Nothing Special   »   [go: up one dir, main page]

JP5941356B2 - 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム - Google Patents

放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム Download PDF

Info

Publication number
JP5941356B2
JP5941356B2 JP2012148324A JP2012148324A JP5941356B2 JP 5941356 B2 JP5941356 B2 JP 5941356B2 JP 2012148324 A JP2012148324 A JP 2012148324A JP 2012148324 A JP2012148324 A JP 2012148324A JP 5941356 B2 JP5941356 B2 JP 5941356B2
Authority
JP
Japan
Prior art keywords
application
revocation list
normal
unit
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012148324A
Other languages
English (en)
Other versions
JP2014011715A (ja
Inventor
悠樹 広中
悠樹 広中
一博 大槻
一博 大槻
寿之 大亦
寿之 大亦
大竹 剛
剛 大竹
遠藤 洋介
洋介 遠藤
恵吾 真島
恵吾 真島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Japan Broadcasting Corp
Original Assignee
Japan Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Broadcasting Corp filed Critical Japan Broadcasting Corp
Priority to JP2012148324A priority Critical patent/JP5941356B2/ja
Publication of JP2014011715A publication Critical patent/JP2014011715A/ja
Application granted granted Critical
Publication of JP5941356B2 publication Critical patent/JP5941356B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

本発明は、放送と、インターネット、専用IP(Internet Protocol)回線等のネットワークとを利用した放送通信連携システムにおいて、Aアプリケーションの実行を管理する技術に関する。
近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信を連携した様々なサービス(以降、「放送通信連携サービス」)が検討されている(例えば、非特許文献1,2参照)。この放送通信連携サービスでは、放送番組に関連する多様な情報をネットワーク経由で取得し、放送と組み合わせて提示することが想定されている。
また、受信機では、放送通信連携サービスを享受するため、この放送通信連携サービスに適応したアプリケーションを用いることが想定されている。そこで、この放送通信連携サービスにおいて、視聴者にとってより魅力的なサービスを実現するために、放送局、様々なサービス事業者及び個人が一定のルールに基づいて制作したアプリケーション(Aアプリケーション)を視聴者に提供できる環境が整えられつつある。
「技研における放送通信連携技術研究の概要」、NHK技研R&D、No.124、2010.11、P4−P9 「HybridcastTMの概要と技術」、NHK技研R&D、No.124、2010.11、P10−P17
前記したAアプリケーションには、重大な不具合(バグ)が発生したアプリケーションやコンピュータウイルスのように動作するアプリケーション等、視聴者に不利益をもたらすアプリケーションが含まれる可能性がある。このため、従来の放送通信連携サービスでは、視聴者に不利益をもたらすAアプリケーションが受信機で実行される事態を防止する必要がある。しかし、視聴者に不利益をもたらすAアプリケーションが受信機で起動中(実行中)の場合、このAアプリケーションを強制終了できず、このAアプリケーションの実行を適切に管理できていないという問題がある。
ここで、従来の放送通信連携サービスにおいて、ネットワークを介して、Aアプリケーションの識別情報が含まれる失効リストを受信機に配信し、Aアプリケーションの実行を管理することも考えられる。しかし、この実行管理手法では、失効リストの配信元サーバにアクセスし、ネットワークの負荷が高くなる。このため、放送と通信とを効率的に利用した実行管理手法の実現が、強く要望されている。
そこで、本発明は、放送と通信を連携した放送通信連携サービスにおいて、放送と通信とを効率的に利用して、視聴者に不利益をもたらすAアプリケーションの実行を適切に管理できる放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システムを提供することを課題とする。
前記した課題に鑑みて、本願第1発明に係る放送通信連携受信装置は、放送番組を送信する放送送信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、署名鍵により生成したアプリケーション用署名、及び、所定の命名規約により生成した識別情報をアプリケーションに付加するアプリケーション登録装置と、アプリケーション用署名及び識別情報が付加されたアプリケーションであるAアプリケーションを記憶するリポジトリと、強制終了させるAアプリケーションの識別情報が含まれる緊急失効リスト、及び、起動を中止するAアプリケーションの識別情報が含まれる通常失効リストを記憶する失効リスト管理装置とを含む放送通信連携システムに配置され、放送番組を受信する放送通信連携受信装置であって、検証鍵を予め記憶する検証鍵記憶手段と、アプリケーション取得手段と、緊急失効リスト取得手段と、通常失効リスト取得手段と、アプリケーション認証手段と、起動制御手段と、終了制御手段と、を備えることを特徴とする。
かかる構成によれば、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、リポジトリからAアプリケーションを取得する。
ここで、「A(Authorized)アプリケーション」とは、システム管理者によって承認されたアプリケーションのことである。例えば、システム管理者は、あるアプリケーションが放送通信連携システムで期待する動作を行うか否かを手動又は自動で検証し、その検証結果に問題がないものをAアプリケーションとして承認する。
また、放送通信連携受信装置は、緊急失効リスト取得手段によって、放送波を介して、失効リスト管理装置から緊急失効リストを取得すると共に、緊急失効リストを取得したことを示すアプリ失効情報通知を出力する。この緊急失効リストは、起動中でも強制終了させるAアプリケーションの識別情報が含まれる失効リストであり、緊急性が高いものと言える。
また、放送通信連携受信装置は、通常失効リスト取得手段によって、ネットワークを介して、失効リスト管理装置から通常失効リストを取得する。この通常失効リストは、起動を中止するAアプリケーションの識別情報が含まれる失効リストであり、緊急失効リストに比べ、緊急性が低いものと言える。
すなわち、放送通信連携受信装置は、放送波を介して、緊急性が高い緊急失効リストをリアルタイムで取得し、ネットワークを介して、緊急性が低い通常失効リストを取得する。
また、放送通信連携受信装置は、アプリケーション認証手段によって、検証鍵と、緊急失効リストと、通常失効リストとを用いて、少なくとも、認証対象アプリケーションが失効している否かを判定するアプリケーション認証処理を行う。そして、放送通信連携受信装置は、起動制御手段によって、Aアプリケーションを起動するとき、起動するAアプリケーションを認証対象アプリケーションとしたアプリケーション認証処理をアプリケーション認証手段に指示し、起動するAアプリケーションが失効していると判定された場合、Aアプリケーションの起動を中止する。
また、放送通信連携受信装置は、終了制御手段によって、緊急失効リスト取得手段からアプリ失効情報通知が入力されたとき、起動中のAアプリケーションを認証対象アプリケーションとしたアプリケーション認証処理をアプリケーション認証手段に指示し、起動中のAアプリケーションが失効していると判定された場合、Aアプリケーションを強制終了させる。
すなわち、放送通信連携受信装置は、視聴者に不利益をもたらすAアプリケーションが起動中であっても、このAアプリケーションを即座に強制終了させることができる。
また、本願第2発明に係る放送通信連携受信装置は、検証鍵を予め記憶する検証鍵記憶手段と、通常失効リスト取得手段は、失効リスト用検証情報として、ハッシュ値、MAC値又は失効リスト用署名がさらに付加された通常失効リストを取得し、アプリケーション認証手段は、アプリケーション認証処理として、検証鍵を用いて、認証対象アプリケーションのアプリケーション用署名が正当であるか否かを判定し、アプリケーション用署名が正当でない場合、認証対象アプリケーションが失効していると判定し、失効リスト用検証情報を用いて、通常失効リストが正当であるか否かを判定し、通常失効リストが正当でない場合、認証対象アプリケーションが失効していると判定し、認証対象アプリケーションの識別情報が緊急失効リスト又は通常失効リストに含まれるか否かを判定し、識別情報が緊急失効リスト及び通常失効リストに含まれない場合、認証対象アプリケーションをAアプリケーションとして認証(判定)し、識別情報が緊急失効リスト又は通常失効リストに含まれる場合、認証対象アプリケーションが失効していると判定することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、アプリケーション認証処理において、アプリケーション用署名の正当性と、通常失効リストの正当性とをさらに判定することができる。
また、本願第3発明に係る放送通信連携受信装置は、通常失効リストを記憶する失効リスト記憶手段をさらに備え、通常失効リスト取得手段が、通常失効リストを失効リスト管理装置に要求し、要求に応じて失効リスト管理装置から取得した通常失効リストである最新通常失効リストと、記憶手段に記憶された通常失効リストである記憶済み通常失効リストとの差分を、失効リスト記憶手段の通常失効リストに反映させることを特徴とする。
かかる構成によれば、放送通信連携受信装置は、通常失効リストを差分更新することができる。
また、本願第4発明に係る放送通信連携受信装置は、アプリケーションの起動時、ローンチャーの起動時、デバイスコードのグルーピングにより定まるタイミング、又は、放送通信連携受信装置の待機時間内の何れか1以上で、通常失効リストを失効リスト管理装置に要求することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、別々のタイミングで通常失効リストを要求する。
また、前記した課題に鑑みて、本願第5発明に係る放送通信連携システムは、本願第1発明に係る放送通信連携受信装置と、放送番組を送信する放送送信装置と、署名鍵及び前記検証鍵を発行する署名鍵発行装置と、アプリケーションにアプリケーション用署名及び識別情報を付加するアプリケーション登録装置と、アプリケーション用署名及び識別情報が付加されたAアプリケーションを記憶するリポジトリと、緊急失効リスト及び通常失効リストを記憶する失効リスト管理装置とを備えることを特徴とする。
かかる構成によれば、放送通信連携システムは、放送波を介して、緊急性が高い緊急失効リストをリアルタイムで配信し、ネットワークを介して、緊急性が低い通常失効リストを配信する。さらに、放送通信連携システムは、視聴者に不利益をもたらすAアプリケーションが起動中であっても、配信された緊急失効リストにより、このAアプリケーションを即座に強制終了させることができる。
なお、本願第1発明に係る放送通信連携受信装置は、CPU、メモリやハードディスク(検証鍵記憶手段を含む)等のハードウェア資源を備えるコンピュータを、前記したアプリケーション取得手段、緊急失効リスト取得手段、通常失効リスト取得手段、アプリケーション認証手段、起動制御手段、終了制御手段として協調動作させるためのアプリケーション認証プログラムによって実現することもできる。このアプリケーション認証プログラムは、ネットワークを介して配布しても良く、CD−ROMやフラッシュメモリ等の記録媒体に書き込んで配布してもよい。
本発明によれば、以下のような優れた効果を奏する。
本願第1,5発明によれば、放送波を介して、緊急性が高い緊急失効リストをリアルタイムで配信し、ネットワークを介して、緊急性が低い通常失効リストを配信する。さらに、本願第1,5発明によれば、視聴者に不利益をもたらすAアプリケーションが起動中であっても、緊急失効リストにより、このAアプリケーションを即座に強制終了させる。このように、本願第1,5発明によれば、放送と通信とを効率的に利用して、視聴者に不利益をもたらすAアプリケーションの実行を適切に管理できる。
本願第2発明によれば、アプリケーション用署名の正当性と、通常失効リストの正当性とを判定し、より適切なアプリケーション認証処理を行うことができる。
本願第3発明によれば、通常失効リストの差分更新を可能とし、更新処理の高速化を図ることができる。
本願第4発明によれば、放送通信連携受信装置の間で通常失効リストを要求するタイミングが分散するため、失効リスト管理装置に要求が集中する事態を防止し、ネットワークの負荷を抑えることができる。
本発明の実施形態に係る放送通信連携システムの全体構成を示す概略図である。 図1のアプリケーションサーバの構成を示すブロック図である。 図1のアプリケーションID生成装置の構成を示すブロック図である。 図1の署名鍵発行装置の構成を示すブロック図である。 図1のアプリケーション登録装置の構成を示すブロック図である。 図1のリポジトリの構成を示すブロック図である。 図1の失効リスト管理装置の構成を示すブロック図である。 (a)は図7の失効リスト管理装置が生成する緊急失効リストのデータ構造を示す図であり、(b)は通常失効リストのデータ構造を示す図である。 図1の受信機の構成を示すブロック図である。 図1の受信機に予め設定されたリソースアクセス制御テーブルのデータ構造を示す図である。 図1の放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。 図1の放送通信連携システムにおいて、一般アプリケーションを起動する動作を示すシーケンス図である。 図11,図12のアプリケーション認証処理を示すフローチャートである。 本発明の変形例に係る放送通信連携システムの全体構成を示す概略図である。
[放送通信連携システムの概略]
図1を参照して、本発明の実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波Wを介して、放送番組を放送通信連携受信装置(以後、「受信機」)100に送信すると共に、ネットワークNを介して、様々なサービスに適応したアプリケーションを受信機100に送信する。そして、放送通信連携システム1は、受信機100において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機100において、視聴者に不利益をもたらすAアプリケーションの実行を管理する。
「アプリケーション」とは、HTML(HyperText Markup Language)5のブラウザ上で動作するソフトウェアを含む、受信機100で利用可能なソフトウェアのことである。
このアプリケーションは、アプリケーション用署名の有無により、Aアプリケーション及び一般アプリケーションに区別することができる。
なお、アプリケーションを「アプリ」と略記することがある(図面も同様)。
また、各図面では、アプリケーション用署名を「署名」と図示した。
システム管理者によって承認されたアプリケーションは、「Aアプリケーション」と呼ばれる。本実施形態では、サービス事業者Bが制作したアプリケーションが「Aアプリケーション」であるとする。このAアプリケーションは、放送通信連携システム1で期待される動作が保証されたものであり、後記するアプリケーション登録装置70でアプリケーション用署名及びアプリケーションIDが付加された後、後記するリポジトリ80に記憶される。
また、システム管理者によって承認されていないアプリケーションは、「一般アプリケーション」と呼ばれる。本実施形態では、サービス事業者Aが制作したアプリケーションが「一般アプリケーション」であるとする。この一般アプリケーションは、放送通信連携システム1で期待される動作が保障されたものでなく、アプリケーション用署名及びアプリケーションIDが付加されない状態で、後記するアプリケーションサーバ30に記憶される。
「放送局」とは、編成を伴う番組を送出しているものであり、放送波W又はネットワークNにより放送番組をユーザ(視聴者)に配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
「システム管理者」とは、Aアプリケーションを承認する機関である。例えば、システム管理者は、あるサービス事業者が制作したアプリケーションをAアプリケーションとして承認する際、このアプリケーションが放送通信連携システム1で期待される動作を行うか否かを手動又は自動で検証する。
図1に示すように、放送通信連携システム1は、放送送信装置10と、コンテンツ配信サーバ20A,20Bと、アプリケーションサーバ30と、アプリケーション管理装置40と、アプリケーションID生成装置50と、署名鍵発行装置60と、アプリケーション登録装置70と、リポジトリ80と、失効リスト管理装置(失効リスト管理装置)90と、受信機100とを備える。
この放送通信連携システム1では、ネットワークNを介して、コンテンツ配信サーバ20A,20Bと、アプリケーションサーバ30と、リポジトリ80と、失効リスト管理装置90と、受信機100とが接続されている。
なお、以後の図面において、一点鎖線は、オフライン又はオンラインでの送信を示す。
放送送信装置10は、放送波W、ネットワークN又はケーブル(不図示)を介して、放送番組(放送信号)を受信機100に送信するものである。また、放送送信装置10は、放送波W(カルーセル)を介して、後記する失効リスト管理装置90から入力された緊急失効リストを送信する。例えば、放送送信装置10は、放送局に設置され、図示を省略した番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備である。
なお、放送送信装置10は、一般的な構成のため、詳細な説明を省略する。
コンテンツ配信サーバ20は、受信機100のアプリケーションからの要求により、ネットワークNを介して、コンテンツを受信機100に提供するものである。このコンテンツ配信サーバ20としては、例えば、VOD(ビデオオンデマンド)配信サーバ、字幕配信サーバ、マルチビュー配信サーバ等があげられる。
本実施形態では、コンテンツ配信サーバ20Aがサービス事業者Aによって管理され、コンテンツ配信サーバ20Bがサービス事業者Bによって管理されることとする。
なお、コンテンツ配信サーバ20は、一般的な構成のため、詳細な説明を省略する。
アプリケーションサーバ30は、サービス事業者Aによって管理され、一般アプリケーションを記憶、管理するサーバである。このアプリケーションサーバ30は、例えば、受信機100からの要求に応じて、ネットワークNを介して、一般アプリケーションを受信機100に送信する。
アプリケーション管理装置40は、サービス事業者Bによって管理され、サービス事業者Bが制作したアプリケーションを記憶、管理するものである。ここで、アプリケーション管理装置40に記憶されたアプリケーションは、例えば、ネットワークNを介して、アプリケーション登録装置70に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者に郵送等のオフラインで送信し、システム管理者がこのアプリケーションをアプリケーション登録装置70に手動で入力してもよい。
なお、アプリケーション管理装置40は、一般的な構成のため、詳細な説明を省略する。
アプリケーションID生成装置50は、Aアプリケーションを一意に識別する識別情報として、アプリケーションIDを生成するものである。そして、アプリケーションID生成装置50は、生成したアプリケーションIDを、アプリケーション登録装置70に出力する。
署名鍵発行装置60は、Aアプリケーションであることを示すアプリケーション用署名を生成するための署名鍵(秘密鍵)と、このアプリケーション用署名の正当性の判定に必要となる検証鍵(公開鍵)とを発行するものである。この署名鍵発行装置60が生成した署名鍵は、アプリケーション登録装置70に出力される。また、署名鍵発行装置60が生成した検証鍵は、任意の方法で受信機100に配布される。例えば、この検証鍵は、受信機100を製造するメーカに送信され、受信機100に予め記録(プリインストール)される。この他、この検証鍵を記録したICカードをユーザにオフラインで送信し、各ユーザがICカードに記憶された検証鍵を受信機100に読み取らせてもよい。
アプリケーション登録装置70は、アプリケーション管理装置40からのアプリケーションにアプリケーション用署名及びアプリケーションIDを付加して、このアプリケーションをAアプリケーションとして登録するものである。ここで、システム管理者は、例えば、サービス事業者Bのアプリケーションが放送通信連携システム1で期待された動作を行うか否かを手動又は自動で検証する。その後、システム管理者は、その検証結果に問題がないアプリケーションをAアプリケーションとして承認し、アプリケーション登録装置70に入力する。そして、アプリケーション登録装置70は、署名鍵発行装置60からの署名鍵によりアプリケーション用署名を生成し、生成したアプリケーション用署名と、アプリケーションID生成装置50からのアプリケーションIDとをこのアプリケーションに付加する。その後、アプリケーション登録装置70は、アプリケーション用署名及びアプリケーションIDが付加されたAアプリケーションをリポジトリ80に出力する。
リポジトリ80は、Aアプリケーションを記憶、管理するものである。このリポジトリ80は、例えば、受信機100からの要求に応じて、ネットワークNを介して、記憶したAアプリケーションを受信機100に送信する。
本実施形態では、アプリケーションID生成装置50、署名鍵発行装置60、アプリケーション登録装置70及びリポジトリ80が、システム管理者によって管理される。
失効リスト管理装置90は、緊急失効リスト及び通常失効リストを記憶、管理するものである。
本実施形態では、失効リスト管理装置90は、放送局によって管理される。
受信機(放送通信連携受信装置)100は、各ユーザの自宅等に設置され、地上デジタル放送、BSデジタル放送、データ放送等の放送番組が視聴可能な受信装置である。また、受信機100は、ネットワークNを介して、Aアプリケーションと、一般アプリケーションとを受信し、実行する。
なお、受信機100では、アプリケーション起動情報に基づいて、アプリケーションの取得、起動、終了等の制御が行われてもよい。
この「アプリケーション起動情報」とは、アプリケーションの識別情報(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションの取得、起動、終了等を制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
<通常失効リストを用いた管理手法>
ここで、放送局が、2種類の失効リストを用いて、視聴者に不利益をもたらすAアプリケーションの実行を管理する手法について、説明する。
放送局は、受信機100で起動させたくないAアプリケーションのアプリケーションIDを失効リスト管理装置90に入力する。すると、失効リスト管理装置90は、入力されたアプリケーションIDが含まれる通常失効リストを生成する。
受信機100は、ネットワークNを介して、通常失効リストを失効リスト管理装置90に要求する。そして、受信機100は、この要求に応じて、失効リスト管理装置90から、通常失効リスト(本実施形態では、通常失効リストの差分情報)を取得し、差分を反映させる。また、受信機100は、Aアプリケーションを起動する都度、通常失効リストを用いて、アプリケーション認証処理を行う。ここで、受信機100は、起動するAアプリケーションのアプリケーションIDが通常失効リストに含まれている場合、このAアプリケーションが失効しているため、このAアプリケーションの起動を中止する。
<緊急失効リストを用いた管理手法>
前記した第1例では、ネットワークNを介するため、通常失効リストが受信機100にリアルタイムに配信されず、起動中のAアプリケーションを終了させることもできない。
そこで、放送局は、受信機100で実行されている最中でも、即座に強制終了させたいAアプリケーションのアプリケーションIDを失効リスト管理装置90に入力する。すると、失効リスト管理装置90は、入力されたアプリケーションIDが含まれる緊急失効リストを生成し、放送送信装置10に出力する。そして、放送送信装置10は、放送波Wを介して、この緊急失効リストを受信機100にリアルタイムで送信する。
また、受信機100は、緊急失効リストを受信したとき、この緊急失効リストを用いて、起動中のAアプリケーションにアプリケーション認証を行う。ここで、受信機100は、起動中のAアプリケーションのアプリケーションIDが緊急失効リストに含まれている場合、このAアプリケーションが失効しているため、このAアプリケーションを強制終了させる。
[アプリケーションサーバの構成]
図2を参照して、アプリケーションサーバ30の構成について説明する(適宜図1参照)。
図2に示すように、アプリケーションサーバ30は、アプリケーション入力手段300と、アプリケーション記憶手段301と、アプリケーション送信手段302とを備える。
アプリケーション入力手段300は、一般アプリケーション(サービス事業者Aのアプリケーション)が入力されるものである。そして、アプリケーション入力手段300は、入力された一般アプリケーションを、アプリケーション記憶手段301に書き込む。
アプリケーション記憶手段301は、一般アプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。ここで、アプリケーション記憶手段301における一般アプリケーションの所在位置が、アプリケーション起動情報に記述される。
アプリケーション送信手段302は、受信機100からの要求に応じて、一般アプリケーションを受信機100に送信するものである。具体的には、アプリケーション送信手段302は、ネットワークNを介して、受信機100から要求を受信すると、この要求に応じた一般アプリケーションをアプリケーション記憶手段301から読み出す。そして、アプリケーション送信手段302は、ネットワークNを介して、読み出した一般アプリケーションを受信機100に送信する。
[アプリケーションID生成装置の構成]
図3を参照して、アプリケーションID生成装置50の構成について説明する(適宜図1参照)。
図3に示すように、アプリケーションID生成装置50は、アプリケーションID生成手段500と、アプリケーションID出力手段501とを備える。
アプリケーションID生成手段500は、アプリケーションIDを生成するものである。例えば、アプリケーションID生成手段500は、予め設定した命名規約に従って、アプリケーションIDを生成する。この命名規約は、例えば、アプリケーションを作成した組織の番号と、この組織内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとするものがある。そして、アプリケーションID生成手段500は、生成したアプリケーションIDを、アプリケーションID出力手段501に出力する。
アプリケーションID出力手段501は、アプリケーションID生成手段500からアプリケーションIDが入力される共に、このアプリケーションIDをアプリケーション登録装置70に出力するものである。
なお、アプリケーションID生成装置50において、アプリケーションIDを生成するタイミングは任意である。例えば、システム管理者は、サービス事業者BのアプリケーションをAアプリケーションとして承認した場合、アプリケーションID生成指令を手動でアプリケーションID生成装置50に入力する。すると、アプリケーションID生成装置50は、入力されたアプリケーションID生成指令に応じて、アプリケーションIDを生成する。
[署名鍵発行装置の構成]
図4を参照して、署名鍵発行装置60の構成について説明する(適宜図1参照)。
図4に示すように、署名鍵発行装置60は、署名鍵・検証鍵生成手段600と、検証鍵管理手段601と、署名鍵管理手段602とを備える。
署名鍵・検証鍵生成手段600は、署名鍵及び検証鍵を生成するものである。ここで、署名鍵・検証鍵生成手段600は、例えば、RSA、ElGamal、Rabin、楕円曲線暗号等の一般的な公開鍵暗号方式により、放送通信連携システム1で共通する署名鍵及び検証鍵を生成する。また、署名鍵・検証鍵生成手段600は、前記した公開鍵暗号方式の他、Key-insulated署名方式を用いてもよい。そして、署名鍵・検証鍵生成手段600は、生成した検証鍵を検証鍵管理手段601に出力し、生成した署名鍵を署名鍵管理手段602に出力する。
なお、Key-insulated署名方式の詳細は、例えば、参考文献“「双方向サービスのための効率的なプロバイダー認証」、大竹他、NHK技研 R&D/No.124/2010.11”に記載されている。
検証鍵管理手段601は、署名鍵・検証鍵生成手段600が生成した検証鍵を記憶、管理するものである。例えば、検証鍵管理手段601は、署名鍵・検証鍵生成手段600から検証鍵が入力され、この検証鍵をメモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、検証鍵管理手段601は、記憶した検証鍵を出力する。この検証鍵管理手段601から出力された検証鍵は、受信機100にプリインストール、又は、ICカードに格納してオフラインで送信する等の手法により、受信機100に配布される。
なお、検証鍵を受信機100に配布した後、検証鍵を記憶、管理し続ける必要がないため、検証鍵管理手段601から検証鍵を削除してもよい。
署名鍵管理手段602は、署名鍵・検証鍵生成手段600が生成した署名鍵を記憶、管理するものである。例えば、署名鍵管理手段602は、署名鍵・検証鍵生成手段600から署名鍵が入力され、この署名鍵をメモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、署名鍵管理手段602は、記憶した署名鍵をアプリケーション登録装置70に出力する。
なお、署名鍵発行装置60では、Aアプリケーションの登録を開始するまでに署名鍵及び検証鍵を生成すればよい。例えば、システム管理者は、放送通信連携システム1を導入又は初期化する際、鍵生成指令を手動で署名鍵発行装置60に入力する。すると、署名鍵発行装置60は、入力された鍵生成指令に応じて、署名鍵及び検証鍵を生成し、出力する。
[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
図5に示すように、アプリケーション登録装置70は、アプリケーション入力手段700と、アプリケーションID入力手段701と、アプリケーションID付加手段702と、署名鍵入力手段703と、署名生成手段704と、署名付加手段705と、アプリケーション出力手段706とを備える。
アプリケーション入力手段700は、システム管理者によって承認されたアプリケーションが入力されるものである。そして、アプリケーション入力手段700は、入力されたアプリケーションを、アプリケーションID付加手段702に出力する。
アプリケーションID入力手段701は、アプリケーションID生成装置50からアプリケーションIDが入力されるものである。そして、アプリケーションID入力手段701は、入力されたアプリケーションIDを、アプリケーションID付加手段702に出力する。
アプリケーションID付加手段702は、アプリケーション入力手段700から入力されたアプリケーションに、アプリケーションID入力手段701から入力されたアプリケーションIDを付加するものである。そして、アプリケーションID付加手段702は、アプリケーションIDが付加されたアプリケーションを、署名付加手段705に出力する。
署名鍵入力手段703は、署名鍵発行装置60から署名鍵(秘密鍵)が入力されるものである。そして、署名鍵入力手段703は、入力された署名鍵を、署名生成手段704に出力する。
署名生成手段704は、署名鍵入力手段703から署名鍵が入力され、この署名鍵を用いて、アプリケーション用署名を生成するものである。例えば、サービス事業者を一意に識別する事業者ID及びアプリケーションID、乱数、アプリケーション本体のバイナリコード値の何れか1つ又はこれら2以上の組み合わせを、アプリケーション用署名の元となる署名元メッセージとする。そして、署名生成手段704は、署名鍵を用いて、署名元メッセージからアプリケーション用署名を生成し、生成したアプリケーション用署名を署名付加手段705に出力する。
なお、前記した署名元メッセージは、何らかの方法で受信機100に配布する必要がある。例えば、この署名元メッセージをアプリケーションに付加して、アプリケーションと共に署名元メッセージを受信機100に配布する。また、検証鍵と同様の手法で署名元メッセージを配布してもよい。
以後、この署名元メッセージをアプリケーションに付加することとして説明する。
署名付加手段705は、アプリケーションID付加手段702から入力されたアプリケーションに、署名生成手段704から入力されたアプリケーション用署名を付加するものである。そして、署名付加手段705は、アプリケーションID及びアプリケーション用署名が付加されたアプリケーションを、アプリケーション出力手段706に出力する。
アプリケーション出力手段706は、署名付加手段705からアプリケーションが入力されると共に、このアプリケーションをリポジトリ80に出力するものである。つまり、アプリケーション出力手段706は、アプリケーションID及びアプリケーション用署名が付加されたアプリケーションを、Aアプリケーションとしてリポジトリ80に出力する。
[リポジトリの構成]
図6を参照して、リポジトリ80の構成について説明する(適宜図1参照)。
図6に示すように、リポジトリ80は、アプリケーション入力手段800と、アプリケーション記憶手段801と、アプリケーション送信手段802とを備える。
アプリケーション入力手段800は、アプリケーション登録装置70からAアプリケーションが入力されるものである。そして、アプリケーション入力手段800は、入力されたAアプリケーションを、アプリケーション記憶手段801に書き込む。
アプリケーション記憶手段801は、Aアプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。例えば、アプリケーション記憶手段801におけるAアプリケーションの格納場所が、アプリケーション起動情報に記述される。
アプリケーション送信手段802は、受信機100からの要求に応じて、Aアプリケーションを受信機100に送信するものである。具体的には、アプリケーション送信手段802は、ネットワークNを介して、受信機100から要求を受信すると、この要求に応じたAアプリケーションをアプリケーション記憶手段801から読み出す。そして、アプリケーション送信手段802は、ネットワークNを介して、読み出したAアプリケーションを受信機100に送信する。
[失効リスト管理装置の構成]
図7を参照して、失効リスト管理装置90の構成について説明する(適宜図1参照)。
図7に示すように、失効リスト管理装置90は、緊急失効リスト用アプリケーションID入力手段900と、緊急失効リスト生成手段901と、緊急失効リスト出力手段902と、通常失効リスト用アプリケーションID入力手段903と、通常失効リスト生成手段904と、通常失効リスト記憶手段905と、通常失効リスト要求受信手段906と、通常失効リスト送信手段907とを備える。
緊急失効リスト用アプリケーションID入力手段900は、外部(例えば、放送局)から、即座に強制終了させたいアプリケーションのアプリケーションIDが入力されるものである。そして、緊急失効リスト用アプリケーションID入力手段900は、入力されたアプリケーションIDを、緊急失効リスト生成手段901に出力する。
緊急失効リスト生成手段901は、緊急失効リスト用アプリケーションID入力手段900から入力されたアプリケーションIDが含まれる緊急失効リストを、生成するものである。そして、緊急失効リスト生成手段901は、生成した緊急失効リストを、緊急失効リスト出力手段902に出力する。
<緊急失効リスト>
図8を参照し、緊急失効リストについて、説明する(適宜図7参照)。
ここで、緊急失効リスト生成手段901は、図8(a)に示すように、IDリスト91aが含まれる緊急失効リスト91を生成する。
IDリスト91aは、緊急失効リスト用アプリケーションID入力手段900に入力された全てのアプリケーションIDのリストである。
図7に戻り、失効リスト管理装置90の構成について、説明を続ける。
緊急失効リスト出力手段902は、緊急失効リスト生成手段901から入力された緊急失効リストを、放送送信装置10に出力するものである。
通常失効リスト用アプリケーションID入力手段903は、外部(例えば、放送局)から、起動を中止させたいアプリケーションのアプリケーションIDが入力されるものである。そして、通常失効リスト用アプリケーションID入力手段903は、入力されたアプリケーションIDを、通常失効リスト生成手段904に出力する。
通常失効リスト生成手段904は、通常失効リスト用アプリケーションID入力手段903から入力されたアプリケーションIDが含まれる通常失効リストを、生成するものである。そして、通常失効リスト生成手段904は、生成した通常失効リストを、最新バージョンの通常失効リストとして、通常失効リスト記憶手段905に書き込む。
<通常失効リスト>
図8を参照し、通常失効リストについて、説明する(適宜図7参照)。
ここで、通常失効リスト生成手段904は、図8(b)に示すように、バージョン情報93aと、失効リスト用検証情報93bと、IDリスト93cとが含まれる通常失効リスト93を生成する。
バージョン情報93aは、通常失効リスト93のバージョン(版数)を示す情報であり、通常失効リストの差分更新に必要な情報である。例えば、バージョン情報93aは、数値形式又はタイムスタンプ形式で表すことができる。
失効リスト用検証情報93bは、受信機100で通常失効リスト93の検証に必要となる情報であり、ハッシュ値、MAC(メッセージ認証コード:Message Authentication Code)値、又は、失効リスト用署名の何れかである。
まず、失効リスト用検証情報93bがハッシュ値の場合について、説明する。
この場合、乱数、通常失効リスト本体のバイナリコード値の何れか1つ又はこれら2以上の組み合わせを検証元メッセージとする。そして、通常失効リスト生成手段904は、この検証元メッセージにハッシュ関数を適用して、検証元メッセージのハッシュ値を算出する。さらに、署名生成手段704は、算出したハッシュ値を、失効リスト用検証情報93bとして通常失効リスト93に付加する。
次に、失効リスト用検証情報93bがMAC値の場合について、説明する。
この場合、通常失効リスト生成手段904は、前記した検証元メッセージを生成する。また、通常失効リスト生成手段904は、失効リスト管理装置90及び受信機100で共有する共有鍵を生成する。そして、通常失効リスト生成手段904は、生成した共有鍵を用いて、検証元メッセージのMAC値を算出する。さらに、署名生成手段704は、算出したMAC値を、失効リスト用検証情報93bとして通常失効リスト93に付加する。
次に、失効リスト用検証情報93bが失効リスト用署名の場合について、説明する。
この場合、通常失効リスト生成手段904は、前記した検証元メッセージを生成する。また、通常失効リスト生成手段904は、署名鍵発行装置60と同様、署名鍵及び検証鍵を生成する。そして、通常失効リスト生成手段904は、アプリケーション登録装置70と同様、生成した検証鍵を用いて、検証元メッセージから失効リスト用署名を生成する。さらに、署名生成手段704は、算出した失効リスト用署名を、失効リスト用検証情報93bとして通常失効リスト93に付加する。
IDリスト93cは、通常失効リスト用アプリケーションID入力手段903に入力された全てのアプリケーションIDのリストである。
なお、前記した検証元メッセージは、何らかの方法で受信機100に配布する必要がある。例えば、この検証元メッセージを通常失効リストに付加して、通常失効リストと共に検証元メッセージを受信機100に配布する。以後、この検証元メッセージをアプリケーションに付加することとして説明する。
また、通常失効リストの正当性を検証するための共通鍵や検証鍵は、受信機100にプリインストール、又は、ICカードに格納してオフラインで送信する等の手法により、受信機100に予め配布してもよい。
図7に戻り、失効リスト管理装置90の構成について、説明を続ける。
通常失効リスト記憶手段905は、通常失効リスト生成手段904が生成した通常失効リストを記憶するメモリ、ハードディスク等の記憶装置である。本実施形態では、通常失効リスト記憶手段905は、各受信機100に記憶された通常失効リストのバージョンが統一されていない可能性があるため、全てのバージョンの通常失効リストを記憶することとする。
通常失効リスト要求受信手段906は、受信機100から通常失効リスト要求を受信するものである。この通常失効リスト要求は、失効リスト管理装置90に記憶された最新通常失効リストの要求を示すものである。例えば、この通常失効リスト要求は、受信機100の所在情報(例えば、IPアドレス)と、受信機100に記憶された通常失効リストのバージョン情報が含まれている。そして、通常失効リスト要求受信手段906は、受信した通常失効リスト要求を通常失効リスト送信手段907に出力する。
なお、最新通常失効リストとは、通常失効リスト記憶手段905に記憶された全通常失効リストのうち、最新バージョンの通常失効リストのことである。
通常失効リスト送信手段907は、通常失効リスト要求受信手段906から入力された通常失効リスト要求に応じて、失効リスト管理装置90の最新通常失効リストと、受信機100の記憶済み通常失効リストとの差分情報を、この受信機100に送信するものである。
なお、記憶済み通常失効リストとは、図9の失効リスト記憶手段116に記憶された通常失効リストのことである。
具体的には、通常失効リスト送信手段907は、通常失効リスト要求が入力されると、通常失効リスト記憶手段905から、最新通常失効リストを読み出す。また、通常失効リスト送信手段907は、通常失効リスト要求のバージョン情報に対応する通常失効リスト(つまり、記憶済み通常失効リストと同一の通常失効リスト)を読み出す。そして、通常失効リスト送信手段907は、前記した最新通常失効リストと、読み出した通常失効リストとのアプリケーションIDを比較して、通常失効リストの差分情報を生成する。
ここで、記憶済み通常失効リストに含まれていないアプリケーションIDが、最新通常失効リストに含まれている場合を考える。この場合、通常失効リスト送信手段907は、このアプリケーションIDを差分情報に追加する。
また、記憶済み通常失効リストに含まれているアプリケーションIDが、最新通常失効リストに含まれていない場合を考える。この場合、通常失効リスト送信手段907は、このアプリケーションIDの削除を示すID削除情報を差分情報に追加する。
その後、通常失効リスト送信手段907は、生成した通常失効リストの差分情報を、受信機100に送信する。
[受信機の構成]
図9を参照して、受信機100の構成について説明する(適宜図1参照)。
図9に示すように、受信機100は、放送受信手段101と、放送信号解析手段102と、映像・音声復号手段103と、データ放送復号手段104と、通信送受信手段105と、アプリケーション起動情報取得手段106と、アプリケーション起動情報記憶手段107と、リスト制御手段108と、アプリケーション管理・実行制御手段109と、起動アプリケーション識別情報記憶手段110と、アプリケーション取得手段111と、アプリケーション記憶手段112と、アプリケーション実行手段113と、操作制御手段114と、合成表示手段115と、失効リスト記憶手段116と、通常失効リスト要求・取得手段(通常失効リスト取得手段)117と、セキュリティ管理手段118と、リソース管理手段121とを備える。
放送受信手段101は、アンテナA、ネットワークN又はケーブル(不図示)を介して、放送番組(放送信号)を受信し、復調し、誤り訂正や復号を行い、MPEG2のトランスポートストリーム(TS)として、放送信号解析手段102に出力するものである。
放送信号解析手段102は、放送受信手段101で復調されたストリームデータ(TS)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出するものである。なお、選局は、後記する操作制御手段114から通知されるチャンネル切替指示に基づいて行われる。
この放送信号解析手段102は、抽出した映像、音声等のデータであるPES(Packetized Elementary Stream)形式のデータについては、映像・音声復号手段103に出力し、抽出したデータ放送等のセクション形式のデータについては、データ放送復号手段104に出力する。
このとき、放送信号解析手段102は、放送受信手段101で復調されたストリームデータから、SI(番組配列情報)の一つであるAITの記述子(アプリケーション起動情報記述子)に含まれているアプリケーション起動情報を抽出してもよい。そして、放送信号解析手段102は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段107に書き込む。さらに、放送信号解析手段102は、アプリケーション起動情報を抽出した場合、アプリケーション起動情報が通知された旨(起動情報通知)を、アプリケーションを識別する情報(アプリケーションID)とともに、アプリケーション管理・実行制御手段109に通知する。
映像・音声復号手段103は、放送信号解析手段102で抽出された映像・音声(MPEG2の映像ストリーム及び音声ストリーム)を復号し、復号した映像・音声データを合成表示手段115に出力するものである。
データ放送復号手段104は、放送信号解析手段102で抽出されたデータ放送のデータを復号し、BMLを解析し、当該BMLを表示データに変換し、合成表示手段115に出力するものである。
また、データ放送復号手段104は、カルーセルで送信されたアプリケーション起動情報を抽出し、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段107に書き込む。
また、データ放送復号手段104は、緊急失効リスト取得手段104aを備える。
緊急失効リスト取得手段104aは、カルーセルで送信された緊急失効リストを取得し、取得した緊急失効リストを失効リスト記憶手段116に書き込むものである。このとき、緊急失効リスト取得手段104aは、緊急失効リストであることを示す値(例えば、‘0’)を、失効リスト区分として緊急失効リストに付加する。さらに、緊急失効リスト取得手段104aは、緊急失効リストを取得したことを示すアプリ失効情報通知を、アプリケーション管理・実行制御手段109に出力する。
通信送受信手段105は、ネットワークNを介して、アプリケーション、アプリケーション起動情報、通常失効リストの差分情報等のデータを受信するものである。また、通信送受信手段105は、ネットワークNを介して、通常失効リスト要求等のデータを送信する。
アプリケーション起動情報取得手段106は、通信送受信手段105を介して、Aアプリケーション及び一般アプリケーションに対応する起動情報を取得するものである。そして、アプリケーション起動情報取得手段106は、取得したアプリケーション起動情報をアプリケーション起動情報記憶手段107に書き込む。
アプリケーション起動情報記憶手段107は、アプリケーション起動情報を記憶するメモリ、ハードディスク等の記憶装置である。ここで、アプリケーション起動情報記憶手段107には、放送信号解析手段102、データ放送復号手段104又はアプリケーション起動情報取得手段106によって、アプリケーション起動情報が書き込まれる。
リスト制御手段108は、起動可能なアプリケーションのリストの表示及びアプリケーションの選択の制御を行うローンチャー(Launcher)である。
このリスト制御手段108は、ユーザが、操作制御手段114を介して、リスト表示を指示することで、アプリケーション起動情報記憶手段107に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段115に出力する。このとき、リスト制御手段108は、ローンチャーが起動したことを示すローンチャー起動通知を、通常失効リスト要求・取得手段117に出力する。
また、リスト制御手段108は、ユーザが、操作制御手段114を介して、表示したアプリケーションのリストから、アプリケーションを選択する。そして、リスト制御手段108は、選択されたアプリケーションを識別する番号(アプリケーションID)を含んだ選択アプリケーション通知をアプリケーション管理・実行制御手段109に出力する。
アプリケーション管理・実行制御手段109は、アプリケーションのライフサイクル(アプリケーションがロード、実行されて終了するまでの過程)を制御するものである。
具体的には、アプリケーション管理・実行制御手段109は、後記するアプリケーション実行手段113からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段121に出力(転送)する。
また、アプリケーション管理・実行制御手段109は、リソース管理手段121からリソース割当要求の応答が入力されると、このリソース割当要求の応答をアプリケーション実行手段113に出力(転送)する。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリケーション管理・実行制御手段109は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリケーション管理・実行制御手段109は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
ここで、アプリケーション管理・実行制御手段109は、起動制御手段109aと、終了制御手段109bと、蓄積管理手段109cとを備えている。
起動制御手段109aは、アプリケーション取得手段111が取得したアプリケーションの起動を制御するものである。
まず、放送信号解析手段102から起動情報通知が入力された場合を説明する。
この場合、起動制御手段109aは、起動させるアプリケーションを認証対象アプリケーションとして、認証指示をアプリケーション認証手段119に出力する。この認証指示は、アプリケーション認証処理をアプリケーション認証手段119に指示するものである。例えば、認証指示は、認証対象アプリケーションのアプリケーションIDが含まれる。
また、起動制御手段109aは、この認証指示に応じて、アプリケーション認証手段119から認証結果が入力される。例えば、認証結果は、認証対象アプリケーションのアプリケーションIDと、認証対象アプリケーションの属性とが含まれる。この属性とは、Aアプリケーション(例えば、‘0’)、一般アプリケーション(例えば、‘1’)、不正なAアプリケーション(例えば、‘2’)、又は、失効(例えば、‘3’)の何れかを示す。
ここで、認証結果がAアプリケーション又は一般アプリケーションを示す場合、起動制御手段109aは、アプリケーション起動情報記憶手段107に記憶されているアプリケーション起動情報に応じて、アプリケーションを起動させる。そして、起動制御手段109aは、入力された認証結果を、起動させたアプリケーションIDに対応づけてセキュリティ情報テーブルに書き込む。これによって、アプリケーション管理・実行制御手段109は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、及び、認証結果を記憶、管理することができる。
一方、認証結果が不正なAアプリケーション又は失効を示す場合、起動制御手段109aは、このアプリケーションの起動を中止する。
次に、リスト制御手段108から選択アプリケーション通知が入力された場合を説明する。この場合、起動制御手段109aは、起動情報通知が入力された場合と同様、認証指示をアプリケーション認証手段119に出力する。そして、起動制御手段109aは、アプリケーション認証手段119から認証結果に応じて、アプリケーションを起動させるか、又は、アプリケーションの起動を中止する。さらに、アプリケーションを起動させるとき、起動制御手段109aは、アプリケーション実行手段113に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、ユーザがリストから選択したアプリケーションが起動されることになる。
なお、起動制御手段109aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリケーション識別情報記憶手段110に起動中のアプリケーションIDを書き込むこととする。
また、起動制御手段109aは、アプリケーションを起動させた場合、アプリケーションが起動したことを示すアプリケーション起動通知を、通常失効リスト要求・取得手段117に出力する。
終了制御手段109bは、起動中のアプリケーションの終了制御を行うものである。
具体的には、終了制御手段109bは、放送信号解析手段102から起動情報通知が通知された際、アプリケーション起動情報記憶手段107に記憶されているアプリケーション起動情報に応じて、アプリケーション実行手段113にアプリケーションの終了を指示する。
また、緊急失効リスト取得手段104aからアプリ失効情報通知が入力された場合を説明する。この場合、終了制御手段109bは、起動アプリケーション識別情報記憶手段110を参照し、起動中のアプリケーションのアプリケーションIDを取得する。そして、終了制御手段109bは、起動中のAアプリケーションを認証対象アプリケーションとして、認証指示をアプリケーション認証手段119に出力する。さらに、起動制御手段109aは、アプリケーション認証手段119から認証結果に応じて、アプリケーションを強制終了させるか、又は、アプリケーションの処理を継続させる。
ここで、認証結果が失効を示す場合、終了制御手段109bは、アプリケーション実行手段113に起動中のAアプリケーションの終了を指示し、このAアプリケーションを強制終了させる。
一方、認証結果が失効以外を示す場合、終了制御手段109bは、何ら処理を行わない。つまり、起動中のAアプリケーションは、強制終了されず、処理を継続することになる。
蓄積管理手段109cは、受信機100内(具体的には、アプリケーション記憶手段112)にアプリケーションを予め蓄積(インストール)する制御を行うものである。
具体的には、蓄積管理手段109cは、リスト制御手段108から選択アプリケーション通知が通知された際、アプリケーション取得指示をアプリケーション取得手段111に通知する。このアプリケーション取得指示は、アプリケーション起動情報に基づいてアプリケーションを取得して、アプリケーション記憶手段112に書き込む旨の指示である。
これによって、アプリケーション記憶手段112には、ユーザが選択したアプリケーションが蓄積される。
ここで、蓄積管理手段109cは、アプリケーションをアプリケーション記憶手段112に蓄積(インストール)した場合、アプリケーション起動情報記憶手段107において、蓄積したアプリケーション蓄積状態を“蓄積”とする。
一方、蓄積管理手段109cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。このとき、蓄積管理手段109cは、アプリケーション起動情報記憶手段107において、削除したアプリケーション蓄積状態を“未蓄積”とする。
起動アプリケーション識別情報記憶手段110は、起動中(実行中)のアプリケーションの識別情報(アプリケーションID)を記憶するメモリ、ハードディスク等の記憶装置である。この起動アプリケーション識別情報記憶手段110は、起動制御手段109aによって、アプリケーションが起動された際にアプリケーションIDが書き込まれ、終了制御手段109bによって、アプリケーションが終了する際に削除される。
アプリケーション取得手段111は、蓄積管理手段109cからアプリケーション取得指示が通知された際、通信送受信手段105を介して、リポジトリ80又はアプリケーションサーバ30の何れかに記憶されたアプリケーションを取得するものである。そして、アプリケーション取得手段111は、取得したアプリケーションをアプリケーション記憶手段112に書き込む。
アプリケーション記憶手段112は、アプリケーション取得手段111が取得したアプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。このアプリケーション記憶手段112に記憶されているアプリケーションは、アプリケーション実行手段113によって読み出され、実行される。
アプリケーション実行手段113は、アプリケーション管理・実行制御手段109からの起動制御指示に基づいて、アプリケーションの起動及び終了を行うものである。
このアプリケーション実行手段113は、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーション及びその実行に必要なデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。そして、アプリケーション実行手段113は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーションを実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段115に出力される。
ここで、アプリケーション実行手段113は、起動中のアプリケーションがリソースにアクセスするAPI(Application Program Interface)を呼び出した場合、アプリケーション管理・実行制御手段109を介して、リソース割当要求をリソース管理手段121に出力する。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
また、アプリケーション実行手段113は、リソース管理手段121からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリケーション実行手段113は、APIを呼び出して、リソース管理手段121によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリケーション実行手段113は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
また、アプリケーション実行手段113は、終了制御手段109bからアプリケーションの終了又は強制終了が指示された場合、例えば、割り込み信号等によって起動中のアプリケーションを終了させる。
なお、アプリケーション実行手段113は、アプリケーション管理・実行制御手段109を介して、リソース割当要求をリソース管理手段121に出力することとして説明したが、これに限定されない。具体的には、アプリケーション実行手段113は、リソース割当要求をリソース管理手段121に直接出力してもよい(不図示)。
操作制御手段114は、ユーザが、リモコン装置Riを介して、チャンネルの変更を指示した場合、変更後のチャンネル番号を含んだチャンネル切替指示を放送信号解析手段102に通知するものである。これによって、現在視聴中のチャンネルが選局されることになる。
合成表示手段115は、映像・音声復号手段103からの映像データ・音声データと、データ放送復号手段104からのデータ放送の表示データと、リスト制御手段108からのリストの表示データと、アプリケーション実行手段113からのアプリケーションの表示データとを合成して表示するものである。
なお、合成表示手段115は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
失効リスト記憶手段116は、緊急失効リストと、通常失効リストとを記憶するものである。ここで、失効リスト記憶手段116は、後記する通常失効リスト要求・取得手段117によって差分情報が反映された通常失効リストを1種類だけ記憶する。つまり、失効リスト記憶手段116は、最新バージョンの通常失効リストを1種類だけ記憶する。また、失効リスト記憶手段116は、緊急失効リストが上書きされるため、緊急失効リストを1種類だけ記憶する。
例えば、失効リスト記憶手段116は、ローカル暗号で暗号化された緊急失効リスト及び通常失効リストを記憶する。また、失効リスト記憶手段116は、ICカード等の耐タンパーデバイスとしてもよい。
通常失効リスト要求・取得手段117は、通信送受信手段105を介して、通常失効リスト要求を失効リスト管理装置90に送信するものである。例えば、通常失効リスト要求・取得手段117は、失効リスト記憶手段116から、記憶済み通常失効リストのバージョン情報を読み出す。そして、通常失効リスト要求・取得手段117は、受信機100の所在情報と、読み出したバージョン情報とが含まれる通常失効リスト要求を生成し、失効リスト管理装置90に送信する。
なお、失効リスト管理装置90の所在情報(例えば、URL)は、受信機100に予め設定しておく。
ここで、通常失効リスト要求・取得手段117は、以下のタイミングで通常失効リスト要求を送信できる。
例えば、通常失効リスト要求・取得手段117は、起動制御手段109aからアプリケーション起動通知が入力されたとき(アプリケーション起動時)、通常失効リスト要求を送信する。
また、通常失効リスト要求・取得手段117は、リスト制御手段108からローンチャー起動通知が入力されたとき(ローンチャー起動時)、通常失効リスト要求を送信してもよい。
また、通常失効リスト要求・取得手段117は、受信機100の待機電源が投入されている時間内(受信機100の待機時間内)に、通常失効リスト要求を送信してもよい。例えば、通常失効リスト要求・取得手段117は、受信機100の待機時間内において、予め設定された間隔毎に通常失効リスト要求を送信する。
また、通常失効リスト要求・取得手段117は、受信機100に固有のデバイスコードのグルーピングにより定まるタイミングで、通常失効リスト要求を送信してもよい。
このデバイスコードは、例えば、B−CAS(BS Conditional Access Systems)カードのID、又は、受信機100のIPドメインである。デバイスコードがIPドメインであれば、予め、デバイスコードを居住地単位でグルーピングしておく。また、デバイスコードがB−CASカードのIDであれば、予め、デバイスコードをランダムにグルーピングしておく。また、受信機100は、グループ毎に通常失効リスト要求の送信タイミングを示す送信タイミング情報を予め記憶する。この送信タイミング情報は、放送波を介して受信機100に配信してもよい。そして、通常失効リスト要求・取得手段117は、この受信機100が属するグループをデバイスコードから求め、送信タイミング情報を参照し、求めたグループの送信タイミングを求める。
通常失効リスト要求・取得手段117は、通信送受信手段105を介して、通常失効リスト要求に応じて、失効リスト管理装置90から、通常失効リストの差分情報を受信する。そして、通常失効リスト要求・取得手段117は、受信した差分情報と記憶済み通常失効リストとのアプリケーションIDを比較して、差分情報を記憶済み通常失効リストに反映させる。このとき、通常失効リスト要求・取得手段117は、通常失効リストであることを示す値(例えば、‘1’)を、失効リスト区分として通常失効リストに付加する。
ここで、記憶済み通常失効リストに含まれていないアプリケーションIDが、差分情報に含まれている場合を考える。この場合、通常失効リスト要求・取得手段117は、このアプリケーションIDを記憶済み通常失効リストに追加する。
また、差分情報にID削除情報が含まれている場合を考える。この場合、通常失効リスト要求・取得手段117は、ID削除情報が示すアプリケーションIDを記憶済み通常失効リストから削除する。
セキュリティ管理手段118は、受信機100のセキュリティを管理するものであり、アプリケーション認証手段119と、リソースアクセス制御手段120とを備える。
アプリケーション認証手段119は、検証鍵を記憶、管理する検証鍵管理手段(検証鍵記憶手段)119aを備える。また、アプリケーション認証手段119は、起動制御手段109a又は終了制御手段109bから入力された認証指示に応じて、後記するアプリケーション認証処理を行う(図13参照)。さらに、アプリケーション認証手段119は、認証指示を入力した起動制御手段109a又は終了制御手段109bに、アプリケーション認証処理の結果(認証結果)を出力する。
リソースアクセス制御手段120は、アプリケーション取得手段111が取得したアプリケーションの属性に応じて、このアプリケーションに対して、リソースアクセス制御を行うものである。本実施形態では、リソースアクセス制御手段120は、予め設定されたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。
<リソースアクセス制御>
図10を参照して、リソースアクセス制御手段120によるリソースアクセス制御を具体的に説明する(適宜図9参照)。
このリソースアクセス制御テーブルは、Aアプリケーション及び一般アプリケーションのそれぞれが、アクセスできるリソースとアクセスできないリソースとを予め設定したテーブルである。また、リソースアクセス制御テーブルは、図10に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
API識別子は、リソースにアクセスするAPIを一意に識別する識別子である。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、Aアプリケーション及び一般アプリケーションのそれぞれが、そのリソースにアクセスできるか否かを示す。
このリソースは、アプリケーションの動作に必要となるコンテンツ要素及び受信機資源であり、例えば、放送リソース、通信リソース、受信機リソースがある。
この放送リソースは、放送波Wで扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークNで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機100のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
図10のリソースアクセス制御テーブルでは、リソースごとに、そのリソースにアクセスする専用のAPIが規定されている。この例では、リソース「映像」にアクセスするAPIが「subA()」であり、リソース「音声」にアクセスするAPIが「subB()」であり、リソース「字幕」にアクセスするAPIが「subC()」であり、リソース「SI」にアクセスするAPIが「subD()」である。
また、このリソースアクセス制御テーブルでは、Aアプリケーションが、「映像」、「音声」、「字幕」、「SI」の全リソースについて、アクセス権限が「○」であるため、アクセスできることを示す。
さらに、このリソースアクセス制御テーブルでは、一般アプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限が「×」であるため、これらリソースにアクセスできないことを示す。一方、このリソースアクセス制御テーブルでは、一般アプリケーションであっても、リソース「SI」にアクセスできることを示す。
つまり、図10のリソースアクセス制御テーブルは、Aアプリケーションが、一般アプリケーションに比べて、幅広いリソースにアクセスできるように設定されている。言い換えるなら、このリソースアクセス制御テーブルでは、一般アプリケーションが、安全性や放送の公共性の観点から、所定のリソースにアクセスできないように設定されている。
ここで、システム管理者又は放送局等の権限を有する者が、このリソースアクセス制御テーブルを作成して、放送波W又はネットワークNを介して受信機100に送信して、受信機100に記憶されることとしてもよい。これによって、受信機100では、システム管理者又は放送局が、一般アプリケーションがアクセスできるリソースを管理でき、メンテナンス性が向上する。
なお、リソースアクセス制御テーブルは、図10の例に限定されない。例えば、リソースアクセス制御テーブルには、放送リソース以外のリソース(例えば、「TCP」等の通信リソース)を設定することもできる。
リソースアクセス制御手段120は、アプリケーション認証手段119から認証結果が入力される。そして、リソースアクセス制御手段120は、リソース管理手段121からリソース割当可否問合が入力されると、この認証結果に基づいて、リソースの割り当てが可能であるか否かを判定する。
具体的には、認証結果がAアプリケーションの場合、リソースアクセス制御手段120は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、Aアプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、Aアプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段120は、リソース「映像」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。そして、リソースアクセス制御手段120は、リソースの割り当てが可能であることを示すリソース割当可能を、リソース管理手段121に出力する。
なお、Aアプリケーションのアクセス権限が「×」の場合、リソースアクセス制御手段120は、Aアプリケーションであっても、そのリソースにアクセスすることを禁止する(図10不図示)。
一方、認証結果が一般アプリケーションの場合、リソースアクセス制御手段120は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、一般アプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、一般アプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段120は、リソース「映像」のアクセス権限が「×」のため、リソースの割り当てが不可と判定する。また、一般アプリケーションが「subD()」を呼び出した場合、リソースアクセス制御手段120は、リソース「SI」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。その後、リソースアクセス制御手段120は、この判定結果に基づいて、リソースの割り当てが不可であることを示すリソース割当不可、又は、リソース割当可能の何れかを、リソース管理手段121に出力する。
図9に戻り、受信機100の構成について説明を続ける。
リソース管理手段121は、各種リソースを管理するものである。ここで、リソース管理手段121は、アプリケーション管理・実行制御手段109からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段120に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段120に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
また、リソース管理手段121は、リソースアクセス制御手段120からリソース割当可否問合の応答が入力される。
ここで、リソース管理手段121は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段121は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリケーション管理・実行制御手段109に出力する。
一方、リソース管理手段121は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリケーション管理・実行制御手段109に出力する。
[放送通信連携システムの動作:Aアプリケーション]
受信機100がAアプリケーションを起動するケース(図11)、及び、受信機100が一般アプリケーションを起動するケース(図12)を、図1の放送通信連携システム1の動作として説明する。
図11に示すように、放送通信連携システム1は、署名鍵発行装置60によって、署名鍵(秘密鍵)と、この署名鍵に対応する検証鍵(公開鍵)とを発行する(ステップS1)。
放送通信連携システム1は、署名鍵発行装置60が生成した検証鍵を、任意の方法で受信機100に配布する。例えば、この検証鍵は、受信機100を製造するメーカに送信され、受信機100に予め記録される(プリインストール)。この他、この検証鍵を記録したICカードをユーザにオフラインで送信し、各ユーザがICカードに記憶された検証鍵を受信機100に読み取らせてもよい(ステップS2)。
放送通信連携システム1は、署名鍵発行装置60によって、生成した署名鍵をアプリケーション登録装置70に出力する。例えば、署名鍵発行装置60は、システム管理者からの指令に応じて、この署名鍵をアプリケーション登録装置70に出力(発行)する(ステップS3)。
なお、ステップS1〜S3の処理は、Aアプリケーションの登録を開始するまでに1回実行すればよく、Aアプリケーションを登録する都度、実行しなくともよい。
放送通信連携システム1は、アプリケーションID生成装置50によって、アプリケーションIDを生成する(ステップS4)。そして、放送通信連携システム1は、アプリケーションID生成装置50によって、生成したアプリケーションIDを、アプリケーション登録装置70に出力する(ステップS5)。
放送通信連携システム1は、アプリケーション管理装置40に記憶されたアプリケーションを、アプリケーション登録装置70に任意の方法で出力する。例えば、このアプリケーションは、ネットワークNを介して、アプリケーション登録装置70に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者にオフラインで送信し、システム管理者がこのアプリケーションをアプリケーション登録装置70に手動で入力してもよい(ステップS6)。
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーション管理装置40から入力されたアプリケーションに、アプリケーションID生成装置50から入力されたアプリケーションIDを付加する(ステップS7)。
放送通信連携システム1は、アプリケーション登録装置70によって、署名鍵発行装置60から署名鍵が入力された署名鍵を用いて、アプリケーション用署名を生成する(ステップS8)。
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションID付きアプリケーションに、生成したアプリケーション用署名を付加する(ステップS9)。そして、放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーション用署名が付加されたアプリケーションをリポジトリ80に送信し、リポジトリ80によって、Aアプリケーションを記憶、管理する(ステップS10)。
放送通信連携システム1は、受信機100によって、Aアプリケーションをリポジトリ80に要求する(ステップS11)。そして、放送通信連携システム1は、受信機100によって、要求したAアプリケーションをリポジトリ80から取得する(ステップS12)。
放送通信連携システム1は、受信機100によって、取得したアプリケーションを認証対象アプリケーションとして、アプリケーション認証処理を行う(ステップS13)。
ここでは、放送通信連携システム1は、受信機100によって、認証結果がAアプリケーションのため、取得したアプリケーションをAアプリケーションとして起動する(ステップS14)。
[放送通信連携システムの動作:一般アプリケーション]
図12に示すように、放送通信連携システム1は、一般アプリケーションをアプリケーションサーバ30に要求する(ステップS21)。そして、放送通信連携システム1は、受信機100によって、要求した一般アプリケーションをアプリケーションサーバ30から取得する(ステップS22)。
放送通信連携システム1は、受信機100によって、取得したアプリケーションを認証対象アプリケーションとして、アプリケーション認証処理を行う(ステップS23)。
ここでは、放送通信連携システム1は、受信機100によって、認証結果が一般アプリケーションのため、取得したアプリケーションを一般アプリケーションとして起動する(ステップS24)。
[受信機の動作:アプリケーション認証処理]
図13を参照して、受信機100の動作として、アプリケーション認証処理(図11のステップS13、図12のステップS23)について説明する(適宜図7参照)。
<ステップS131:認証指示の入力>
アプリケーション認証手段119は、起動制御手段109a又は終了制御手段109bから、認証指示が入力される(ステップS131)。
<ステップS132:アプリケーションID等の読み出し>
アプリケーション認証手段119は、アプリケーション記憶手段112から、認証対象アプリケーションに付加されたアプリケーションID、アプリケーション用署名及び署名元メッセージを読み出す。また、アプリケーション認証手段119は、検証鍵管理手段119aから検証鍵を読み出す。そして、アプリケーション認証手段119は、失効リスト記憶手段116から、緊急失効リスト及び通常失効リストを読み出す(ステップS132)。
<ステップS133:アプリケーション用署名の有無判定>
アプリケーション認証手段119は、認証対象アプリケーションにアプリケーション用署名が付加されているか否かを判定する(ステップS133)。
認証対象アプリケーションにアプリケーション用署名が付加されている場合(ステップS133でYes)、アプリケーション認証手段119は、ステップS134の処理に進む。
<ステップS134:アプリケーション用署名の正当性判定>
アプリケーション認証手段119は、検証鍵によりアプリケーション用署名が正当であるか否かを判定する。例えば、アプリケーション認証手段119は、認証対象アプリケーションに付加されたアプリケーション用署名と、署名元メッセージと、検証鍵とを用いて、アプリケーション用署名が正当であるか否かを判定する。ここで、アプリケーション用署名が正当とは、検証鍵で復号化したアプリケーション用署名と、署名元メッセージとが一致することである。
さらに、Key-insulated署名方式を用いた場合、アプリケーション認証手段119は、アプリケーション用署名の正当性だけでなく、アプリケーション本体の正当性と、アプリケーションIDの正当性とを判定することもできる(ステップS134)。
アプリケーション用署名が正当な場合(ステップS134でYes)、アプリケーション認証手段119は、ステップS135の処理に進む。
<ステップS135:通常失効リストの正当性判定>
アプリケーション認証手段119は、読み出した通常失効リストに付加された検証用情報を用いて、この通常失効リストが正当であるか否かを判定する。
失効リスト用検証情報がハッシュ値の場合、アプリケーション認証手段119は、通常失効リスト生成手段904と同様の手法で検証元メッセージを生成する。そして、アプリケーション認証手段119は、生成した検証元メッセージにハッシュ関数を適用し、検証元メッセージのハッシュ値を算出する。さらに、アプリケーション認証手段119は、失効リスト用検証情報と、検証元メッセージのハッシュ値とを比較して、これらが一致するか否かによって、通常失効リストの正当性を判定する。
また、失効リスト用検証情報がMAC値の場合、アプリケーション認証手段119は、通常失効リスト生成手段904と同様の手法で検証元メッセージを生成する。そして、アプリケーション認証手段119は、共有鍵を用いて、検証元メッセージのMAC値を算出する。さらに、アプリケーション認証手段119は、失効リスト用検証情報と、検証元メッセージのMAC値とを比較して、これらが一致するか否かによって、通常失効リストの正当性を判定する。
また、失効リスト用検証情報が失効リスト用署名の場合、アプリケーション認証手段119は、通常失効リスト生成手段904と同様の手法で検証元メッセージを生成する。そして、アプリケーション認証手段119は、検証鍵を用いて、失効リスト用署名を復号化する。さらに、アプリケーション認証手段119は、復号化した失効リスト用署名と、生成した検証元メッセージとを比較して、これらが一致するか否かによって、通常失効リストの正当性を判定する(ステップS135)。
通常失効リストが正当な場合(ステップS135でYes)、アプリケーション認証手段119は、ステップS136の処理に進む。
なお、アプリケーション認証手段119は、失効リスト区分の値により、緊急失効リストと通常失効リストとを区別することができる。
<ステップS136:Aアプリケーションの失効判定>
アプリケーション認証手段119は、認証対象のアプリケーションのIDが、緊急失効リストと通常失効リストとに含まれるか否かを判定する(ステップS136)。
<ステップS137〜S140:認証結果の出力>
認証対象アプリケーションのアプリケーションIDが緊急失効リスト及び通常失効リストの何れにも含まれない場合(ステップS136でYes)、アプリケーション認証手段119は、認証対象アプリケーションをAアプリケーションとして認証し(ステップS137)、アプリケーション認証処理を終了する。
認証対象アプリケーションにアプリケーション用署名が付加されていない場合(ステップS133でNo)、アプリケーション認証手段119は、認証対象アプリケーションを一般アプリケーションと判定し(ステップS138)、アプリケーション認証処理を終了する。
アプリケーション用署名が正当でない場合(ステップS134でNo)、アプリケーション認証手段119は、認証対象アプリケーションを不正なAアプリケーションと判定し(ステップS139)、アプリケーション認証処理を終了する。
通常失効リストが正当でない場合(ステップS135でNo)、アプリケーション認証手段119は、認証対象アプリケーションを失効と判定し(ステップS138)、アプリケーション認証処理を終了する。
認証対象アプリケーションのアプリケーションIDが緊急失効リスト又は通常失効リストの何れかに含まれる場合(ステップS136でNo)、アプリケーション認証手段119は、認証対象アプリケーションを失効と判定し(ステップS140)、アプリケーション認証処理を終了する。
以上のように、本発明の実施形態に係る放送通信連携システム1は、放送波Wを介して、緊急性が高い緊急失効リストをリアルタイムで配信し、ネットワークNを介して、緊急性が低い通常失効リストを配信する。さらに、放送通信連携システム1は、視聴者に不利益をもたらすAアプリケーションが起動中であっても、緊急失効リストにより、このAアプリケーションを即座に強制終了させる。このため、放送通信連携システム1は、放送と通信とを効率的に利用して、視聴者に不利益をもたらすAアプリケーションの実行を適切に管理できる。
さらに、受信機100は、Key-insulated署名方式を用いた場合、アプリケーション認証処理において、アプリケーション用署名の正当性と、アプリケーション本体の正当性と、アプリケーションIDの正当性と、通常失効リストの正当性とを判定し、より適切なアプリケーション認証処理を行うことができる。
さらに、受信機100は、通常失効リストの差分情報を受信するため、通常失効リストをそのまま受信する場合に比べて、データ伝送量を抑え、ネットワークNの負荷を抑えることができる。さらに、受信機100は、通常失効リストの差分更新を可能とし、更新処理の高速化を図ることができる。
さらに、放送通信連携システム1は、受信機100の間で通常失効リストを要求するタイミングが分散するため、失効リスト管理装置90に要求が集中する事態を防止し、ネットワークNの負荷を抑えることができる。
(変形例)
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、その趣旨を変えない範囲で実施することができる。実施形態の変形例を以下に示す。
なお、本実施形態では、図1に示すように、放送局が失効リスト管理装置90を管理することとして説明したが、本発明は、これに限定されない。例えば、本発明では、図14に示すように、システム管理者等の信頼できる機関が、失効リスト管理装置90を管理すればよい。
なお、本実施形態では、失効リスト管理装置90が差分情報を受信機100に送信することとして説明したが、本発明は、これに限定されない。例えば、失効リスト管理装置90は、最新バージョンの通常失効リストをそのまま受信機100に送信する。そして、受信機100は、受信した通常失効リストを記憶済み通常失効リストに置き換える。
また、受信機100が、最新バージョンの通常失効リストと記憶済み通常失効リストとの差分を求め、求めた差分を失効リスト管理装置90からダウンロード(受信)してもよい。
なお、本実施形態では、放送波Wが安全なため、緊急失効リストに失効リスト検証用情報を付加しないこととして説明したが、本発明は、これに限定されない。例えば、本発明では、緊急失効リストは、通常失効リストと同様に失効リスト検証用情報が付加され、アプリケーション認証処理において、緊急失効リストの正当性を判定してもよい。
なお、本実施形態では、アプリケーションにアプリケーション用署名を付加することとして説明したが、本発明は、これに限定されない。例えば、本発明では、署名鍵・検証鍵でアプリケーションを暗号化・復号化することで、アプリケーションそのものをアプリケーション用署名として扱うこともできる。
なお、本実施形態では、署名鍵・検証鍵をそれぞれ1個として説明したが、本発明は、これに限定されない。例えば、本発明は、サービス事業者ごとに署名鍵・検証鍵を発行してもよく、Aアプリケーションごとに署名鍵・検証鍵を発行してもよい。
なお、本実施形態では、Aアプリケーション及び一般アプリケーションを制作するサービス事業者をそれぞれ1つとして説明したが、複数であってもよい。また、同一のサービス事業者がAアプリケーション及び一般アプリケーションの両方を制作してもよい。さらに、放送局がサービス事業者として、アプリケーションを制作してもよい。
なお、本実施形態では、Aアプリケーションを1つのリポジトリ80に集約して、受信機100に配布することとして説明したが、これに限定されない。例えば、本発明に係る放送通信連携システム1は、複数のリポジトリを備えており、各リポジトリ80が受信機100にAアプリケーションを配布してもよい(不図示)。
また、システム管理者がアプリケーション用署名及びアプリケーションIDを発行した後、これをサービス事業者Bに配布して、サービス事業者Bがアプリケーションにアプリケーション用署名・アプリケーションIDを付加してもよい。この場合、Aアプリケーションは、サービス事業者Bによって管理されるアプリケーションサーバ(不図示)から直接、受信機100に配布される。
1 放送通信連携システム
10 放送送信装置
100 受信機(放送通信連携受信装置)
101 放送受信手段
102 放送信号解析手段
103 映像・音声復号手段
104 データ放送復号手段
104a 緊急失効リスト取得手段
105 通信送受信手段
106 アプリケーション起動情報取得手段
107 アプリケーション起動情報記憶手段
108 リスト制御手段
109 アプリケーション管理・実行制御手段
109a 起動制御手段
109b 終了制御手段
109c 蓄積管理手段
110 起動アプリケーション識別情報記憶手段
111 アプリケーション取得手段
112 アプリケーション記憶手段
113 アプリケーション実行手段
114 操作制御手段
115 合成表示手段
116 失効リスト記憶手段
117 通常失効リスト要求・取得手段(通常失効リスト取得手段)
118 セキュリティ管理手段
119 アプリケーション認証手段
119a 検証鍵管理手段(検証鍵記憶手段)
120 リソースアクセス制御手段
121 リソース管理手段
20,20A,20B コンテンツ配信サーバ
30 アプリケーションサーバ
300 アプリケーション入力手段
301 アプリケーション記憶手段
302 アプリケーション送信手段
40 アプリケーション管理装置
50 アプリケーションID生成装置
500 アプリケーションID生成手段
501 アプリケーションID出力手段
60 署名鍵発行装置
600 署名鍵・検証鍵生成手段
601 署名鍵管理手段
602 署名鍵管理手段
70 アプリケーション登録装置
700 アプリケーション入力手段
701 アプリケーションID入力手段
702 アプリケーションID付加手段
703 署名鍵入力手段
704 署名生成手段
705 署名付加手段
706 アプリケーション出力手段
80 リポジトリ
800 アプリケーション入力手段
801 アプリケーション記憶手段
802 アプリケーション送信手段
90 失効リスト管理装置
900 緊急失効リスト用アプリケーションID入力手段
901 緊急失効リスト生成手段
902 緊急失効リスト出力手段
903 通常失効リスト用アプリケーションID入力手段
904 通常失効リスト生成手段
905 通常失効リスト記憶手段
906 通常失効リスト要求受信手段
907 通常失効リスト送信手段

Claims (6)

  1. 放送番組を送信する放送送信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵により生成したアプリケーション用署名、及び、所定の命名規約により生成した識別情報をアプリケーションに付加するアプリケーション登録装置と、前記アプリケーション用署名及び前記識別情報が付加されたアプリケーションであるAアプリケーションを記憶するリポジトリと、強制終了させる前記Aアプリケーションの識別情報が含まれる緊急失効リスト、及び、起動を中止する前記Aアプリケーションの識別情報が含まれる通常失効リストを記憶する失効リスト管理装置とを含む放送通信連携システムに配置され、前記放送番組を受信する放送通信連携受信装置であって、
    ネットワークを介して、前記リポジトリから前記Aアプリケーションを取得するアプリケーション取得手段と、
    放送波を介して、前記失効リスト管理装置から前記緊急失効リストを取得すると共に、当該緊急失効リストを取得したことを示すアプリ失効情報通知を出力する緊急失効リスト取得手段と、
    前記ネットワークを介して、前記失効リスト管理装置から前記通常失効リストを取得する通常失効リスト取得手段と、
    前記緊急失効リストと、前記通常失効リストとを用いて、少なくとも、認証対象アプリケーションが失効している否かを判定するアプリケーション認証処理を行うアプリケーション認証手段と、
    前記Aアプリケーションを起動するとき、起動する前記Aアプリケーションを前記認証対象アプリケーションとした前記アプリケーション認証処理を前記アプリケーション認証手段に指示し、前記起動するAアプリケーションが失効していると判定された場合、当該Aアプリケーションの起動を中止する起動制御手段と、
    前記緊急失効リスト取得手段から前記アプリ失効情報通知が入力されたとき、起動中の前記Aアプリケーションを前記認証対象アプリケーションとした前記アプリケーション認証処理を前記アプリケーション認証手段に指示し、前記起動中のAアプリケーションが失効していると判定された場合、当該Aアプリケーションを強制終了させる終了制御手段と、
    を備えることを特徴とする放送通信連携受信装置。
  2. 前記検証鍵を予め記憶する検証鍵記憶手段と、
    前記通常失効リスト取得手段は、失効リスト用検証情報として、ハッシュ値、MAC値又は失効リスト用署名がさらに付加された通常失効リストを取得し、
    前記アプリケーション認証手段は、前記アプリケーション認証処理として、
    前記検証鍵を用いて、前記認証対象アプリケーションのアプリケーション用署名が正当であるか否かを判定し、前記アプリケーション用署名が正当でない場合、当該認証対象アプリケーションが失効していると判定し、
    前記失効リスト用検証情報を用いて、前記通常失効リストが正当であるか否かを判定し、当該通常失効リストが正当でない場合、前記認証対象アプリケーションが失効していると判定し、
    前記認証対象アプリケーションの識別情報が前記緊急失効リスト又は前記通常失効リストに含まれるか否かを判定し、前記識別情報が前記緊急失効リスト及び前記通常失効リストに含まれない場合、当該認証対象アプリケーションを前記Aアプリケーションとして認証し、前記識別情報が前記緊急失効リスト又は前記通常失効リストに含まれる場合、当該認証対象アプリケーションが失効していると判定することを特徴とする請求項1に記載の放送通信連携受信装置。
  3. 前記通常失効リストを記憶する失効リスト記憶手段をさらに備え、
    前記通常失効リスト取得手段は、前記失効リスト管理装置に記憶された最新の通常失効リストと、前記失効リスト記憶手段に記憶された通常失効リストとの差分情報を、当該失効リスト管理装置から受信し、受信した前記差分情報を前記失効リスト記憶手段の通常失効リストに反映させることを特徴とする請求項1又は請求項2に記載の放送通信連携受信装置。
  4. 前記通常失効リスト取得手段は、前記アプリケーションの起動時、ローンチャーの起動時、当該放送通信連携受信装置に固有のデバイスコードが属するグループ毎に予め設定されたタイミング、又は、当該放送通信連携受信装置の待機時間内の何れか1以上で、前記差分情報を前記失効リスト管理装置に要求することを特徴とする請求項3に記載の放送通信連携受信装置。
  5. 放送番組を送信する放送送信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵により生成したアプリケーション用署名、及び、所定の命名規約により生成した識別情報をアプリケーションに付加するアプリケーション登録装置と、前記アプリケーション用署名及び前記識別情報が付加されたアプリケーションであるAアプリケーションを記憶するリポジトリと、強制終了させる前記Aアプリケーションの識別情報が含まれる緊急失効リスト、及び、起動を中止する前記Aアプリケーションの識別情報が含まれる通常失効リストを記憶する失効リスト管理装置とを含む放送通信連携システムに配置され、前記放送番組を受信する検証鍵記憶手段を備えるコンピュータを、
    ネットワークを介して、前記リポジトリから前記Aアプリケーションを取得するアプリケーション取得手段、
    放送波を介して、前記失効リスト管理装置から前記緊急失効リストを取得すると共に、当該緊急失効リストを取得したことを示すアプリ失効情報通知を出力する緊急失効リスト取得手段、
    前記ネットワークを介して、前記失効リスト管理装置から前記通常失効リストを取得する通常失効リスト取得手段、
    前記緊急失効リストと、前記通常失効リストとを用いて、少なくとも、認証対象アプリケーションが失効している否かを判定するアプリケーション認証処理を行うアプリケーション認証手段、
    前記Aアプリケーションを起動するとき、起動する前記Aアプリケーションを前記認証対象アプリケーションとした前記アプリケーション認証処理を前記アプリケーション認証手段に指示し、前記起動するAアプリケーションが失効していると判定された場合、当該Aアプリケーションの起動を中止する起動制御手段、
    前記緊急失効リスト取得手段から前記アプリ失効情報通知が入力されたとき、起動中の前記Aアプリケーションを前記認証対象アプリケーションとした前記アプリケーション認証処理を前記アプリケーション認証手段に指示し、前記起動中のAアプリケーションが失効していると判定された場合、当該Aアプリケーションを強制終了させる終了制御手段、
    として機能させるためのアプリケーション認証プログラム。
  6. 請求項1に記載の放送通信連携受信装置と、
    前記放送番組を送信する放送送信装置と、
    前記署名鍵及び前記検証鍵を発行する署名鍵発行装置と、
    前記アプリケーションに前記アプリケーション用署名及び前記識別情報を付加するアプリケーション登録装置と、
    前記アプリケーション用署名及び前記識別情報が付加されたAアプリケーションを記憶するリポジトリと、
    前記緊急失効リスト及び前記通常失効リストを記憶する失効リスト管理装置と、
    を備えることを特徴とする放送通信連携システム。
JP2012148324A 2012-07-02 2012-07-02 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム Active JP5941356B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012148324A JP5941356B2 (ja) 2012-07-02 2012-07-02 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012148324A JP5941356B2 (ja) 2012-07-02 2012-07-02 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム

Publications (2)

Publication Number Publication Date
JP2014011715A JP2014011715A (ja) 2014-01-20
JP5941356B2 true JP5941356B2 (ja) 2016-06-29

Family

ID=50108011

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012148324A Active JP5941356B2 (ja) 2012-07-02 2012-07-02 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム

Country Status (1)

Country Link
JP (1) JP5941356B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015104055A (ja) 2013-11-27 2015-06-04 ソニー株式会社 受信装置、受信方法、送信装置、及び、送信方法
US10276365B2 (en) 2016-02-01 2019-04-30 SCREEN Holdings Co., Ltd. Substrate cleaning device, substrate processing apparatus, substrate cleaning method and substrate processing method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007235306A (ja) * 2006-02-28 2007-09-13 Matsushita Electric Ind Co Ltd 使用認証方式を搭載した放送受信装置
JP5433239B2 (ja) * 2009-01-15 2014-03-05 日本放送協会 放送型アプリケーションの起動システム
JP2010166407A (ja) * 2009-01-16 2010-07-29 Nippon Hoso Kyokai <Nhk> プログラム取得装置、プログラム更新装置、およびプログラム取得プログラム
WO2011013303A1 (ja) * 2009-07-30 2011-02-03 パナソニック株式会社 受信データ認証方法及びデジタル放送受信機

Also Published As

Publication number Publication date
JP2014011715A (ja) 2014-01-20

Similar Documents

Publication Publication Date Title
US8924731B2 (en) Secure signing method, secure authentication method and IPTV system
JP5961164B2 (ja) 放送通信連携受信装置及びリソースアクセス制御プログラム
CN100583987C (zh) 用于认证和执行应用程序的方法
JP5678367B2 (ja) 契約者機器から得られる情報を使用することによりネットワーク・サービスへのアクセスを承認するためのシステムおよび方法
JP6423067B2 (ja) 放送通信連携受信装置及び放送通信連携システム
JP6569793B2 (ja) 送信装置および送信方法
JP7140241B2 (ja) 受信装置および受信方法
US20200099964A1 (en) Method and device for checking authenticity of a hbbtv related application
JP5941356B2 (ja) 放送通信連携受信装置、アプリケーション認証プログラム及び放送通信連携システム
KR20180032559A (ko) 디지털 브로드캐스트 데이터의 인증
US20140096154A1 (en) Integrated broadcasting communications receiver and resource managing device
JP5952638B2 (ja) 放送通信連携受信装置及び放送通信連携システム
JP6053323B2 (ja) 放送送信装置、放送通信連携受信装置およびそのプログラム、ならびに、放送通信連携システム
JP5912615B2 (ja) 放送通信連携受信装置及び放送通信連携システム
KR102379069B1 (ko) 방송 데이터를 인증하는 방송 장치 및 방법
JP6180784B2 (ja) アプリケーション配信管理システム及び受信機プログラム
JP7334772B2 (ja) 情報処理装置及び受信方法
JP2019165485A (ja) 受信装置および受信方法
JP2018023145A (ja) 送信システム及び送信方法

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140328

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160520

R150 Certificate of patent or registration of utility model

Ref document number: 5941356

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250