JP6180784B2 - アプリケーション配信管理システム及び受信機プログラム - Google Patents
アプリケーション配信管理システム及び受信機プログラム Download PDFInfo
- Publication number
- JP6180784B2 JP6180784B2 JP2013099582A JP2013099582A JP6180784B2 JP 6180784 B2 JP6180784 B2 JP 6180784B2 JP 2013099582 A JP2013099582 A JP 2013099582A JP 2013099582 A JP2013099582 A JP 2013099582A JP 6180784 B2 JP6180784 B2 JP 6180784B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- receiver
- information
- revocation list
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009826 distribution Methods 0.000 title claims description 281
- 238000007726 management method Methods 0.000 claims description 321
- 238000004891 communication Methods 0.000 claims description 102
- 238000000034 method Methods 0.000 claims description 51
- 230000005540 biological transmission Effects 0.000 claims description 34
- 230000008569 process Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 23
- 238000012795 verification Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 description 47
- 230000006870 function Effects 0.000 description 37
- 238000010586 diagram Methods 0.000 description 15
- 230000004913 activation Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 239000002131 composite material Substances 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000004806 packaging method and process Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Description
また、例えばキー・インシュレイテッド署名を署名鍵の定期更新方式として用いた署名を、放送番組に連動するアプリケーションに付加して配信するアプリケーションサーバも提案されている(例えば特許文献2参照)。
なお、キー・インシュレイテッド署名については、「Y. Dodis, J. Katz, S. Xu, and M. Yung: “Strong Key-Insulated Signature Schemes”, Proc. of PKC’03, 2003, p.130-144」に記載されている。
そして、アプリケーション配信管理システムにおいて、前記アプリケーション配信サーバは、前記受信機から受信する配信要求に応じて前記登録済みのアプリケーションを配信すると共に当該受信機に対する前記登録済みのアプリケーションの配信履歴を蓄積保持する。また、アプリケーション配信管理システムにおいて、前記ID失効リスト生成配信装置は、特定の時点において失効させるべき前記登録済みのアプリケーションのIDと、前記受信機の機器自体の情報と、を記載したID失効リストを生成して当該ID失効リストの版数を示すバージョン情報を含めて前記受信機に対して配信する。
また、アプリケーション配信管理システムにおいて、前記受信機管理サーバは、前記受信機が保持する前記ID失効リストのバージョン情報と当該受信機の機器自体の情報とを含む受信機情報を前記受信機ごとに登録して保持する。
そして、アプリケーション配信管理システムにおいて、前記アプリケーション登録サーバは、前記登録済みのアプリケーションと、そのIDと、当該アプリケーションに付加した署名と、当該アプリケーションを認証する認証処理に前記機器認証が必要か否かの情報とをパッケージ化し、配信用のアプリケーションとして前記アプリケーション配信サーバへ送信する。
そして、アプリケーション配信管理システムにおいて、前記アプリケーション配信サーバは、前記アプリケーション登録サーバから前記配信用のアプリケーションを受信し、パッケージ化されていた前記機器認証が必要か否かの情報に基づいて、前記受信機から、前記機器認証が必要なアプリケーションの配信要求を受け付けたと判定した場合、当該受信機が前記受信機管理サーバに機器認証されているか否かを示す機器認証情報を前記受信機管理サーバから取得し、取得した前記機器認証情報が前記機器認証を満たすものか否かを判別し、満たすと判定できた場合、当該アプリケーションを配信する。
そして、アプリケーション配信管理システムにおいて、前記受信機は、配信されたアプリケーションに付加されている署名が正当なものである場合、前記ID失効リスト生成配信装置から取得したID失効リストにおいて、当該アプリケーションに対応するIDと対応付けられて記載された受信機情報として、当該受信機の機器自体の情報と一致するものが含まれていない場合、当該アプリケーションを起動可能と判定し、一致するものが含まれていた場合、当該アプリケーションを起動不可と判定する。
また、アプリケーション登録サーバにおいて、部分鍵管理サーバは、前記アプリケーション管理サーバから受信する前記IDに対応した部分鍵を生成し、生成した部分鍵を保持して更新する制御を行う。
また、アプリケーション登録サーバにおいて、秘密鍵発行サーバは、前記部分鍵管理サーバから受信した前記部分鍵を用いて、前記秘密鍵を生成し、前記アプリケーション管理サーバへ送信する。
そして、アプリケーション配信管理システムは、前記署名の更新時に、前記アプリケーション管理サーバが、新たなIDを発行して前記部分鍵管理サーバへ送信し、前記部分鍵管理サーバが、前記受信した新たなIDに対応した部分鍵を生成し、旧IDの部分鍵との差分である差分部分鍵を前記アプリケーション管理サーバへ返送し、前記アプリケーション管理サーバが、受信する前記差分部分鍵を用いて前記秘密鍵を更新し、前記更新された秘密鍵を用いて前記署名を更新する。
また、請求項1に記載の発明によれば、アプリケーション配信管理システムは、受信機管理サーバを備えているため、受信機の情報を、アプリケーションの配信、認証に用いることで、アプリケーション配信対象の受信機の状態を把握し、アプリケーションの失効を細かな単位で行うことができる。
(1.アプリケーション配信管理システムの概要)
アプリケーション配信管理システム1は、図1に示すように、受信機10からのアプリケーションの配信要求に対して、当該アプリケーション及び当該受信機10の登録情報に応じてアプリケーションを配信するものである。なお、図1では1つの受信機10を示したが、実際には複数の受信機10が存在する。
アプリケーション登録サーバ2は、配信するアプリケーションに対してIDと署名とを付加するものである。
アプリケーション配信サーバ6は、受信機10から、アプリケーションの配信要求(11a)を受信すると、それに応じて登録済みのアプリケーションを配信する(11b)と共に当該受信機10に対する登録済みのアプリケーションの配信履歴を蓄積保持するものである。このとき、アプリケーション配信サーバ6は、受信機管理サーバ7に情報を要求することで(12a)、当該受信機10の機器認証情報を取得し(12b)、当該受信機10がアプリケーション配信の資格を満たせば、通信ネットワークNを介して、当該受信機10にアプリケーションを配信する。なお、本実施形態に係るアプリケーション配信管理システム1では、配信されるアプリケーションには、受信機10への配信の資格として、受信機10自体の機器認証が必要な場合と、必要ではない場合の2パターンを想定している。ここで、機器認証とは、受信機10が署名を検証することでアプリケーションを認証する認証処理において、受信機の機器自体の情報も利用する認証処理のことを指す。
このために、アプリケーション登録サーバ2は、アプリケーションを登録する際に、アプリケーションに対して、少なくともアプリケーションの識別情報であるIDと、機器認証が必要か否かの情報と、を対応付けて登録する。
受信機管理サーバ7は、受信機10から、当該受信機10の機器認証要求(13a)を受信すると、それに応じて機器認証結果を返信(13b)する。
受信機管理サーバ7は、当該受信機10に対するこの機器認証結果を受信機情報として管理し、ID失効リスト生成配信装置8から要求(15a)を受信すると、それに応じて受信機情報を返信(15b)する。なお、同様に、アプリケーション配信サーバ6との間でも情報を共有する。
ID失効リスト生成配信装置8は、アプリケーション配信サーバ6から取得した配信履歴と、受信機管理サーバ7から取得した受信機情報とを用いて、ID失効リストを生成する。このID失効リスト生成配信装置8は、アプリケーションのIDを含むID失効リスト生成要求が入力されたときに、アプリケーション配信サーバ6で保持する当該アプリケーションの配信履歴で特定される配信先の受信機の識別情報により、受信機管理サーバ7で保持する当該受信機における受信機情報を記載することで、ID失効リストを生成する。生成したID失効リストは、受信機10をリボークするために、放送(16)または通信(17)により、受信機10に配信される。
受信機10は、通信によりID失効リスト生成配信装置8に対して、所定のタイミングで、自身が保持しているID失効リストのバージョンの情報(18)を通知する。
[アプリケーション登録サーバ2]
アプリケーション登録サーバ2は、図2に示すように、例えば、アプリケーション管理サーバ3と、部分鍵管理サーバ4と、秘密鍵発行サーバ5と、を備えている。
秘密鍵発行サーバ5は、部分鍵管理サーバ4から受信した部分鍵を用いて、秘密鍵を生成し、生成した秘密鍵をアプリケーション管理サーバ3へ送信する(23)。
本実施形態では、アプリケーション管理サーバ3は、図3に示すように、アプリケーション受信部31と、アプリケーション登録データベース32と、ID発行更新装置33と、公開鍵管理部34と、署名生成部35と、パッケージ化手段36と、秘密鍵更新部37と、を備えている。
アプリケーション登録データベース32は、例えば、アプリケーションデータベース32aと、IDデータベース32bと、秘密鍵データベース32cと、署名データベース32dと、を備えている。
IDデータベース32bは、ID発行更新装置33内のID発行部33aにより発行された、アプリケーションに対応するIDを格納する。
署名データベース32dは、署名生成部35にて生成された署名を格納する。
アプリケーション登録データベース32は、アプリケーション管理サーバ3の管理者等が、必要に応じて、データベースの確認と属性変更を行うことができるように構成されている。ここでいう属性とは、アプリケーションの名前や説明などのメタデータや、配信に機器認証が必要か否か等の属性のことである。
ID発行部33aは、アプリケーションの登録時に、アプリケーション受信部31でアプリケーションが受信されると、当該アプリケーションに対応するIDを発行し、IDデータベース32bに登録すると共に部分鍵管理サーバ4へ送信する。
ID更新部33bは、アプリケーション管理サーバ3の管理者等が行うID更新要求時に、当該アプリケーションに対応するIDを再発行(更新)し、IDデータベース32bに登録すると共に、更新前のIDと更新後のIDとを部分鍵管理サーバ4へ送信する。
アプリケーションに付加する署名の更新時には、秘密鍵(署名鍵)も更新されるので、署名生成部35は、更新された秘密鍵と公開鍵とを用いて、新しい署名を生成し、署名データベース32dへ再格納する。
部分鍵管理サーバ4は、図4に示すように、鍵管理部40(公開鍵管理部41及びマスター鍵1管理部42)と、ID受信部43と、部分鍵生成部44と、部分鍵管理データベース45(IDデータベース46、部分鍵データベース47)と、差分部分鍵生成部48と、を備えている。なお、図4では実際は1つのアプリケーション管理サーバ3を説明のために左右に振り分けて2つ記載した。
部分鍵管理サーバ4のマスター鍵1管理部42は、第1マスター鍵記憶手段であり、予め生成された第1マスター鍵を記憶し、管理する。具体的には、マスター鍵1管理部42は、第1マスター鍵を、図示を省略した記憶媒体に書き込み、要求に応じて読み出す。
ID更新要求時(図3参照)、ID受信部43は、アプリケーション管理サーバ3から、更新前のIDと更新後のIDとを受信し、更新後のIDを更新前のIDと紐づけてIDデータベース46に格納する。
ID更新要求時(図3参照)、部分鍵生成部44は、更新後のIDに対応する部分鍵を新たに生成し、更新された部分鍵を部分鍵データベース47に格納する。
IDデータベース46は、ID受信部43で受信したIDを格納する。
部分鍵データベース47は、部分鍵生成部44で生成された部分鍵を格納する。
部分鍵管理データベース45は、部分鍵管理サーバ4の管理者等が、必要に応じて、データベースの確認を行うことができるように構成されている。
秘密鍵発行サーバ5は、図5に示すように、鍵管理部50(公開鍵管理部51及びマスター鍵2管理部52)と、部分鍵受信部53と、秘密鍵生成部54と、を備えている。なお、図5では実際は1つのアプリケーション管理サーバ3を説明のために左右に振り分けて2つ記載した。
秘密鍵発行サーバ5のマスター鍵2管理部52は、第2マスター鍵記憶手段であり、予め生成された第2マスター鍵を記憶し、管理する。具体的には、マスター鍵2管理部52は、第2マスター鍵を、図示を省略した記憶媒体に書き込み、要求に応じて読み出す。ここでは、マスター鍵2管理部52は、秘密鍵生成部54からの要求により、管理(記憶)している第2マスター鍵を秘密鍵生成部54に出力する。
アプリケーション配信サーバ6は、図6に示すように、パッケージ管理データベース61と、パッケージ管理部62と、配信制御部63と、配信履歴管理データベース64と、を備えている。
パッケージ管理部62は、配信制御部63が配信する配信アプリケーションを管理する。
配信履歴管理データベース64は、配信制御部63が配信を行った履歴を格納する。
受信機管理サーバ7は、図7に示すように、機器認証手段71と、受信機管理データベース72と、受信機管理手段73と、を備えている。
機器認証手段71は、受信機10からの機器認証要求に対して、受信機管理データベース72を参照して機器認証結果を送り返すと共に、機器認証結果を受信機管理データベース72に格納する。
ID失効リスト生成配信装置8は、図8示すように、ID失効リスト生成手段81と、ID失効リストデータベース82と、配信制御手段83と、放送送信手段84と、通信送信手段85と、失効リスト配信履歴データベース86と、通信受信手段87と、を備えている。
本実施形態では、配信制御手段83には、受信機からのアクセス数の許容限度を示す閾値が予め設定されており、配信制御手段83は、受信機によるアクセス数を監視する。また、配信制御手段83は、ID失効リストの配信に伴って受信機10によるアクセス数が前記閾値を超えるか否かを判別することで、サーバの許容量を超えるか否かを判別することとした。すなわち、受信機10によるアクセス数が前記閾値を超える場合、配信制御手段83は、放送送信手段84を用いてID失効リストを配信する制御を行う。一方、受信機10によるアクセス数が前記閾値を超えない場合、配信制御手段83は、通信送信手段85を用いてID失効リストを配信する制御を行う。
失効リスト配信履歴データベース86は、配信制御手段83が受信機10に配信したID失効リストの配信履歴を格納する。
通信送信手段85は、ネットワーク(通信回線)Nを介して受信機10に情報を送信するものである。
通信送信手段85は、通信受信手段87から入力されたID失効リスト要求に応じて、ID失効リスト生成配信装置8の最新ID失効リストと、受信機10の記憶済みID失効リストとの差分情報を、この受信機10に送信するものである。なお、記憶済みID失効リストとは、受信機10のID失効リスト記憶手段115(図9参照)に記憶されたID失効リストのことである。
また、通信送信手段85は、ID失効リスト要求のバージョン情報に対応するID失効リスト(つまり、記憶済みID失効リストと同一のID失効リスト)を読み出す。そして、通信送信手段85は、前記した最新ID失効リストと、読み出したID失効リストとのアプリケーションIDを比較して、ID失効リストの差分情報を生成する。
また、記憶済みID失効リストに含まれているアプリケーションIDが、最新ID失効リストに含まれていない場合を考える。この場合、通信送信手段85は、このアプリケーションIDの削除を示すID削除情報を差分情報に追加する。
その後、通信送信手段85は、生成したID失効リストの差分情報を、受信機10に送信する。これにより、受信機10は、自身で保有するID失効リストの更新が必要な場合、差分のID失効リストを受け取ることができる。
[受信機10]
受信機10は、図9に示すように、受信放送デコード表示手段100と、公開鍵管理手段101と、アプリケーション取得手段102と、アプリケーション記憶手段103と、アプリケーション認証手段104と、アプリケーション実行手段105と、電源検知手段111と、ID失効リスト取得手段112と、放送受信手段113と、通信受信手段114と、ID失効リスト記憶手段115と、受信機情報管理データベース121と、通信送信手段122と、機器認証手段123と、を備えている。なお、図9では1つの受信機管理サーバ7を説明のために2つ記載し、1つのID失効リスト生成配信装置8を説明のために2つ記載した。
受信放送デコード表示手段100は、その名称で端的に表すように各種機能を一括した手段であり、上記基本動作を行う複数の手段を表すものである。
この受信放送デコード表示手段100は、例えば下記(STD1)操作制御機能、(STD2)放送受信機能、(STD3)放送信号解析機能、(STD4)映像・音声復号機能、(STD5)データ放送復号機能、(STD6)合成表示機能、等を含んでいる。
なお、受信機10において、受信放送デコード表示手段100以外の別の機能や、受信放送デコード表示手段100の一部を利用する機能には、符号を付して順次説明する。
(STD2)放送受信機能は、アンテナ(不図示)、通信ネットワークN又はケーブル(不図示)を介して、放送番組(放送信号)を受信し、復調し、誤り訂正や復号を行い、MPEG2のトランスポートストリーム(TS)とする機能である。
(STD3)放送信号解析機能は、放送受信機能で復調されたストリームデータ(TS)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出する機能である。
(STD5)データ放送復号機能は、放送信号解析機能で抽出されたデータ放送のデータを復号し、BMLを解析し、当該BMLを表示データに変換し、合成表示機能に出力する機能である。
(STD6)合成表示機能は、映像データ・音声データと、データ放送の表示データとを合成し、スピーカやディスプレイに出力する機能である。
公開鍵管理手段101は、アプリケーション配信サーバ6から配信された公開鍵を記憶する。公開鍵は、アプリケーション配信サーバ6から配信されたアプリケーションに付加された署名の正当性の判定に用いられる。
本実施形態では、アプリケーション取得手段102は、アプリケーションを要求するためのリクエストを配置場所のアプリケーション配信サーバ6に対して送信すると共に、リクエストの応答として署名付きアプリケーションを受信する。
アプリケーション登録サーバ2で登録されたアプリケーションには、機器認証が必要なアプリケーションと、機器認証が必要ではないアプリケーションとが存在する。
なお、アプリケーション登録サーバ2で登録されたアプリケーション以外のアプリケーションのことを一般アプリケーションと呼ぶ。一般アプリケーションは、例えば受信機10のディスプレイに表示される時計等のアプリケーションであって、当然に機器認証が必要ではないアプリケーションである。
アプリケーション記憶手段103は、アプリケーション取得手段102によって、アプリケーション配信サーバ6から取得したアプリケーションのほか、一般アプリケーションも記憶する。
ここでは、受信機10の電源プラグがコンセントから抜けていたり主電源がOFFしていたりした場合、受信機10の電源プラグをコンセントに繋げて主電源をON操作することを前提としている。また、その上で、リモコンにより電源を切る操作をした状態(待機電源が投入されている状態)のことをOFF状態といい、主電源をON操作した直後の状態やリモコンにより電源を入れる操作をした状態のことをON状態という。電源検知手段111は、電源がON状態かOFF状態かを示す情報をID失効リスト取得手段112に出力する。
ID失効リスト取得手段112は、通信送信手段122を介して、ID失効リスト要求をID失効リスト生成配信装置8に送信する。例えば、ID失効リスト取得手段112は、ID失効リスト記憶手段115から、記憶済みID失効リストのバージョン情報を読み出す。そして、ID失効リスト取得手段112は、受信機10の所在情報と、読み出したバージョン情報とが含まれるID失効リスト要求を生成し、ID失効リスト生成配信装置8に送信する。なお、ID失効リスト生成配信装置8の所在情報(例えば、URL)は、受信機10に予め設定しておく。
ID失効リスト取得手段112は、通信受信手段114を介して、ID失効リスト要求に応じて、ID失効リスト生成配信装置8から、ID失効リストを受信する。
なお、ID失効リストを取得する取得方法及びそのタイミングと、電源検知手段111から取得する情報とを用いた制御については、受信機の動作(図17)の説明に含めて後記する。
ID失効リスト記憶手段115は、ID失効リスト取得手段112によって差分情報が反映されたID失効リストを1種類だけ記憶する。例えば、ID失効リスト記憶手段115は、ローカル暗号で暗号化されたID失効リストを記憶する。また、ID失効リスト記憶手段115は、ICカード等の耐タンパーデバイスとしてもよい。
通信送信手段122は、ID失効リスト記憶手段115に保持するID失効リストのバージョンの情報を、ネットワーク(通信回線)Nを介してID失効リスト生成配信装置8に通知する。
<アプリケーション登録データベース32>
図10は、図3に示したアプリケーション管理サーバにおけるアプリケーション登録データベースの記憶構造の一例を示す図である。
アプリケーション登録データベース32は、アプリケーション毎の項目として、アプリケーションID321、アプリケーション名322、アプリケーションデータ323、秘密鍵324、署名325、機器認証326を有し、各項目に対応した情報やデータを格納している。
アプリケーションID321の列データは、例えばIDデータベース32bに格納するデータに対応している。
アプリケーションデータ323は、アプリケーションの具体的なデータである。アプリケーションデータ323の列データは、例えばアプリケーションデータベース32aに格納するデータに対応している。
署名325は、アプリケーションに付加する現時点の署名の情報を示すものである。署名325の列データは、例えば署名データベース32dに格納するデータに対応している。
図11は、図4に示した部分鍵管理サーバにおける部分鍵管理データベースの記憶構造の一例を示す図である。
部分鍵管理データベース45は、アプリケーション毎の項目として、アプリケーションID321および部分鍵451を有し、各項目に対応した情報やデータを格納している。
部分鍵451は、アプリケーションに付加する署名を生成するために用いた秘密鍵を生成するために用いた現時点の部分鍵の情報を示すものである。
図12は、図6に示したアプリケーション配信サーバにおけるパッケージ管理データベースの記憶構造の一例を示す図である。
パッケージ管理データベース61は、アプリケーション毎の項目として、アプリケーションID321、アプリケーション名322、パッケージデータ323p、公開属性611、機器認証326を有し、各項目に対応した情報やデータを格納している。
パッケージデータ323pは、ID及び署名と共にパッケージ化されたアプリケーションデータである。つまり、図10のアプリケーションデータ323の項目のデータを主として、アプリケーションID321および署名325の項目のデータを付加したデータを表す。
図13は、図8に示したID失効リスト生成配信装置で生成するID失効リストの一例を示す図である。
図13に示すID失効リストLは、アプリケーション毎の項目として、アプリケーションID321と受信機情報721を有しており、このうち受信機情報721の項目は、細分化されて、例えば、受信機ID721a、ユーザーID721b、メーカーID721c、OSバージョン721d、ファームバージョン721eを有し、各項目に対応した情報やデータを格納している。
受信機ID721aは、受信機の機器自体を特定する情報である。
ユーザーID721bは、受信機のユーザー(視聴者)を特定する情報である。
メーカーID721cは、受信機を製造したメーカーを特定する情報である。
OSバージョン721dは、受信機に内蔵されたコンピュータのOS(operating system)、つまり基本ソフトウェアのバージョンを特定する情報である。
ファームバージョン721eは、受信機に内蔵されたコンピュータのハードウェアの基本的な制御を行うために受信機に組み込まれたソフトウェア、つまりファームウェア(firmware)のバージョンを特定する情報である。
図13に示すID失効リストLにおいて、「***」は、その項目においてどんな値でも該当することを示す。これは、図13に示すID失効リストLにおいて、例えば機器認証が必要なアプリケーションを、失効させるときに用いられている。なお、「・・・」は、このテーブルの5行目以降になんらかのデータがあることを示唆するものである。
サービス事業者は、アプリケーションID321および受信機情報721に応じて、特定の受信機10を対象として、アプリケーションを起動する資格を失効させることができる。
2行目に記載されたアプリケーションを取得した受信機10は、「Y社」が製造した受信機ならば、そのアプリケーションを失効させる必要がある。
3行目に記載されたアプリケーションを取得した受信機10は、製造メーカーに関わらずOSバージョンが「5.3.7」の受信機ならば、そのアプリケーションを失効させる必要がある。
4行目は、ユーザーIDが「BBB」の視聴者がユーザー登録している「0123」の受信機が、もしも「X社製」であるならば、OSバージョンやファームバージョンに関わらず、その受信機で取得したアプリケーションは種類によらずに失効させる必要があることを表す。
図14(a)に示す受信機管理データベース72は、受信機毎の項目として、受信機情報721と、ID失効リストバージョン722とを有しており、このうち受信機情報721の項目は、図13に示すID失効リストLの項目と同じなので説明を省略する。
[受信機の動作]
<アプリケーションの起動手順>
図15は、図9に示した受信機におけるアプリケーションの起動手順を示すフローチャートである。まず、受信機10の電源をONにする(ステップS1)と、受信機10は、アプリケーションを起動する前に、通信により、その時点で最新のID失効リストを取得する(ステップS2)。その後、起動アプリケーションを選択する(ステップS3)と、アプリケーション認証手段104により、認証処理を行う(ステップS4)。認証処理の結果、認証OKと判定されれば、アプリケーションを起動する(ステップS5)。
アプリケーション認証処理(図15のステップS4)について図16を参照して説明する(適宜図9参照)。受信機10のアプリケーション認証手段104は、アプリケーション認証の指示を受け付ける(ステップS11)。
図17は、図9に示した受信機においてID失効リストを取得する方法及びタイミングの一例を示すフローチャートである。
このアプリケーション起動中にカルーセル伝送により取得したID失効リストにおいて、その時点で起動中のアプリケーションが失効している場合、受信機10の内部処理により起動を停止する。または、ユーザー(視聴者)が起動中のアプリケーションを終了させるリモコン操作をした場合、起動を停止する(ステップS37:Yes)。
図18は、図8に示したID失効リスト生成配信装置におけるID失効リストの生成及び配信の流れを示すフローチャートである。サービス提供者が、リボーク対象のアプリケーションIDや受信機情報等を、ID失効リストの生成要求として入力すると、このID失効リストの生成要求を、ID失効リスト生成配信装置8のID失効リスト生成手段81が受け付ける(ステップS41)。
配信制御手段83は、失効リスト配信履歴データベース86に格納されているID失効リストの配信履歴を更新し(ステップS48)、処理を終了する。
図9に示した受信機10は、ID失効リスト記憶手段115を備え、受信機10内でID失効リストを保持して管理するものとしたが、受信機の構成はこれに限定されるものではない。
図19に示す受信機10Bは、ID失効リスト記憶手段115を有していない点が図9に示した受信機10と相違している。つまり、受信機10Bは、ID失効リストを受信機内に保持するものではない。よって、受信機10Bは、ID失効リストのバージョンを通知する必要はない。受信機10Bは、アプリケーション起動前に一回、あるいは、随時、ID失効リスト生成配信装置8にアクセスしてID失効リストを取得する。
受信機10Bの電源がOFF状態である場合(ステップS31:No)、電源検知を繰り返す。一方、受信機10Bの電源がON状態である場合(ステップS31:Yes)、受信機10Bは、前記ステップS32をスキップし、前記アプリケーションが起動していない場合(ステップS33:No)、前記ステップS34に進む。この場合、その後の前記ステップS35をスキップする。
そして、前記アプリケーションが起動している場合(ステップS33:Yes)、受信機10Bは、前記ステップS36に進む。ただし、ステップS36では、受信機10Bは、放送波によるカルーセル伝送で新たなID失効リストが配信されてこないか常に監視し(ステップS37:No)、配信された場合これを取得する(ステップS36a)処理に加えて、通信回線を介して、ID失効リストを随時取得する(ステップS36b)処理も並列に行う。
図2に示したアプリケーション登録サーバ2は、キー・インシュレイテッド署名を用いたアプリケーション認証を元に構成しているが、IDとアプリケーションが紐付く署名方式であれば、この限りではない。
また、アプリケーション登録サーバ2は、部分鍵管理サーバ4を備えることとしたが、部分鍵管理サーバ4は必須の構成ではない。アプリケーション登録サーバ2を、例えば、アプリケーション管理サーバ3と秘密鍵発行サーバ5で構成する変形例の場合、予め生成された1つのマスター鍵を秘密鍵発行サーバ5で管理し、このマスター鍵で秘密鍵(署名鍵)を生成する。そして、この場合、図2に示したID送信(21a)及び差分部分鍵の返送(21b)は不要である代わりに、アプリケーション管理サーバ3は、IDを秘密鍵発行サーバ5へ送信する(24)。また、この場合、図11に示した部分鍵管理データベース45に代わるものとして、秘密鍵管理データベースを秘密鍵発行サーバ5が記憶し、管理する。この秘密鍵管理データベースは、アプリケーションIDと秘密鍵とを紐づけて格納する。
図1に示す各サーバは、データ生成機能と配信機能、データベース管理機能がそれぞれ別個のものとして組み合わせられ、図1とは異なるシステム構成となっていても問題ない。
また、ID失効リスト生成配信装置8は、ID失効リストを自動生成することとしたが、これに限らず、ID失効リスト生成配信装置8の管理者等が受信機情報及び配信履歴を用いてID失効リストを手動で生成するようにしてもよい。
また、図15では、前記ステップS7の処理において、前記ステップS3で選択されたアプリケーションが不正なものであったことをディスプレイ表示するなどして視聴者に報知することとしたが、認証処理の結果が認証NGである場合に、その旨を表示するようにしてもよい。このようにすることで、視聴者が、選択したアプリケーションが起動しなかったのは受信機が故障しているからだ、と誤認することを防止できる。
2 アプリケーション登録サーバ
3 アプリケーション管理サーバ
31 アプリケーション受信部
32 アプリケーション登録データベース
32a アプリケーションデータベース
32b IDデータベース
32c 秘密鍵データベース
32d 署名データベース
33 ID発行更新装置
33a ID発行部
33b ID更新部
34 公開鍵管理部
35 署名生成部
36 パッケージ化手段
37 秘密鍵更新部
4 部分鍵管理サーバ
40 鍵管理部
41 公開鍵管理部
42 マスター鍵1管理部
43 ID受信部
44 部分鍵生成部
45 部分鍵管理データベース
46 IDデータベース
47 部分鍵データベース
48 差分部分鍵生成部
5 秘密鍵発行サーバ
50 鍵管理部
51 公開鍵管理部
52 マスター鍵2管理部
53 部分鍵受信部
54 秘密鍵生成部
6 アプリケーション配信サーバ
61 パッケージ管理データベース
62 パッケージ管理部
63 配信制御部
64 配信履歴管理データベース
7 受信機管理サーバ
71 機器認証手段
72 受信機管理データベース
73 受信機管理手段
8 ID失効リスト生成配信装置
81 ID失効リスト生成手段
82 ID失効リストデータベース
83 配信制御手段
84 放送送信手段
85 通信送信手段
86 失効リスト配信履歴データベース
87 通信受信手段
88 通信配信用データベース
89 放送配信用データベース
10,10B 受信機
100 受信放送デコード表示手段
101 公開鍵管理手段
102 アプリケーション取得手段
103 アプリケーション記憶手段
104 アプリケーション認証手段
105 アプリケーション実行手段
111 電源検知手段
112 ID失効リスト取得手段
113 放送受信手段
114 通信受信手段
115 ID失効リスト記憶手段
121 受信機情報管理データベース
122 通信送信手段
123 機器認証手段
Claims (7)
- 放送波を受信すると共に通信回線を介して情報を送受信することのできる受信機からのアプリケーションの配信要求に対して、当該アプリケーション及び当該受信機の登録情報に応じて前記アプリケーションを配信するアプリケーション配信管理システムであって、
前記アプリケーションに署名を付加し、前記アプリケーションを登録する際に、少なくとも前記アプリケーションの識別情報であるIDと、前記受信機が前記署名を検証することで前記アプリケーションを認証する認証処理において前記受信機の機器自体の情報も利用する機器認証が必要か否かの情報と、を対応付けて登録するアプリケーション登録サーバと、
前記受信機から受信する配信要求に応じて前記登録済みのアプリケーションを配信するアプリケーション配信サーバと、
特定の時点において失効させるべき前記登録済みのアプリケーションのIDと、前記受信機の機器自体の情報と、を記載したID失効リストを生成して当該ID失効リストの版数を示すバージョン情報を含めて前記受信機に対して配信するID失効リスト生成配信装置と、
前記受信機が保持する前記ID失効リストのバージョン情報と当該受信機の機器自体の情報とを含む受信機情報を前記受信機ごとに登録して保持する受信機管理サーバと、
を備え、
前記アプリケーション登録サーバは、前記登録済みのアプリケーションと、そのIDと、当該アプリケーションに付加した署名と、当該アプリケーションを認証する認証処理に前記機器認証が必要か否かの情報とをパッケージ化し、配信用のアプリケーションとして前記アプリケーション配信サーバへ送信し、
前記アプリケーション配信サーバは、前記アプリケーション登録サーバから前記配信用のアプリケーションを受信し、パッケージ化されていた前記機器認証が必要か否かの情報に基づいて、前記受信機から、前記機器認証が必要なアプリケーションの配信要求を受け付けたと判定した場合、当該受信機が前記受信機管理サーバに機器認証されているか否かを示す機器認証情報を前記受信機管理サーバから取得し、取得した前記機器認証情報が前記機器認証を満たすものか否かを判別し、満たすと判定できた場合、当該アプリケーションを配信し、
前記受信機は、配信されたアプリケーションに付加されている署名が正当なものである場合、前記ID失効リスト生成配信装置から取得したID失効リストにおいて、当該アプリケーションに対応するIDと対応付けられて記載された受信機情報として、当該受信機の機器自体の情報と一致するものが含まれていない場合、当該アプリケーションを起動可能と判定し、一致するものが含まれていた場合、当該アプリケーションを起動不可と判定することを特徴とするアプリケーション配信管理システム。 - 前記アプリケーション配信サーバは、前記登録済みのアプリケーションをどの受信機に配信したかを示すアプリケーションの配信履歴を蓄積保持し、
前記ID失効リスト生成配信装置は、前記アプリケーションのIDを含むID失効リスト生成要求が入力されたときに、前記アプリケーション配信サーバで保持する当該アプリケーションの配信履歴で特定される配信先の受信機の識別情報により、前記受信機管理サーバで保持する当該受信機における前記受信機情報を記載することで、前記ID失効リストを生成するID失効リスト生成手段を備えることを特徴とする請求項1に記載のアプリケーション配信管理システム。 - 前記ID失効リスト生成配信装置は、
放送送信手段と、
前記受信機との間で通信回線を介して情報を送受信する通信送受信手段と、
前記受信機からのアクセス数の許容限度を示す閾値が予め設定され、前記受信機によるアクセス数を監視し、前記ID失効リストの配信に伴って前記受信機によるアクセス数が前記閾値を超えるか否かを判別し、前記閾値を超える場合、前記放送送信手段を用いて前記ID失効リストを配信する制御を行い、前記閾値を超えない場合、前記通信送受信手段を用いて前記ID失効リストを配信する制御を行う配信制御手段と、を備えることを特徴とする請求項2に記載のアプリケーション配信管理システム。 - 前記ID失効リスト生成配信装置は、前記放送送信手段によって、前記受信機に対して既に配信した前記ID失効リストを、放送波または通信回線を介して所定のタイミングで更新するためのスケジュール情報を含む更新トリガーを配信することを特徴とする請求項3に記載のアプリケーション配信管理システム。
- 前記受信機管理サーバは、
前記受信機の機器自体の情報と前記ID失効リストのバージョン情報とを含む受信機情報を前記受信機ごとに格納した受信機管理データベースを記憶し、
前記受信機からの機器認証要求に対して、前記受信機管理データベースを参照して機器認証結果を送り返すと共に、前記機器認証結果を前記受信機管理データベースに格納する機器認証手段と、
前記アプリケーション配信サーバからの要求に応じて、前記受信機管理データベースに格納されている前記機器認証結果を参照し、前記受信機が機器認証されているかどうかを示す機器認証情報を送り返し、また、前記ID失効リスト生成配信装置からの要求に応じて、前記受信機管理データベースに格納されている前記受信機情報を送り返す受信機管理手段と、
を備えることを特徴とする請求項1から請求項4のいずれか一項に記載のアプリケーション配信管理システム。 - 前記アプリケーション登録サーバは、
前記アプリケーションに対してIDを発行し、秘密鍵を用いて署名を生成し、前記アプリケーションと前記IDと前記署名とをパッケージ化するアプリケーション管理サーバと、
前記アプリケーション管理サーバから受信する前記IDに対応した部分鍵を生成し、生成した部分鍵を保持して更新する制御を行う部分鍵管理サーバと、
前記部分鍵管理サーバから受信した前記部分鍵を用いて、前記秘密鍵を生成し、前記アプリケーション管理サーバへ送信する秘密鍵発行サーバと、を備え、
前記署名の更新時に、
前記アプリケーション管理サーバは、新たなIDを発行して前記部分鍵管理サーバへ送信し、
前記部分鍵管理サーバは、前記受信した新たなIDに対応した部分鍵を生成し、旧IDの部分鍵との差分である差分部分鍵を前記アプリケーション管理サーバへ返送し、
前記アプリケーション管理サーバは、受信する前記差分部分鍵を用いて前記秘密鍵を更新し、前記更新された秘密鍵を用いて前記署名を更新することを特徴とする請求項1から請求項5のいずれか一項に記載のアプリケーション配信管理システム。 - 請求項1から請求項6のいずれか一項に記載のアプリケーション配信管理システムの受信機が備えるコンピュータをアプリケーション認証手段として機能させるためのアプリケーション認証プログラムであって、
前記受信機は、
前記アプリケーション配信サーバから配信された前記アプリケーションに付加された署名の正当性の判定に用いる公開鍵を記憶する公開鍵管理手段と、
前記ID失効リスト生成配信装置から放送波または通信回線を介して前記ID失効リストを取得するID失効リスト取得手段と、
当該受信機の機器自体の情報を格納した受信機情報管理データベースと、
前記アプリケーション認証手段と、を備え、
前記アプリケーション認証手段は、
配信された前記アプリケーションに付加されている署名が正当なものであるか否かを前記公開鍵によって検証する署名検証ステップと、
前記署名が正当なものである場合、前記取得したID失効リストにおいて、当該アプリケーションに対応するIDと対応付けられて記載された受信機情報として、当該受信機の機器自体の情報と一致するものが含まれているか否かを判別する機器情報検証ステップと、
前記ID失効リストに記載された受信機情報に、当該受信機の機器自体の情報と一致するものが含まれていない場合、当該アプリケーションを起動可能と判定する認証判定ステップと、
前記ID失効リストに記載された受信機情報に、当該受信機の機器自体の情報と一致するものが含まれていた場合、当該アプリケーションを起動不可と判定する失効判定ステップと、を含んで実行することを特徴とするアプリケーション認証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013099582A JP6180784B2 (ja) | 2013-05-09 | 2013-05-09 | アプリケーション配信管理システム及び受信機プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013099582A JP6180784B2 (ja) | 2013-05-09 | 2013-05-09 | アプリケーション配信管理システム及び受信機プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014220703A JP2014220703A (ja) | 2014-11-20 |
JP6180784B2 true JP6180784B2 (ja) | 2017-08-16 |
Family
ID=51938776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013099582A Active JP6180784B2 (ja) | 2013-05-09 | 2013-05-09 | アプリケーション配信管理システム及び受信機プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6180784B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107925798B (zh) | 2015-08-28 | 2021-08-27 | 索尼公司 | 接收设备、发送设备和数据处理方法 |
JP6508067B2 (ja) * | 2016-01-14 | 2019-05-08 | 株式会社デンソー | 車両用データ通信システム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2834406A1 (fr) * | 2001-12-28 | 2003-07-04 | Thomson Licensing Sa | Procede de mise a jour d'une liste de revocation de cles, d'appareils ou de modules non-conformes dans un systeme de diffusion securise de contenu |
US20070016961A1 (en) * | 2005-07-11 | 2007-01-18 | Vogler Dean H | Application revocation using an application revocation list in a portable electronic device |
US20080320301A1 (en) * | 2007-06-20 | 2008-12-25 | Samsung Electronics Co., Ltd. | Method and apparatus for restricting operation of device |
JP5667817B2 (ja) * | 2010-09-03 | 2015-02-12 | Kddi株式会社 | アプリケーション管理システム |
JP6076248B2 (ja) * | 2011-05-20 | 2017-02-08 | 日本放送協会 | 放送通信連携システム、アプリケーション管理サーバー、および、アプリケーション管理サーバーにおけるアプリケーション管理方法 |
-
2013
- 2013-05-09 JP JP2013099582A patent/JP6180784B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014220703A (ja) | 2014-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101796837B (zh) | 安全签名方法、安全认证方法和iptv系统 | |
US7694149B2 (en) | Method for judging use permission of information and content distribution system using the method | |
US8385555B2 (en) | Content delivery with segmented key list | |
US7823187B2 (en) | Communication processing method and system relating to authentication information | |
JP5961164B2 (ja) | 放送通信連携受信装置及びリソースアクセス制御プログラム | |
JP4839303B2 (ja) | デジタルケーブルテレビ放送受信機 | |
JP5710160B2 (ja) | ストリーム内の記録可能なコンテンツを処理すること | |
KR20120002625A (ko) | 애플리케이션 프로그램 인증 및 실행 방법 | |
JP2003535520A (ja) | アクセス制御プロセッサ | |
US20080152150A1 (en) | Information Distribution System | |
JP6423067B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
KR20090057587A (ko) | 다운로더블 제한 수신 서비스를 위한 헤드엔드 시스템 및그 동작 방법 | |
KR100880965B1 (ko) | 다운로드 가능한 콘텐츠 보안시스템 및 그 보안방법 | |
JP6180784B2 (ja) | アプリケーション配信管理システム及び受信機プログラム | |
JP5022169B2 (ja) | アプリケーション送信装置、コンテンツ送信装置及びコンテンツ受信装置、並びに、アプリケーション送信プログラム、コンテンツ送信プログラム及びコンテンツ受信プログラム | |
JP6053323B2 (ja) | 放送送信装置、放送通信連携受信装置およびそのプログラム、ならびに、放送通信連携システム | |
JP5178128B2 (ja) | 通信システム | |
JP5952638B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
JP5941356B2 (ja) | 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム | |
JP5912615B2 (ja) | 放送通信連携受信装置及び放送通信連携システム | |
KR101806010B1 (ko) | 지상파 uhd 방송을 위한 콘텐츠 보호 관리 시스템 및 그 방법 | |
JP4768792B2 (ja) | コンテンツ管理サーバ、コンテンツ配信処理ユニット及びコンテンツ配信システム | |
KR101483184B1 (ko) | 개별 키로 암호화된 vod용 컨텐츠를 이용한 방송 서비스제공 방법 및 시스템 | |
KR20100067585A (ko) | 복제된 dcas 단말기를 효율적으로 검출하는 다운로더블 제한수신 시스템 | |
KR20120090333A (ko) | 교환가능형 제한수신 시스템에서 cas클라이언트에 대한 고유 식별자 할당 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160330 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170328 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170529 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170620 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170719 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6180784 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |