JP5143186B2 - Information communication method and server - Google Patents
Information communication method and server Download PDFInfo
- Publication number
- JP5143186B2 JP5143186B2 JP2010109962A JP2010109962A JP5143186B2 JP 5143186 B2 JP5143186 B2 JP 5143186B2 JP 2010109962 A JP2010109962 A JP 2010109962A JP 2010109962 A JP2010109962 A JP 2010109962A JP 5143186 B2 JP5143186 B2 JP 5143186B2
- Authority
- JP
- Japan
- Prior art keywords
- communication terminal
- terminal device
- server
- identification information
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークを介してコンテンツ配信を行う際などに、通信端末装置の固有情報を暗号化する情報通信方法およびサーバに関する。 The present invention relates to an information communication method and server for encrypting unique information of a communication terminal device when content is distributed via a network.
一般に、ユーザ側の通信端末装置は、たとえばポータルサーバとの間で情報の送受信をセキュアに行いたい場合、SSL(Secure Sockets Layer)セッションを確立する。SSLは、公開鍵暗号を用いた鍵交換により通信端末装置とサーバ間でデータ暗号用の鍵を共有し、メッセージを暗号化して送受するものである(特許文献1)。このプロトコルは、RFC(Request For Comment)4346「The Transport Layer Security Protocol Version1.1」としても規定されている。 Generally, a communication terminal device on the user side establishes an SSL (Secure Sockets Layer) session, for example, when it is desired to securely transmit and receive information to and from a portal server. SSL shares a key for data encryption between a communication terminal device and a server by key exchange using public key encryption, and encrypts a message for transmission / reception (Patent Document 1). This protocol is also defined as RFC (Request For Comment) 4346 “The Transport Layer Security Protocol Version 1.1”.
ここで、ユーザ側の通信端末装置としては、画像表示装置、たとえばデジタル放送受信装置(テレビジョン受像機)が考えられる。このデジタル放送受信装置は、ポータルサーバとSSLセッションを確立し、このポータルサーバから配信された画像を表示したりする。
前述の技術では、サーバ側の構成としてポータルサーバと顧客管理サーバとを別々の構成にする場合が多い。この結果、顧客や端末装置に対して固有のサービスを提供する際には、たとえばIDやパスワードなどを入力して端末装置や顧客を認証する必要があった。
Here, as the communication terminal device on the user side, an image display device, for example, a digital broadcast receiving device (television receiver) can be considered. This digital broadcast receiving apparatus establishes an SSL session with the portal server and displays an image distributed from the portal server.
In the above-described technology, the portal server and the customer management server are often configured separately as the server-side configuration. As a result, when providing a unique service to a customer or a terminal device, it is necessary to authenticate the terminal device or the customer by inputting, for example, an ID or a password.
上記に鑑み、本発明は、IDやパスワードなどの入力なしにセキュアに通信端末装置の情報を認証することができる情報通信方法およびサーバを提供することを目的とする。 In view of the above, an object of the present invention is to provide an information communication method and server capable of securely authenticating information of a communication terminal device without inputting an ID, a password, or the like.
本発明の一態様に係る情報通信方法は、第1のサーバが、通信端末装置と第1の暗号化鍵を共有するステップと、前記第1のサーバが、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信するステップと、前記第1のサーバが、前記通信端末装置の識別情報を、第1の復号化鍵で復号化するステップと、前記通信端末装置を認証する第2のサーバが、前記第1のサーバで復号化された通信端末装置の識別情報を受信するステップと、前記第2のサーバが、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化するステップと、前記第2のサーバが、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証するステップと、前記第2のサーバが、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化するステップと、前記第1のサーバが、前記認証結果を受信するステップと、前記第1のサーバが、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信するステップと、前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化するステップと、前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、この通信端末装置に送信するステップと、を含むことを特徴とする。 An information communication method according to an aspect of the present invention includes a step in which a first server shares a first encryption key with a communication terminal device, and the first server receives a second from the communication terminal device. Receiving the identification information of the communication terminal device encrypted with the encryption key and the first encryption key; and the first server decrypting the identification information of the communication terminal device with a first decryption Decrypting with a key, a second server authenticating the communication terminal device receiving the identification information of the communication terminal device decrypted with the first server, and the second server, A step of decrypting the received identification information of the communication terminal device with a second decryption key; and the second server, based on the decrypted identification information of the communication terminal device, the communication terminal device a step of authenticating the second server But on the basis of the authentication, encrypting with said second encryption key identification information of the communication terminal identification information of the device and including a first server identification information the communication terminal device, the A first server receiving the authentication result; a first server distributing content to the communication terminal device based on the received authentication result; and the first server A step of encrypting the encrypted identification information of the communication terminal device with the first encryption key, and the first server identifying the encrypted identification information of the communication terminal device, And transmitting to the communication terminal device .
