JP6275536B2 - 限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム - Google Patents
限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム Download PDFInfo
- Publication number
- JP6275536B2 JP6275536B2 JP2014084774A JP2014084774A JP6275536B2 JP 6275536 B2 JP6275536 B2 JP 6275536B2 JP 2014084774 A JP2014084774 A JP 2014084774A JP 2014084774 A JP2014084774 A JP 2014084774A JP 6275536 B2 JP6275536 B2 JP 6275536B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- content
- information
- public
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、コンテンツを限定して受信させる限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラムに関する。
現在のデジタル放送は、共通鍵暗号方式によって、コンテンツを特定の受信装置で限定して受信させる限定受信システム(CAS:Conditional Access System)を実現している(例えば、非特許文献1参照)。
このように共通鍵暗号方式を用いた場合、放送局(放送事業者)は、例えば、受信装置ごとのCASカード等に記憶されている膨大な数のマスタ鍵(共通鍵)を秘密情報として厳重に保管、管理する必要がある。そのため、現在の限定受信システムは、鍵管理のコストが大きいという問題がある。
そこで、近年、公開鍵と秘密鍵とを用いて、放送コンテンツを暗号化、復号する公開鍵放送型暗号方式が提案されている(非特許文献2参照)。また、この非特許文献2で開示されている公開鍵放送型暗号方式を用いて限定受信システムを実現した技術も開示されている(非特許文献3、特許文献1参照)。
このように共通鍵暗号方式を用いた場合、放送局(放送事業者)は、例えば、受信装置ごとのCASカード等に記憶されている膨大な数のマスタ鍵(共通鍵)を秘密情報として厳重に保管、管理する必要がある。そのため、現在の限定受信システムは、鍵管理のコストが大きいという問題がある。
そこで、近年、公開鍵と秘密鍵とを用いて、放送コンテンツを暗号化、復号する公開鍵放送型暗号方式が提案されている(非特許文献2参照)。また、この非特許文献2で開示されている公開鍵放送型暗号方式を用いて限定受信システムを実現した技術も開示されている(非特許文献3、特許文献1参照)。
(社)電波産業会、"デジタル放送におけるアクセス制御方式 標準規格 ARIB STD−B25 6.2版"、平成24年9月25日
D. Boneh, C. Gentry and B. Waters, "Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys", In Proc. of Crypto 2005, Lecture Notes in Comput. Sci., vol. 3621, pp. 258-275, Springer-Verlag, 2005.
大竹剛,花岡悟一郎,小川一人,"個別メッセージの暗号化機能を有する効率的なブロードキャスト暗号",電子情報通信学会技術研究報告,ICSS,情報通信システムセキュリティ 110(115), 159-166, 2010-06-24
従来の非特許文献1、非特許文献3に示す限定受信システムは、公開鍵暗号方式を用い、鍵管理のコストを低減できる点で共通鍵暗号方式よりも優れている。しかし、従来のシステムには、以下に示す改善すべき点が残されていた。
具体的には、従来の限定受信システムは、受信装置においてコンテンツを復号するための暗号鍵(復号鍵)を、コンテンツを復号可能なすべてのユーザ識別子と公開鍵とを用いて、演算により求める必要がある。
そのため、従来の限定受信システムは、コンテンツを復号可能なすべてのユーザ識別子の集合を、放送波に乗せて、放送局から受信装置に伝送する必要がある。つまり、従来の限定受信システムは、ユーザ数が多くなればなるほど、ユーザ識別子の集合を放送する放送帯域が大きくなってしまうという問題がある。
具体的には、従来の限定受信システムは、受信装置においてコンテンツを復号するための暗号鍵(復号鍵)を、コンテンツを復号可能なすべてのユーザ識別子と公開鍵とを用いて、演算により求める必要がある。
そのため、従来の限定受信システムは、コンテンツを復号可能なすべてのユーザ識別子の集合を、放送波に乗せて、放送局から受信装置に伝送する必要がある。つまり、従来の限定受信システムは、ユーザ数が多くなればなるほど、ユーザ識別子の集合を放送する放送帯域が大きくなってしまうという問題がある。
また、従来の限定受信システムは、受信装置において、コンテンツを復号可能なすべてのユーザの公開鍵から、演算によって暗号鍵(復号鍵)を求める必要がある。
そのため、従来の限定受信システムは、受信装置において、ユーザ数が多くなればなるほど、公開鍵を保持するための記憶媒体の容量が大きくなってしまうとともに、それを用いた演算コストも大きくなってしまうという問題がある。
そのため、従来の限定受信システムは、受信装置において、ユーザ数が多くなればなるほど、公開鍵を保持するための記憶媒体の容量が大きくなってしまうとともに、それを用いた演算コストも大きくなってしまうという問題がある。
本発明は、このような問題に鑑みてなされたもので、公開鍵放送型暗号方式を用いてコンテンツを限定受信させる場合でも、放送帯域の圧迫を抑えるとともに、受信装置において、記憶容量と暗号鍵(復号鍵)の演算コストとを抑えることが可能な限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラムを提供することを課題とする。
前記課題を解決するため、本発明に係る限定受信システムは、公開鍵放送型暗号方式における公開情報である、素数qを位数とする巡回群G,GTがG×G→GTとなる双線形写像eと、前記巡回群Gから選択された生成元Pと、当該限定受信システムのユーザ数をNとし、Zq *から選択された原始元αおよび前記生成元Pから計算された公開鍵情報Pi=αiP(i=1,2,…,N,N+2,…,2N)と、Zqから選択された乱数γと前記生成元Pの積Qと、を参照して、コンテンツ配信装置でコンテンツを暗号化して配信し、限定したコンテンツ受信装置で暗号化されたコンテンツを復号する限定受信システムであって、コンテンツ配信装置が、暗号鍵生成手段と、鍵復元情報生成手段と、コンテンツ暗号化手段と、多重化手段と、を備える構成とし、コンテンツ受信装置が、鍵情報記憶手段と、多重分離手段と、鍵復元手段と、コンテンツ復号手段と、を備える構成とした。
かかる構成において、限定受信システムのコンテンツ配信装置は、暗号鍵生成手段によって、Zqから乱数tを選択し、公開情報から、暗号鍵Kを、K=e(PN,P1)tにより計算して生成する。なお、Zqは、{0,…,q−1}の整数の集合である。
また、コンテンツ配信装置は、鍵復元情報生成手段によって、乱数tと、公開情報と、ユーザ識別子の集合Sとから、鍵復元情報Hdrを、
により計算して生成する。
また、コンテンツ配信装置は、鍵復元情報生成手段によって、乱数tと、公開情報と、ユーザ識別子の集合Sとから、鍵復元情報Hdrを、
この鍵復元情報Hdrには、従来の公開鍵放送型暗号である「Boneh-Gentry-Waters方式」において、コンテンツ受信装置に送信されるヘッダ情報(tP,t(Q+U))に、さらに、予めユーザ識別子の集合から計算される値である復号情報Uを含ませている。
そして、コンテンツ配信装置は、コンテンツ暗号化手段によって、暗号鍵生成手段で生成された暗号鍵Kにより、コンテンツを暗号化した暗号化コンテンツを生成する。
そして、コンテンツ配信装置は、多重化手段によって、暗号化コンテンツと鍵復元情報とを多重化して配信用の多重化データとする。
そして、コンテンツ配信装置は、コンテンツ暗号化手段によって、暗号鍵生成手段で生成された暗号鍵Kにより、コンテンツを暗号化した暗号化コンテンツを生成する。
そして、コンテンツ配信装置は、多重化手段によって、暗号化コンテンツと鍵復元情報とを多重化して配信用の多重化データとする。
このように、コンテンツ配信装置が配信する鍵復元情報には、予めユーザ識別子の集合から計算される値である復号情報Uを含んでいる。そのため、コンテンツ配信装置は、従来の手法のように、ユーザ識別子の集合をコンテンツ受信装置に配信する必要はなく、放送帯域を圧迫することがない。また、コンテンツ受信装置では、コンテンツ配信装置から、ユーザ識別子の集合を取得する必要がなく、従来に比べ、ユーザ識別子の集合を保持する記憶容量を削減することができる。
一方、コンテンツ受信装置は、鍵情報記憶手段に、当該コンテンツ受信装置のユーザ識別子をiとしたとき、公開情報である公開鍵情報の中でユーザ識別子iに対応する公開鍵情報である公開鍵Piと、当該公開鍵PiとZqから選択された乱数γとの積である秘密鍵Diと、素数qの原始元αと公開情報の公開鍵情報Piとから求められる鍵復元個別情報Ii=(αi,PN+1−i)とを予め秘密に記憶しておく。
このように、鍵情報記憶手段には、暗号鍵を復元するために、従来の手法のように、すべてのユーザの公開鍵を保持する必要はなく、ユーザ識別子iに対応する個別の公開鍵のみを保持すればよいため、記憶容量を抑えることができる。
そして、コンテンツ受信装置は、多重分離手段によって、コンテンツ配信装置で多重化された多重化データから、暗号化コンテンツと鍵復元情報とを分離する。
そして、コンテンツ受信装置は、鍵復元情報をHdr=(C0,C1,C2)、鍵情報記憶手段に記憶されている鍵復元個別情報をIi=(B0,B1)としたとき、鍵復元手段によって、公開鍵Pi、秘密鍵Di、双線形写像eを用いて、暗号鍵Kを、
により計算して復元する。
そして、コンテンツ受信装置は、多重分離手段によって、コンテンツ配信装置で多重化された多重化データから、暗号化コンテンツと鍵復元情報とを分離する。
そして、コンテンツ受信装置は、鍵復元情報をHdr=(C0,C1,C2)、鍵情報記憶手段に記憶されている鍵復元個別情報をIi=(B0,B1)としたとき、鍵復元手段によって、公開鍵Pi、秘密鍵Di、双線形写像eを用いて、暗号鍵Kを、
本発明は、以下に示す優れた効果を奏するものである。
本発明によれば、コンテンツ配信装置から配信する鍵復元情報が、コンテンツを復元可能なユーザ識別子に対応する公開鍵の合計の値となるため、ユーザ数が増加しても、情報量が多くなることはない。そのため、本発明は、従来に比べて、暗号化コンテンツ以外に配信する情報量を削減することができ、放送帯域の圧迫を防止することができる。
また、本発明は、暗号鍵を復元する際に、従来のように、ユーザ識別子の集合を用いずに、鍵復元情報や鍵復元個別情報といった予め計算された値から、暗号鍵を復元するため、コンテンツ受信装置における計算負荷を抑えることができる。
また、本発明は、従来のように、コンテンツ受信装置において、ユーザ識別子の集合をそのまま記憶しておく必要がなく、鍵復元個別情報の値として記憶しておけばよい。そのため、本発明は、従来に比べて、コンテンツ受信装置における記憶容量を削減することができる。
本発明によれば、コンテンツ配信装置から配信する鍵復元情報が、コンテンツを復元可能なユーザ識別子に対応する公開鍵の合計の値となるため、ユーザ数が増加しても、情報量が多くなることはない。そのため、本発明は、従来に比べて、暗号化コンテンツ以外に配信する情報量を削減することができ、放送帯域の圧迫を防止することができる。
また、本発明は、暗号鍵を復元する際に、従来のように、ユーザ識別子の集合を用いずに、鍵復元情報や鍵復元個別情報といった予め計算された値から、暗号鍵を復元するため、コンテンツ受信装置における計算負荷を抑えることができる。
また、本発明は、従来のように、コンテンツ受信装置において、ユーザ識別子の集合をそのまま記憶しておく必要がなく、鍵復元個別情報の値として記憶しておけばよい。そのため、本発明は、従来に比べて、コンテンツ受信装置における記憶容量を削減することができる。
以下、本発明の実施形態について図面を参照して説明する。
≪第1実施形態≫
[限定受信システムの概略]
まず、図1を参照して、本発明の第1実施形態に係る限定受信システム100の概略について説明する。
図1に示すように、限定受信システム100は、コンテンツ配信装置1と、コンテンツ受信装置5,5,…と、を備える。
≪第1実施形態≫
[限定受信システムの概略]
まず、図1を参照して、本発明の第1実施形態に係る限定受信システム100の概略について説明する。
図1に示すように、限定受信システム100は、コンテンツ配信装置1と、コンテンツ受信装置5,5,…と、を備える。
限定受信システム100は、公開鍵放送型暗号方式を用いて、コンテンツ配信装置1から配信されるコンテンツを、限定したコンテンツ受信装置5で受信することを可能としたシステムである。
この限定受信システム100は、インターネット、専用IP回線等のネットワークNt、または、放送波Wによって、コンテンツ配信装置1からコンテンツ受信装置5へ、コンテンツを配信する。
この限定受信システム100は、インターネット、専用IP回線等のネットワークNt、または、放送波Wによって、コンテンツ配信装置1からコンテンツ受信装置5へ、コンテンツを配信する。
コンテンツ配信装置1は、限定受信させたい映像、音声等のコンテンツを、公開鍵放送型暗号方式で生成した暗号鍵で暗号化して、コンテンツ受信装置5に配信するものである。このコンテンツ配信装置1は、例えば、図1に示すように、放送事業者(放送局)の設備として配置される。
コンテンツ受信装置5は、コンテンツ配信装置1から配信されるコンテンツ(暗号化コンテンツ)を、公開鍵放送型暗号方式で生成した復号鍵(暗号鍵と同じもの)で復号し、コンテンツを再生するものである。このコンテンツ受信装置5は、図1に示すように、ユーザの自宅に配置されたテレビ受信機、パーソナルコンピュータ等である。また、コンテンツ受信装置5は、ユーザが所持する携帯端末としてもよい。
以下、限定受信システム100を構成するコンテンツ配信装置1の構成、コンテンツ受信装置5の構成について順に説明する。
以下、限定受信システム100を構成するコンテンツ配信装置1の構成、コンテンツ受信装置5の構成について順に説明する。
[コンテンツ配信装置の構成]
最初に、図2を参照(適宜図1参照)して、コンテンツ配信装置1の構成について説明する。図2に示すように、コンテンツ配信装置1は、鍵発行手段10と、暗号鍵・鍵復元情報生成手段20と、暗号化手段30と、多重化手段40と、を備える。
最初に、図2を参照(適宜図1参照)して、コンテンツ配信装置1の構成について説明する。図2に示すように、コンテンツ配信装置1は、鍵発行手段10と、暗号鍵・鍵復元情報生成手段20と、暗号化手段30と、多重化手段40と、を備える。
鍵発行手段10は、コンテンツを暗号化、復号するための鍵情報を生成するものである。ここでは、鍵発行手段10は、パラメータ入力手段11と、基本情報生成手段12と、公開情報生成手段13と、秘密情報生成手段14と、公開情報記憶手段15と、秘密情報記憶手段16と、を備える。
パラメータ入力手段11は、セキュリティパラメータと、限定受信システム100におけるユーザ数とを、外部からパラメータとして入力するものである。
ここで、セキュリティパラメータは、セキュリティのレベルを示す数値(例えば、鍵長)である。より具体的には、セキュリティパラメータは、基本情報生成手段12で使用される素数位数qの大きさ(ビット長)である。
また、ユーザ数は、限定受信システム100において想定されるユーザの総数である。ここでは、ユーザ数をN人とする。
このパラメータ入力手段11は、入力されたパラメータを、基本情報生成手段12に出力する。
ここで、セキュリティパラメータは、セキュリティのレベルを示す数値(例えば、鍵長)である。より具体的には、セキュリティパラメータは、基本情報生成手段12で使用される素数位数qの大きさ(ビット長)である。
また、ユーザ数は、限定受信システム100において想定されるユーザの総数である。ここでは、ユーザ数をN人とする。
このパラメータ入力手段11は、入力されたパラメータを、基本情報生成手段12に出力する。
基本情報生成手段12は、公開情報生成手段13および秘密情報生成手段14において、それぞれ、公開情報および秘密情報を生成するために用いる基本情報を生成するものである。
具体的には、基本情報生成手段12は、パラメータ入力手段11から入力されたセキュリティパラメータで特定される大きさ(ビット長)の素数qを選択し、当該素数qを位数(素数位数q)とする巡回群G,GTを選択する。そして、基本情報生成手段12は、巡回群GおよびGTがG×G→GTとなる双線形写像eを選択する。例えば、基本情報生成手段12は、e:G×G→GTとなる双線形写像eとして、一般的な“Weil Pairing”、“Tate Pairing”等に基づいて楕円曲線のパラメータを選択する。ここで、双線形写像eは、2つの引数を持つe(・,・)で表される写像である。
具体的には、基本情報生成手段12は、パラメータ入力手段11から入力されたセキュリティパラメータで特定される大きさ(ビット長)の素数qを選択し、当該素数qを位数(素数位数q)とする巡回群G,GTを選択する。そして、基本情報生成手段12は、巡回群GおよびGTがG×G→GTとなる双線形写像eを選択する。例えば、基本情報生成手段12は、e:G×G→GTとなる双線形写像eとして、一般的な“Weil Pairing”、“Tate Pairing”等に基づいて楕円曲線のパラメータを選択する。ここで、双線形写像eは、2つの引数を持つe(・,・)で表される写像である。
さらに、基本情報生成手段12は、巡回群Gの中からランダムに1つの生成元Pを選択(P∈G)する。
また、基本情報生成手段12は、Zq *から、素数qの原始元αを選択する。ここで、Zq *は、{1,2,…,q−1}の整数のうちで、qとの最大公約数が1(qと互いに素)である整数の集合である。また、原始元αは、任意のα∈Zq *に対し、αの位数がq−1となる生成元である。
また、基本情報生成手段12は、Zqから、乱数γを選択する。ここで、Zqは、{0,…,q−1}の整数の集合である。
また、基本情報生成手段12は、Zq *から、素数qの原始元αを選択する。ここで、Zq *は、{1,2,…,q−1}の整数のうちで、qとの最大公約数が1(qと互いに素)である整数の集合である。また、原始元αは、任意のα∈Zq *に対し、αの位数がq−1となる生成元である。
また、基本情報生成手段12は、Zqから、乱数γを選択する。ここで、Zqは、{0,…,q−1}の整数の集合である。
この基本情報生成手段12は、パラメータ入力手段11から入力されたユーザ数Nと、生成した各種の基本情報(q、α、P、e(・,・)、γ)とを、公開情報生成手段13および秘密情報生成手段14に出力する。
公開情報生成手段13は、公開鍵放送型暗号方式におけるコンテンツ受信装置5ごとの公開鍵を含んだ公開情報を生成するものである。
具体的には、公開情報生成手段13は、以下の式(1)に示すように、基本情報生成手段12で生成された乱数γと生成元Pとを乗算することで、公開情報の一部となるQを計算する。
具体的には、公開情報生成手段13は、以下の式(1)に示すように、基本情報生成手段12で生成された乱数γと生成元Pとを乗算することで、公開情報の一部となるQを計算する。
さらに、公開情報生成手段13は、基本情報生成手段12で生成された原始元αと生成元Pと、ユーザ数Nとから、以下の式(2)に示す演算によって、公開情報の一部となる公開鍵情報Piを計算する。
ただし、i=1,2,…,N,N+2,…,2Nである。なお、ここで、公開鍵情報P1〜PNは、個別のユーザ(コンテンツ受信装置5)に対応するそれぞれの公開鍵となる。
そして、公開情報生成手段13は、以下の式(3)に示すように、基本情報生成手段12で生成された素数qおよび双線形写像eと、さらに生成したQ、Pi(i=1,2,…,N,N+2,…,2N)とからなる公開情報PKを生成し、公開情報記憶手段15に記憶する。
そして、公開情報生成手段13は、以下の式(3)に示すように、基本情報生成手段12で生成された素数qおよび双線形写像eと、さらに生成したQ、Pi(i=1,2,…,N,N+2,…,2N)とからなる公開情報PKを生成し、公開情報記憶手段15に記憶する。
秘密情報生成手段14は、公開鍵放送型暗号方式におけるコンテンツ受信装置5ごとの秘密鍵を含んだ秘密情報を生成するものである。
具体的には、以下の式(4)に示すように、秘密情報生成手段14は、基本情報生成手段12で生成された乱数γと、公開情報生成手段13で生成されたコンテンツ受信装置5(ユーザ)ごとの公開鍵Pi(i=1,2,…,N)とを乗算することで、ユーザごとの秘密鍵Diを生成する。
具体的には、以下の式(4)に示すように、秘密情報生成手段14は、基本情報生成手段12で生成された乱数γと、公開情報生成手段13で生成されたコンテンツ受信装置5(ユーザ)ごとの公開鍵Pi(i=1,2,…,N)とを乗算することで、ユーザごとの秘密鍵Diを生成する。
なお、秘密鍵Diは、基本情報生成手段12で生成された原始元αと、公開鍵の一部であるQとを用いて、以下の式(5)で計算しても同じ値を得ることができる。
さらに、秘密情報生成手段14は、秘密鍵以外に、コンテンツ受信装置5において暗号鍵を復元するための情報として、鍵復元個別情報を生成する。
具体的には、秘密情報生成手段14は、基本情報生成手段12で生成された原始元αと、公開情報生成手段13で生成された公開情報PKとから、以下の式(6)により、コンテンツ受信装置5(ユーザ)ごとの鍵復元個別情報Ii(i=1,2,…,N)を生成する。
具体的には、秘密情報生成手段14は、基本情報生成手段12で生成された原始元αと、公開情報生成手段13で生成された公開情報PKとから、以下の式(6)により、コンテンツ受信装置5(ユーザ)ごとの鍵復元個別情報Ii(i=1,2,…,N)を生成する。
そして、秘密情報生成手段14は、生成したコンテンツ受信装置5ごとの秘密情報である秘密鍵Di(i=1,2,…,N)と、鍵復元個別情報Ii(i=1,2,…,N)とを、秘密情報記憶手段16に記憶する。
公開情報記憶手段15は、公開情報生成手段13で生成された公開情報PK(前記式(3)参照)を記憶するものである。この公開情報記憶手段15は、一般的な半導体メモリ、ハードディスク等の記憶媒体で構成される。
この公開情報記憶手段15に記憶される公開情報は、暗号鍵・鍵復元情報生成手段20によって参照される。
この公開情報記憶手段15に記憶される公開情報は、暗号鍵・鍵復元情報生成手段20によって参照される。
秘密情報記憶手段16は、秘密情報生成手段14で生成された秘密情報(秘密鍵Di、鍵復元個別情報Ii)(前記式(4),式(6)参照)を記憶するものである。この秘密情報記憶手段16は、一般的な半導体メモリ、ハードディスク等の記憶媒体で構成される。
なお、公開情報記憶手段15に記憶されている公開情報、および、秘密情報記憶手段16に記憶されている秘密情報のうちで、コンテンツ受信装置5ごとに個別の情報は、予めコンテンツ受信装置5のユーザに配布される。
なお、公開情報記憶手段15に記憶されている公開情報、および、秘密情報記憶手段16に記憶されている秘密情報のうちで、コンテンツ受信装置5ごとに個別の情報は、予めコンテンツ受信装置5のユーザに配布される。
具体的には、公開情報のうちの個別のユーザに対応する公開鍵Piと、秘密情報のうちの個別のユーザに対応する秘密鍵Diおよび鍵復元個別情報Iiとを、それぞれ対応するユーザに配布する。例えば、コンテンツ配信装置1の操作者は、対タンパ性を有するICカード等のデバイスに、公開鍵Piと、秘密鍵Diおよび鍵復元個別情報Iiを書き込んで、ユーザに配布する。あるいは、コンテンツ配信装置1が、図示を省略した送信手段を介して、ネットワークNt経由で、コンテンツ受信装置5に送信することとしてもよい。
なお、公開情報PKのうちで、双線形写像eは、個別の公開鍵、秘密鍵および鍵復元個別情報と同様に、ユーザに配布してもよいし、ネットワークNt経由で公開情報を要求された段階で、通知することとしてもよい。
なお、公開情報PKのうちで、双線形写像eは、個別の公開鍵、秘密鍵および鍵復元個別情報と同様に、ユーザに配布してもよいし、ネットワークNt経由で公開情報を要求された段階で、通知することとしてもよい。
暗号鍵・鍵復元情報生成手段20は、コンテンツを暗号化するための暗号鍵と、鍵発行手段10で発行される鍵情報(公開鍵、秘密鍵、鍵復元個別情報)以外に、暗号鍵をコンテンツ受信装置5で復元するための情報である鍵復元情報とを生成するものである。
ここでは、暗号鍵・鍵復元情報生成手段20は、暗号鍵生成手段21と、ユーザ識別子入力手段22と、鍵復元情報生成手段23と、を備える。
ここでは、暗号鍵・鍵復元情報生成手段20は、暗号鍵生成手段21と、ユーザ識別子入力手段22と、鍵復元情報生成手段23と、を備える。
暗号鍵生成手段21は、鍵発行手段10で生成された公開情報PK(前記式(3)参照)を参照して、コンテンツを暗号化するための暗号鍵を生成するものである。この暗号鍵生成手段21は、暗号化するコンテンツを配信する前に、予め外部から指示されることで、暗号鍵を生成する。
具体的には、暗号鍵生成手段21は、公開情報PKとして公開されている素数qに基づいて、{0,…,q−1}の整数の集合Zqから乱数tをランダムに選択する。そして、暗号鍵生成手段21は、乱数tと、公開情報PKとして公開されているP1およびPNと、双線形写像eとから、以下の式(7)を計算することで、暗号鍵Kを生成する。
具体的には、暗号鍵生成手段21は、公開情報PKとして公開されている素数qに基づいて、{0,…,q−1}の整数の集合Zqから乱数tをランダムに選択する。そして、暗号鍵生成手段21は、乱数tと、公開情報PKとして公開されているP1およびPNと、双線形写像eとから、以下の式(7)を計算することで、暗号鍵Kを生成する。
この暗号鍵Kは、コンテンツ配信装置1において、コンテンツを暗号化し、コンテンツ受信装置5において、コンテンツ(暗号化コンテンツ)を復号するための共通鍵である。
この暗号鍵生成手段21は、生成した暗号鍵Kを、暗号化手段30に出力する。
また、暗号鍵生成手段21は、暗号鍵Kを生成するために使用した乱数tを、鍵復元情報生成手段23に出力する。
この暗号鍵生成手段21は、生成した暗号鍵Kを、暗号化手段30に出力する。
また、暗号鍵生成手段21は、暗号鍵Kを生成するために使用した乱数tを、鍵復元情報生成手段23に出力する。
ユーザ識別子入力手段22は、ユーザ識別子の集合を入力するものである。このユーザ識別子の集合には、コンテンツを復号可能なユーザを識別するユーザ識別子が1以上含まれる。すなわち、このユーザ識別子の集合にユーザ識別子が含まれていないユーザは、暗号化コンテンツを復号することができない。
なお、ユーザ識別子とは、各ユーザを一意に識別できるユーザ固有の識別情報であれば、特に限定するものではない。例えば、ユーザ識別子として、コンテンツ受信装置5固有の製造番号を用いることもできる。
なお、ユーザ識別子とは、各ユーザを一意に識別できるユーザ固有の識別情報であれば、特に限定するものではない。例えば、ユーザ識別子として、コンテンツ受信装置5固有の製造番号を用いることもできる。
鍵復元情報生成手段23は、コンテンツ受信装置5で暗号鍵を復元するための情報である鍵復元情報を生成するものである。
具体的には、鍵復元情報生成手段23は、暗号鍵生成手段21で使用したものと同じ乱数tと、公開情報PK(前記式(3)参照)とから、以下の式(8)により、鍵復元情報Hdrを生成する。
具体的には、鍵復元情報生成手段23は、暗号鍵生成手段21で使用したものと同じ乱数tと、公開情報PK(前記式(3)参照)とから、以下の式(8)により、鍵復元情報Hdrを生成する。
なお、式(8)中、Uは、公開情報PKと、ユーザ識別子入力手段22で入力されたユーザ識別子の集合Sとから、以下の式(9)により計算される値(復号情報)である。
この鍵復元情報生成手段23は、生成した鍵復元情報Hdrを、多重化手段40に出力する。
なお、鍵発行手段10において生成されユーザに配布される公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Iiは、それぞれ、ユーザごとに個別の情報であるが、鍵復元情報生成手段23で生成される鍵復元情報は、コンテンツを復号可能なすべてのユーザに対して共通の情報である。
なお、鍵発行手段10において生成されユーザに配布される公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Iiは、それぞれ、ユーザごとに個別の情報であるが、鍵復元情報生成手段23で生成される鍵復元情報は、コンテンツを復号可能なすべてのユーザに対して共通の情報である。
暗号化手段30は、暗号化対象のコンテンツを入力して暗号化するものである。
ここでは、暗号化手段30は、コンテンツ入力手段31と、コンテンツ暗号化手段32と、を備える。
ここでは、暗号化手段30は、コンテンツ入力手段31と、コンテンツ暗号化手段32と、を備える。
コンテンツ入力手段31は、外部から暗号化対象のコンテンツを入力するものである。このコンテンツ入力手段31は、入力したコンテンツをコンテンツ暗号化手段32に出力する。
コンテンツ暗号化手段32は、コンテンツ入力手段31から入力されたコンテンツを、暗号鍵・鍵復元情報生成手段20(暗号鍵生成手段21)で生成された暗号鍵で暗号化するものである。このコンテンツ暗号化手段32は、例えば、DES、AES等の共通鍵暗号方式を用いてコンテンツの暗号化を行う。
そして、コンテンツ暗号化手段32は、暗号化したコンテンツ(暗号化コンテンツ)を、多重化手段40に出力する。
そして、コンテンツ暗号化手段32は、暗号化したコンテンツ(暗号化コンテンツ)を、多重化手段40に出力する。
多重化手段40は、暗号鍵・鍵復元情報生成手段20(鍵復元情報生成手段23)で生成された鍵復元情報と、暗号化手段30(コンテンツ暗号化手段32)で生成された暗号化コンテンツとを、多重化するものである。
この多重化手段40は、鍵復元情報と暗号化コンテンツとを、1つの伝送路上(放送波WまたはネットワークNt)に多重化して、出力する。
例えば、多重化手段40は、暗号化コンテンツに、鍵復元情報を定型のヘッダ情報として付加し、1つの多重化データ(ファイル、ストリーム)として合成して出力する。
この多重化手段40は、鍵復元情報と暗号化コンテンツとを、1つの伝送路上(放送波WまたはネットワークNt)に多重化して、出力する。
例えば、多重化手段40は、暗号化コンテンツに、鍵復元情報を定型のヘッダ情報として付加し、1つの多重化データ(ファイル、ストリーム)として合成して出力する。
なお、暗号化コンテンツと鍵復元情報とは、必ずしも1つの多重化データとして出力する必要はなく、例えば、コンテンツの名称、配信チャンネル、配信時刻等のコンテンツ固有の情報と対応付けて伝送することとしてもよい。その場合、暗号化コンテンツの伝送に先立って、鍵復元情報を伝送する必要がある。
以上説明したように、コンテンツ配信装置1を構成することで、コンテンツ配信装置1は、コンテンツ受信装置5において暗号化コンテンツを復号するための個別の鍵情報を生成するとともに、暗号鍵を復元するための鍵復元情報をコンテンツ受信装置5に配信することができる。
[コンテンツ受信装置の構成]
次に、図3を参照(適宜図1参照)して、コンテンツ受信装置5の構成について説明する。図3に示すように、コンテンツ受信装置5は、鍵情報記憶手段50と、多重分離手段51と、鍵復元手段52と、コンテンツ復号手段53と、を備える。
次に、図3を参照(適宜図1参照)して、コンテンツ受信装置5の構成について説明する。図3に示すように、コンテンツ受信装置5は、鍵情報記憶手段50と、多重分離手段51と、鍵復元手段52と、コンテンツ復号手段53と、を備える。
鍵情報記憶手段50は、コンテンツ配信装置1の鍵発行手段10(図2参照)において生成されて予め配布される鍵情報を記憶するものである。この鍵情報記憶手段50は、対タンパ性を有するICカード等のデバイスで構成される。
この鍵情報記憶手段50には、コンテンツ受信装置5のユーザ識別子に対応したユーザ個別の公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Iiが記憶され、鍵復元手段52によって、参照される。
この鍵情報記憶手段50には、コンテンツ受信装置5のユーザ識別子に対応したユーザ個別の公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Iiが記憶され、鍵復元手段52によって、参照される。
多重分離手段51は、伝送路(放送波WまたはネットワークNt)を介して伝送された多重化データを分離するものである。ここでは、多重分離手段51は、多重化データから、暗号化コンテンツと、鍵復元情報とを個別に分離抽出する。例えば、暗号化コンテンツに、鍵復元情報を定型のヘッダ情報として付加されて伝送される場合、多重分離手段51は、定型部分をヘッダ情報として認識し、鍵復元情報と暗号化コンテンツとに分離する。
この多重分離手段51は、分離した鍵復元情報を鍵復元手段52に出力し、分離した暗号化コンテンツをコンテンツ復号手段53に出力する。
この多重分離手段51は、分離した鍵復元情報を鍵復元手段52に出力し、分離した暗号化コンテンツをコンテンツ復号手段53に出力する。
鍵復元手段52は、多重分離手段51で分離された鍵復元情報と、鍵情報記憶手段50に記憶されている鍵情報(公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Ii)とに基づいて、暗号鍵を復元するものである。
具体的には、鍵復元情報Hdr=(C0,C1,C2)、鍵復元個別情報Ii=(B0,B1)としたとき、鍵復元手段52は、公開鍵Piと秘密鍵Diと双線形写像eとにより、以下の式(10)により、暗号鍵Kを復元する。
具体的には、鍵復元情報Hdr=(C0,C1,C2)、鍵復元個別情報Ii=(B0,B1)としたとき、鍵復元手段52は、公開鍵Piと秘密鍵Diと双線形写像eとにより、以下の式(10)により、暗号鍵Kを復元する。
この式(10)で使用する双線形写像eは、図示を省略しているが、予め鍵情報記憶手段50に記憶しておく形態であっても構わないし、鍵復元手段52が、暗号鍵Kを復元する際に、ネットワークNt経由で公開情報として取得する形態であっても構わない。
この鍵復元手段52は、復元した暗号鍵Kをコンテンツ復号手段53に出力する。
この鍵復元手段52は、復元した暗号鍵Kをコンテンツ復号手段53に出力する。
〔式(10)の証明〕
ここで、前記式(10)によって、鍵復元手段52が、暗号鍵Kが復元できることを以下の式(11)に示す。
ここで、前記式(10)によって、鍵復元手段52が、暗号鍵Kが復元できることを以下の式(11)に示す。
この式(11)中、式(11-1)〜式(11-10)の変形の根拠を以下に示す。
式(11-1)は、鍵復元情報Hdr=(C0,C1,C2)、鍵復元個別情報Ii=(B0,B1)と、前記式(6),式(8),式(9)とに基づいて、B0,B1,C2に式を代入したものである。
式(11-2)は、式(11-1)における中括弧の中をまとめたものである。
式(11-3)は、前記式(2)に基づいて、式(11-2)を変形したものである。すなわち、式(11-2)の総和Σの各項であるαi(PN+1−j)は、前記式(2)より、αi(PN+1−j)=αi・αN+1−j・P=αN+1−j+i・P=PN+1−j+iとなる。
式(11-1)は、鍵復元情報Hdr=(C0,C1,C2)、鍵復元個別情報Ii=(B0,B1)と、前記式(6),式(8),式(9)とに基づいて、B0,B1,C2に式を代入したものである。
式(11-2)は、式(11-1)における中括弧の中をまとめたものである。
式(11-3)は、前記式(2)に基づいて、式(11-2)を変形したものである。すなわち、式(11-2)の総和Σの各項であるαi(PN+1−j)は、前記式(2)より、αi(PN+1−j)=αi・αN+1−j・P=αN+1−j+i・P=PN+1−j+iとなる。
式(11-4)は、鍵復元情報Hdr=(C0,C1,C2)と、前記式(5),式(8),式(9)とに基づいて、C0,C1,Diに式を代入したものである。
式(11-5)は、式(11-4)の分子の総和Σにおいて、PN+1−iを分離したものである。
式(11-6)は、双線形写像eの性質に基づいて、式(11-5)を変形したものである。なお、ここでは、双線形写像eが、e(P,Q+R)=e(P,Q)e(P,R)という性質を有することを利用している。
式(11-5)は、式(11-4)の分子の総和Σにおいて、PN+1−iを分離したものである。
式(11-6)は、双線形写像eの性質に基づいて、式(11-5)を変形したものである。なお、ここでは、双線形写像eが、e(P,Q+R)=e(P,Q)e(P,R)という性質を有することを利用している。
式(11-7)は、前記式(2)と双線形写像eの性質とに基づいて、式(11-6)を変形したものである。なお、ここでは、双線形写像eが、e(aP,bQ)=e(P,Q)abという性質を有することを利用している。すなわち、式(11-6)のe(Pi,tPN+1−i)は、前記式(2)より、e(Pi,tPN+1−i)=e(αiP,tαN+1−iP)であることから、e(P,P)の(tαN+1)乗となる。
式(11-8)は、前記式(2)と双線形写像eの性質とに基づいて、式(11-7)を変形したものである。なお、ここでは、双線形写像eが、e(aP,bQ)=e(bP,aQ)という性質を有することを利用している。すなわち、式(11-7)の分母を、e(αi(Z),tP)と略記したとき、式(11-7)の分母は、e(αi(Z),tP)=e(t(Z),αiP)=e(t(Z),Pi)と、式(11-8)の分母に変形することができる。
式(11-9)は、式(11-8)を約分するとともに、双線形写像eの性質に基づいて、式(11-8)を変形したものである。なお、ここでは、双線形写像eが、e(P,Q)ab=e(aP,bQ)という性質を有することを利用している。
式(11-10)は、前記式(2)に基づいて、式(11-9)を変形したものである。
以上の変形で示したとおり、前記式(10)は、前記式(7)に示すe(PN,P1)tと一致するため、鍵復元手段52は、前記式(10)により、暗号鍵Kを復元することができる。
式(11-9)は、式(11-8)を約分するとともに、双線形写像eの性質に基づいて、式(11-8)を変形したものである。なお、ここでは、双線形写像eが、e(P,Q)ab=e(aP,bQ)という性質を有することを利用している。
式(11-10)は、前記式(2)に基づいて、式(11-9)を変形したものである。
以上の変形で示したとおり、前記式(10)は、前記式(7)に示すe(PN,P1)tと一致するため、鍵復元手段52は、前記式(10)により、暗号鍵Kを復元することができる。
図3に戻って、コンテンツ受信装置5の構成について説明を続ける。
コンテンツ復号手段53は、多重分離手段51で分離された暗号化コンテンツを、鍵復元手段52で復元された暗号鍵Kで復号するものである。
このコンテンツ復号手段53は、図2で説明したコンテンツ暗号化手段32の暗号化に対応した共通鍵暗号方式の復号を行うことで、暗号化コンテンツを、元のコンテンツとして復号する。
この復号されたコンテンツは、図示を省略した表示装置等に出力され、映像、音声として再生される。
コンテンツ復号手段53は、多重分離手段51で分離された暗号化コンテンツを、鍵復元手段52で復元された暗号鍵Kで復号するものである。
このコンテンツ復号手段53は、図2で説明したコンテンツ暗号化手段32の暗号化に対応した共通鍵暗号方式の復号を行うことで、暗号化コンテンツを、元のコンテンツとして復号する。
この復号されたコンテンツは、図示を省略した表示装置等に出力され、映像、音声として再生される。
以上説明したように、コンテンツ受信装置5を構成することで、コンテンツ受信装置5は、コンテンツ配信装置1から配信される暗号化コンテンツを、同じく配信される鍵復元情報と、予め配布されたコンテンツ受信装置5ごとの個別の鍵情報(公開鍵Pi、秘密鍵Diおよび鍵復元個別情報Ii)とを用いて復号することができる。
このように、限定受信システム100は、従来のように、すべてのユーザ識別子の集合を、コンテンツ配信装置1からコンテンツ受信装置5に伝送することなく、前記式(8)に示すように、計算した値のみを伝送すればよいため、伝送に使用する放送帯域の圧迫を抑えることができる。
また、限定受信システム100は、コンテンツ受信装置5に予め配布する公開鍵が、コンテンツ受信装置5ごとの個別の公開鍵のみであればよいため、従来のように、復号可能なユーザの公開鍵をすべて保持する必要がなく、コンテンツ受信装置5で使用する対タンパデバイスの容量を抑えることができる。
また、限定受信システム100は、コンテンツ受信装置5に予め配布する公開鍵が、コンテンツ受信装置5ごとの個別の公開鍵のみであればよいため、従来のように、復号可能なユーザの公開鍵をすべて保持する必要がなく、コンテンツ受信装置5で使用する対タンパデバイスの容量を抑えることができる。
[限定受信システムの動作]
次に、図4〜図8を参照して、本発明の第1実施形態に係る限定受信システム100の動作について説明する。以下、限定受信システム100を構成するコンテンツ配信装置1の動作、コンテンツ受信装置5の動作について順に説明する。
次に、図4〜図8を参照して、本発明の第1実施形態に係る限定受信システム100の動作について説明する。以下、限定受信システム100を構成するコンテンツ配信装置1の動作、コンテンツ受信装置5の動作について順に説明する。
[コンテンツ配信装置の動作]
最初に、図4を参照(構成については適宜図2参照)して、コンテンツ配信装置1の動作について説明する。
最初に、図4を参照(構成については適宜図2参照)して、コンテンツ配信装置1の動作について説明する。
まず、コンテンツ配信装置1は、鍵発行手段10(パラメータ入力手段11)によって、セキュリティパラメータと、限定受信システム100におけるユーザ数とを入力する(ステップS1)。
そして、コンテンツ配信装置1は、鍵発行手段10によって、公開情報と秘密情報とを生成する(ステップS2)。このステップS2の鍵発行手段10における公開情報・秘密情報生成動作については、後で詳細に説明する。
そして、コンテンツ配信装置1は、鍵発行手段10によって、公開情報と秘密情報とを生成する(ステップS2)。このステップS2の鍵発行手段10における公開情報・秘密情報生成動作については、後で詳細に説明する。
そして、コンテンツ配信装置1は、暗号鍵・鍵復元情報生成手段20(ユーザ識別子入力手段22)によって、コンテンツを復号可能なユーザを識別するユーザ識別子の集合を入力する(ステップS3)。
そして、コンテンツ配信装置1は、暗号鍵・鍵復元情報生成手段20によって、コンテンツを暗号化するための暗号鍵と、その暗号鍵をコンテンツ受信装置5で復元するための情報である鍵復元情報を生成する(ステップS4)。このステップS4の暗号鍵・鍵復元情報生成手段20における暗号鍵・鍵復元情報生成動作については、後で詳細に説明する。
その後、コンテンツ配信装置1は、コンテンツ入力手段31によって、暗号化対象のコンテンツを入力する(ステップS5)。
そして、コンテンツ配信装置1は、コンテンツ暗号化手段32によって、入力されたコンテンツを、ステップS4で生成された暗号鍵で暗号化する(ステップS6)。
そして、コンテンツ配信装置1は、コンテンツ暗号化手段32によって、入力されたコンテンツを、ステップS4で生成された暗号鍵で暗号化する(ステップS6)。
そして、コンテンツ配信装置1は、多重化手段40によって、ステップS4で生成された鍵復元情報と、ステップS6で生成された暗号化コンテンツとを多重化して、伝送路(放送波W、ネットワークNt)を介して、コンテンツ受信装置5に配信する(ステップS7)。
〔ステップS2の詳細:公開情報・秘密情報生成動作〕
次に、図5を参照(適宜図2参照)して、図4のステップS2の動作について詳細に説明する。
次に、図5を参照(適宜図2参照)して、図4のステップS2の動作について詳細に説明する。
まず、コンテンツ配信装置1は、基本情報生成手段12によって、素数qと、その素数qを位数とする巡回群G,GTを選択する(ステップS20)。また、コンテンツ配信装置1は、基本情報生成手段12によって、ステップS20で選択された巡回群GおよびGTが、G×G→GTとなる双線形写像eを選択する(ステップS21)。
そして、コンテンツ配信装置1は、基本情報生成手段12によって、ステップS21で選択された巡回群Gの中からランダムに1つの生成元Pを選択する(ステップS22)。
そして、コンテンツ配信装置1は、基本情報生成手段12によって、Zq *の原始元αを選択する(ステップS23)。
さらに、コンテンツ配信装置1は、基本情報生成手段12によって、Zqから乱数γをランダムに選択する(ステップS24)。
そして、コンテンツ配信装置1は、基本情報生成手段12によって、Zq *の原始元αを選択する(ステップS23)。
さらに、コンテンツ配信装置1は、基本情報生成手段12によって、Zqから乱数γをランダムに選択する(ステップS24)。
そして、コンテンツ配信装置1は、公開情報生成手段13によって、ステップS22で選択された生成元Pと、ステップS24で選択された乱数γとから、前記式(1)により、公開情報の一部となるQを計算する(ステップS25)。
また、コンテンツ配信装置1は、公開情報生成手段13によって、ステップS22で選択された生成元Pと、ステップS23で選択された原始元αとから、前記式(2)により、公開情報の一部となる公開鍵情報Pi(i=1,2,…,N,N+2,…,2N)を計算する(ステップS26)。ただし、Nは、図4のステップS1で入力されたユーザ数である。
そして、コンテンツ配信装置1は、公開情報生成手段13によって、前記式(3)に示す公開情報PKを生成する(ステップS27)。そして、公開情報生成手段13は、生成した公開情報PKを公開情報記憶手段15に記憶する。
そして、コンテンツ配信装置1は、公開情報生成手段13によって、前記式(3)に示す公開情報PKを生成する(ステップS27)。そして、公開情報生成手段13は、生成した公開情報PKを公開情報記憶手段15に記憶する。
また、コンテンツ配信装置1は、秘密情報生成手段14によって、ステップS24で選択された乱数γと、ステップS26で生成された公開情報の一部であるPi(i=1,2,…,N)とから、前記式(4)により、秘密情報となる秘密鍵Di(i=1,2,…,N)を生成する(ステップS28)。
さらに、コンテンツ配信装置1は、秘密情報生成手段14によって、ステップS23で選択された原始元αと、ステップS26で生成された公開情報の一部であるPN+1−i(i=1,2,…,N)とから、前記式(6)により、秘密情報となる鍵復元個別情報Ii(i=1,2,…,N)を生成する(ステップS29)。
そして、秘密情報生成手段14は、生成した秘密鍵Diおよび鍵復元個別情報Ii(i=1,2,…,N)を秘密情報記憶手段16に記憶する。
そして、秘密情報生成手段14は、生成した秘密鍵Diおよび鍵復元個別情報Ii(i=1,2,…,N)を秘密情報記憶手段16に記憶する。
〔ステップS4の詳細:暗号鍵・鍵復元情報生成動作〕
次に、図6を参照(適宜図2参照)して、図4のステップS4の動作について詳細に説明する。
次に、図6を参照(適宜図2参照)して、図4のステップS4の動作について詳細に説明する。
まず、コンテンツ配信装置1は、暗号鍵生成手段21によって、公開情報PKとして公開されている素数qに基づいて、{0,…,q−1}の整数の集合Zqから乱数tをランダムに選択する(ステップS40)。
そして、コンテンツ配信装置1は、暗号鍵生成手段21によって、ステップS40で選択された乱数tと、公開情報PKとして公開されているP1およびPNと、双線形写像eとから、前記式(7)により、暗号鍵Kを生成する(ステップS41)。
そして、コンテンツ配信装置1は、暗号鍵生成手段21によって、ステップS40で選択された乱数tと、公開情報PKとして公開されているP1およびPNと、双線形写像eとから、前記式(7)により、暗号鍵Kを生成する(ステップS41)。
また、コンテンツ配信装置1は、鍵復元情報生成手段23によって、公開情報PKと、図4のステップS3で入力された、コンテンツを復号可能なユーザを識別するユーザ識別子の集合Sとから、前記式(9)により、復号情報Uを生成する(ステップS42)。
そして、コンテンツ配信装置1は、鍵復元情報生成手段23によって、ステップS40で選択された乱数tと、公開情報PKとして公開されているP,Qと、ステップS42で生成した復号情報Uとから、前記式(8)により、鍵復元情報Hdrを生成する(ステップS43)。
そして、コンテンツ配信装置1は、鍵復元情報生成手段23によって、ステップS40で選択された乱数tと、公開情報PKとして公開されているP,Qと、ステップS42で生成した復号情報Uとから、前記式(8)により、鍵復元情報Hdrを生成する(ステップS43)。
[コンテンツ受信装置の動作]
次に、図7を参照(構成については適宜図3参照)して、コンテンツ受信装置5の動作について説明する。なお、鍵情報記憶手段50には、予め放送事業者から配布されたコンテンツ受信装置5ごとの個別の公開鍵、秘密鍵、鍵復元個別情報が記憶されているものとする。
次に、図7を参照(構成については適宜図3参照)して、コンテンツ受信装置5の動作について説明する。なお、鍵情報記憶手段50には、予め放送事業者から配布されたコンテンツ受信装置5ごとの個別の公開鍵、秘密鍵、鍵復元個別情報が記憶されているものとする。
まず、コンテンツ受信装置5は、多重分離手段51によって、伝送路(放送波W、ネットワークNt)を介して受信した多重化データから、暗号化コンテンツと、鍵復元情報とを分離する(ステップS100)。
そして、コンテンツ受信装置5は、鍵復元手段52によって、ステップS100で分離された鍵復元情報と、鍵情報記憶手段50に記憶されている鍵情報とから、暗号鍵を復号する(ステップS101)。
すなわち、鍵復元手段52は、分離した鍵復元情報がHdr=(C0,C1,C2)であり、鍵情報記憶手段50に記憶されている鍵復元個別情報がIi=(B0,B1)であるとき、鍵情報記憶手段50に記憶されている公開鍵Piと秘密鍵Diと双線形写像eとにより、前記式(10)により、暗号鍵Kを復元する。
すなわち、鍵復元手段52は、分離した鍵復元情報がHdr=(C0,C1,C2)であり、鍵情報記憶手段50に記憶されている鍵復元個別情報がIi=(B0,B1)であるとき、鍵情報記憶手段50に記憶されている公開鍵Piと秘密鍵Diと双線形写像eとにより、前記式(10)により、暗号鍵Kを復元する。
そして、コンテンツ受信装置5は、コンテンツ復号手段53によって、ステップS100で分離された暗号化コンテンツを、ステップS101で復元された暗号鍵Kで復号する(ステップS102)。
そして、コンテンツ受信装置5は、コンテンツ復号手段53によって、復号されたコンテンツを外部に出力する(ステップS103)。
そして、コンテンツ受信装置5は、コンテンツ復号手段53によって、復号されたコンテンツを外部に出力する(ステップS103)。
≪第2実施形態≫
[限定受信システムの概略]
次に、図8を参照して、本発明の第2実施形態に係る限定受信システム100Bの概略について説明する。
[限定受信システムの概略]
次に、図8を参照して、本発明の第2実施形態に係る限定受信システム100Bの概略について説明する。
図1で説明した第1実施形態の限定受信システム100では、公開情報および秘密情報を、コンテンツ配信装置1で生成する形態であった。
しかし、この第2実施形態では、別途、鍵発行装置によって、公開情報および秘密情報を生成し、発行する。
しかし、この第2実施形態では、別途、鍵発行装置によって、公開情報および秘密情報を生成し、発行する。
図8に示すように、限定受信システム100Bは、コンテンツ配信装置1Bと、コンテンツ受信装置5,5,…と、鍵発行装置7と、を備える。
この限定受信システム100Bは、インターネット、専用IP回線等のネットワークNt、または、放送波Wによって、コンテンツ配信装置1Bからコンテンツ受信装置5へ、コンテンツを配信する。
この限定受信システム100Bは、インターネット、専用IP回線等のネットワークNt、または、放送波Wによって、コンテンツ配信装置1Bからコンテンツ受信装置5へ、コンテンツを配信する。
また、限定受信システム100Bは、ネットワークNtに接続された鍵発行装置7によって、公開情報および秘密情報を発行する。この鍵発行装置7は、例えば、図8に示すように、鍵管理センタの設備として配置される。
なお、限定受信システム100Bにおけるコンテンツ受信装置5は、公開情報、秘密情報の配信(配布)元が、鍵発行装置7に代わる以外、第1実施形態と同様であるため、説明を省略する。
なお、限定受信システム100Bにおけるコンテンツ受信装置5は、公開情報、秘密情報の配信(配布)元が、鍵発行装置7に代わる以外、第1実施形態と同様であるため、説明を省略する。
[鍵発行装置の構成]
ここで、図9を参照して、鍵発行装置7の構成について説明する。
図9に示すように、鍵発行装置7は、パラメータ入力手段11と、基本情報生成手段12と、公開情報生成手段13と、秘密情報生成手段14と、公開情報記憶手段15と、秘密情報記憶手段16と、を備える。
ここで、図9を参照して、鍵発行装置7の構成について説明する。
図9に示すように、鍵発行装置7は、パラメータ入力手段11と、基本情報生成手段12と、公開情報生成手段13と、秘密情報生成手段14と、公開情報記憶手段15と、秘密情報記憶手段16と、を備える。
すなわち、鍵発行装置7は、図2で説明したコンテンツ配信装置1の鍵発行手段10を、別途、独立した装置として構成したものであって、鍵発行装置7の各手段は、図2で説明したコンテンツ配信装置1の鍵発行手段10の各手段と同一である。よって、ここでは、説明を省略する。ただし、公開情報記憶手段15に記憶される公開情報PKは、コンテンツ配信装置1Bに配信(配布)される。
[コンテンツ配信装置の構成]
次に、図10を参照して、コンテンツ配信装置1Bの構成について説明する。
図10に示すように、コンテンツ配信装置1Bは、暗号鍵・鍵復元情報生成手段20Bと、暗号化手段30と、多重化手段40と、を備える。
なお、暗号化手段30および多重化手段40は、図2で説明したコンテンツ配信装置1と同じ構成であるため、同一の符号を付して説明を省略する。
次に、図10を参照して、コンテンツ配信装置1Bの構成について説明する。
図10に示すように、コンテンツ配信装置1Bは、暗号鍵・鍵復元情報生成手段20Bと、暗号化手段30と、多重化手段40と、を備える。
なお、暗号化手段30および多重化手段40は、図2で説明したコンテンツ配信装置1と同じ構成であるため、同一の符号を付して説明を省略する。
暗号鍵・鍵復元情報生成手段20Bは、コンテンツを暗号化するための暗号鍵と、鍵発行装置7で発行される鍵情報(公開鍵、秘密鍵、鍵復元個別情報)以外に、暗号鍵をコンテンツ受信装置5で復元するための情報である鍵復元情報とを生成するものである。
ここでは、暗号鍵・鍵復元情報生成手段20Bは、暗号鍵生成手段21と、ユーザ識別子入力手段22と、鍵復元情報生成手段23と、公開情報記憶手段24と、を備える。
ここでは、暗号鍵・鍵復元情報生成手段20Bは、暗号鍵生成手段21と、ユーザ識別子入力手段22と、鍵復元情報生成手段23と、公開情報記憶手段24と、を備える。
ここで、公開情報記憶手段24以外の構成は、公開情報PKの参照先が、図2で説明したコンテンツ配信装置1の公開情報記憶手段15の代わりに、公開情報記憶手段24となった以外は、図2の暗号鍵・鍵復元情報生成手段20と同じ構成であるため、同一の符号を付して説明を省略する。
公開情報記憶手段24は、コンテンツ配信装置1Bの公開情報生成手段13で生成された公開情報PK(前記式(3)参照)を記憶するものである。この公開情報記憶手段24は、一般的な半導体メモリ、ハードディスク等の記憶媒体で構成される。
この公開情報記憶手段24は、図示を省略した通信手段によって、ネットワークNtを介して、公開情報を取得して記憶するものであってもよいし、外部からオフラインで、公開情報を記憶するものであってもよい。
この公開情報記憶手段24は、図示を省略した通信手段によって、ネットワークNtを介して、公開情報を取得して記憶するものであってもよいし、外部からオフラインで、公開情報を記憶するものであってもよい。
また、限定受信システム100Bの動作は、基本的に、限定受信システム100(図1参照)の動作と同じである。ただし、図4で説明した動作において、ステップS1,S2が、鍵発行装置7の動作となり、ステップS3〜S7が、コンテンツ配信装置1Bの動作となる。
以上、第2実施形態に係る限定受信システム100Bについて説明したが、限定受信システム100Bは、第1実施形態に係る限定受信システム100と同様の効果を奏する。
なお、各実施形態では、コンテンツ配信装置1,1B、コンテンツ受信装置5、鍵発行装置7を独立した装置として説明したが、各装置は、それぞれ、一般的なコンピュータを、前記した各手段として機能させるためのプログラムによって動作させることができる。
なお、各実施形態では、コンテンツ配信装置1,1B、コンテンツ受信装置5、鍵発行装置7を独立した装置として説明したが、各装置は、それぞれ、一般的なコンピュータを、前記した各手段として機能させるためのプログラムによって動作させることができる。
100 限定受信システム
1 コンテンツ配信装置
10 鍵発行装置
11 パラメータ入力手段
12 基本情報生成手段
13 公開情報生成手段
14 秘密情報生成手段
15 公開情報記憶手段
16 秘密情報記憶手段
20 暗号鍵・鍵復元情報生成手段
21 暗号鍵生成手段
22 ユーザ識別子入力手段
23 鍵復元情報生成手段
30 暗号化手段
31 コンテンツ入力手段
32 コンテンツ暗号化手段
40 多重化手段
5 コンテンツ受信手段
50 鍵情報記憶手段
51 多重分離手段
52 鍵復元手段
53 コンテンツ復号手段
7 鍵発行装置
1 コンテンツ配信装置
10 鍵発行装置
11 パラメータ入力手段
12 基本情報生成手段
13 公開情報生成手段
14 秘密情報生成手段
15 公開情報記憶手段
16 秘密情報記憶手段
20 暗号鍵・鍵復元情報生成手段
21 暗号鍵生成手段
22 ユーザ識別子入力手段
23 鍵復元情報生成手段
30 暗号化手段
31 コンテンツ入力手段
32 コンテンツ暗号化手段
40 多重化手段
5 コンテンツ受信手段
50 鍵情報記憶手段
51 多重分離手段
52 鍵復元手段
53 コンテンツ復号手段
7 鍵発行装置
Claims (6)
- 公開鍵放送型暗号方式における公開情報である、素数qを位数とする巡回群G,GTがG×G→GTとなる双線形写像eと、前記巡回群Gから選択された生成元Pと、当該限定受信システムのユーザ数をNとし、Zq *から選択された原始元αおよび前記生成元Pから計算された公開鍵情報Pi=αiP(i=1,2,…,N,N+2,…,2N)と、Zqから選択された乱数γと前記生成元Pの積Qと、を参照して、コンテンツ配信装置でコンテンツを暗号化して配信し、限定したコンテンツ受信装置で暗号化されたコンテンツを復号する限定受信システムであって、
前記コンテンツ配信装置は、
Zqから乱数tを選択し、前記公開情報から、暗号鍵Kを、K=e(PN,P1)tにより計算して生成する暗号鍵生成手段と、
前記乱数tと、前記公開情報と、ユーザ識別子の集合Sとから、鍵復元情報Hdrを、
前記暗号鍵生成手段で生成された暗号鍵Kにより、前記コンテンツを暗号化した暗号化コンテンツを生成するコンテンツ暗号化手段と、
このコンテンツ暗号化手段で生成された暗号化コンテンツと、前記鍵復元情報生成手段で生成された鍵復元情報とを多重化して配信用の多重化データとする多重化手段と、を備え、
前記コンテンツ受信装置は、
当該コンテンツ受信装置のユーザ識別子をiとしたとき、前記公開鍵情報の中で前記ユーザ識別子iに対応する公開鍵情報である公開鍵Piと、当該公開鍵PiとZqから選択された乱数γとの積である秘密鍵Diと、前記素数qの原始元αと前記公開鍵情報とから求められる鍵復元個別情報Ii=(αi,PN+1−i)とを予め記憶する鍵情報記憶手段と、
前記コンテンツ配信装置で多重化された多重化データから、前記暗号化コンテンツと前記鍵復元情報とを分離する多重分離手段と、
この多重分離手段で分離された鍵復元情報をHdr=(C0,C1,C2)、前記鍵情報記憶手段に記憶されている鍵復元個別情報をIi=(B0,B1)としたとき、前記公開鍵Pi、前記秘密鍵Di、前記双線形写像eを用いて、前記暗号鍵Kを、
この鍵復元手段で復元された暗号鍵Kにより、前記多重分離手段で分離された暗号化コンテンツを復号するコンテンツ復号手段と、
を備えることを特徴とする限定受信システム。 - 公開鍵放送型暗号方式における公開情報である、素数qを位数とする巡回群G,GTがG×G→GTとなる双線形写像eと、前記巡回群Gから選択された生成元Pと、当該限定受信システムのユーザ数をNとし、Zq *から選択された原始元αおよび前記生成元Pから計算された公開鍵情報Pi=αiP(i=1,2,…,N,N+2,…,2N)と、Zqから選択された乱数γと前記生成元Pの積Qと、を参照して、コンテンツ配信装置でコンテンツを暗号化して配信し、限定したコンテンツ受信装置で暗号化されたコンテンツを復号する限定受信システムの前記コンテンツ配信装置であって、
Zqから乱数tを選択し、前記公開情報から、暗号鍵Kを、K=e(PN,P1)tにより計算して生成する暗号鍵生成手段と、
前記乱数tと、前記公開情報と、ユーザ識別子の集合Sとから、鍵復元情報Hdrを、
前記暗号鍵生成手段で生成された暗号鍵Kにより、前記コンテンツを暗号化した暗号化コンテンツを生成するコンテンツ暗号化手段と、
このコンテンツ暗号化手段で生成された暗号化コンテンツと、前記鍵復元情報生成手段で生成された鍵復元情報とを多重化して配信用の多重化データとする多重化手段と、
を備えることを特徴とするコンテンツ配信装置。 - 前記素数qを位数とする巡回群G,GTが、G×G→GTとなる双線形写像eと、前記巡回群Gから選択した前記生成元Pと、Zq *から選択した前記素数qの原始元αと、Zqから選択した乱数γと、を基本情報として生成する基本情報生成手段と、
前記ユーザ数Nと、前記基本情報とから、Q=γPを計算するとともに、Pi=αiP(i=1,2,…,N,N+2,…,2N)を計算し、(e,P,P1,…,PN,PN+2,…,P2N,Q)を前記公開情報として生成する公開情報生成手段と、
前記コンテンツ受信装置ごとの秘密情報として、前記乱数γと前記基本情報とから、秘密鍵Di=γPi(i=1,2,…,N)を計算するとともに、前記原始元αと前記基本情報とから、前記鍵復元個別情報Ii=(αi,PN+1−i)(i=1,2,…,N)を計算する秘密情報生成手段と、
をさらに備えることを特徴とする請求項2に記載のコンテンツ配信装置。 - 請求項2に記載のコンテンツ配信装置でコンテンツを暗号化して配信し、限定したコンテンツ受信装置で暗号化されたコンテンツを復号する限定受信システムの前記コンテンツ受信装置であって、
当該コンテンツ受信装置のユーザ識別子をiとしたとき、前記公開鍵情報の中で前記ユーザ識別子iに対応する公開鍵情報である公開鍵Piと、当該公開鍵Piと前記乱数γとの積である秘密鍵Diと、前記素数qの原始元αと前記公開鍵情報とから求められる鍵復元個別情報Ii=(αi,PN+1−i)とを予め記憶する鍵情報記憶手段と、
前記コンテンツ配信装置で多重化された多重化データから、前記暗号化コンテンツと前記鍵復元情報とを分離する多重分離手段と、
この多重分離手段で分離された鍵復元情報をHdr=(C0,C1,C2)、前記鍵情報記憶手段に記憶されている鍵復元個別情報をIi=(B0,B1)としたとき、前記公開鍵Pi、前記秘密鍵Di、前記双線形写像eを用いて、前記暗号鍵Kを、
この鍵復元手段で復元された暗号鍵Kにより、前記多重分離手段で分離された暗号化コンテンツを復号するコンテンツ復号手段と、
を備えることを特徴とするコンテンツ受信装置。 - コンピュータを、請求項2に記載のコンテンツ配信装置の各手段として機能させるためのコンテンツ配信プログラム。
- コンピュータを、請求項4に記載のコンテンツ受信装置の各手段として機能させるためのコンテンツ受信プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014084774A JP6275536B2 (ja) | 2014-04-16 | 2014-04-16 | 限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014084774A JP6275536B2 (ja) | 2014-04-16 | 2014-04-16 | 限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015204602A JP2015204602A (ja) | 2015-11-16 |
| JP6275536B2 true JP6275536B2 (ja) | 2018-02-07 |
Family
ID=54597802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014084774A Expired - Fee Related JP6275536B2 (ja) | 2014-04-16 | 2014-04-16 | 限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6275536B2 (ja) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4984827B2 (ja) * | 2006-10-30 | 2012-07-25 | ソニー株式会社 | 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法、およびプログラム |
| JP5457979B2 (ja) * | 2010-08-04 | 2014-04-02 | 日本放送協会 | 限定受信システム、メッセージ配信装置、メッセージ受信装置、メッセージ配信プログラムおよびメッセージ受信プログラム |
| US8483390B2 (en) * | 2011-09-30 | 2013-07-09 | Hong Kong Applied Science & Technology Research Institute Company, Ltd. | Systems and methods for broadcast encryption optimization and scalability |
| JP5677273B2 (ja) * | 2011-11-18 | 2015-02-25 | 三菱電機株式会社 | 暗号処理システム、暗号処理方法、暗号処理プログラム及び鍵生成装置 |
-
2014
- 2014-04-16 JP JP2014084774A patent/JP6275536B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015204602A (ja) | 2015-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101027199B1 (ko) | 키공유 시스템, 공유키 생성장치 및 공유키 복원장치 | |
| KR101795771B1 (ko) | 정수 기반 준동형 암호 기법에서 압축 암복호화를 제공하는 시스템 및 방법 | |
| JP5361920B2 (ja) | ファイルサーバシステム | |
| US20110307698A1 (en) | Masking the output of random number generators in key generation protocols | |
| JP4984827B2 (ja) | 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法、およびプログラム | |
| JP5883670B2 (ja) | 制御語を生成する方法および装置 | |
| JP6194886B2 (ja) | 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム | |
| KR20150073753A (ko) | 정수 기반 준동형 암호 기법에 일반적으로 적용 가능한 압축 암복호화 장치 및 방법 | |
| US7936874B2 (en) | Information transfer system, encryption device, and decryption device | |
| JP5492007B2 (ja) | コンテンツサーバ、コンテンツ受信装置、属性鍵発行サーバ、ユーザ鍵発行サーバ、アクセス制御システム、コンテンツ配信プログラムおよびコンテンツ受信プログラム | |
| CN101873214A (zh) | 广播加密中用于密钥生成、加密和解密的方法、设备 | |
| WO2007011071A1 (ja) | タイム装置、暗号化装置、復号化装置、暗号化/復号化システム | |
| JP2009302861A (ja) | 暗号文復号権限委譲システム | |
| KR100975038B1 (ko) | 브로드캐스트 암호화 시스템 및 그 방법 | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| JP5457979B2 (ja) | 限定受信システム、メッセージ配信装置、メッセージ受信装置、メッセージ配信プログラムおよびメッセージ受信プログラム | |
| JP2005198189A (ja) | 鍵更新方法、暗号システム、暗号サーバ、端末装置及び外部装置 | |
| KR101373577B1 (ko) | Id 기반 동적 임계 암호화 장치 및 그 방법 | |
| JP6275536B2 (ja) | 限定受信システム、ならびに、コンテンツ配信装置、コンテンツ受信装置およびそれらのプログラム | |
| JP2005176144A (ja) | 端末装置、通信システム及び通信方法 | |
| JP2007189597A (ja) | 暗号化装置および暗号化方法、並びに復号化装置および復号化方法 | |
| JP4875481B2 (ja) | 暗号化情報生成装置及びそのプログラム、秘密鍵生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム | |
| WO2010076899A1 (ja) | 放送型暗号システム、送信者装置、ユーザ装置、カプセル化/脱カプセル化方法 | |
| JP4485175B2 (ja) | 鍵共有システム、共有鍵生成装置及び共有鍵復元装置 | |
| JP2009171016A (ja) | 暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6275536 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |