここで、このサーバ証明書の特定項目と所定の値とが一致する場合(ステップS402のYesの場合)、ブラウザ114は次の処理に移行する(ステップS403、S404)。また、この認証処理部115で特定項目と所定の値とが一致しない場合(ステップS402のNoの場合)、ブラウザ114はポータルサーバ20に対して認証不可を示す認証エラーデータを応答する(ステップS405)。ブラウザ114は、自装置の識別情報の送信要求を受信した際に、前記第1のサーバと第1の暗号化鍵を共有する際に取得した前記第1のサーバの証明書情報と前記自装置内に保持している検証情報との比較を行い、一致した場合に前記自装置の識別情報の暗号化を要求する認証部として機能する。   If the specific item of the server certificate matches the predetermined value (Yes in step S402), the browser 114 proceeds to the next process (steps S403 and S404). When the specific item does not match the predetermined value in the authentication processing unit 115 (No in step S402), the browser 114 responds to the portal server 20 with authentication error data indicating that authentication is not possible (step S405). ). The browser 114 receives the certificate information of the first server acquired when sharing the first encryption key with the first server when receiving the transmission request of the identification information of the own device, and the own device. It compares with the verification information held in it and functions as an authentication unit that requests encryption of the identification information of the own device if they match.

(特定項目と所定の値が一致した場合の処理)
図6は、第1の実施形態に係る通信端末装置10で生成されるデータの構成を表す図である。ブラウザ114は、端末IDの要求を認証処理部115へ送信する。
認証処理部115は、この要求に応じて、メモリ112に記憶している端末IDもしくはメモリ112に記憶している情報から予め決めたルールで導出した端末IDを、共通鍵Kdで暗号化(例えばAES等)する。この共通鍵Kdは、顧客管理サーバ30と認証処理部115とで事前に共有している鍵であり、たとえばメモリ112に記憶される。認証処理部115は、この共通鍵Kdで暗号化した端末ID(暗号化データ)に、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。認証処理部115は、前記要求に基づいて、前記自装置の識別情報を第2の暗号化鍵で暗号化する暗号化部として機能する。 (Processing when a specific item matches a predetermined value)
FIG. 6 is a diagram illustrating a configuration of data generated by the communication terminal device 10 according to the first embodiment. The browser 114 transmits a request for a terminal ID to the authentication processing unit 115.
In response to this request, the authentication processing unit 115 encrypts the terminal ID stored in the memory 112 or the terminal ID derived from the information stored in the memory 112 with a common rule Kd (for example, AES). The common key Kd is a key shared in advance by the customer management server 30 and the authentication processing unit 115, and is stored in the memory 112, for example. The authentication processing unit 115 generates transfer data by adding a header and a frame length to the terminal ID (encrypted data) encrypted with the common key Kd. The authentication processing unit 115 outputs the generated transfer data to the browser 114. The authentication processing unit 115 functions as an encryption unit that encrypts the identification information of the own device with the second encryption key based on the request.

ブラウザ114は、入力するこの転送データを、SSLでポータルサーバ20と共有したセッション鍵Ksecで暗号化して、暗号化転送データを生成する(ステップS403)。次に、通信処理部107は、この生成された暗号化転送データを、ポータルサーバ20へ送信する。ブラウザ114および通信処理部107は、前記第2の暗号化鍵で暗号化された前記自装置の識別情報を、前記第1の暗号化鍵で暗号化して前記第1のサーバに送信する送信部として機能する。   The browser 114 encrypts the input transfer data with the session key Ksec shared with the portal server 20 by SSL, and generates encrypted transfer data (step S403). Next, the communication processing unit 107 transmits the generated encrypted transfer data to the portal server 20. The browser 114 and the communication processing unit 107 transmit the identification information of the own device encrypted with the second encryption key with the first encryption key and transmit the encrypted identification information to the first server. Function as.