本発明の一態様に係るサーバは、通信端末装置と第1の暗号化鍵を共有する共有部と、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、第1の復号化鍵で復号化する第1の復号化部と、前記復号化した通信端末装置の識別情報を、第2のサーバに送信する第1の送信部と、第2のサーバからの前記通信端末装置の認証結果を受信した際に、この認証結果に基づいて、前記通信端末装置にコンテンツを配信する配信部と、前記第2のサーバから前記第2の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化する第1の暗号化部と、前記暗号化された前記通信端末装置の識別情報をこの通信端末装置に送信する第3の送信部と、を有する第1のサーバと、前記第1のサーバからの前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を第2の復号化鍵で復号化する第2の復号化部と、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部と、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化する第2の暗号化部と、前記認証結果及び前記暗号化された前記通信端末装置の識別情報を前記第1のサーバに送信する第2の送信部と、を有する第2のサーバと、を具備することを特徴とする。 A server according to an aspect of the present invention encrypts a sharing unit that shares a first encryption key with a communication terminal device, a second encryption key from the communication terminal device, and the first encryption key. When the received identification information of the communication terminal apparatus is received, a first decryption unit that decrypts the identification information of the communication terminal apparatus with a first decryption key, and the decrypted communication terminal apparatus When receiving the authentication result of the communication terminal device from the first transmission unit that transmits the identification information to the second server and the second server, content is transmitted to the communication terminal device based on the authentication result. And when receiving the identification information of the communication terminal device encrypted with the second encryption key from the second server, the identification information of the communication terminal device is received as the first identification information. A first encryption unit for encrypting with the encryption key of A third transmission unit for transmitting identification information of the serial communication terminal apparatus to the communication terminal device, the first server having, when receiving the identification information of the communication terminal apparatus from said first server, A second decryption unit that decrypts the identification information of the communication terminal device with a second decryption key, and an authentication unit that authenticates the communication terminal device based on the decrypted identification information of the communication terminal device And a second encryption for encrypting the identification information of the communication terminal device including the identification information of the communication terminal device and the identification information of the first server based on the authentication with the second encryption key. And a second server having a second transmitting unit that transmits the authentication result and the encrypted identification information of the communication terminal device to the first server. And
本発明によれば、IDやパスワードなどの入力なしにセキュアに通信端末装置の情報を認証することができる情報通信方法およびサーバを提供できる。 ADVANTAGE OF THE INVENTION According to this invention, the information communication method and server which can authenticate the information of a communication terminal device securely, without inputting ID, a password, etc. can be provided.
以下、図面を参照して、本発明の実施の形態を詳細に説明する。本実施形態では、通信端末装置としてデジタル放送受信装置を例として説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In this embodiment, a digital broadcast receiving apparatus will be described as an example of a communication terminal apparatus.
(第1の実施形態)
図1は、本発明の一実施形態に係る情報通信システム1の構成を表す概念図である。
(First embodiment)
FIG. 1 is a conceptual diagram showing a configuration of an
情報通信システム1は、通信端末装置10と、ポータルサーバ20と、顧客管理サーバ30とから構成される。なお、通信端末装置10とポータルサーバ20とは、インターネットの通信網40などで接続される。ポータルサーバ20と顧客管理サーバ30とは、専用線やLAN50などで接続される。
The
通信端末装置10は、図示しないアンテナからデジタル放送電波を受信する。通信端末装置10は、有料放送の受信履歴をサービス提供事業者のポータルサーバ20に対して送信する。通信端末装置10は、ポータルサーバ20からコンテンツを取得する。また、通信端末装置10には、図示しない、コンテンツ画像を表示するモニタ、コンテンツ音声を発生するスピーカ、後述する限定受信用のICカード151を挿入するためのカードスロット、リモートコントローラ(以下、「リモコン」という)110からの赤外線信号を受信するリモコン受信部を備える。
The
図2は、本発明の一実施形態に係る通信端末装置10の構成を表すブロック図である。通信端末装置10は、チューナ部102と、デスクランブラ103と、TSデコード部104と、映像音声デコード部105と、表示処理部106と、通信処理部107と、制御部108と、キー入力部109と、リモコン110と、ICカードI/F(インターフェース)部111と、メモリ112と、DRM処理部113と、ブラウザ114と、認証処理部115と、を備える。
FIG. 2 is a block diagram showing the configuration of the
図3は、本発明の一実施の形態に係るポータルサーバ20と顧客管理サーバ30の概略構成を表すブロック図である。ポータルサーバ20は、通信処理部201,202と、復号化部203と、配信部204と、データベース205と、暗号化部206と、を備える。
顧客管理サーバ30は、通信処理部301と、復号化部302と、認証部303と、ID管理データベース304と、を備える。
FIG. 3 is a block diagram showing a schematic configuration of the
The
(各部の特徴および動作)
チューナ部102は、通信端末装置10に入力されたデジタル放送波から所望のチャンネルを選局する。チューナ部102は、この選局したチャンネルのトランスポートストリーム(以下、TSと記す)をデスクランブラ103へ出力する。TSは、コンテンツ保護のためにスクランブルされる。
デスクランブラ103は、チューナ部102または通信処理部107から入力されたTSをデスクランブルしてTSデコード部104へ出力する。
(Characteristics and operation of each part)
The
The
TSデコード部104は、デスクランブラ103から入力されたTSから必要なパケットを分離する。TSデコード部104は、この分離したパケットから更に、放送番組信号(映像、音声)の抽出や各種多重データ(各種SI(Service Information)データやECM(Entitlement Control Massage),EMM(Entitlement Management Massage)等)を分離する。また、TSデコード部104は、分離した放送番組信号(映像、音声)を映像音声デコード部105へ出力する。
映像音声デコード部105は、TSデコード部104から入力された放送番組信号(映像、音声)のデコードを行い、表示処理部106へ出力する。
The
The video /
表示処理部106は、ユーザとのインターフェース機能を果たすために各種エラー情報の表示画像信号を生成する。表示処理部106は、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。また、表示処理部106は、TSデコード部104で分離されたSIデータから構成されたEPG(Electronic Program Guide)画像信号を生成する。表示処理部106は、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。
The
通信処理部107は、Ethernet(登録商標)等のネットワーク回線に接続され、ネットワークを介してデータの送受を行うものである。通信処理部107は、サービス提供事業者側のポータルサーバ20からコンテンツの受信(VOD(Video on Demand)やIP(Internet Protocol)放送)、ライセンスの受信の機能を有する。また、通信処理部107は、通信端末装置10の識別情報である端末ID(Identifier) の送信要求およびポータルサーバ20を認証する認証情報を受信する受信部として機能する。
制御部108は、通信端末装置10全体を制御する制御部である。制御部108は、バス接続やシリアル通信接続等で接続された通信端末装置10内の各ブロックによる機能を制御する。
The
The
キー入力部109は、ポータルサーバ20から配信されるコンテンツを受信するための情報やコンテンツを視聴するための情報などを入力する、たとえばキーボードなどからなる。リモコン110も、同様に、情報を入力する機能を有する。
The
放送信号においては、ICカードI/F部111を介して接続されるICカード151にECMを送ってスクランブル鍵が得られる。このスクランブル鍵をデスクランブラ103にセットしてデスクランブルを行う。通信からのコンテンツについては、DRM処理部113でポータルサーバ20から取得した鍵、もしくはDRM処理部113でECMを復号した鍵をデスクランブラ103にセットする。
In the broadcast signal, an ECM is sent to the
メモリ112には、通信端末装置10の端末IDに関する情報が例えば出荷時に記憶される。通信端末装置10がコンテンツアクセスする場合、顧客管理サーバ30が、この通信端末装置10を特定する手段としてこの端末IDを取得することが考えられる。
Information regarding the terminal ID of the
図4は、図1に示した情報通信システム1の動作シーケンスを表す図である。この端末IDを取得するシーケンスは、図4のようにブラウザ114を介して行われる。
通信端末装置10のブラウザ114からポータルサーバ20へセキュアなアクセスを行う際には、SSLセッション(RFC 2246で規定される)などを使用して暗号化通信が行われる。このSSLセッションでは、認証局CAが署名した公開鍵証明書(サーバ証明書)をブラウザ114で解釈する。ここで、認証局CAの署名が検証された場合には、正しいサーバとして暗号化通信のための鍵交換シーケンスを実行する。そして、セッション鍵Ksec(第1の暗号化鍵、第1の復号化鍵)をポータルサーバ20と共有する。ブラウザ114は、第1のサーバと第1の暗号化鍵を共有する共有部として機能する。
FIG. 4 is a diagram showing an operation sequence of the
When secure access from the
このSSLセッション下において、端末IDを取得するスクリプトを含むページを通信端末装置10が取得すると、そのスクリプトにしたがってブラウザ114は端末IDの取得処理を行う。
図5は、ブラウザ114の動作を表すフローチャートである。ブラウザ114は、SSLセッション構築時に取得したサーバ証明書の特定項目を抽出する。たとえばCN属性における名前情報やドメイン情報を検出する(ステップS401)。なお、本実施形態では、ポータルサーバ20を認証する認証情報として、このポータルサーバ20のドメイン情報を用いる。
Under the SSL session, when the
FIG. 5 is a flowchart showing the operation of the
次に、ブラウザ114は、この検出したサーバ証明書のドメイン情報が、サービス提供事業者のポータルサーバとして許可されているドメイン情報かどうか判断する(ステップS402)。この判断では、図3に示すSSLセッションで取得したサーバ証明書の特定項目(識別情報:ドメイン情報)と所定の値とを比較する。この所定の値は、通信端末装置10がコンテンツの配信を要求する少なくとも1つのポータルサーバのドメイン情報である。この所定の値は、事前にサービス提供事業者とユーザとの取り決めで設定される値で、たとえば通信端末装置10のメモリ112にリスト形式で記憶されている。さらに、サービス提供事業者とユーザは、顧客管理サーバ30と認証処理部115間での暗号化データによる認証を行うために、共通鍵(第2の暗号化鍵、第2の復号化鍵)Kdを事前に共有する。この共通鍵Kdは、たとえばメモリ112に記憶される。
Next, the
ここで、このサーバ証明書の特定項目と所定の値とが一致する場合(ステップS402のYesの場合)、ブラウザ114は次の処理に移行する(ステップS403、S404)。また、この認証処理部115で特定項目と所定の値とが一致しない場合(ステップS402のNoの場合)、ブラウザ114はポータルサーバ20に対して認証不可を示す認証エラーデータを応答する(ステップS405)。ブラウザ114は、自装置の識別情報の送信要求を受信した際に、前記第1のサーバと第1の暗号化鍵を共有する際に取得した前記第1のサーバの証明書情報と前記自装置内に保持している検証情報との比較を行い、一致した場合に前記自装置の識別情報の暗号化を要求する認証部として機能する。
If the specific item of the server certificate matches the predetermined value (Yes in step S402), the
(特定項目と所定の値が一致した場合の処理)
図6は、第1の実施形態に係る通信端末装置10で生成されるデータの構成を表す図である。ブラウザ114は、端末IDの要求を認証処理部115へ送信する。
認証処理部115は、この要求に応じて、メモリ112に記憶している端末IDもしくはメモリ112に記憶している情報から予め決めたルールで導出した端末IDを、共通鍵Kdで暗号化(例えばAES等)する。この共通鍵Kdは、顧客管理サーバ30と認証処理部115とで事前に共有している鍵であり、たとえばメモリ112に記憶される。認証処理部115は、この共通鍵Kdで暗号化した端末ID(暗号化データ)に、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。認証処理部115は、前記要求に基づいて、前記自装置の識別情報を第2の暗号化鍵で暗号化する暗号化部として機能する。
(Processing when a specific item matches a predetermined value)
FIG. 6 is a diagram illustrating a configuration of data generated by the
In response to this request, the
ブラウザ114は、入力するこの転送データを、SSLでポータルサーバ20と共有したセッション鍵Ksecで暗号化して、暗号化転送データを生成する(ステップS403)。次に、通信処理部107は、この生成された暗号化転送データを、ポータルサーバ20へ送信する。ブラウザ114および通信処理部107は、前記第2の暗号化鍵で暗号化された前記自装置の識別情報を、前記第1の暗号化鍵で暗号化して前記第1のサーバに送信する送信部として機能する。
The
図7は、第1の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。これらサーバのうちポータルサーバ20では、通信処理部201が通信端末装置10からの暗号化転送データを受信する。次に、復号化部203がセッション鍵Ksecでこの暗号化転送データを、ヘッダとフレーム長が付加された端末ID(暗号化データ)に復号化する。通信処理部202は、この暗号化データを顧客管理サーバ30へ送信する。通信処理部201は、前記送信された通信端末装置の識別情報を受信する受信部として機能する。復号化部203は、前記受信された通信端末装置の識別情報を、第1の復号化鍵で復号化する復号化部として機能する。
FIG. 7 is a diagram illustrating a configuration of data generated by the
顧客管理サーバ30では、通信処理部301がポータルサーバ20からのヘッダとフレーム長が付加された暗号化データを受信する。次に、復号化部302が暗号化データを、共通鍵Kdで復号化して端末IDのデータを取得する。サーバ側では、ポータルサーバ20がセッション鍵Ksecで端末IDを復号化し、さらに顧客管理サーバ30がこの復号化された端末IDを共通鍵Kdで復号する。この結果、この端末IDをセキュアに取得することができる。通信処理部301は、前記第1のサーバで復号化された通信端末装置の識別情報を受信する受信部として機能する。復号化部302は、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化する復号化部として機能する。
In the
認証部303は、取得された端末IDと所定の値とを比較する。この所定の値は、コンテンツ配信が許可された少なくとも1つの通信端末装置の端末IDである。この所定の値は、事前にたとえばID管理データベース304にリスト形式で記憶される。認証部303は、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部として機能する。
The
ここで、この取得された端末IDと所定の値とが一致する場合、認証部303は、認証した旨の認証データを、通信処理部301に出力する。通信処理部301は、この認証データをポータルサーバ20へ送信する。また、この取得された端末IDと所定の値とが一致しない場合、認証部303は、認証ができなかった旨の認証不可データをポータルサーバ20へ出力する。
Here, when the acquired terminal ID matches a predetermined value, the
ポータルサーバ20では、通信処理部202によって認証データが受信されると、配信部204がコンテンツ配信のためのリストの情報を生成する。このリストの情報は、暗号化部206で暗号化されて、通信処理部201から通信端末装置10へ送信される。そして、通信端末装置10によって特定のコンテンツが指定されると、暗号化されたコンテンツがポータルサーバ20から通信端末装置10へ送信される。通信処理部202は、第2のサーバの認証結果を受信する受信部として機能する。配信部204は、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信する配信部として機能する。
In the
このように、本実施形態に係る情報通信システムでは、情報(端末ID)を共通鍵Kdで暗号化した後、セッション鍵Ksecで暗号化することで、二重に暗号化して通信端末装置からサーバへ送信する。このため、端末IDに関わる情報は、顧客管理サーバと通信端末装置のみでセキュアに送受され、ポータルサーバでは一切内容について関与しないため、情報管理の分離が可能になる。 As described above, in the information communication system according to the present embodiment, the information (terminal ID) is encrypted with the common key Kd and then encrypted with the session key Ksec, so that it is double-encrypted and transmitted from the communication terminal apparatus to the server. Send to. For this reason, the information related to the terminal ID is securely transmitted and received only by the customer management server and the communication terminal device, and the portal server is not involved in the contents at all, so that the information management can be separated.
(第2の実施形態)
また、本発明の実施形態では、事前に共通鍵Kdを共有する方法のほかに、RSAや楕円暗号のような公開鍵暗号を利用して簡易に暗号化鍵を共有する方式にしてもよい。公開鍵方式とは鍵ペア(Kp,Ks)があり、鍵Kpで暗号化したデータは鍵Ksでのみ復号できる性質をもつ暗号方式である。
第2の実施形態に係る情報通信システムでは、たとえばこの鍵ペア(Kp,Ks)を顧客管理サーバ30と通信端末装置10でそれぞれ持つ。
(Second Embodiment)
In the embodiment of the present invention, in addition to the method of sharing the common key Kd in advance, a method of easily sharing the encryption key using public key encryption such as RSA or elliptical encryption may be used. The public key method has a key pair (Kp, Ks), and is an encryption method having a property that data encrypted with the key Kp can be decrypted only with the key Ks.
In the information communication system according to the second embodiment, for example, the
図8は、第2の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。なお、通信端末装置の構成は、図2のブロック図と同様である。通信端末装置10では、認証処理部115が、端末IDの要求に応じて、データの暗号化に使用する鍵Kdを乱数で生成する。次に、認証処理部115は、メモリ112に記憶している端末IDもしくはメモリ112に記憶している情報から予め決めたルールで導出した端末IDを、この生成した鍵Kdで暗号化する。さらに、認証処理部115は、この生成した鍵Kdを鍵Ksで暗号化する。認証処理部115は、この鍵Kdで暗号化した端末ID(暗号化データ)と、この鍵Ksで暗号化した鍵Kdとに、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。メモリ112は、公開鍵暗号における鍵ペアの一方を第3の鍵として事前に保持する保持部として機能する。認証処理部115は、乱数を生成する生成部として機能する。
FIG. 8 is a diagram illustrating a configuration of data generated by the communication terminal device according to the second embodiment. The configuration of the communication terminal device is the same as that shown in the block diagram of FIG. In the
ブラウザ114は、入力するこの転送データを、SSLでポータルサーバ20と共有したセッション鍵Ksecで暗号化して、暗号化転送データを生成する。次に、通信処理部107は、この生成された暗号化転送データを、ポータルサーバ20へ送信する。
The
図9は、第2の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。なお、サーバ20,30の構成は、図3のブロック図と同様である。ポータルサーバ20では、通信処理部201が第1の実施形態と同じ復号化の動作を行い、通信処理部202は、暗号化データを顧客管理サーバ30へ送信する。
FIG. 9 is a diagram illustrating a configuration of data generated by the
顧客管理サーバ30では、通信処理部301がポータルサーバ20からのヘッダとフレーム長が付加された暗号化データと、暗号化鍵と、を受信する。次に、復号化部302が暗号化鍵を、鍵Kpで復号化して鍵Kdを生成する。さらに、復号化部302が暗号化データを、復号化された鍵Kdで復号化して端末IDのデータを取得する。サーバ側では、ポータルサーバ20がセッション鍵Ksecで端末IDを復号化し、顧客管理サーバ30が鍵Kpで鍵Kdを復号化し、さらにこの復号化された端末IDを、復号化された鍵Kdで復号する。この結果、この端末IDをさらにセキュアに取得することができる。
In the
このように、第2の実施形態に係る情報通信システムでは、鍵Kpを持つサーバのみが鍵Kdを取得して、端末IDを復号化して取得できる。この結果、情報の暗号化がさらに保たれて、情報の秘匿性が確保できる。 As described above, in the information communication system according to the second embodiment, only the server having the key Kp can acquire the key Kd and decrypt the terminal ID. As a result, the encryption of the information is further maintained, and the confidentiality of the information can be ensured.
(第3の実施形態)
また、本発明の実施形態では、端末IDを端末固有の情報のみとして説明したが、例えばサービス(ポータルサーバ)ごとに端末IDを固有にすることも可能である。
(Third embodiment)
In the embodiment of the present invention, the terminal ID is described as only terminal-specific information. However, for example, it is possible to make the terminal ID unique for each service (portal server).
この第3の実施形態の場合は、たとえば端末IDは端末固有ID+可変領域という形になる。なお、端末固有IDとは、第1および第2の実施形態で示した端末IDである。可変領域とは、たとえばサービス(ポータルサーバ)を識別する識別情報が格納される領域である。 In the case of the third embodiment, for example, the terminal ID is in the form of terminal unique ID + variable area. The terminal unique ID is the terminal ID shown in the first and second embodiments. The variable area is an area in which identification information for identifying a service (portal server) is stored, for example.
図10は、第3の実施形態に係る情報通信システムの動作シーケンスを表す図である。図11は、第3の実施形態に係る通信端末装置で生成されるデータの構成を表す図である。なお、通信端末装置の構成は、図2のブロック図と同様である。通信端末装置10の認証処理部115は、ポータルサーバ20の識別情報が設定されていないので、通信端末装置10を識別する端末固有IDと、可変領域に初期値としてたとえばNULL(初期値=0)を端末IDとする。認証処理部115は、この端末IDを、共通鍵Kdで暗号化する。認証処理部115は、この共通鍵Kdで暗号化した端末ID(暗号化データ)に、ヘッダとフレーム長とを付加して転送データを生成する。認証処理部115は、この生成した転送データをブラウザ114へ出力する。認証処理部115は、前記認証された第1のサーバに対応する第1の識別情報を生成する識別情報生成部として機能する。
FIG. 10 is a diagram illustrating an operation sequence of the information communication system according to the third embodiment. FIG. 11 is a diagram illustrating a configuration of data generated by the communication terminal device according to the third embodiment. The configuration of the communication terminal device is the same as that shown in the block diagram of FIG. Since the identification information of the
図11は、第3の実施形態に係るサーバ20,30で生成されるデータの構成を表す図である。なお、ポータルサーバ20の構成は、図3のブロック図と同様であるが、顧客管理サーバ30の構成は、図3のブロック図に点線で示した暗号化部305が付加された構成となる。ポータルサーバ20は、第1の実施形態と同様に動作し、セッション鍵Ksecでこの暗号化転送データを、ヘッダとフレーム長が付加された端末ID(暗号化データ)に復号化する。次に、顧客管理サーバ30は、第1の実施形態と同様に動作し、この暗号化データを、共通鍵Kdで復号化して端末IDのデータを取得する。
FIG. 11 is a diagram illustrating a configuration of data generated by the
ここで、通信端末装置10から送信された識別情報が未登録の場合、可変領域が設定されていない。このため、顧客管理サーバ30の暗号化部305は、通信端末装置10の認証処理部115と同様の処理でこの可変領域に設定するポータルサーバ20の識別情報を暗号化する。すなわち、暗号化部305は、端末固有IDと、ポータルサーバ20の識別情報とを有する端末IDを共通鍵Kdで暗号化する。次に、暗号化部305は、この端末IDにヘッダとフレーム長とを付加して転送データを生成する。ポータルサーバ20の暗号化部206は、この転送データを、セッション鍵Ksecで暗号化して暗号化転送データを生成する。
Here, when the identification information transmitted from the
通信端末装置10は、受信した端末固有IDと識別情報とを合わせて端末IDとして、メモリ112に記憶する。そして、通信端末装置10は、この端末IDを含んだ暗号化転送データをポータルサーバ20へ送信する。顧客管理サーバ30は、端末固有IDと識別情報とを合わせた端末IDに基づいて、通信端末装置10を認証する。
The
このように、第3の実施形態に係る情報通信システムでは、通信端末装置10を識別する端末固有IDと、ポータルサーバ20を識別する識別情報とを含む端末IDを暗号化して送信する。この結果、サービス(ポータルサーバ)毎に異なる端末IDを設定でき、サービス単位での独立を保つことができる。
Thus, in the information communication system according to the third embodiment, the terminal ID including the terminal unique ID for identifying the
(その他の実施形態)
本発明の実施形態は上記の実施形態に限られず拡張、変更可能であり、拡張、変更した実施形態も本発明の技術的範囲に含まれる。
(Other embodiments)
Embodiments of the present invention are not limited to the above-described embodiments, and can be expanded and modified. The expanded and modified embodiments are also included in the technical scope of the present invention.
1…情報通信システム、10…通信端末装置、20…ポータルサーバ、30…顧客管理サーバ、40…通信網、102…チューナ部、103…デスクランブラ、104…デコード部、105…映像音声デコード部、106…表示処理部、107…通信処理部、108…制御部、109…キー入力部、110…リモコン、111…ICカードI/F部、112…メモリ、113…DRM処理部、114…ブラウザ、115…認証処理部、151…ICカード、201,202,301…通信処理部、203,302…復号化部、204…配信部、205…データベース、206,305…暗号化部、303…認証部、304…管理データベース、Kd,Kp,Ks…鍵、Ksec…セッション鍵。
DESCRIPTION OF
Claims (4)
前記第1のサーバが、前記通信端末装置からの第2の暗号化鍵および前記第1の暗号化鍵で暗号化された前記通信端末装置の識別情報を受信するステップと、
前記第1のサーバが、前記通信端末装置の識別情報を、第1の復号化鍵で復号化するステップと、
前記通信端末装置を認証する第2のサーバが、前記第1のサーバで復号化された通信端末装置の識別情報を受信するステップと、
前記第2のサーバが、前記受信された通信端末装置の識別情報を第2の復号化鍵で復号化するステップと、
前記第2のサーバが、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証するステップと、
前記第2のサーバが、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化するステップと、
前記第1のサーバが、前記認証結果を受信するステップと、
前記第1のサーバが、前記受信された認証結果に基づいて、前記通信端末装置にコンテンツを配信するステップと、
前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、前記第1の暗号化鍵で暗号化するステップと、
前記第1のサーバが、前記暗号化された前記通信端末装置の識別情報を、この通信端末装置に送信するステップと、
を含むことを特徴とする情報通信方法。 A first server sharing a first encryption key with a communication terminal device;
The first server receiving the second encryption key from the communication terminal device and the identification information of the communication terminal device encrypted with the first encryption key;
The first server decrypting the identification information of the communication terminal device with a first decryption key;
A second server that authenticates the communication terminal device receives the identification information of the communication terminal device decrypted by the first server;
The second server decrypting the received identification information of the communication terminal device with a second decryption key;
The second server authenticating the communication terminal device based on the decrypted identification information of the communication terminal device;
The second server encrypts the communication terminal device identification information including the communication terminal device identification information and the first server identification information with the second encryption key based on the authentication. And steps to
The first server receiving the authentication result;
The first server delivering content to the communication terminal device based on the received authentication result;
The first server encrypting the encrypted identification information of the communication terminal device with the first encryption key;
The first server transmitting the encrypted identification information of the communication terminal device to the communication terminal device;
An information communication method comprising:
をさらに含み、
前記第2の復号化鍵で復号化するステップでは、前記第2のサーバが、前記第3の鍵で暗号化された前記第2の暗号化鍵を、前記第4の鍵で復号化し、この復号化した前記第2の暗号化鍵を前記第2の復号化鍵として、前記受信された通信端末装置の識別情報を復号化する
ことを特徴とする請求項1記載の情報通信方法。 Holding one of the key pairs in public key cryptography as the third key and the fourth key in advance in the communication terminal device and the other in the second server, respectively;
Further including
In the step of decrypting with the second decryption key, the second server decrypts the second encryption key encrypted with the third key with the fourth key, and the decrypted second encryption key as the second decryption key, the method of the information communication according to claim 1, wherein decoding the identification information of the received communication terminal device.
前記第1のサーバからの前記通信端末装置の識別情報を受信した際に、この通信端末装置の識別情報を第2の復号化鍵で復号化する第2の復号化部と、前記復号化された通信端末装置の識別情報に基づいて、前記通信端末装置を認証する認証部と、前記認証に基づいて、前記通信端末装置の識別情報と前記第1サーバの識別情報とを含んだ前記通信端末装置の識別情報を前記第2の暗号化鍵で暗号化する第2の暗号化部と、前記認証結果及び前記暗号化された前記通信端末装置の識別情報を前記第1のサーバに送信する第2の送信部と、を有する第2のサーバと、
を具備することを特徴とするサーバ。 A sharing unit that shares the first encryption key with the communication terminal device, a second encryption key from the communication terminal device, and identification information of the communication terminal device encrypted with the first encryption key. When received, the communication terminal device identification information is decrypted with a first decryption key, and the decrypted communication terminal device identification information is transmitted to the second server. A first transmitting unit that receives the authentication result of the communication terminal device from a second server, a distribution unit that distributes content to the communication terminal device based on the authentication result, and the second When the identification information of the communication terminal apparatus encrypted with the second encryption key is received from the first server, the identification information of the communication terminal apparatus is encrypted with the first encryption key. And the encrypted identification information of the communication terminal device. A third transmission section for transmitting to the communication terminal device, the first server having,
A second decryption unit that decrypts the identification information of the communication terminal device with a second decryption key when receiving the identification information of the communication terminal device from the first server; An authentication unit that authenticates the communication terminal device based on the identification information of the communication terminal device, and the communication terminal including identification information of the communication terminal device and identification information of the first server based on the authentication A second encryption unit that encrypts the identification information of the apparatus with the second encryption key; and a second encryption unit that transmits the authentication result and the encrypted identification information of the communication terminal apparatus to the first server. A second server having two transmission units;
A server comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010109962A JP5143186B2 (en) | 2010-05-12 | 2010-05-12 | Information communication method and server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010109962A JP5143186B2 (en) | 2010-05-12 | 2010-05-12 | Information communication method and server |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008335306A Division JP4519935B2 (en) | 2008-12-26 | 2008-12-26 | Information communication method, communication terminal device, and information communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010178388A JP2010178388A (en) | 2010-08-12 |
JP5143186B2 true JP5143186B2 (en) | 2013-02-13 |
Family
ID=42708805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010109962A Expired - Fee Related JP5143186B2 (en) | 2010-05-12 | 2010-05-12 | Information communication method and server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5143186B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113163395A (en) * | 2020-01-07 | 2021-07-23 | 阿里巴巴集团控股有限公司 | Method and device for communication between terminal and server and key configuration |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3786332B2 (en) * | 1998-10-09 | 2006-06-14 | 日本ビクター株式会社 | User mobile terminal |
JP2008003967A (en) * | 2006-06-23 | 2008-01-10 | Ntt Docomo Inc | Content distribution method, content distribution system, and settlement server |
JP2008176741A (en) * | 2007-01-22 | 2008-07-31 | Matsushita Electric Ind Co Ltd | Client terminal, service providing server, service providing system, control method, and service providing method |
JP2008305303A (en) * | 2007-06-11 | 2008-12-18 | Fdk Corp | Rfid tag management system and rfid tag |
-
2010
- 2010-05-12 JP JP2010109962A patent/JP5143186B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010178388A (en) | 2010-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4519935B2 (en) | Information communication method, communication terminal device, and information communication system | |
US8949595B2 (en) | Mutual authentication apparatus and method in downloadable conditional access system | |
CN101719910B (en) | Terminal equipment for realizing content protection and transmission method thereof | |
KR101541911B1 (en) | Apparatus and method for providing security service of User Interface | |
US11785315B2 (en) | Secure provisioning, by a client device, cryptographic keys for exploiting services provided by an operator | |
US20120254618A1 (en) | Authentication certificates | |
US8218772B2 (en) | Secure multicast content delivery | |
WO2013056622A1 (en) | Method for verifying access identity of set top box and authentication server | |
WO2011120901A1 (en) | Secure descrambling of an audio / video data stream | |
KR20100058840A (en) | Method for downloading cas in iptv | |
GB2489671A (en) | Cryptographic key distribution for IPTV | |
CN101207794B (en) | Method for enciphering and deciphering number copyright management of IPTV system | |
CN105635759B (en) | A kind of output content protection method and Conditional Access Module | |
CN102340702B (en) | IPTV (Internet protocol television) network playing system and rights management and descrambling method based on USB (Universal serial bus) Key | |
US20220171832A1 (en) | Scalable key management for encrypting digital rights management authorization tokens | |
CN101202883B (en) | System for numeral copyright management of IPTV system | |
CN101505400A (en) | Bi-directional set-top box authentication method, system and related equipment | |
JP5143186B2 (en) | Information communication method and server | |
US20100235626A1 (en) | Apparatus and method for mutual authentication in downloadable conditional access system | |
JP2007036625A (en) | Content distribution method, content receiver, content transmitter and restricted receiving module | |
JP2008092178A (en) | Receiver, transmitter, and authentication method | |
KR20120050366A (en) | Security method and system of mobile | |
KR20110028784A (en) | A method for processing digital contents and system thereof | |
JP2022114882A (en) | Data issue device for privilege acquisition, privilege acquisition device, privilege issue device, and program for them | |
KR20110101784A (en) | An apparatus and method for content security in iptv service environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100512 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121023 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121120 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151130 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |