WO2012161122A1

WO2012161122A1 - 放送通信連携受信装置およびリソース管理装置

Info

Publication number: WO2012161122A1
Application number: PCT/JP2012/062809
Authority: WO
Inventors: 大竹　剛; 小川　一人
Original assignee: 日本放送協会
Priority date: 2011-05-20
Filing date: 2012-05-18
Publication date: 2012-11-29
Also published as: US20140096154A1; EP2713297A4; JPWO2012161122A1; EP2713297A1

Abstract

　放送通信連携受信装置（７）は、放送データからアプリケーション起動情報を抽出するアプリケーション起動情報抽出手段（７２１）と、アプリケーション取得手段（７６）と、アプリケーション実行手段（７９）と、アプリケーション制御手段（７５）と、放送データから失効リストと検証鍵を抽出する失効リスト抽出手段（７４１）および検証鍵抽出手段（７４２）と、アプリケーションの事業者ＩＤが失効リストに記述されているかを検証する失効リスト検証手段（８１）と、アプリケーションの署名を検証する署名検証手段（８３）と、リソースを取得するリソース管理手段（８５）と、を備える。

Description

放送通信連携受信装置およびリソース管理装置

　本発明は、放送と通信とが連携したサービスを利用することができる放送通信連携受信装置およびリソース管理装置に関する。本願は、２０１１年５月２０日に、日本に出願された特願２０１１－１１４０７５号を優先権主張し、その内容をここに援用する。

　近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信とが連携した様々なサービス（以降、このようなサービスを「放送通信連携サービス」と呼ぶ）が検討されている。この放送通信連携サービスでは、放送番組等のコンテンツに関連する多様な情報を通信回線経由で取得し、放送と組み合わせて提示することが想定されている。また、受信端末（以下、放送通信連携受信装置という）では、このようなサービスを享受するため、サービスに適応したアプリケーションを用いる。ここで、「アプリケーション」とは、通信回線経由で取得した番組関連情報を放送番組等のコンテンツと組み合わせて提示する等の機能を有する、放送通信連携受信装置上で動作するソフトウェアのことを指す。

　なお、視聴者にとって、より魅力的なサービスを実現するためには、放送局が制作したアプリケーションだけでなく、様々な事業者が制作したアプリケーションを視聴者に提供できる環境が必要となる。一方、視聴者が提供されたアプリケーションを安心して利用できるようにするためには、アプリケーションを制作するサービス事業者を確認するとともに、アプリケーションの改ざんを防止する「アプリケーション認証」も必要である。

　一般に、アプリケーション認証は以下のように行われる。サービス事業者は、ユーザ（視聴者）からのリクエストに応じて、通信回線を経由してアプリケーションを視聴者の放送通信連携受信装置に送信する。このとき、サービス事業者が保持する署名鍵を用いて、アプリケーションにデジタル署名を付加して送信する。ユーザの放送通信連携受信装置は、検証鍵を用いて受信したアプリケーションに付加されている署名を検証する。

　なお、この手順はサービス事業者が直接ユーザの放送通信連携受信装置にアプリケーションを送信する場合であるが、サービス事業者以外の第三者が運営するアプリケーションサーバにサービス事業者が制作したアプリケーションを登録し、ユーザからのリクエストに応じてアプリケーションサーバから放送通信連携受信装置に送信するモデルも考えられる。すなわち、第三者が運営するアプリケーションサーバを用いる場合、サービス事業者は、アプリケーションを登録する際に、署名鍵を用いてアプリケーションにデジタル署名を付加してアプリケーションサーバに送信する。一方、アプリケーションサーバは、検証鍵を用いて受信したアプリケーションに付加されている署名を検証する。このようなデジタル署名を用いた認証には一般にＰＫＩ（Public Key Infrastructure）が用いられる（非特許文献１参照）。

情報セキュリティ技術ラボラトリー、"ＰＫＩ関連技術解説"、[online]、２００７年７月３日、独立行政法人情報処理推進機構、[平成２３年５月２０日検索]、インターネット<ＵＲＬ：http://www.ipa.go.jp/security/pki/>

　放送通信連携サービスにおいて、不正な動作を行うアプリケーションを制作するサービス事業者が存在した場合、当該サービス事業者が付加した署名、あるいは当該サービス事業者が保持する署名鍵を失効させるとともに、放送通信連携受信装置において実行されるアプリケーションが、放送局の管理するリソース（リソースＡＰＩサーバ）にアクセスすることを禁止する必要がある。ここで、放送局が管理するリソースとは、例えばアプリケーションが実行時に利用するメタデータやアイコン等のデータ、あるいはコンテンツのことを意味している。しかしながら、前記したＰＫＩでは、アプリケーションが放送局の管理するリソースにアクセスすることを制限する点については考慮されていなかった。

　本発明は、以上のような問題点に鑑みてなされたものであり、放送通信連携サービスにおいて、不正な動作を行うアプリケーションを失効させるとともに、当該アプリケーションが放送局の管理するリソースにアクセスすることを制限することができる放送通信連携受信装置およびリソース管理装置を提供することを課題とする。

　前記課題を解決するために請求項１に係る放送通信連携受信装置は、サービス事業者ごとのアプリケーションに付加する署名を検証する公開情報である検証鍵を生成する鍵生成装置と、サービス事業者固有の署名鍵を生成するとともに、失効した署名鍵に対応したサービス事業者の事業者ＩＤが記述された失効リストを生成する署名鍵生成装置と、署名鍵によってアプリケーションに署名を付加して放送通信連携受信装置に配信するアプリケーションサーバと、アプリケーションが実行中に利用するリソースを管理するリソース管理装置と、放送波を介して放送通信連携受信装置に放送データを送信する放送送信装置と、を含む放送通信連携システムに用いられる放送通信連携受信装置であって、アプリケーション起動情報抽出手段と、アプリケーション取得手段と、アプリケーション実行手段と、アプリケーション制御手段と、失効リスト抽出手段と、検証鍵抽出手段と、失効リスト検証手段と、署名検証手段と、リソース管理手段と、を備える構成とした。

　このような構成によれば、放送通信連携受信装置は、アプリケーション起動情報抽出手段によって、放送送信装置によって送信された放送データのトランスポートストリームに含まれるイベント情報テーブルから、アプリケーションを取得および制御するためのアプリケーション起動情報を抽出する。また、放送通信連携受信装置は、アプリケーション取得手段によって、アプリケーション起動情報に記述されたアプリケーションサーバのアドレスを参照し、当該アプリケーションサーバから、アプリケーションを取得し、アプリケーション実行手段によって、アプリケーションを実行する。また、放送通信連携受信装置は、アプリケーション制御手段によって、アプリケーション起動情報に記述された制御コードに従って、アプリケーション実行手段によって実行されるアプリケーションの起動状態を制御する。

　そして、放送通信連携受信装置は、失効リスト抽出手段と検証鍵抽出手段とによって、放送送信装置によって送信されたＤＳＭ－ＣＣデータカルーセルの所定のモジュールから、失効リストと検証鍵とを抽出する。また、放送通信連携受信装置は、失効リスト検証手段によって、アプリケーション取得手段によって取得されたアプリケーションを提供するサービス事業者の事業者ＩＤが失効リストに記述されているか否かを検証する。また、放送通信連携受信装置は、署名検証手段によって、失効リスト検証手段によって失効リストに記述されていないと判断された事業者ＩＤを有するアプリケーションについて、署名が付加されているか否か、および、当該署名が正当であるか否かを検証する。また、放送通信連携受信装置は、リソース管理手段によって、署名検証手段によって署名が正当であると判断されたアプリケーションがリソースを必要とする場合に、リソース管理装置から当該リソースを取得し、アプリケーション実行手段に割り当て、アプリケーション実行手段が、割り当てられたリソースを利用してアプリケーションを実行する。

　また、前記課題を解決するために請求項２に係るリソース管理装置は、サービス事業者ごとのアプリケーションに付加する署名を検証する公開情報である検証鍵を生成する鍵生成装置と、サービス事業者固有の署名鍵を生成するとともに、失効した署名鍵に対応したサービス事業者の事業者ＩＤが記述された失効リストを生成する署名鍵生成装置と、署名鍵によってアプリケーションに署名を付加して放送通信連携受信装置に配信するアプリケーションサーバと、アプリケーションが実行中に利用するリソースを管理するリソース管理装置と、放送波を介して放送通信連携受信装置に放送データを送信する放送送信装置と、を含む放送通信連携システムに用いられるリソース管理装置であって、リソース記憶手段と、失効リスト判定手段と、リソース出力手段と、を備える構成とした。

　このような構成によれば、リソース管理装置は、リソース記憶手段によってリソースを記憶し、失効リスト判定手段によって、リソースを要求するアプリケーションを提供するサービス事業者の事業者ＩＤが前記失効リストに記述されているか否かを判定する。そして、リソース管理手段は、リソース出力手段によって、失効リスト判定手段によって失効リストに記述されていないと判定された場合に、当該事業者ＩＤを有するアプリケーションを実行する放送通信連携受信装置に対して、リソースを出力する。

　請求項１に係る発明によれば、失効リスト検証手段によってアプリケーションに対応した事業者ＩＤが記述されているか否かを検証することができるため、例えば不正な動作を行うアプリケーションを任意に失効させることができる。また、請求項１に係る発明によれば、署名検証手段によってアプリケーションの署名を検証することで、放送通信連携システムにおける動作が保証されないアプリケーション（一般アプリ）を判別することができ、当該アプリケーションが放送局の管理するリソースにアクセスすることを制限することができる。

　請求項２に係る発明によれば、失効リストに従って、放送通信連携受信装置において実行されるアプリケーションが、放送局の管理するリソースを取得することを制限することができる。

本発明の実施形態に係る放送通信連携システムの構成を示すシステム構成図である。本発明の実施形態に係るリソース管理装置、鍵生成装置および署名鍵生成装置の構成を示す機能ブロック図である。本発明の実施形態に係るアプリケーションサーバの構成を示す機能ブロック図である。本発明の実施形態に係る放送通信連携受信装置の構成を示す機能ブロック図である。本発明の実施形態に係る放送通信連携受信装置の動作を示すフローチャートである。本発明の他の実施形態に係る放送通信連携システムの構成を示すシステム構成図である。

　本発明の実施形態について、図面を参照しながら説明する。なお、以下の説明において、同一の構成については同一の名称及び符号を付し、詳細説明を省略する。

［放送通信連携システムの構成］
　最初に、図１を参照しながら放送通信連携システムＳ１の構成について、説明を行う。放送通信連携システムＳ１は、ユーザに対して放送通信連携受信装置７を介して放送通信連携サービスを提供するものである。放送通信連携システムＳ１は、ここでは図１に示すように、放送局内に備えられた放送送信装置１、リソース管理装置２、鍵生成装置３および署名鍵生成装置４と、サービス事業者Ａ内に備えられたアプリケーションサーバ５と、サービス事業者Ｂ内に備えられたアプリケーションサーバ６と、ユーザ宅内に備えられた（あるいは、ユーザが携帯する）放送通信連携受信装置７と、が含まれる。

　放送送信装置１、リソース管理装置２、鍵生成装置３および署名鍵生成装置４と、アプリケーションサーバ５と、アプリケーションサーバ６と、放送通信連携受信装置７とは、図１に示すように、通信回線Ｎ（インターネット、外部ネットワーク）を介して相互に接続されている。また、図示は省略したが、放送送信装置１、リソース管理装置２、鍵生成装置３および署名鍵生成装置４は、放送局の専用通信回線（内部ネットワーク）を介して相互に接続されている。なお、ここでは、説明を簡略化するためにアプリケーションサーバ５，６をそれぞれ１台ずつ図示しているが、これらは通信回線Ｎに複数接続されていることはいうまでもない。

　放送通信連携システムＳ１は、図１に示すように、ユーザが利用する放送通信連携受信装置７に対して、コンテンツと、当該コンテンツに関連したアプリケーションと、を提供する。そして、放送通信連携システムＳ１は、後記するようにＩＤベース署名方式を用いてアプリケーション認証を行ったアプリケーションをＡアプリとして放送通信連携受信装置７に提供し、アプリケーション認証を行っていないアプリケーションを一般アプリとして放送通信連携受信装置７に提供する。

　放送送信装置１は、放送通信連携受信装置７に対して、放送波Ｗを介して放送番組等のコンテンツが含まれる放送データを送信するものである。また、放送送信装置１は、図１に示すように、コンテンツとともに、署名鍵生成装置４によって生成された失効リストと、鍵生成装置３によって生成された検証鍵とを、放送データの中に含めて放送通信連携受信装置７に送信する。ここで、失効リストとは、失効した署名鍵に対応したサービス事業者Ａの事業者ＩＤが記述されたリストである。

　放送送信装置１は、具体的には、前記した失効リストおよび検証鍵をＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納して放送通信連携受信装置７に送信する。その際、放送送信装置１は、失効リストと検証鍵の伝送用カルーセルのコンポーネントタグおよびモジュールを固定して送信することが好ましい。これにより、放送通信連携受信装置７は、予め判明しているコンポーネントタグおよびモジュールＩＤに基づいて、ＤＳＭ－ＣＣデータカルーセルから失効リストおよび検証鍵を容易かつ確実に抽出することができる。

　また、放送送信装置１は、放送通信連携受信装置７に対して、アプリケーション起動情報を提供する。ここで、アプリケーション起動情報とは、アプリケーションの識別子（ＩＤ）、アプリケーションの配置場所（アドレス）等のアプリケーションを特定するための情報、ならびに、当該アプリケーションを制御するための付加的な情報を含んだデータである。

　放送送信装置１は、具体的には放送データであるＭＰＥＧ－２のＴＳ（Transport Stream：トランスポートストリーム）に含まれるＳＩ（Service Information）テーブルにおける、ＥＩＴ（Event Information Table：イベント情報テーブル）のｐ／ｆ領域にアプリケーション起動情報を記述し、放送通信連携受信装置７に送信する。なお、ＥＩＴとは、番組名、番組内容、出演者、番組のジャンル等が記述されたテーブルのことであり、ｐ／ｆ領域とは、ＥＩＴにおいて、現在放送中の番組（コンテンツ）と次に放送予定の番組とが記述された領域のことである。これにより、放送通信連携受信装置７によって、現在放送中のコンテンツと次に放送予定のコンテンツとで用いられるアプリケーションを容易に取得および制御することができる。

　ここで、放送送信装置１が放送通信連携受信装置７に対して失効リストを送信する周期は、例えば１週間に一度の送信でもよく、あるいは、失効リストに記載された事業者ＩＤが更新される度に送信してもよい。

　リソース管理装置（リソース提供装置）２は、放送通信連携受信装置７において実行されるアプリケーションによって利用されるリソースを管理（記憶）し、放送通信連携受信装置７に対して当該リソースを提供するものである。このリソース管理装置２の具体的構成については後記する。

　鍵生成装置３は、署名鍵を生成するためのマスタ鍵と、署名を検証するための検証鍵とを生成し、管理（記憶）するものである。なお、鍵生成装置３が生成した検証鍵は、例えば放送波Ｗを介して放送通信連携受信装置７に配布されるものとする。この鍵生成装置３の具体的構成については後記する。

　署名鍵生成装置４は、アプリケーションに署名を付加する際に使用する署名鍵を生成するとともに、失効した署名鍵に対応したサービス事業者Ａの事業者ＩＤが記述された失効リストを生成するものである。なお、署名鍵生成装置４が生成する署名鍵は、漏洩等を考慮してオフラインでサービス事業者Ａ（アプリケーションサーバ５）に配布されるものとする。この署名鍵生成装置４の具体的構成については後記する。

　アプリケーションサーバ５は、放送通信連携受信装置７に対して、Ａアプリを提供するものである。ここで、Ａ（Authorized）アプリ（あるいは公認アプリ）とは、ＩＤベース署名方式によって署名が付加されたアプリケーションであり、放送局によって提供元が確認されたアプリケーションのことを意味している。なお、ＩＤベース署名とは、任意の文字列（ここではアプリケーションの事業者ＩＤ）を公開鍵とすることができる電子署名であり、具体的には、次の文献（“Identity-Based Cryptosystems and Signature Schemes”，Proc. of CRYPTO’84，LNCS 196，pp. 47-53，Springer-Verlag，1984.）に記載された方法を用いることができる。

　Ａアプリは、放送通信連携システムＳ１における動作が保証されており、後記するように、放送局が管理するリソースを利用することができる。Ａアプリの例としては、例えば放送局が提供する放送番組の中で用いられるアプリケーション等が挙げられる。そのため、アプリケーションサーバ５は、ここでは図１に示すように、アプリケーションに署名を付加して送信する署名生成装置５０を備えている。この署名生成装置５０の具体的構成については後記する。

　アプリケーションサーバ６は、放送通信連携受信装置７に対して、一般アプリを提供するものである。ここで、一般アプリ（あるいは非公認アプリ）とは、署名が付加されていないアプリケーションであり、放送局によって提供元が確認されていないアプリケーションのことを意味している。

　一般アプリは、放送通信連携システムＳ１における動作が保証されておらず、後記するように、放送局が管理するリソースを利用することができない。一般アプリの例としては、例えば放送局とは関係しない第三者（サービス事業者Ｂ）が独自に製作した、テレビ画面上で時刻を知らせる時計アプリや、株価を知らせる株価アプリ等が挙げられる。そのため、アプリケーションサーバ６は、ここでは図１に示すように、アプリケーションに署名を付加することなく、放送通信連携受信装置７に送信する。

　放送通信連携受信装置７は、放送送信装置１から、放送波Ｗを介して放送番組等のコンテンツと、失効リストと、検証鍵と、が含まれる放送データを受信するものである。また、放送通信連携受信装置７は、アプリケーションサーバ５からＡアプリを受信し、アプリケーションに付加された署名を検証鍵で検証（認証）するとともに、アプリケーションサーバ６から一般アプリを受信するものである。放送通信連携受信装置７は、放送通信連携サービスを享受することが可能な、例えば、テレビ受像機、パーソナルコンピュータ等である。この放送通信連携受信装置７の具体的構成については後記する。

（リソース管理装置の構成）
　リソース管理装置２は、ここでは図２に示すように、リソース記憶手段２１と、失効リスト判定手段２２と、リソース出力手段２３と、を備えている。

　リソース記憶手段２１は、放送通信連携受信装置７において実行されるアプリケーションによって利用されるリソース（メタデータ、アイコン等のデータまたはコンテンツ等）を記憶するものである。リソース記憶手段２１は、図２に示すように、Ａアプリによって利用されるリソースを予め記憶し、リソース出力手段２３に対して出力可能に構成されている。なお、リソース記憶手段２１は、具体的には、データを記憶することができるメモリ、ハードディスク等で具現される。

　失効リスト判定手段２２は、リソースを要求するアプリケーションに対応した事業者ＩＤが失効リストに記述されているか否かを判定するものである。失効リスト判定手段２２には、図２に示すように、署名鍵生成装置４の失効リスト生成手段４５から、失効リストが入力される。そして、失効リスト判定手段２２は、図２に示すように、放送通信連携受信装置７から、リソース要求と、当該リソースを利用するアプリケーションの事業者ＩＤが入力されると、当該事業者ＩＤが失効リストに記述されているか否かを判定し、その判定結果をリソース出力手段２３に出力する。

　リソース出力手段２３は、放送通信連携受信装置７に対してリソースを出力するものである。リソース出力手段２３は、具体的には図２に示すように、失効リスト判定手段２２から「失効リストに事業者ＩＤが記述されていない」という判定結果が入力された場合、リソース記憶手段２１から該当するアプリケーションで利用されるリソースを読み出し、放送通信連携受信装置７に出力する。一方、リソース出力手段２３は、図２に示すように、失効リスト判定手段２２から「失効リストに事業者ＩＤが記述されている」という判定結果が入力された場合、リソース記憶手段２１から該当するアプリケーションで利用されるリソースを読み出さない。これにより、リソース管理装置２は、失効リストに従って、放送通信連携受信装置７において実行されるアプリケーションが、放送局の管理するリソースを取得することを制限することができる。

（鍵生成装置の構成）
　鍵生成装置３は、ここでは図２に示すように、鍵生成手段３１と、検証鍵管理手段３２と、マスタ鍵管理手段３３と、を備えている。なお、鍵生成装置３と、署名鍵生成装置４とは、図示を省略した通信インターフェースによって通信可能に接続されているものとする。

　鍵生成手段３１は、マスタ鍵と検証鍵を生成するものである。鍵生成手段３１は、ここではＩＤベース署名方式によってマスタ鍵と検証鍵とを生成する。そして、鍵生成手段３１は、生成した検証鍵を検証鍵管理手段３２に出力し、生成したマスタ鍵をマスタ鍵管理手段３３に出力する。

　検証鍵管理手段３２は、鍵生成手段３１で生成された検証鍵を記憶し、管理するものである。具体的には、検証鍵管理手段３２は、鍵生成手段３１で生成された検証鍵を、図示を省略した記憶媒体に書き込み、要求に応じて読み出す。また、検証鍵管理手段３２は、検証鍵を放送通信連携受信装置７に配布する際に、操作者の指示により記憶媒体から検証鍵を読み出す。このように読み出された検証鍵は、例えば放送送信装置１から、前記したＤＳＭ－ＣＣデータカルーセルを用いて、放送波Ｗを介して放送通信連携受信装置７に配布される。但し、検証鍵管理手段３２は、例えばＩＣカード等に検証鍵を書き込んでオフラインで放送通信連携受信装置７に配布しても構わない。

　マスタ鍵管理手段３３は、鍵生成手段３１で生成されたマスタ鍵を記憶し、管理するものである。具体的には、マスタ鍵管理手段３３は、鍵生成手段３１で生成されたマスタ鍵を、図示を省略した記憶媒体に書き込み、要求に応じて読み出す。

（署名鍵生成装置の構成）
　署名鍵生成装置４は、ここでは図２に示すように、パラメータ入力手段４１と、署名鍵生成手段４２と、署名鍵管理手段４３と、署名鍵出力手段４４と、失効リスト生成手段４５と、を備えている。

　パラメータ入力手段４１は、署名鍵と失効リストを生成するための種々のパラメータを入力するものである。パラメータ入力手段４１には、ここでは図示を省略した入力手段から更新種別および事業者ＩＤ（サービス事業者識別子）が入力され、図２に示すように、鍵生成装置３からマスタ鍵および検証鍵が入力される。

　ここで、更新種別は、署名鍵の発行、失効の処理内容の指示を示す種別情報である。例えば、以下の表１のように、更新種別の値に対して、処理内容として、署名鍵の発行、失効を割り当てる。

　事業者ＩＤは、サービス事業者を一意に特定するために予め定めた識別子である。この事業者ＩＤは、予め定めた数（例えば、“１”）からの連続番号であって、新たなサービス事業者を登録する場合、現在の事業者ＩＤの最大値に“１”を加算した値とする。パラメータ入力手段４１は、図２に示すように、入力された更新種別、事業者ＩＤ、マスタ鍵および検証鍵を、署名鍵生成手段４２に出力する。

　署名鍵生成手段４２は、パラメータ入力手段４１において入力された更新種別、事業者ＩＤ、マスタ鍵および検証鍵に基づいて、ＩＤベース署名方式によって署名鍵を生成するものである。そして署名鍵生成手段４２は、更新種別が“１〔署名鍵発行〕”の場合、生成した署名鍵を署名鍵管理手段４３に出力する。また、署名鍵生成手段４２は、更新種別が“２（署名鍵失効）”の場合、署名鍵を生成せずに、入力された事業者ＩＤ（失効させたい事業者ＩＤ）を失効リスト生成手段４５に出力する。

　署名鍵管理手段４３は、署名鍵生成手段４２で生成された署名鍵を記憶し、管理するものである。署名鍵管理手段４３は、具体的には署名鍵生成手段４２で生成された署名鍵と事業者ＩＤを署名鍵出力手段４４に出力するとともに、図示を省略した記憶媒体に書き込み、要求に応じて読み出す。

　署名鍵出力手段４４は、署名鍵管理手段４３の指示に基づいて、署名鍵と事業者ＩＤをアプリケーションサーバ５に送信するものである。

　失効リスト生成手段４５は、失効させたい署名鍵を特定する失効リスト（ＣＲＬ）を生成するものである。失効リスト生成手段４５は、ここでは前記した更新種別が“２（署名鍵失効）”の場合、個別に失効させたい事業者ＩＤを失効リストに記述する。そして、失効リスト生成手段４５は、図２に示すように、生成した失効リストを放送送信装置１と、リソース管理装置２の失効リスト判定手段２２と、に出力する。

（署名生成装置の構成）
　署名生成装置５０は、署名鍵生成装置４によって生成された署名鍵を用いて、アプリケーションに署名を付加するものである。署名生成装置５０は、ここでは図３に示すように、署名鍵入力手段５１と、アプリケーション入力手段５２と、署名付加手段５３と、アプリケーション送信手段５４と、を備えている。

　署名鍵入力手段５１は、署名鍵生成装置４によって生成された署名鍵を入力するものである。署名鍵入力手段５１は、図３に示すように、入力した署名鍵を署名付加手段５３に出力する。

　アプリケーション入力手段５２は、外部からアプリケーションを入力するものである。このアプリケーション入力手段５２は、例えば、サービス事業者内部のネットワークを介してアプリケーションを受信するものであってもよいし、記憶媒体に書き込まれたアプリケーションを読み出すものであってもよい。アプリケーション入力手段５２は、図３に示すように、入力したアプリケーションを署名付加手段５３に出力する。

　署名付加手段５３は、アプリケーション入力手段５２で入力したアプリケーションに、署名鍵を用いて、デジタル署名（ＩＤベース署名）を付加するものである。そして、署名付加手段５３は、図２に示すように、署名を付加したアプリケーションをアプリケーション送信手段５４に出力する。

　アプリケーション送信手段５４は、署名付加手段５３で署名が付加されたＡアプリ（署名付きアプリケーション）を、通信回線Ｎを介して放送通信連携受信装置７に送信するものである。

（放送通信連携受信装置の構成）
　次に、図４を参照（適宜図１参照）しながら、放送通信連携受信装置７の構成について、詳細に説明する。放送通信連携受信装置７は、図４に示すように、放送受信手段７１と、放送信号解析手段７２と、映像・音声復号手段７３と、データ放送復号手段７４と、アプリケーション制御手段７５と、アプリケーション取得手段７６と、通信送受信手段７７と、アプリケーション記憶手段７８と、アプリケーション実行手段７９と、合成表示手段８０と、失効リスト検証手段８１と、失効リスト記憶手段８２と、署名検証手段８３と、検証鍵記憶手段８４と、を備えている。

　放送受信手段７１は、放送波Ｗを介して、放送送信装置１から放送データを受信するものである。放送受信手段７１は、具体的には、放送送信装置１から放送データを受信、復調し、誤り訂正やＴＭＣＣ（Transmission and Multiplexing Configuration Control）復号等の復号を行い、図１に示すように、これをＭＰＥＧ－２のＴＳ（Transport Stream：トランスポートストリーム）として放送信号解析手段７２に出力する。

　放送信号解析手段７２は、デジタル放送の放送信号を解析するものである。放送信号解析手段７２は、具体的には、映像・音声およびデータが多重化されたＴＳをＰＥＳ（Packetized Elementary Stream）データと、セクション（Section）データと、に分離する。そして、放送信号解析手段７２は、図４に示すように、ＰＥＳデータを映像・音声復号手段７３に出力するとともに、セクションデータをデータ放送復号手段７４に出力する。放送信号解析手段７２は、図４に示すように、アプリケーション起動情報抽出部７２１を備えている。

　アプリケーション起動情報抽出部（手段）７２１は、放送受信手段７１から入力されたＴＳから、前記したアプリケーション起動情報を抽出するものである。アプリケーション起動情報抽出部７２１は、具体的には図４に示すように、放送受信手段７１から入力されたＴＳに含まれるＥＩＴのｐ／ｆ領域にアプリケーション起動情報が記述されているか否かを確認し、当該内容が記述されている場合はこれを抽出する。そして、アプリケーション起動情報抽出部７２１は、図４に示すように、抽出したアプリケーション起動情報をアプリケーション制御手段７５に出力する。

　映像・音声復号手段７３は、放送受信手段７１で受信し、復調された映像・音声を復号するものである。映像・音声復号手段７３は、例えば映像・音声がＭＰＥＧ－２の符号化方式によって符号化されている場合、ＭＰＥＧ－２の復号を行い、図４に示すように、表示可能な出力形式の映像・音声データとして合成表示手段８０に出力する。

　データ放送復号手段７４は、放送受信手段７１で受信し、復調されたデータ（データファイル）を復号するものである。ここで、日本のデータ放送として放送されるデータファイルは、マークアップ言語であるＢＭＬで記述されている。そこで、このデータ放送復号手段７４は、具体的にはＢＭＬを解析するＢＭＬ解析手段として機能し、図４に示すように、ＢＭＬを表示可能な出力形式に変換したデータ（データ放送データ）を合成表示手段８０に出力する。データ放送復号手段７４は、図４に示すように、失効リスト抽出部７４１と、検証鍵抽出部７４２と、を備えている。

　失効リスト抽出部（手段）７４１は、ＤＳＭ－ＣＣデータカルーセルで伝送されたデータから、失効リストを抽出するものである。失効リスト抽出部７４１は、具体的には図４に示すように、ＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納された失効リストを抽出し、当該失効リストを失効リスト記憶手段８２に出力する。

　検証鍵抽出部７４２（手段）は、ＤＳＭ－ＣＣデータカルーセルで伝送されたデータから、検証鍵を抽出するものである。検証鍵抽出部７４２は、具体的には図４に示すように、ＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納された検証鍵を抽出し、当該検証鍵を検証鍵記憶手段８４に出力する。

　アプリケーション制御手段７５は、放送通信連携受信装置７で実行されるアプリケーションの起動状態を制御するものである。アプリケーション制御手段７５は、具体的には図４に示すように、アプリケーション起動情報抽出部７２１によって抽出されたアプリケーション起動情報に記述されているアプリケーションＩＤと、当該アプリケーションが格納されているアプリケーションサーバ５，６のアドレスと、を参照し、アプリケーション取得手段７６に対して、アプリケーションサーバ５，６からアプリケーションを取得する旨の指示を行う。

　そして、アプリケーション制御手段７５は、図４に示すように、アプリケーション取得手段７６がアプリケーションサーバ５，６から目的のアプリケーションを取得すると、アプリケーション起動情報に記述されている制御コードを参照し、アプリケーション実行手段７９に対して、アプリケーションを当該制御コードに記述されている起動状態とする旨の指示を行う。このように、アプリケーション制御手段７５は、アプリケーション起動情報の内容に従って、放送通信連携受信装置７で実行されるアプリケーションの取得と制御の指示を行う。

　なお、アプリケーション制御手段７５は、アプリケーション起動情報抽出部７２１によって抽出されたアプリケーション起動情報に記述されているアプリケーションＩＤを有するアプリケーションが既にアプリケーション記憶手段７８に記憶されている場合、アプリケーション取得手段７６に対して、アプリケーションサーバ５，６からアプリケーションを取得する旨の指示を行うことなく、アプリケーション実行手段７９に対して、アプリケーションを前記した制御コードに記述されている起動状態とする旨の指示を行う。

　ここで、アプリケーション制御手段７５は、アプリケーション認証の指示も行う。すなわち、アプリケーション制御手段７５は、図４に示すように、アプリケーション実行手段７９によってアプリケーションが実行される際に、失効リスト検証手段８１に対して、当該アプリケーションの事業者ＩＤが失効リストに記述されているか否かの検証指示を行う。

　そして、アプリケーション制御手段７５は、後記するように、失効リスト検証手段８１によって、「失効リストに事業者ＩＤが記述されていない」という検証結果が出力され、かつ、署名検証手段８３からアプリケーションに付加されている署名が正当である（Ａアプリである）旨の検証結果が入力されると、当該アプリケーションが放送局の管理するリソースを必要とするか否かを確認する。そして、アプリケーション制御手段７５は、当該アプリケーションがリソースを必要とする場合、リソース管理手段８５に対して、リソース要求指示と、当該アプリケーションの事業者ＩＤと、を出力する。一方、アプリケーション制御手段７５は、当該アプリケーションがリソースを必要としない場合、アプリケーション起動情報に従って、アプリケーションの起動状態を制御する。

　そして、アプリケーション制御手段７５は、アプリケーション実行手段７９に対して、リソースの割り当てを許可する。これによりアプリケーション実行手段７９は、当該リソースを利用してアプリケーションを実行する。

　アプリケーション取得手段７６は、アプリケーションサーバ５，６からアプリケーションを取得するものである。アプリケーション取得手段７６は、具体的には図４に示すように、アプリケーション制御手段７５からの指示に従って、通信インターフェースである通信送受信手段７７と、通信回線Ｎとを介して、アプリケーションサーバ５からＡアプリ（署名付きアプリケーション）を、アプリケーションサーバ６から一般アプリ（署名なしアプリケーション）を、それぞれ取得する。なお、アプリケーション制御手段７５からの指示には、前記したように、制御対象となるアプリケーションのアプリケーションＩＤと、当該アプリケーションが格納されたアプリケーションサーバ５，６のアドレスと、が含まれているため、アプリケーション取得手段７６は、アプリケーション制御手段７５からの指示に従って、目的のアプリケーションを取得することができる。

　そして、アプリケーション取得手段７６は、図４に示すように、アプリケーションサーバ５，６からアプリケーションを取得すると、これをアプリケーション記憶手段７８に出力する。但し、アプリケーション取得手段７６は、放送通信連携受信装置７がアプリケーションを一旦記憶することなくオンザフライで実行する場合、アプリケーション実行手段７９に対して直接アプリケーションを出力することもできる。

　なお、放送通信連携受信装置７がアプリケーションを一旦記憶して実行する場合とは、例えば、取得したアプリケーションが毎日同じ時間帯に放送されるニュース番組の中で用いられるような場合、すなわち同じアプリケーションを定期的に何度も用いる場合等が想定される。一方、放送通信連携受信装置７がアプリケーションをオンザフライで実行する場合とは、例えば、取得したアプリケーションが一回限りの特別番組の中で用いられる場合、すなわち同じアプリケーションを一度しか用いない場合等が想定される。

　さらに、図示は省略したが、アプリケーション制御手段７５は、アプリケーション取得手段７６によってアプリケーションが取得された際に、失効リスト検証手段８１に対して、当該アプリケーションの事業者ＩＤが失効リストに記述されているか否かの検証指示を行うこともできる。すなわち、放送通信連携受信装置７は、アプリケーションを起動する際だけではなく、アプリケーションを取得した際にアプリケーション認証を行うことができる。

　通信送受信手段７７は、図４に示すように、通信回線Ｎを介してデータの通信を行うものである。通信送受信手段７７は、ＴＣＰ／ＩＰの通信プロトコルによってデータの送受信を行う。

　アプリケーション記憶手段７８は、アプリケーション（Ａアプリおよび一般アプリ）を記憶するものである。アプリケーション記憶手段７８には、図４に示すように、アプリケーション取得手段７６によって取得されたアプリケーションが入力され、アプリケーション実行手段７９に出力可能に構成されている。また、アプリケーション記憶手段７８は、後記するように、アプリケーション認証の際に、失効リスト検証手段８１からの指示に従って認証対象となるアプリケーションの事業者ＩＤを出力するとともに、署名検証手段８３からの指示に従って認証対象となるアプリケーションの署名を出力する。なお、アプリケーション記憶手段７８は、具体的には、データを記憶することができるメモリ、ハードディスク等で具現される。

　アプリケーション実行手段７９は、アプリケーションを実行するものである。アプリケーション実行手段７９は、具体的には図４に示すように、アプリケーション取得手段７６によって取得されたアプリケーションを、アプリケーション制御手段７５の指示に従って実行する。アプリケーション実行手段７９は、アプリケーション取得手段７６が取得したアプリケーションがＡアプリであって、放送局のリソースを必要とする場合、リソース管理手段８５を介して、放送局のリソース管理装置２（図２参照）から取得したリソースを利用してアプリケーションを実行する。また、アプリケーション実行手段７９は、アプリケーション取得手段７６が取得したアプリケーションが一般アプリである場合、放送局のリソースを利用することなくアプリケーションを実行する。そして、アプリケーション実行手段７９は、図１に示すように、実行したアプリケーションの描画データおよび音声データ（例えばアプリケーション実行時の効果音等のデータ）を合成表示手段８０に出力する。

　合成表示手段８０は、映像・音声、データおよびアプリケーションを合成するものである。合成表示手段８０は、具体的には図４に示すように、映像・音声復号手段７３から入力される映像・音声データと、データ放送復号手段７４から入力されるデータ放送データと、アプリケーション実行手段７９から入力される描画データおよび音声データと、を合成し、モニタＭｏおよびスピーカＳｐにそれぞれ出力する。ここで、合成表示手段８０は、一般的なＧＤＣ（Graphic Display Controller）で実現することができる。

　失効リスト検証手段８１は、失効リストを参照し、アプリケーションに付加されている事業者ＩＤが有効であるか否かを検証するものである。すなわち、失効リスト検証手段８１は、図４に示すように、アプリケーション実行時にアプリケーション制御手段７５から検証指示が入力されると、失効リスト記憶手段８２から失効リストを読み出すとともに、アプリケーション記憶手段７８から実行対象となるアプリケーションの事業者ＩＤを読み出す。そして、失効リスト検証手段８１は、当該事業者ＩＤが失効リストに記述されているか否かを検証し、図４に示すように、その検証結果を署名検証手段８３に出力する。

　なお、失効リスト検証手段８１は、前記したように、アプリケーション取得時にアプリケーション制御手段７５から入力された検証指示に従って検証を行うこともできる。この場合、失効リスト検証手段８１は、アプリケーション取得時にアプリケーション制御手段７５から検証指示が入力されると、失効リスト記憶手段８２から失効リストを読み出すとともに、アプリケーション記憶手段７８から取得されたアプリケーションの事業者ＩＤを読み出す。そして、失効リスト検証手段８１は、当該事業者ＩＤが失効リストの中に記述されているか否かを検証し、図４に示すように、その検証結果を署名検証手段８３に出力する

　署名検証手段８３は、検証鍵記憶手段８４に記憶されている検証鍵を用いて、アプリケーションに付加されている署名を検証するものである。署名検証手段８３は、具体的には図４に示すように、失効リスト検証手段８１から、失効リストに実行対象となるアプリケーション（または取得されたアプリケーション）の事業者ＩＤが失効リストに記述されていない旨の検証結果が入力された場合、検証鍵記憶手段８４から検証鍵を読み出し、当該検証鍵を用いて署名の検証を行い、その検証結果をアプリケーション制御手段７５に出力する。

　この署名検証手段８３によって、署名が正当であると判断されたアプリケーションはＡアプリである。一方、署名検証手段８３によって、署名が正当ではない、あるいは署名自体が付加されていないと判断されたアプリケーションは一般アプリである。従って、この放送通信連携受信装置７は、署名検証手段８３を備えることで、アプリケーション取得手段７６によって取得されたアプリケーションがＡアプリであるか一般アプリであるかを判別することができる。

　リソース管理手段８５は、放送局からリソースを取得し、アプリケーション実行手段７９に割り当てるものである。リソース管理手段８５には、図４に示すように、アプリケーションが放送局の管理するリソースを必要とする場合、アプリケーション制御手段７５からリソース要求指示と、アプリケーションに対応する事業者ＩＤと、が入力される。すると、リソース管理手段８５は、図４に示すように、通信送受信手段７７および通信回線Ｎを介して、放送局内のリソース管理手段２に対して、リソース要求と、アプリケーションに対応する事業者ＩＤと、を出力する。

　そして、リソース管理装置２の失効リスト判定手段２２（図２参照）において、リソース管理手段２に入力された事業者ＩＤが失効リストに記述されていないと判定されると、図４に示すように、リソース出力手段２３（図２参照）からリソース管理手段８５に対してリソースが出力される。リソース管理手段８５は、このようにして取得したリソースをアプリケーション実行手段７９に割り当てる。このように、放送通信連携システムＳ１は、放送通信連携受信装置７が放送局の管理するリソースにアクセスする際に、当該放送通信連携受信装置７で実行されるアプリケーションに対応する事業者ＩＤを送ることで、放送局が保持する失効リストと当該事業者ＩＤとを照合し、アクセス制御を行うことができる。

　なお、放送局内の署名鍵生成装置４によって生成された失効リストは、前記したようにＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納され、一定の周期で放送通信連携受信装置７に送信される。従って、失効させようとするアプリケーションの事業者ＩＤが、放送局側で保持する失効リストにのみ記述され、放送通信連携受信装置７側で保持する失効リストには記述されていない場合も想定される。この場合、放送通信連携受信装置７側ではアプリケーションを失効させることができないため、放送通信連携受信装置７が放送局に対して、当該アプリケーションが利用するリソースを要求してしまう場合が発生しうる。しかしながら、放送局側で保持する失効リストは常に最新であるため、仮に放送通信連携受信装置７がリソースを要求したとしても、当該リソースへのアクセスを禁止することができる。

　以上のような構成を備える放送通信連携受信装置７によれば、失効リスト検証手段８１によってアプリケーションに対応した事業者ＩＤが記述されているか否かを検証することができるため、例えば不正な動作を行うアプリケーションを任意に失効させることができる。また、放送通信連携受信装置７によれば、署名検証手段８３によってアプリケーションの署名を検証することで、放送通信連携システムＳ１における動作が保証されないアプリケーション（一般アプリ）を判別することができ、当該アプリケーションが放送局の管理するリソースにアクセスすることを制限することができる。

［放送通信連携受信装置の動作］
　以下、実施形態に係る放送通信連携受信装置７の動作について、図５を参照（適宜図１～図４も参照）しながら簡単に説明する。なお、以下の説明では、放送通信連携受信装置７におけるアプリケーション認証とリソース割当に関する処理を中心に説明し、それ以外の処理についての説明は省略する。

　まず、放送通信連携受信装置７は、放送受信手段７１から放送波Ｗを受信すると、アプリケーション起動情報抽出部７２１によって、ＥＩＴのｐ／ｆ領域からアプリケーション起動情報を抽出する（ステップＳ１）。次に、放送通信連携受信装置７は、ＤＳＭ－ＣＣデータカルーセルで伝送されたデータから、失効リスト抽出部７４１によって失効リストを抽出するとともに、検証鍵抽出部７４２によって検証鍵を抽出する（ステップＳ２）。　

　次に、放送通信連携受信装置７は、アプリケーション制御手段７５によって、アプリケーション起動情報を参照し、当該アプリケーション制御手段７５の指示に従って、アプリケーション取得手段７６によって、アプリケーションサーバ５またはアプリケーションサーバ６からアプリケーションを取得する（ステップＳ３）。次に、放送通信連携受信装置７は、失効リスト検証手段８１によって、失効リストに、取得したアプリケーションの事業者ＩＤが記述されているか否かを検証する（ステップＳ４）。そして、放送通信連携受信装置７は、失効リストに事業者ＩＤが記述されていない場合（ステップＳ４においてＮｏ）、ステップＳ５に進む。一方、放送通信連携受信装置７は、失効リストに事業者ＩＤが記述されている場合（ステップＳ４においてＹｅｓ）、処理を終了する（アプリケーションを実行しない）。

　次に、放送通信連携受信装置７は、署名検証手段８３によって、アプリケーションに署名が付加されているか否か、および、当該署名が正当か否かを検証する（ステップＳ５）。そして、放送通信連携受信装置７は、署名が正当である場合（ステップＳ５においてＹｅｓ）、ステップＳ６に進む。一方、放送通信連携受信装置７は、署名が付加されていない場合、あるいは、当該署名が正当ではない場合（ステップＳ５においてＮｏ）、放送局のリソースを割り当てることなく、アプリケーション実行手段７９によってアプリケーション（一般アプリ）を実行する（ステップＳ１１）。

　次に、放送通信連携受信装置７は、アプリケーション制御手段７５によって、取得したアプリケーションが放送局のリソースを必要とするか否かを確認する（ステップＳ６）。そして、放送通信連携受信装置７は、アプリケーションが放送局のリソースを必要とする場合（ステップＳ６においてＹｅｓ）、リソース管理手段８５によって、放送局内のリソース管理装置２に対してリソースを要求する（ステップＳ７）。一方、放送通信連携受信装置７は、アプリケーションが放送局のリソースを必要としない場合（ステップＳ６においてＮｏ）、放送局のリソースを割り当てることなく、アプリケーション実行手段７９によってアプリケーション（Ａアプリ）を実行する（ステップＳ１１）。

　以上のような放送通信連携受信装置７の処理に対応して、リソース管理装置２は、失効リスト判定手段２２によって、失効リストに、放送通信連携受信装置７が取得したアプリケーションの事業者ＩＤが記述されているか否かを検証する（ステップＳ８）。そして、リソース管理装置２は、失効リストに事業者ＩＤが記述されていない場合（ステップＳ８においてＮｏ）、リソース出力手段２３によって、放送通信連携受信装置７にリソースを出力する（ステップＳ９）。一方、リソース管理装置２は、失効リストに事業者ＩＤが記述されている場合（ステップＳ８においてＹｅｓ）、処理を終了する（リソースを出力しない）。

　以上のようなリソース管理装置２の処理に対応して、放送通信連携受信装置７は、リソース管理手段８５によって、アプリケーション実行手段７９に対してリソースを割り当て（ステップＳ１０）、アプリケーション実行手段７９によって、アプリケーション（Ａアプリ）を実行する（ステップＳ１１）。

　このような動作を行う放送通信連携受信装置７によれば、失効リスト検証手段８１によってアプリケーションに対応した事業者ＩＤが記述されているか否かを検証することができるため、例えば不正な動作を行うアプリケーションを任意に失効させることができる。また、放送通信連携受信装置７によれば、署名検証手段８３によってアプリケーションの署名を検証することで、放送通信連携システムＳ１における動作が保証されないアプリケーション（一般アプリ）を判別することができ、当該アプリケーションが放送局の管理するリソースにアクセスすることを制限することができる。

　以上、本発明の実施形態について、発明を実施するための形態により具体的に説明したが、本発明の趣旨はこれらの記載に限定されるものではなく、特許請求の範囲の記載に基づいて広く解釈されなければならない。また、これらの記載に基づいて種々変更、改変等したものも本発明の趣旨に含まれることはいうまでもない。

　例えば、前記した放送通信連携システムＳ１では、放送局内で署名鍵を生成し、サービス事業者Ａのアプリケーションサーバ５においてアプリケーションに署名を付加していたが、図６に示すように、第３者機関であるシステム管理者を設置し、当該システム管理者によって署名鍵を生成および署名を付加する構成としても構わない。すなわち、放送通信連携システムＳ２は、図６に示すように、放送局内に放送送信装置１およびリソース管理装置２のみが設けられており、新たに設けられたシステム管理者に鍵生成装置３、署名鍵生成装置４および署名生成装置５０が設けられている。なお、図６における各構成は、前記した放送通信連携システムＳ１のものと同様であるため、説明は省略する。

　このような構成を備える放送通信連携システムＳ２は、放送通信連携システムＳ１のように、サービス事業者Ａのアプリケーションサーバ５ごとに署名生成装置５０を備える必要がなく、システム管理者の下で一元的にアプリケーション認証を行うことができる。

　また、前記した放送通信連携システムＳ１では、放送送信装置１によって、失効リストと検証鍵をＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納して放送通信連携受信装置７に送信していたが、失効リストと検証鍵を所定の場所に設置したサーバに格納し、放送送信装置１によって、そのサーバのアドレスのみを放送通信連携受信装置７に送信しても構わない。この場合、例えば放送送信装置１は、アプリケーション起動情報と同様に、失効リストと検証鍵とが格納されたサーバのアドレスをＥＩＴのｐ／ｆ領域に記述して放送通信連携受信装置７に送信する。そして、放送通信連携受信装置７は、ＥＩＴのｐ／ｆ領域から抽出したアドレスにあるサーバから、失効リストと検証鍵を取得する。

　また、前記した放送通信連携システムＳ１では、放送送信装置１によって、失効リストと検証鍵をＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納して放送通信連携受信装置７に送信していたが、失効リストと検証鍵の情報をアプリケーション起動情報の中に記述し、放送通信連携受信装置７に送信しても構わない。この場合、例えば放送送信装置１は、アプリケーション起動情報と同様に、失効リストと検証鍵の情報をＥＩＴのｐ／ｆ領域に記述して放送通信連携受信装置７に送信する。そして、放送通信連携受信装置７は、ＥＩＴのｐ／ｆ領域から失効リストと検証鍵を抽出する。

　また、前記した放送通信連携システムＳ１では、放送送信装置１によって、検証鍵をＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納して放送通信連携受信装置７に送信していたが、当該検証鍵をＡアプリ（署名付きアプリケーション）とともに放送通信連携受信装置７に送信しても構わない。この場合、放送局内の鍵生成装置３は、生成した検証鍵をオフラインでアプリケーションサーバ５に配布し、アプリケーションサーバ５は、放送通信連携受信装置７に対して、Ａアプリと検証鍵を送信する。

　また、前記した放送通信連携システムＳ１では、アプリケーション起動情報をＥＩＴのｐ／ｆ領域に記述して放送通信連携受信装置７に送信していたが、アプリケーション起動情報をＤＳＭ－ＣＣデータカルーセルの所定のモジュールに格納して放送通信連携受信装置７に送信しても構わない。

　なお、前記した放送送信装置１、リソース管理装置２、鍵生成装置３および署名鍵生成装置４と、アプリケーションサーバ５と、アプリケーションサーバ６と、放送通信連携受信装置７とは、それぞれ、ＣＰＵ（Central Processing Unit）、ＲＯＭ（Read Only Memory）、ＲＡＭ（Random Access Memory）、ＨＤＤ（Hard Disk Drive）、通信インターフェース等（図示を省略）を用いて、ＣＰＵがＨＤＤ等に格納されたプログラムをＲＡＭに展開することにより後記する各種機能を実現することができる。すなわち、放送送信装置１、リソース管理装置２、鍵生成装置３および署名鍵生成装置４と、アプリケーションサーバ５と、アプリケーションサーバ６と、放送通信連携受信装置７とは、コンピュータを、前記した各手段として機能させるためのプログラムにより動作させることができる。その場合、プログラムをコンピュータ読み取り可能な記録媒体に記録し、その記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行させることによって機能させればよい。

　なお、ここで「コンピュータシステム」とは、ＯＳや周辺機器等のハードウェアを含むものとする。また、このＯＳを、マルチタスクＯＳとすることで、各機能を並列動作させることとしてもよい。また、ここで、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。

　さらに、ここで、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時刻の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時刻プログラムを保持しているものも含んでもよい。また、このプログラムは、前記した機能の一部を実現するためのものであってもよく、さらに前記した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。

１　放送送信装置
２　リソース管理装置（リソース提供装置）
３　鍵生成装置
４　署名鍵生成装置
５，５Ａ，６　アプリケーションサーバ
７　放送通信連携受信装置
２１　リソース記憶手段
２２　失効リスト判定手段
２３　リソース出力手段
３１　鍵生成手段
３２　検証鍵管理手段
３３　マスタ鍵管理手段
４１　パラメータ入力手段
４２　署名鍵生成手段
４３　署名鍵管理手段
４４　署名鍵出力手段
４５　失効リスト生成手段
５０　署名生成装置
５１　署名鍵入力手段
５２　アプリケーション入力手段
５３　署名付加手段
５４　アプリケーション送信手段５４
７１　放送受信手段
７２　放送信号解析手段
７３　映像・音声復号手段
７４　データ放送復号手段
７５　アプリケーション制御手段
７６　アプリケーション取得手段
７７　通信送受信手段
７８　アプリケーション記憶手段
７９　アプリケーション実行手段
８０　合成表示手段
８１　失効リスト検証手段
８２　失効リスト記憶手段
８３　署名検証手段
８４　検証鍵記憶手段
８５　リソース管理手段
７２１　アプリケーション起動情報抽出部（アプリケーション起動情報抽出手段）
７４１　失効リスト抽出部（失効リスト抽出手段）
７４２　検証鍵抽出部（検証鍵抽出手段）
Ｎ　通信回線
Ｓ１，Ｓ２　放送通信連携システム
Ｓｐ　スピーカ
Ｍｏ　モニタ
Ｗ　放送波

Claims

　サービス事業者ごとのアプリケーションに付加する署名を検証する公開情報である検証鍵を生成する鍵生成装置と、前記サービス事業者固有の署名鍵を生成するとともに、失効した前記署名鍵に対応した前記サービス事業者の事業者ＩＤが記述された失効リストを生成する署名鍵生成装置と、前記署名鍵によって前記アプリケーションに署名を付加して放送通信連携受信装置に配信するアプリケーションサーバと、前記アプリケーションが実行中に利用するリソースを管理するリソース管理装置と、放送波を介して前記放送通信連携受信装置に放送データを送信する放送送信装置と、を含む放送通信連携システムに用いられる前記放送通信連携受信装置であって、
　前記放送送信装置によって送信された放送データのトランスポートストリームに含まれるイベント情報テーブルから、前記アプリケーションを取得および制御するためのアプリケーション起動情報を抽出するアプリケーション起動情報抽出手段と、
　前記アプリケーション起動情報に記述されたアプリケーションサーバのアドレスを参照し、当該アプリケーションサーバから、前記アプリケーションを取得するアプリケーション取得手段と、
　前記アプリケーションを実行するアプリケーション実行手段と、
　前記アプリケーション起動情報に記述された制御コードに従って、前記アプリケーション実行手段によって実行される前記アプリケーションの起動状態を制御するアプリケーション制御手段と、
　前記放送送信装置によって送信されたＤＳＭ－ＣＣデータカルーセルの所定のモジュールから、前記失効リストを抽出する失効リスト抽出手段と、
　前記放送送信装置によって送信されたＤＳＭ－ＣＣデータカルーセルの所定のモジュールから、前記検証鍵を抽出する検証鍵抽出手段と、
　前記アプリケーション取得手段によって取得された前記アプリケーションを提供する前記サービス事業者の前記事業者ＩＤが前記失効リストに記述されているか否かを検証する失効リスト検証手段と、
　前記失効リスト検証手段によって前記失効リストに記述されていないと判断された前記事業者ＩＤを有する前記アプリケーションについて、前記署名が付加されているか否か、および、当該署名が正当であるか否かを検証する署名検証手段と、
　前記署名検証手段によって前記署名が正当であると判断された前記アプリケーションが前記リソースを必要とする場合に、前記リソース管理装置から当該リソースを取得し、前記アプリケーション実行手段に割り当てるリソース管理手段と、
　を備える放送通信連携受信装置。
　サービス事業者ごとのアプリケーションに付加する署名を検証する公開情報である検証鍵を生成する鍵生成装置と、前記サービス事業者固有の署名鍵を生成するとともに、失効した前記署名鍵に対応した前記サービス事業者の事業者ＩＤが記述された失効リストを生成する署名鍵生成装置と、前記署名鍵によって前記アプリケーションに署名を付加して放送通信連携受信装置に配信するアプリケーションサーバと、前記アプリケーションが実行中に利用するリソースを管理するリソース管理装置と、放送波を介して前記放送通信連携受信装置に放送データを送信する放送送信装置と、を含む放送通信連携システムに用いられる前記リソース管理装置であって、
　前記リソースを記憶するリソース記憶手段と、
　前記リソースを要求するアプリケーションを提供する前記サービス事業者の前記事業者ＩＤが前記失効リストに記述されているか否かを判定する失効リスト判定手段と、
　前記失効リスト判定手段によって前記失効リストに記述されていないと判定された場合、当該事業者ＩＤを有する前記アプリケーションを実行する前記放送通信連携受信装置に対して、前記リソースを出力するリソース出力手段と、
　を備えるリソース管理装置。