図7は、第1の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。これらサーバのうちポータルサーバ20では、通信処理部201が通信端末装置10からの暗号化転送データを受信する。次に、復号化部203がセッション鍵Ksecでこの暗号化転送データを、ヘッダとフレーム長が付加された端末ID(暗号化データ)に復号化する。通信処理部202は、この暗号化データを顧客管理サーバ30へ送信する。通信処理部201は、前記送信された通信端末装置の識別情報を受信する受信部として機能する。復号化部203は、前記受信された通信端末装置の識別情報を、第1の復号化鍵で復号化する復号化部として機能する。   FIG. 7 is a diagram illustrating a configuration of data generated by the servers 20 and 30 according to the first embodiment. Among these servers, in the portal server 20, the communication processing unit 201 receives encrypted transfer data from the communication terminal device 10. Next, the decryption unit 203 decrypts the encrypted transfer data with the session key Ksec into a terminal ID (encrypted data) to which a header and a frame length are added. The communication processing unit 202 transmits this encrypted data to the customer management server 30. The communication processing unit 201 functions as a receiving unit that receives the transmitted identification information of the communication terminal device. The decryption unit 203 functions as a decryption unit that decrypts the received identification information of the communication terminal device with the first decryption key.

顧客管理サーバ30では、通信処理部301がポータルサーバ20からのヘッダとフレーム長が付加された暗号化データを受信する。次に、復号化部302が暗号化データを、共通鍵Kdで復号化して端末IDのデータを取得する。サーバ側では、ポータルサーバ20がセッション鍵Ksecで端末IDを復号化し、さらに顧客管理サーバ30がこの復号化された端末IDを共通鍵Kdで復号する。この結果、この端末IDをセキュアに取得することができる。通信処理部301は、前記第1のサーバで復号化された通信端末装置の識別情報を受信する受信部として機能する。復号化部302は、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化する復号化部として機能する。   In the customer management server 30, the communication processing unit 301 receives the encrypted data to which the header and the frame length are added from the portal server 20. Next, the decryption unit 302 decrypts the encrypted data with the common key Kd to obtain terminal ID data. On the server side, the portal server 20 decrypts the terminal ID with the session key Ksec, and the customer management server 30 decrypts the decrypted terminal ID with the common key Kd. As a result, this terminal ID can be acquired securely. The communication processing unit 301 functions as a receiving unit that receives the identification information of the communication terminal device decrypted by the first server. The decryption unit 302 functions as a decryption unit that decrypts the received identification information of the communication terminal device with a second decryption key.

認証部303は、取得された端末IDと所定の値とを比較する。この所定の値は、コンテンツ配信が許可された少なくとも1つの通信端末装置の端末IDである。この所定の値は、事前にたとえばID管理データベース304にリスト形式で記憶される。認証部303は、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部として機能する。   The authentication unit 303 compares the acquired terminal ID with a predetermined value. The predetermined value is a terminal ID of at least one communication terminal device that is permitted to distribute contents. This predetermined value is stored in advance in a list format in the ID management database 304, for example. The authentication unit 303 functions as an authentication unit that authenticates the communication terminal device based on the decrypted identification information of the communication terminal device.

ここで、この取得された端末IDと所定の値とが一致する場合、認証部303は、認証した旨の認証データを、通信処理部301に出力する。通信処理部301は、この認証データをポータルサーバ20へ送信する。また、この取得された端末IDと所定の値とが一致しない場合、認証部303は、認証ができなかった旨の認証不可データをポータルサーバ20へ出力する。   Here, when the acquired terminal ID matches a predetermined value, the authentication unit 303 outputs authentication data indicating that authentication has been performed to the communication processing unit 301. The communication processing unit 301 transmits this authentication data to the portal server 20. If the acquired terminal ID does not match the predetermined value, the authentication unit 303 outputs unauthenticated data indicating that the authentication could not be performed to the portal server 20.

ポータルサーバ20では、通信処理部202によって認証データが受信されると、配信部204がコンテンツ配信のためのリストの情報を生成する。このリストの情報は、暗号化部206で暗号化されて、通信処理部201から通信端末装置10へ送信される。そして、通信端末装置10によって特定のコンテンツが指定されると、暗号化されたコンテンツがポータルサーバ20から通信端末装置10へ送信される。通信処理部202は、第2のサーバの認証結果を受信する受信部として機能する。配信部204は、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信する配信部として機能する。   In the portal server 20, when the authentication data is received by the communication processing unit 202, the distribution unit 204 generates list information for content distribution. The information in this list is encrypted by the encryption unit 206 and transmitted from the communication processing unit 201 to the communication terminal device 10. When specific content is designated by the communication terminal device 10, the encrypted content is transmitted from the portal server 20 to the communication terminal device 10. The communication processing unit 202 functions as a receiving unit that receives the authentication result of the second server. The distribution unit 204 functions as a distribution unit that distributes content to the communication terminal device based on the received authentication result.

このように、本実施形態に係る情報通信システムでは、情報(端末ID)を共通鍵Kdで暗号化した後、セッション鍵Ksecで暗号化することで、二重に暗号化して通信端末装置からサーバへ送信する。このため、端末IDに関わる情報は、顧客管理サーバと通信端末装置のみでセキュアに送受され、ポータルサーバでは一切内容について関与しないため、情報管理の分離が可能になる。   As described above, in the information communication system according to the present embodiment, the information (terminal ID) is encrypted with the common key Kd and then encrypted with the session key Ksec, so that it is double-encrypted and transmitted from the communication terminal apparatus to the server. Send to. For this reason, the information related to the terminal ID is securely transmitted and received only by the customer management server and the communication terminal device, and the portal server is not involved in the contents at all, so that the information management can be separated.

(第2の実施形態)
また、本発明の実施形態では、事前に共通鍵Kdを共有する方法のほかに、RSAや楕円暗号のような公開鍵暗号を利用して簡易に暗号化鍵を共有する方式にしてもよい。公開鍵方式とは鍵ペア(Kp,Ks)があり、鍵Kpで暗号化したデータは鍵Ksでのみ復号できる性質をもつ暗号方式である。
第2の実施形態に係る情報通信システムでは、たとえばこの鍵ペア(Kp,Ks)を顧客管理サーバ30と通信端末装置10でそれぞれ持つ。 (Second Embodiment)
In the embodiment of the present invention, in addition to the method of sharing the common key Kd in advance, a method of easily sharing the encryption key using public key encryption such as RSA or elliptical encryption may be used. The public key method has a key pair (Kp, Ks), and is an encryption method having a property that data encrypted with the key Kp can be decrypted only with the key Ks.
In the information communication system according to the second embodiment, for example, the customer management server 30 and the communication terminal device 10 each have this key pair (Kp, Ks).

図8は、第2の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。なお、通信端末装置の構成は、図2のブロック図と同様である。通信端末装置10では、認証処理部115が、端末IDの要求に応じて、データの暗号化に使用する鍵Kdを乱数で生成する。次に、認証処理部115は、メモリ112に記憶している端末IDもしくはメモリ112に記憶している情報から予め決めたルールで導出した端末IDを、この生成した鍵Kdで暗号化する。さらに、認証処理部115は、この生成した鍵Kdを鍵Ksで暗号化する。認証処理部115は、この鍵Kdで暗号化した端末ID(暗号化データ)と、この鍵Ksで暗号化した鍵Kdとに、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。メモリ112は、公開鍵暗号における鍵ペアの一方を第3の鍵として事前に保持する保持部として機能する。認証処理部115は、乱数を生成する生成部として機能する。   FIG. 8 is a diagram illustrating a configuration of data generated by the communication terminal device according to the second embodiment. The configuration of the communication terminal device is the same as that shown in the block diagram of FIG. In the communication terminal device 10, the authentication processing unit 115 generates a key Kd used for data encryption with a random number in response to a request for a terminal ID. Next, the authentication processing unit 115 encrypts the terminal ID stored in the memory 112 or the terminal ID derived from the information stored in the memory 112 using a predetermined rule with the generated key Kd. Further, the authentication processing unit 115 encrypts the generated key Kd with the key Ks. The authentication processing unit 115 generates transfer data by adding a header and a frame length to the terminal ID (encrypted data) encrypted with the key Kd and the key Kd encrypted with the key Ks. The authentication processing unit 115 outputs the generated transfer data to the browser 114. The memory 112 functions as a holding unit that holds one of the key pairs in public key cryptography as a third key in advance. The authentication processing unit 115 functions as a generation unit that generates a random number.

ブラウザ114は、入力するこの転送データを、SSLでポータルサーバ20と共有したセッション鍵Ksecで暗号化して、暗号化転送データを生成する。次に、通信処理部107は、この生成された暗号化転送データを、ポータルサーバ20へ送信する。   The browser 114 encrypts this input transfer data with the session key Ksec shared with the portal server 20 by SSL, and generates encrypted transfer data. Next, the communication processing unit 107 transmits the generated encrypted transfer data to the portal server 20.

図9は、第2の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。なお、サーバ20,30の構成は、図3のブロック図と同様である。ポータルサーバ20では、通信処理部201が第1の実施形態と同じ復号化の動作を行い、通信処理部202は、暗号化データを顧客管理サーバ30へ送信する。   FIG. 9 is a diagram illustrating a configuration of data generated by the servers 20 and 30 according to the second embodiment. The configurations of the servers 20 and 30 are the same as the block diagram of FIG. In the portal server 20, the communication processing unit 201 performs the same decryption operation as in the first embodiment, and the communication processing unit 202 transmits the encrypted data to the customer management server 30.

顧客管理サーバ30では、通信処理部301がポータルサーバ20からのヘッダとフレーム長が付加された暗号化データと、暗号化鍵と、を受信する。次に、復号化部302が暗号化鍵を、鍵Kpで復号化して鍵Kdを生成する。さらに、復号化部302が暗号化データを、復号化された鍵Kdで復号化して端末IDのデータを取得する。サーバ側では、ポータルサーバ20がセッション鍵Ksecで端末IDを復号化し、顧客管理サーバ30が鍵Kpで鍵Kdを復号化し、さらにこの復号化された端末IDを、復号化された鍵Kdで復号する。この結果、この端末IDをさらにセキュアに取得することができる。   In the customer management server 30, the communication processing unit 301 receives the encrypted data with the header and frame length added from the portal server 20, and the encryption key. Next, the decryption unit 302 decrypts the encryption key with the key Kp to generate a key Kd. Further, the decryption unit 302 decrypts the encrypted data with the decrypted key Kd to obtain terminal ID data. On the server side, the portal server 20 decrypts the terminal ID with the session key Ksec, the customer management server 30 decrypts the key Kd with the key Kp, and further decrypts the decrypted terminal ID with the decrypted key Kd. To do. As a result, this terminal ID can be acquired more securely.

このように、第2の実施形態に係る情報通信システムでは、鍵Kpを持つサーバのみが鍵Kdを取得して、端末IDを復号化して取得できる。この結果、情報の暗号化がさらに保たれて、情報の秘匿性が確保できる。   As described above, in the information communication system according to the second embodiment, only the server having the key Kp can acquire the key Kd and decrypt the terminal ID. As a result, the encryption of the information is further maintained, and the confidentiality of the information can be ensured.

(第3の実施形態)
また、本発明の実施形態では、端末IDを端末固有の情報のみとして説明したが、例えばサービス(ポータルサーバ)ごとに端末IDを固有にすることも可能である。 (Third embodiment)
In the embodiment of the present invention, the terminal ID is described as only terminal-specific information. However, for example, it is possible to make the terminal ID unique for each service (portal server).

この第3の実施形態の場合は、たとえば端末IDは端末固有ID+可変領域という形になる。なお、端末固有IDとは、第1および第2の実施形態で示した端末IDである。可変領域とは、たとえばサービス(ポータルサーバ)を識別する識別情報が格納される領域である。   In the case of the third embodiment, for example, the terminal ID is in the form of terminal unique ID + variable area. The terminal unique ID is the terminal ID shown in the first and second embodiments. The variable area is an area in which identification information for identifying a service (portal server) is stored, for example.

図10は、第3の実施形態に係る情報通信システムの動作シーケンスを表す図である。図11は、第3の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。なお、通信端末装置の構成は、図2のブロック図と同様である。通信端末装置10の認証処理部115は、ポータルサーバ20の識別情報が設定されていないので、通信端末装置10を識別する端末固有IDと、可変領域に初期値としてたとえばNULL(初期値=0)を端末IDとする。認証処理部115は、この端末IDを、共通鍵Kdで暗号化する。認証処理部115は、この共通鍵Kdで暗号化した端末ID(暗号化データ)に、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。認証処理部115は、前記認証された第1のサーバに対応する第1の識別情報を生成する識別情報生成部として機能する。   FIG. 10 is a diagram illustrating an operation sequence of the information communication system according to the third embodiment. FIG. 11 is a diagram illustrating a configuration of data generated by the communication terminal device according to the third embodiment. The configuration of the communication terminal device is the same as that shown in the block diagram of FIG. Since the identification information of the portal server 20 is not set, the authentication processing unit 115 of the communication terminal apparatus 10 has a terminal unique ID for identifying the communication terminal apparatus 10 and an initial value in the variable area, for example, NULL (initial value = 0). Is a terminal ID. The authentication processing unit 115 encrypts this terminal ID with the common key Kd. The authentication processing unit 115 generates transfer data by adding a header and a frame length to the terminal ID (encrypted data) encrypted with the common key Kd. The authentication processing unit 115 outputs the generated transfer data to the browser 114. The authentication processing unit 115 functions as an identification information generation unit that generates first identification information corresponding to the authenticated first server.

図11は、第3の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。なお、ポータルサーバ20の構成は、図3のブロック図と同様であるが、顧客管理サーバ30の構成は、図3のブロック図に点線で示した暗号化部305が付加された構成となる。ポータルサーバ20は、第1の実施形態と同様に動作し、セッション鍵Ksecでこの暗号化転送データを、ヘッダとフレーム長が付加された端末ID(暗号化データ)に復号化する。次に、顧客管理サーバ30は、第1の実施形態と同様に動作し、この暗号化データを、共通鍵Kdで復号化して端末IDのデータを取得する。   FIG. 11 is a diagram illustrating a configuration of data generated by the servers 20 and 30 according to the third embodiment. The configuration of the portal server 20 is the same as that of the block diagram of FIG. 3, but the configuration of the customer management server 30 is a configuration in which an encryption unit 305 indicated by a dotted line is added to the block diagram of FIG. The portal server 20 operates in the same manner as in the first embodiment, and decrypts the encrypted transfer data into the terminal ID (encrypted data) to which the header and the frame length are added using the session key Ksec. Next, the customer management server 30 operates in the same manner as in the first embodiment, and decrypts this encrypted data with the common key Kd to obtain terminal ID data.

ここで、通信端末装置10から送信された識別情報が未登録の場合、可変領域が設定されていない。このため、顧客管理サーバ30の暗号化部305は、通信端末装置10の認証処理部115と同様の処理でこの可変領域に設定するポータルサーバ20の識別情報を暗号化する。すなわち、暗号化部305は、端末固有IDと、ポータルサーバ20の識別情報とを有する端末IDを共通鍵Kdで暗号化する。次に、暗号化部305は、この端末IDにヘッダとフレーム長とを付加して転送データを生成する。ポータルサーバ20の暗号化部206は、この転送データを、セッション鍵Ksecで暗号化して暗号化転送データを生成する。   Here, when the identification information transmitted from the communication terminal device 10 is not registered, the variable area is not set. For this reason, the encryption unit 305 of the customer management server 30 encrypts the identification information of the portal server 20 set in this variable area by the same processing as the authentication processing unit 115 of the communication terminal device 10. That is, the encryption unit 305 encrypts the terminal ID having the terminal unique ID and the identification information of the portal server 20 with the common key Kd. Next, the encryption unit 305 generates transfer data by adding a header and a frame length to the terminal ID. The encryption unit 206 of the portal server 20 encrypts this transfer data with the session key Ksec to generate encrypted transfer data.

通信端末装置10は、受信した端末固有IDと識別情報とを合わせて端末IDとして、メモリ112に記憶する。そして、通信端末装置10は、この端末IDを含んだ暗号化転送データをポータルサーバ20へ送信する。顧客管理サーバ30は、端末固有IDと識別情報とを合わせた端末IDに基づいて、通信端末装置10を認証する。   The communication terminal device 10 stores the received terminal unique ID and identification information together in the memory 112 as a terminal ID. Then, the communication terminal device 10 transmits the encrypted transfer data including the terminal ID to the portal server 20. The customer management server 30 authenticates the communication terminal device 10 based on the terminal ID that is a combination of the terminal unique ID and the identification information.

このように、第3の実施形態に係る情報通信システムでは、通信端末装置10を識別する端末固有IDと、ポータルサーバ20を識別する識別情報とを含む端末IDを暗号化して送信する。この結果、サービス(ポータルサーバ)毎に異なる端末IDを設定でき、サービス単位での独立を保つことができる。   Thus, in the information communication system according to the third embodiment, the terminal ID including the terminal unique ID for identifying the communication terminal device 10 and the identification information for identifying the portal server 20 is encrypted and transmitted. As a result, a different terminal ID can be set for each service (portal server), and independence can be maintained for each service.

(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張、変更可能であり、拡張、変更した実施形態も本発明の技術的範囲に含まれる。 (Other embodiments)
Embodiments of the present invention are not limited to the above-described embodiments, and can be expanded and modified. The expanded and modified embodiments are also included in the technical scope of the present invention.

1…情報通信システム、10…通信端末装置、20…ポータルサーバ、30…顧客管理サーバ、40…通信網、102…チューナ部、103…デスクランブラ、104…デコード部、105…映像音声デコード部、106…表示処理部、107…通信処理部、108…制御部、109…キー入力部、110…リモコン、111…ICカードI/F部、112…メモリ、113…DRM処理部、114…ブラウザ、115…認証処理部、151…ICカード、201,202,301…通信処理部、203,302…復号化部、204…配信部、205…データベース、206,305…暗号化部、303…認証部、304…管理データベース、Kd,Kp,Ks…鍵、Ksec…セッション鍵。   DESCRIPTION OF SYMBOLS 1 ... Information communication system, 10 ... Communication terminal device, 20 ... Portal server, 30 ... Customer management server, 40 ... Communication network, 102 ... Tuner part, 103 ... Descrambler, 104 ... Decoding part, 105 ... Video / audio decoding part, 106: Display processing unit, 107: Communication processing unit, 108 ... Control unit, 109 ... Key input unit, 110 ... Remote control, 111 ... IC card I / F unit, 112 ... Memory, 113 ... DRM processing unit, 114 ... Browser, DESCRIPTION OF SYMBOLS 115 ... Authentication processing part, 151 ... IC card, 201, 202, 301 ... Communication processing part, 203, 302 ... Decryption part, 204 ... Distribution part, 205 ... Database, 206, 305 ... Encryption part, 303 ... Authentication part 304, management database, Kd, Kp, Ks, key, Ksec, session key.

Claims (4)

第1のサーバが、通信端末装置と第1の暗号化鍵を共有するステップと、
前記第1のサーバが、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信するステップと、
前記第1のサーバが、前記通信端末装置の識別情報を、第1の復号化鍵で復号化するステップと、
前記通信端末装置を認証する第2のサーバが、前記第1のサーバで復号化された通信端末装置の識別情報を受信するステップと、
前記第2のサーバが、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化するステップと、
前記第2のサーバが、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証するステップと、
前記第2のサーバが、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化するステップと、
前記第1のサーバが、前記認証結果を受信するステップと、
前記第1のサーバが、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信するステップと、
前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化するステップと、
前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、この通信端末装置に送信するステップと、
を含むことを特徴とする情報通信方法。 A first server sharing a first encryption key with a communication terminal device;
The first server receiving the second encryption key from the communication terminal device and the identification information of the communication terminal device encrypted with the first encryption key;
The first server decrypting the identification information of the communication terminal device with a first decryption key;
A second server that authenticates the communication terminal device receives the identification information of the communication terminal device decrypted by the first server;
The second server decrypting the received identification information of the communication terminal device with a second decryption key;
The second server authenticating the communication terminal device based on the decrypted identification information of the communication terminal device;
The second server encrypts the communication terminal device identification information including the communication terminal device identification information and the first server identification information with the second encryption key based on the authentication. And steps to
The first server receiving the authentication result;
The first server delivering content to the communication terminal device based on the received authentication result;
The first server encrypting the encrypted identification information of the communication terminal device with the first encryption key;
The first server transmitting the encrypted identification information of the communication terminal device to the communication terminal device;
An information communication method comprising: 前記第2の復号化鍵で復号化するステップでは、前記第2の復号化鍵が、前記通信端末装置が有する第2の暗号化鍵と同一内容であることを特徴とする請求項1記載の情報通信方法。   The step of decrypting with the second decryption key, wherein the second decryption key has the same content as the second encryption key of the communication terminal device. Information communication method. 公開鍵暗号における鍵ペアのうち、一方を前記通信端末装置で、もう一方を前記第2のサーバでそれぞれ第3の鍵、第4の鍵として事前に保持するステップと、
をさらに含み、
前記第2の復号化鍵で復号化するステップでは、前記第2のサーバが、前記第3の鍵で暗号化された前記第2の暗号化鍵を、前記第4の鍵で復号化し、この復号化した前記2の暗号化鍵を前記第2の復号化鍵として、前記受信された通信端末装置の識別情報を復号化する
ことを特徴とする請求項1記載の情報通信方法。 Holding one of the key pairs in public key cryptography as the third key and the fourth key in advance in the communication terminal device and the other in the second server, respectively;
Further including
In the step of decrypting with the second decryption key, the second server decrypts the second encryption key encrypted with the third key with the fourth key, and the decrypted second encryption key as the second decryption key, the method of the information communication according to claim 1, wherein decoding the identification information of the received communication terminal device. 通信端末装置と第1の暗号化鍵を共有する共有部と、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、第1の復号化鍵で復号化する第1の復号化部と、前記復号化した通信端末装置の識別情報を、第2のサーバに送信する第1の送信部と、第2のサーバからの前記通信端末装置の認証結果を受信した際に、この認証結果に基づいて、前記通信端末装置にコンテンツを配信する配信部と、前記第2のサーバから前記第2の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化する第1の暗号化部と、前記暗号化された前記通信端末装置の識別情報をこの通信端末装置に送信する第3の送信部と、を有する第1のサーバと、
前記第1のサーバからの前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を第2の復号化鍵で復号化する第2の復号化部と、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部と、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化する第2の暗号化部と、前記認証結果及び前記暗号化された前記通信端末装置の識別情報を前記第1のサーバに送信する第2の送信部と、を有する第2のサーバと、
を具備することを特徴とするサーバ。 A sharing unit that shares the first encryption key with the communication terminal device, a second encryption key from the communication terminal device, and identification information of the communication terminal device encrypted with the first encryption key. When received, the communication terminal device identification information is decrypted with a first decryption key, and the decrypted communication terminal device identification information is transmitted to the second server. A first transmitting unit that receives the authentication result of the communication terminal device from a second server, a distribution unit that distributes content to the communication terminal device based on the authentication result, and the second When the identification information of the communication terminal apparatus encrypted with the second encryption key is received from the first server, the identification information of the communication terminal apparatus is encrypted with the first encryption key. And the encrypted identification information of the communication terminal device. A third transmission section for transmitting to the communication terminal device, the first server having,
A second decryption unit that decrypts the identification information of the communication terminal device with a second decryption key when receiving the identification information of the communication terminal device from the first server; An authentication unit that authenticates the communication terminal device based on the identification information of the communication terminal device, and the communication terminal including identification information of the communication terminal device and identification information of the first server based on the authentication A second encryption unit that encrypts the identification information of the apparatus with the second encryption key; and a second encryption unit that transmits the authentication result and the encrypted identification information of the communication terminal apparatus to the first server. A second server having two transmission units;
A server comprising:
JP2010109962A 2010-05-12 2010-05-12 Information communication method and server Expired - Fee Related JP5143186B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010109962A JP5143186B2 (en) 2010-05-12 2010-05-12 Information communication method and server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010109962A JP5143186B2 (en) 2010-05-12 2010-05-12 Information communication method and server

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008335306A Division JP4519935B2 (en) 2008-12-26 2008-12-26 Information communication method, communication terminal device, and information communication system

Publications (2)

Publication Number Publication Date
JP2010178388A JP2010178388A (en) 2010-08-12
JP5143186B2 true JP5143186B2 (en) 2013-02-13

Family

ID=42708805

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010109962A Expired - Fee Related JP5143186B2 (en) 2010-05-12 2010-05-12 Information communication method and server

Country Status (1)

Country Link
JP (1) JP5143186B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113163395A (en) * 2020-01-07 2021-07-23 阿里巴巴集团控股有限公司 Method and device for communication between terminal and server and key configuration

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3786332B2 (en) * 1998-10-09 2006-06-14 日本ビクター株式会社 User mobile terminal
JP2008003967A (en) * 2006-06-23 2008-01-10 Ntt Docomo Inc Content distribution method, content distribution system, and settlement server
JP2008176741A (en) * 2007-01-22 2008-07-31 Matsushita Electric Ind Co Ltd Client terminal, service providing server, service providing system, control method, and service providing method
JP2008305303A (en) * 2007-06-11 2008-12-18 Fdk Corp Rfid tag management system and rfid tag

Also Published As

Publication number Publication date
JP2010178388A (en) 2010-08-12

Similar Documents

Publication Publication Date Title
JP4519935B2 (en) Information communication method, communication terminal device, and information communication system
US8949595B2 (en) Mutual authentication apparatus and method in downloadable conditional access system
CN101719910B (en) Terminal equipment for realizing content protection and transmission method thereof
KR101541911B1 (en) Apparatus and method for providing security service of User Interface
US11785315B2 (en) Secure provisioning, by a client device, cryptographic keys for exploiting services provided by an operator
US20120254618A1 (en) Authentication certificates
US8218772B2 (en) Secure multicast content delivery
WO2013056622A1 (en) Method for verifying access identity of set top box and authentication server
WO2011120901A1 (en) Secure descrambling of an audio / video data stream
KR20100058840A (en) Method for downloading cas in iptv
GB2489671A (en) Cryptographic key distribution for IPTV
CN101207794B (en) Method for enciphering and deciphering number copyright management of IPTV system
CN105635759B (en) A kind of output content protection method and Conditional Access Module
CN102340702B (en) IPTV (Internet protocol television) network playing system and rights management and descrambling method based on USB (Universal serial bus) Key
US20220171832A1 (en) Scalable key management for encrypting digital rights management authorization tokens
CN101202883B (en) System for numeral copyright management of IPTV system
CN101505400A (en) Bi-directional set-top box authentication method, system and related equipment
JP5143186B2 (en) Information communication method and server
US20100235626A1 (en) Apparatus and method for mutual authentication in downloadable conditional access system
JP2007036625A (en) Content distribution method, content receiver, content transmitter and restricted receiving module
JP2008092178A (en) Receiver, transmitter, and authentication method
KR20120050366A (en) Security method and system of mobile
KR20110028784A (en) A method for processing digital contents and system thereof
JP2022114882A (en) Data issue device for privilege acquisition, privilege acquisition device, privilege issue device, and program for them
KR20110101784A (en) An apparatus and method for content security in iptv service environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120717

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121023

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121120

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151130

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees