特許第5961164号(P5961164)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本放送協会

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本放送協会の特許一覧

特許5961164放送通信連携受信装置及びリソースアクセス制御プログラム
<>
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000002
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000003
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000004
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000005
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000006
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000007
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000008
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000009
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000010
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000011
  • 特許5961164-放送通信連携受信装置及びリソースアクセス制御プログラム 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5961164
(24)【登録日】2016年7月1日
(45)【発行日】2016年8月2日
(54)【発明の名称】放送通信連携受信装置及びリソースアクセス制御プログラム
(51)【国際特許分類】
   G06F 21/44 20130101AFI20160719BHJP
   G06F 21/62 20130101ALI20160719BHJP
   H04L 9/08 20060101ALI20160719BHJP
   H04L 9/32 20060101ALI20160719BHJP
   H04N 21/4627 20110101ALI20160719BHJP
   H04N 21/835 20110101ALI20160719BHJP
【FI】
   G06F21/44
   G06F21/62
   H04L9/00 601B
   H04L9/00 675B
   H04N21/4627
   H04N21/835
【請求項の数】5
【全頁数】26
(21)【出願番号】特願2013-515229(P2013-515229)
(86)(22)【出願日】2012年5月18日
(86)【国際出願番号】JP2012062807
(87)【国際公開番号】WO2012157755
(87)【国際公開日】20121122
【審査請求日】2015年4月1日
(31)【優先権主張番号】特願2011-112713(P2011-112713)
(32)【優先日】2011年5月19日
(33)【優先権主張国】JP
【権利譲渡・実施許諾】特許権者において、実施許諾の用意がある。
(73)【特許権者】
【識別番号】000004352
【氏名又は名称】日本放送協会
(74)【代理人】
【識別番号】110001807
【氏名又は名称】特許業務法人磯野国際特許商標事務所
(74)【代理人】
【識別番号】100064414
【弁理士】
【氏名又は名称】磯野 道造
(74)【代理人】
【識別番号】100111545
【弁理士】
【氏名又は名称】多田 悦夫
(72)【発明者】
【氏名】大亦 寿之
(72)【発明者】
【氏名】真島 恵吾
(72)【発明者】
【氏名】井上 友幸
(72)【発明者】
【氏名】小川 一人
(72)【発明者】
【氏名】藤井 亜里砂
(72)【発明者】
【氏名】大槻 一博
(72)【発明者】
【氏名】大竹 剛
(72)【発明者】
【氏名】川喜田 裕之
(72)【発明者】
【氏名】山村 千草
【審査官】 岸野 徹
(56)【参考文献】
【文献】 特開2009−065422(JP,A)
【文献】 国際公開第2010/046436(WO,A1)
【文献】 特開2004−153809(JP,A)
【文献】 国際公開第2011/027492(WO,A1)
【文献】 特表2007−506350(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 21/62
H04L 9/08
H04L 9/32
H04N 21/4627
H04N 21/835
(57)【特許請求の範囲】
【請求項1】
放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵によりアプリケーションに署名するアプリケーション登録装置と、署名されたアプリケーションであるAアプリケーションを記憶するAアプリケーションサーバとを含む放送通信連携システムに備えられる前記放送通信連携受信装置であって、
前記検証鍵を予め記憶する検証鍵記憶手段と、
ネットワークを介して、前記Aアプリケーションサーバに記憶された前記アプリケーションを取得するアプリケーション取得手段と、
前記検証鍵を用いて、前記アプリケーション取得手段が取得したアプリケーションの署名が正当であるか否かを検証し、当該署名が正当の場合、当該取得したアプリケーションを前記Aアプリケーションと判定するアプリケーション判定手段と、
前記アプリケーション判定手段の判定結果に基づいて、当該取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行うリソースアクセス制御手段と、
を備える放送通信連携受信装置。
【請求項2】
前記リソースアクセス制御手段は、前記Aアプリケーションごとにアクセスできないリソースを予め定めたリソースアクセス制御テーブルに基づいて、前記リソースアクセス制御を行う請求項1に記載の放送通信連携受信装置。
【請求項3】
放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵によりアプリケーションに署名するアプリケーション登録装置と、署名されたアプリケーションであるAアプリケーションを記憶するAアプリケーションサーバと、署名されていないアプリケーションである一般アプリケーションを記憶する一般アプリケーションサーバとを含む放送通信連携システムに備えられる前記放送通信連携受信装置であって、
前記検証鍵を予め記憶する検証鍵記憶手段と、
ネットワークを介して、前記Aアプリケーションサーバ又は前記一般アプリケーションサーバの何れかに記憶された前記アプリケーションを取得するアプリケーション取得手段と、
前記検証鍵を用いて、前記アプリケーション取得手段が取得したアプリケーションの署名が正当であるか否かを検証し、当該署名が正当の場合、当該取得したアプリケーションを前記Aアプリケーションと判定し、当該署名が正当でない場合又は当該取得したアプリケーションが署名されていない場合、当該取得したアプリケーションを前記一般アプリケーションと判定するアプリケーション判定手段と、
前記アプリケーション判定手段の判定結果に基づいて、当該取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行うリソースアクセス制御手段と、
を備える放送通信連携受信装置。
【請求項4】
前記リソースアクセス制御手段は、前記Aアプリケーション及び前記一般アプリケーションごとにアクセスできないリソースを予め定めたリソースアクセス制御テーブルに基づいて、前記リソースアクセス制御を行う請求項に記載の放送通信連携受信装置。
【請求項5】
放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵によりアプリケーションに署名するアプリケーション登録装置と、署名されたアプリケーションであるAアプリケーションを記憶するAアプリケーションサーバとを含む放送通信連携システムに備えられ、前記検証鍵を予め記憶する検証鍵記憶手段を備える前記放送通信連携受信装置を、
ネットワークを介して、前記Aアプリケーションサーバに記憶された前記アプリケーションを取得するアプリケーション取得手段、
前記検証鍵を用いて、前記アプリケーション取得手段が取得したアプリケーションの署名が正当であるか否かを検証し、当該署名が正当の場合、当該取得したアプリケーションを前記Aアプリケーションと判定するアプリケーション判定手段、
前記アプリケーション判定手段の判定結果に基づいて、当該取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行うリソースアクセス制御手段、
として機能させるためのリソースアクセス制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、放送と、インターネット、専用IP(Internet Protocol)回線等の通信ネットワークとを利用した放送通信連携システムにおいて、一般アプリケーションに対するリソースアクセス制御の技術に関する。
本願は、2011年5月19日に、日本に出願された特願2011−112713号を優先権主張し、その内容をここに援用する。
【背景技術】
【0002】
近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信を連携した様々なサービス(以降、「放送通信連携サービス」)が検討されている(例えば、非特許文献1,2参照)。この放送通信連携サービスでは、放送番組に関連する多様な情報を通信ネットワーク経由で取得し、放送と組み合わせて提示することが想定されている。また、受信機では、放送通信連携サービスを享受するため、この放送通信連携サービスに適応したアプリケーションを用いることが想定されている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】「技研における放送通信連携技術研究の概要」、NHK技研R&D、No.124、2010.11、P4−P9
【非特許文献2】「HybridcastTMの概要と技術」、NHK技研R&D、No.124、2010.11、P10−P17
【発明の概要】
【発明が解決しようとする課題】
【0004】
この放送通信連携サービスにおいて、視聴者にとってより魅力的なサービスを実現するためには、放送局、様々なサービス事業者及び個人が一定のルールに基づいて制作したアプリケーション(Aアプリケーション)を視聴者に提供できる環境が望まれている。しかし、その他のアプリケーション(一般アプリケーション)は、放送通信連携サービスで期待する動作が保証されていないため、安全性や放送の公共性の観点から、無制限に放送通信連携サービスで提供される受信機のリソースへアクセスすることが認められない。
【0005】
そこで、本発明は、放送と通信を連携した放送通信連携サービスにおいて、アプリケーションを正しく認証したうえで、動作が保証されない一般アプリケーションに対して、無制限なリソースアクセスを禁止できる放送通信連携受信装置及びリソースアクセス制御プログラムを提供することを課題とする。
【課題を解決するための手段】
【0006】
前記した課題に鑑みて、本願第1発明に係る放送通信連携受信装置は、放送番組を送信する放送送信装置と、放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、署名鍵によりアプリケーションに署名するアプリケーション登録装置と、署名されたアプリケーションであるAアプリケーションを記憶するAアプリケーションサーバとを含む放送通信連携システムに備えられる放送通信連携受信装置であって、検証鍵記憶手段と、アプリケーション取得手段と、アプリケーション判定手段と、リソースアクセス制御手段と、を備える。
【0007】
かかる構成によれば、放送通信連携受信装置は、検証鍵記憶手段によって、検証鍵を予め記憶する。また、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、アプリケーションサーバに記憶されたアプリケーションを取得する。すなわち、アプリケーション取得手段が取得したアプリケーションは、署名の有無により、Aアプリケーション又は一般アプリケーションの何れかに区分することができる。
【0008】
ここで、「A(Authorized)アプリケーション」とは、システム管理者によって承認されたアプリケーションのことである。例えば、システム管理者は、あるアプリケーションが放送通信連携システムで期待する動作を行うか否かを手動又は自動で検証し、その検証結果に問題がないものをAアプリケーションとして承認する。
また、「一般アプリケーション」とは、システム管理者によって承認されていないアプリケーションのことである。
【0009】
また、放送通信連携受信装置は、アプリケーション判定手段によって、検証鍵を用いて、アプリケーション取得手段が取得したアプリケーションの署名が正当であるか否かを検証する。そして、放送通信連携受信装置は、アプリケーション判定手段によって、署名が正当の場合、取得したアプリケーションをAアプリケーションと判定する。
【0010】
また、放送通信連携受信装置は、リソースアクセス制御手段によって、アプリケーション判定手段の判定結果に基づいて、取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。例えば、判定結果が一般アプリケーションの場合、リソースアクセス制御手段は、この一般アプリケーションが、後記する放送リソースにアクセスすることを禁止する。一方、判定結果がAアプリケーションの場合、リソースアクセス制御手段は、このAアプリケーションが放送リソースにアクセスすることを禁止せずともよい。これによって、リソースアクセス制御手段は、安全性の確保が困難な一般アプリケーションが、無制限にリソースへアクセスすることを禁止できる。
なお、リソースアクセス制御手段は、一般アプリケーションであっても、後記する受信機リソース等の一部リソースへのアクセスを禁止せずともよい。
【0011】
ここで、本願第1発明に係る放送通信連携受信装置において、アプリケーション判定手段が、アプリケーションを取得又は起動したとき、アプリケーションの署名が正当であるか否かを検証してもよい
かかる構成によれば、放送通信連携受信装置は、アプリケーション取得時に署名を検証する場合、署名の検証回数を低減することができる。一方、放送通信連携受信装置は、アプリケーション起動する都度、署名を検証することもできる。
【0012】
また、本願第発明に係る放送通信連携受信装置は、本願第1発明に係る放送通信連携受信装置において、リソースアクセス制御手段が、Aアプリケーションごとにアクセスできないリソースを予め定めたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。
【0013】
このリソースアクセス制御テーブルは、例えば、放送局又はシステム管理者によって作成され、放送波又はネットワークを介して放送通信連携受信装置に送信、記憶される。つまり、放送通信連携受信装置では、放送局又はシステム管理者が、リソースアクセス制御テーブルを管理することができる。
【0014】
また、前記した課題に鑑みて、本願第発明に係る放送通信連携受信装置は、放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記署名鍵によりアプリケーションに署名するアプリケーション登録装置と、署名されたアプリケーションであるAアプリケーションを記憶するAアプリケーションサーバと、署名されていないアプリケーションである一般アプリケーションを記憶する一般アプリケーションサーバとを含む放送通信連携システムに備えられる前記放送通信連携受信装置であって、検証鍵記憶手段と、アプリケーション取得手段と、アプリケーション判定手段と、リソースアクセス制御手段と、を備える。
【0015】
かかる構成によれば、送通信連携受信装置は、Aアプリケーションサーバ又は一般アプリケーションサーバの何れかに記憶されたアプリケーションを取得する。そして、送通信連携受信装置は、取得したアプリケーションがAアプリケーション又は一般アプリケーションであるかを判定し、この判定結果に基づいて、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。これによって、放送通信連携受信装置は、安全性の確保が困難な一般アプリケーションが、無制限にリソースへアクセスすることを禁止できる。
ここで、本願第3発明に係る放送通信連携受信装置は、リソースアクセス制御手段が、Aアプリケーション及び一般アプリケーションごとにアクセスできないリソースを予め定めたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行ってもよい(本願第4発明)。
【0016】
なお、本願第1発明において、放送通信連携受信装置のCPU、メモリやハードディスク(検証鍵記憶手段を含む)等のハードウェア資源を、前記したアプリケーション取得手段、アプリケーション判定手段、リソースアクセス制御手段として協調動作させるためのリソースアクセス制御プログラムによって実現することもできる(本願第5発明)。このリソースアクセス制御プログラムは、ネットワークを介して配布しても良く、CD−ROMやフラッシュメモリ等の記録媒体に書き込んで配布しても良い。
【発明の効果】
【0017】
本発明によれば、以下のような優れた効果を奏する。
本願第1,,5発明によれば、Aアプリケーションだけでなく、様々なサービス事業者等が制作した一般アプリケーションも取得できると共に、安全性の確保が困難な一般アプリケーションが無制限にリソースへアクセスすることを禁止できる。これによって、本願第1,,5発明によれば、この一般アプリケーションも視聴者に安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
【0018】
願第2,4発明によれば、システム管理者又は放送局がリソースアクセス制御テーブルを管理でき、放送通信連携受信装置のメンテナンス性が向上する。
【図面の簡単な説明】
【0019】
図1】本発明の実施形態に係る放送通信連携システムの全体構成を示す概略図である。
図2図1のアプリケーションサーバの構成を示すブロック図である。
図3図1のアプリケーションID生成装置の構成を示すブロック図である。
図4図1の署名鍵発行装置の構成を示すブロック図である。
図5図1のアプリケーション登録装置の構成を示すブロック図である。
図6図1のリポジトリの構成を示すブロック図である。
図7図1の受信機の構成を示すブロック図である。
図8図1の受信機に予め設定されたリソースアクセス制御テーブルのデータ構造を示す図である。
図9図1の放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
図10図1の放送通信連携システムにおいて、一般アプリケーションを起動する動作を示すシーケンス図である。
図11図9図10のアプリケーション認証処理を示すフローチャートである。
【発明を実施するための形態】
【0020】
[放送通信連携システムの概略]
図1を参照して、本発明の実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波Wを介して、放送番組を放送通信連携受信装置(以後、「受信機」)90に送信すると共に、ネットワークNを介して、様々なサービスに適応したアプリケーションを受信機90に送信する。そして、放送通信連携システム1は、受信機90において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機90において、安全性(セキュリティ)や放送の公共性の観点から、システム管理者によって承認されていない一般アプリケーションについては、所定のリソースへのアクセスを禁止する。
【0021】
「アプリケーション」とは、HTML(HyperText Markup Language)5のブラウザ上で動作するソフトウェアを含む、受信機90で利用可能なソフトウェアのことである。
このアプリケーションは、署名の有無により、Aアプリケーション及び一般アプリケーションに区別することができる。
なお、アプリケーションを「アプリ」と略記することがある(図面も同様)。
【0022】
システム管理者によって承認されたアプリケーションは、「Aアプリケーション」と呼ばれる。本実施形態では、サービス事業者Bが制作したアプリケーションが「Aアプリケーション」であるとする。このAアプリケーションは、放送通信連携システム1で期待される動作が保証されたものであり、後記するアプリケーション登録装置70で署名及びアプリケーションIDが付加された後、後記するリポジトリ(Aアプリケーションサーバ)80に記憶される。
【0023】
また、システム管理者によって承認されていないアプリケーションは、「一般アプリケーション」と呼ばれる。本実施形態では、サービス事業者Aが制作したアプリケーションが「一般アプリケーション」であるとする。この一般アプリケーションは、放送通信連携システム1で期待される動作が保障されたものでなく、署名及びアプリケーションIDが付加されない状態で、後記するアプリケーションサーバ(一般アプリケーションサーバ)30に記憶される。
【0024】
「放送局」とは、編成を伴う番組を送出しているものであり、放送波W又はネットワークNにより放送番組をユーザ(視聴者)に配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
【0025】
「システム管理者」とは、Aアプリケーションを承認する機関である。例えば、システム管理者は、あるサービス事業者が制作したアプリケーションをAアプリケーションとして承認する際、このアプリケーションが放送通信連携システム1で期待される動作を行うか否かを手動又は自動で検証する。
【0026】
図1に示すように、放送通信連携システム1は、放送送信装置10と、コンテンツ配信サーバ20A,20Bと、アプリケーションサーバ30と、アプリケーション管理装置40と、アプリケーションID生成装置50と、署名鍵発行装置60と、アプリケーション登録装置70と、リポジトリ80と、受信機90とを備える。
この放送通信連携システム1では、ネットワークNを介して、コンテンツ配信サーバ20A,20Bと、アプリケーションサーバ30と、リポジトリ80と、受信機90とが接続されている。
なお、以後の図面において、一点鎖線は、オフライン又はオンラインでの送信を示す。
【0027】
放送送信装置10は、放送局に設置され、図示を省略した番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備であり、放送波W、ネットワークN又はケーブル(不図示)を介して、放送番組(放送信号)を受信機90に送信するものである。
なお、放送送信装置10は、一般的な構成のため、詳細な説明を省略する。
【0028】
コンテンツ配信サーバ20は、受信機90のアプリケーションからの要求により、ネットワークNを介して、コンテンツを受信機90に提供するものである。このコンテンツ配信サーバ20としては、例えば、VOD(ビデオオンデマンド)配信サーバ、字幕配信サーバ、マルチビュー配信サーバ等があげられる。
【0029】
本実施形態では、コンテンツ配信サーバ20Aがサービス事業者Aによって管理され、コンテンツ配信サーバ20Bがサービス事業者Bによって管理されることとする。
なお、コンテンツ配信サーバ20は、一般的な構成のため、詳細な説明を省略する。
【0030】
アプリケーションサーバ30は、サービス事業者Aによって管理され、一般アプリケーションを記憶、管理するサーバである。このアプリケーションサーバ30は、例えば、受信機90からの要求に応じて、ネットワークNを介して、一般アプリケーションを受信機90に送信する。
【0031】
アプリケーション管理装置40は、サービス事業者Bによって管理され、サービス事業者Bが制作したアプリケーションを記憶、管理するものである。ここで、アプリケーション管理装置40に記憶されたアプリケーションは、例えば、ネットワークNを介して、アプリケーション登録装置70に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者に郵送等のオフラインで送信し、システム管理者がこのアプリケーションをアプリケーション登録装置70に手動で入力してもよい。
なお、アプリケーション管理装置40は、一般的な構成のため、詳細な説明を省略する。
【0032】
アプリケーションID生成装置50は、アプリケーションを一意に識別するアプリケーションIDを生成するものである。そして、アプリケーションID生成装置50は、生成したアプリケーションIDを、アプリケーション登録装置70に出力する。
【0033】
署名鍵発行装置60は、Aアプリケーションであることを示す署名を生成するための署名鍵(秘密鍵)と、この署名の検証に必要となる検証鍵(公開鍵)とを発行するものである。この署名鍵発行装置60が生成した署名鍵は、アプリケーション登録装置70に出力される。また、署名鍵発行装置60が生成した検証鍵は、任意の方法で受信機90に配布される。例えば、この検証鍵は、受信機90を製造するメーカに送信され、受信機90に予め記録(プリインストール)される。この他、この検証鍵を記録したICカードをユーザにオフラインで送信し、各ユーザがICカードに記憶された検証鍵を受信機90に読み取らせてもよい。
【0034】
アプリケーション登録装置70は、アプリケーション管理装置40からのアプリケーションに署名及びアプリケーションIDを付加して、このアプリケーションをAアプリケーションとして登録するものである。ここで、システム管理者は、例えば、サービス事業者Bのアプリケーションが放送通信連携システム1で期待された動作を行うか否かを手動又は自動で検証する。その後、システム管理者は、その検証結果に問題がないアプリケーションをAアプリケーションとして承認し、アプリケーション登録装置70に入力する。そして、アプリケーション登録装置70は、署名鍵発行装置60からの署名鍵により署名を生成し、生成した署名と、アプリケーションID生成装置50からのアプリケーションIDとをこのアプリケーションに付加する。その後、アプリケーション登録装置70は、署名及びアプリケーションIDが付加されたAアプリケーションをリポジトリ80に出力する。
【0035】
リポジトリ80は、Aアプリケーションを記憶、管理するものである。このリポジトリ80は、例えば、受信機90からの要求に応じて、ネットワークNを介して、記憶したAアプリケーションを受信機90に送信する。
本実施形態では、アプリケーションID生成装置50、署名鍵発行装置60、アプリケーション登録装置70及びリポジトリ80が、システム管理者によって管理される。
【0036】
受信機(放送通信連携受信装置)90は、各ユーザの自宅等に設置され、地上デジタル放送、BSデジタル放送、データ放送等の放送番組が視聴可能であると共に、ネットワークNを介して、Aアプリケーション及び一般アプリケーションを受信可能な受信装置である。そして、受信機90は、前記した検証鍵を用いて、取得したアプリケーションがAアプリケーション又は一般アプリケーションの何れであるかを認証(判定)する。さらに、受信機90は、この認証結果(判定結果)に基づいて、取得したアプリケーションが、受信機90の一部リソースへアクセスすることを禁止する。
【0037】
なお、受信機90では、アプリケーション起動情報に基づいて、アプリケーションの取得、起動、終了等の制御が行われてもよい。
この「アプリケーション起動情報」とは、アプリケーションの識別子(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションの取得、起動、終了等を制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
【0038】
[アプリケーションサーバの構成]
図2を参照して、アプリケーションサーバ30の構成について説明する(適宜図1参照)。
図2に示すように、アプリケーションサーバ30は、アプリケーション入力手段300と、アプリケーション記憶手段301と、アプリケーション送信手段302とを備える。
【0039】
アプリケーション入力手段300は、一般アプリケーション(サービス事業者Aのアプリケーション)が入力されるものである。そして、アプリケーション入力手段300は、入力された一般アプリケーションを、アプリケーション記憶手段301に書き込む。
【0040】
アプリケーション記憶手段301は、一般アプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。ここで、アプリケーション記憶手段301における一般アプリケーションの所在位置が、アプリケーション起動情報に記述される。
【0041】
アプリケーション送信手段302は、受信機90からの要求に応じて、一般アプリケーションを受信機90に送信するものである。具体的には、アプリケーション送信手段302は、ネットワークNを介して、受信機90から要求を受信すると、この要求に応じた一般アプリケーションをアプリケーション記憶手段301から読み出す。そして、アプリケーション送信手段302は、ネットワークNを介して、読み出した一般アプリケーションを受信機90に送信する。
【0042】
[アプリケーションID生成装置の構成]
図3を参照して、アプリケーションID生成装置50の構成について説明する(適宜図1参照)。
図3に示すように、アプリケーションID生成装置50は、アプリケーションID生成手段500と、アプリケーションID出力手段501とを備える。
【0043】
アプリケーションID生成手段500は、アプリケーションを一意に識別するアプリケーションIDを生成するものである。例えば、アプリケーションID生成手段500は、予め設定した命名規約に従って、アプリケーションIDを生成する。この命名規約は、例えば、アプリケーションを作成した組織の番号と、この組織内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとするものがある。そして、アプリケーションID生成手段500は、生成したアプリケーションIDを、アプリケーションID出力手段501に出力する。
【0044】
アプリケーションID出力手段501は、アプリケーションID生成手段500からアプリケーションIDが入力される共に、このアプリケーションIDをアプリケーション登録装置70に出力するものである。
【0045】
なお、アプリケーションID生成装置50において、アプリケーションIDを生成するタイミングは任意である。例えば、システム管理者は、サービス事業者BのアプリケーションをAアプリケーションとして承認した場合、アプリケーションID生成指令を手動でアプリケーションID生成装置50に入力する。すると、アプリケーションID生成装置50は、入力されたアプリケーションID生成指令に応じて、アプリケーションIDを生成する。
【0046】
[署名鍵発行装置の構成]
図4を参照して、署名鍵発行装置60の構成について説明する(適宜図1参照)。
図4に示すように、署名鍵発行装置60は、署名鍵・検証鍵生成手段600と、検証鍵管理手段601と、署名鍵管理手段602とを備える。
【0047】
署名鍵・検証鍵生成手段600は、署名鍵及び検証鍵を生成するものである。ここで、署名鍵・検証鍵生成手段600は、例えば、RSA、ElGamal、Rabin、楕円曲線暗号等の一般的な公開鍵暗号方式により、放送通信連携システム1で共通する署名鍵及び検証鍵を生成する。そして、署名鍵・検証鍵生成手段600は、生成した検証鍵を検証鍵管理手段601に出力し、生成した署名鍵を署名鍵管理手段602に出力する。
【0048】
検証鍵管理手段601は、署名鍵・検証鍵生成手段600が生成した検証鍵を記憶、管理するものである。例えば、検証鍵管理手段601は、署名鍵・検証鍵生成手段600から検証鍵が入力され、この検証鍵をメモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、検証鍵管理手段601は、記憶した検証鍵を出力する。この検証鍵管理手段601から出力された検証鍵は、受信機90にプリインストール、又は、ICカードに格納してオフラインで送信する等の手法により、受信機90に配布される。
なお、検証鍵を受信機90に配布した後、検証鍵を記憶、管理し続ける必要がないため、検証鍵管理手段601から検証鍵を削除してもよい。
【0049】
署名鍵管理手段602は、署名鍵・検証鍵生成手段600が生成した署名鍵を記憶、管理するものである。例えば、署名鍵管理手段602は、署名鍵・検証鍵生成手段600から署名鍵が入力され、この署名鍵をメモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、署名鍵管理手段602は、記憶した署名鍵をアプリケーション登録装置70に出力する。
【0050】
なお、署名鍵発行装置60では、Aアプリケーションの登録を開始するまでに署名鍵及び検証鍵を生成すればよい。例えば、システム管理者は、放送通信連携システム1を導入又は初期化する際、鍵生成指令を手動で署名鍵発行装置60に入力する。すると、署名鍵発行装置60は、入力された鍵生成指令に応じて、署名鍵及び検証鍵を生成し、出力する。
【0051】
[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
図5に示すように、アプリケーション登録装置70は、アプリケーション入力手段700と、アプリケーションID入力手段701と、アプリケーションID付加手段702と、署名鍵入力手段703と、署名生成手段704と、署名付加手段705と、アプリケーション出力手段706とを備える。
【0052】
アプリケーション入力手段700は、システム管理者によって承認されたアプリケーションが入力されるものである。そして、アプリケーション入力手段700は、入力されたアプリケーションを、アプリケーションID付加手段702に出力する。
【0053】
アプリケーションID入力手段701は、アプリケーションID生成装置50からアプリケーションIDが入力されるものである。そして、アプリケーションID入力手段701は、入力されたアプリケーションIDを、アプリケーションID付加手段702に出力する。
【0054】
アプリケーションID付加手段702は、アプリケーション入力手段700から入力されたアプリケーションに、アプリケーションID入力手段701から入力されたアプリケーションIDを付加するものである。そして、アプリケーションID付加手段702は、アプリケーションIDが付加されたアプリケーションを、署名付加手段705に出力する。
【0055】
署名鍵入力手段703は、署名鍵発行装置60から署名鍵(秘密鍵)が入力されるものである。そして、署名鍵入力手段703は、入力された署名鍵を、署名生成手段704に出力する。
【0056】
署名生成手段704は、署名鍵入力手段703から署名鍵が入力され、この署名鍵を用いて、署名を生成するものである。例えば、サービス事業者を一意に識別する事業者ID及びアプリケーションID等の識別情報、乱数、アプリケーション本体のバイナリコード値の何れか1つ又はこれら1以上の組み合わせを、署名の元となる署名元メッセージとする。そして、署名生成手段704は、この署名元メッセージにハッシュ関数(例えば、SHA(Secure Hash Algorithm)、MD(Message Digest Algorithm)を適用して、署名元メッセージのハッシュ値を算出する。さらに、署名生成手段704は、算出したハッシュ値を署名鍵で暗号化して署名を生成し、この署名を署名付加手段705に出力する。
【0057】
すなわち、署名生成手段704は、以下の式(1)で表される署名を生成する。この式(1)では、Sigが署名であり、ENC_Ksが署名鍵(秘密鍵)による暗号化であり、Hashがハッシュ関数であり、Mesが署名元メッセージである。
Sig=ENC_Ks(Hash(Mes))・・・式(1)
【0058】
なお、前記した署名元メッセージは、何らかの方法で受信機90に配布する必要がある。例えば、この署名元メッセージをアプリケーションに付加して、アプリケーションと共に署名元メッセージを受信機90に配布する。また、検証鍵と同様の手法で署名元メッセージを配布してもよい。
以後、この署名元メッセージをアプリケーションに付加することとして説明する。
【0059】
署名付加手段705は、アプリケーションID付加手段702から入力されたアプリケーションに、署名生成手段704から入力された署名を付加するものである。そして、署名付加手段705は、アプリケーションID及び署名が付加されたアプリケーションを、アプリケーション出力手段706に出力する。
【0060】
アプリケーション出力手段706は、署名付加手段705からアプリケーションが入力されると共に、このアプリケーションをリポジトリ80に出力するものである。つまり、アプリケーション出力手段706は、アプリケーションID及び署名が付加されたアプリケーションを、Aアプリケーションとしてリポジトリ80に出力する。
【0061】
[リポジトリの構成]
図6を参照して、リポジトリ80の構成について説明する(適宜図1参照)。
図6に示すように、リポジトリ80は、アプリケーション入力手段(アプリ入力手段)800と、アプリケーション記憶手段(アプリ記憶手段)801と、アプリケーション送信手段(アプリ送信手段)802とを備える。
【0062】
アプリケーション入力手段800は、アプリケーション登録装置70からAアプリケーションが入力されるものである。そして、アプリケーション入力手段800は、入力されたAアプリケーションを、アプリケーション記憶手段801に書き込む。
【0063】
アプリケーション記憶手段801は、Aアプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。例えば、アプリケーション記憶手段801におけるAアプリケーションの格納場所が、アプリケーション起動情報に記述される。
【0064】
アプリケーション送信手段802は、受信機90からの要求に応じて、Aアプリケーションを受信機90に送信するものである。具体的には、アプリケーション送信手段802は、ネットワークNを介して、受信機90から要求を受信すると、この要求に応じたAアプリケーションをアプリケーション記憶手段801から読み出す。そして、アプリケーション送信手段802は、ネットワークNを介して、読み出したAアプリケーションを受信機90に送信する。
【0065】
[受信機の構成]
図7を参照して、受信機90の構成について説明する(適宜図1参照)。
図7に示すように、受信機90は、放送受信手段901と、放送信号解析手段902と、映像・音声復号手段903と、データ放送復号手段904と、通信送受信手段905と、アプリケーション起動情報取得手段906と、アプリケーション起動情報記憶手段907と、リスト制御手段908と、アプリケーション管理・実行制御手段909と、起動アプリケーション識別情報記憶手段910と、アプリケーション取得手段911と、アプリケーション記憶手段912と、アプリケーション実行手段913と、操作制御手段914と、合成表示手段915と、セキュリティ管理手段916と、リソース管理手段919とを備える。
【0066】
放送受信手段901は、アンテナA、ネットワークN又はケーブル(不図示)を介して、放送番組(放送信号)を受信し、復調し、誤り訂正や復号を行い、MPEG2のトランスポートストリーム(TS)として、放送信号解析手段902に出力するものである。
【0067】
放送信号解析手段902は、放送受信手段901で復調されたストリームデータ(TS)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出するものである。なお、選局は、後記する操作制御手段914から通知されるチャンネル切替指示に基づいて行われる。
【0068】
この放送信号解析手段902は、抽出した映像、音声等のデータであるPES(Packetized Elementary Stream)形式のデータについては、映像・音声復号手段903に出力し、抽出したデータ放送等のセクション形式のデータについては、データ放送復号手段904に出力する。
【0069】
このとき、放送信号解析手段902は、放送受信手段901で復調されたストリームデータから、SI(番組配列情報)の一つであるAITの記述子(アプリケーション起動情報記述子)に含まれているアプリケーション起動情報を抽出してもよい。そして、放送信号解析手段902は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段907に書き込む。さらに、放送信号解析手段902は、アプリケーション起動情報を抽出した場合、アプリケーション起動情報が通知された旨(起動情報通知)を、アプリケーションを識別する情報(アプリケーションID)とともに、アプリケーション管理・実行制御手段909に通知する。
【0070】
映像・音声復号手段903は、放送信号解析手段902で抽出された映像・音声(MPEG2の映像ストリーム及び音声ストリーム)を復号し、復号した映像・音声データを合成表示手段915に出力するものである。
【0071】
データ放送復号手段904は、放送信号解析手段902で抽出されたデータ放送のデータを復号し、BMLを解析し、当該BMLを表示データに変換し、合成表示手段915に出力するものである。
また、データ放送復号手段904は、カルーセルで送信されたアプリケーション起動情報を抽出し、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段907に書き込む。
【0072】
通信送受信手段905は、ネットワークNを介して、アプリケーション、アプリケーション起動情報等のデータを受信するものである。
アプリケーション起動情報取得手段906は、通信送受信手段905を介して、Aアプリケーション及び一般アプリケーションに対応する起動情報を取得するものである。そして、アプリケーション起動情報取得手段906は、取得したアプリケーション起動情報をアプリケーション起動情報記憶手段907に書き込む。
【0073】
アプリケーション起動情報記憶手段907は、アプリケーション起動情報を記憶するものであって、メモリ、ハードディスク等の記憶媒体である。ここで、アプリケーション起動情報記憶手段907には、放送信号解析手段902又はアプリケーション起動情報取得手段906によって、アプリケーション起動情報が書き込まれる。
【0074】
リスト制御手段908は、起動可能なアプリケーションのリストの表示及びアプリケーションの選択の制御を行うローンチャー(Launcher)である。
このリスト制御手段908は、ユーザが、操作制御手段914を介して、リスト表示を指示することで、アプリケーション起動情報記憶手段907に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段915に出力する。
【0075】
また、リスト制御手段908は、ユーザが、操作制御手段914を介して、表示したアプリケーションのリストから、アプリケーションを選択する。そして、リスト制御手段908は、選択されたアプリケーションを識別する番号(アプリケーションID)を含んだ選択アプリケーション通知をアプリケーション管理・実行制御手段909に出力する。
【0076】
アプリケーション管理・実行制御手段909は、アプリケーションのライフサイクル(アプリケーションがロード、実行されて終了するまでの過程)を制御するものである。
具体的には、アプリケーション管理・実行制御手段909は、後記するアプリケーション実行手段913からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段919に出力(転送)する。
【0077】
また、アプリケーション管理・実行制御手段909は、リソース管理手段919からリソース割当要求の応答が入力されると、このリソース割当要求の応答をアプリ実行手段913に出力(転送)する。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリケーション管理・実行制御手段909は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリケーション管理・実行制御手段909は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
【0078】
また、アプリケーション管理・実行制御手段909は、後記するアプリケーション認証手段917から認証結果が入力される。この認証結果は、署名を検証したアプリケーションのIDと、Aアプリケーション又は一般アプリケーションを示す属性等の情報が含まれる。そして、アプリケーション管理・実行制御手段909は、入力された認証結果を、起動中のアプリケーションIDに対応づけてセキュリティ情報テーブルに書き込む。
これによって、アプリケーション管理・実行制御手段909は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、及び、認証結果を記憶、管理することができる。
【0079】
ここで、アプリケーション管理・実行制御手段909は、起動制御手段909aと、終了制御手段909bと、蓄積管理手段909cとを備えている。
起動制御手段909aは、アプリケーション取得手段911が取得したアプリケーションの起動を制御するものである。
具体的には、起動制御手段909aは、放送信号解析手段902から起動情報通知が通知された際、アプリケーション起動情報記憶手段907に記憶されているアプリケーション起動情報に応じて、アプリケーションを起動させる。
【0080】
また、起動制御手段909aは、リスト制御手段908から、選択アプリケーション通知が通知された際には、アプリケーション実行手段913に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、ユーザがリストから選択したアプリケーションが起動されることになる。
なお、起動制御手段909aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリケーション識別情報記憶手段910に起動中のアプリケーションIDを書き込むこととする。
【0081】
終了制御手段909bは、起動中のアプリケーションの終了制御を行うものである。
具体的には、終了制御手段909bは、放送信号解析手段902から起動情報通知が通知された際、アプリケーション起動情報記憶手段907に記憶されているアプリケーション起動情報に応じて、アプリケーション実行手段913にアプリケーションの終了を指示する。
【0082】
蓄積管理手段909cは、受信機90内(具体的には、アプリケーション記憶手段912)にアプリケーションを予め蓄積(インストール)する制御を行うものである。
具体的には、蓄積管理手段909cは、リスト制御手段908から選択アプリケーション通知が通知された際、アプリケーション取得指示をアプリケーション取得手段911に通知する。このアプリケーション取得指示は、アプリケーション起動情報に基づいてアプリケーションを取得して、アプリケーション記憶手段912に書き込む旨の指示である。
これによって、アプリケーション記憶手段912には、ユーザが選択したアプリケーションが蓄積される。
【0083】
ここで、蓄積管理手段909cは、アプリケーションをアプリケーション記憶手段912に蓄積(インストール)した場合、アプリケーション起動情報記憶手段907において、蓄積したアプリケーション蓄積状態を“蓄積”とする。
一方、蓄積管理手段909cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。このとき、蓄積管理手段909cは、アプリケーション起動情報記憶手段907において、削除したアプリケーション蓄積状態を“未蓄積”とする。
【0084】
起動アプリケーション識別情報記憶手段910は、起動中のアプリケーションの識別情報(アプリケーションID)を記憶するものであって、半導体メモリ等の記憶媒体である。この起動アプリケーション識別情報記憶手段910は、起動制御手段909aによって、アプリケーションが起動された際にアプリケーションIDが書き込まれ、終了制御手段909bによって、アプリケーションが終了する際に削除される。
【0085】
アプリケーション取得手段911は、蓄積管理手段909cからアプリケーション取得指示が通知された際、通信送受信手段905を介して、リポジトリ80又はアプリケーションサーバ30の何れかに記憶されたアプリケーションを取得するものである。そして、アプリケーション取得手段911は、取得したアプリケーションをアプリケーション記憶手段912に書き込む。
【0086】
ここで、アプリケーション取得手段911は、アプリケーションを取得したとき、認証指示をアプリケーション認証手段917に出力する。この認証指示は、Aアプリケーション又は一般アプリケーションの何れであるかを認証(判定)する旨の指示である。
これによって、受信機90は、アプリケーションを起動する都度、アプリケーション認証を行う場合に比べて、その回数を低減でき、処理負荷を軽減することができる。
アプリケーション取得手段911が出力した認証指示は、図7には「認証指示1」と図示した。なお、「認証指示2」については、説明を後記する。
【0087】
アプリケーション記憶手段912は、アプリケーション取得手段911が取得したアプリケーションを記憶するもので、ハードディスク等の記憶媒体である。このアプリケーション記憶手段912に記憶されているアプリケーションは、アプリケーション実行手段913によって読み出され、実行される。
【0088】
アプリケーション実行手段913は、アプリケーション管理・実行制御手段909からの起動制御指示に基づいて、アプリケーションの起動及び終了を行うものである。
このアプリケーション実行手段913は、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーション及びその実行に必要なデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。そして、アプリケーション実行手段913は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーションを実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段915に出力される。
【0089】
ここで、アプリケーション実行手段913は、起動中のアプリケーションがリソースにアクセスするAPI(Application Program Interface)を呼び出した場合、アプリケーション管理・実行制御手段909を介して、リソース割当要求をリソース管理手段919に出力する。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
【0090】
また、アプリケーション実行手段913は、リソース管理手段919からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリケーション実行手段913は、APIを呼び出して、リソース管理手段919によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリケーション実行手段913は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
【0091】
また、アプリケーション実行手段913は、終了制御手段909bからアプリケーションの終了が指示された場合、例えば、割り込み信号等によって起動中のアプリケーションを終了させる。
なお、アプリケーション実行手段913は、アプリケーション管理・実行制御手段909を介して、リソース割当要求をリソース管理手段919に出力することとして説明したが、これに限定されない。具体的には、アプリケーション実行手段913は、リソース割当要求をリソース管理手段919に直接出力してもよい(不図示)。
【0092】
操作制御手段914は、ユーザが、リモコン装置Riを介して、チャンネルの変更を指示した場合、変更後のチャンネル番号を含んだチャンネル切替指示を放送信号解析手段902に通知するものである。これによって、現在視聴中のチャンネルが選局されることになる。
【0093】
合成表示手段915は、映像・音声復号手段903からの映像データ・音声データと、データ放送復号手段904からのデータ放送の表示データと、リスト制御手段908からのリストの表示データと、アプリケーション実行手段913からのアプリケーションの表示データとを合成して表示するものである。
なお、合成表示手段915は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
【0094】
セキュリティ管理手段916は、受信機90のセキュリティを管理するものであり、アプリケーション認証手段(アプリケーション判定手段)917と、リソースアクセス制御手段918とを備える。
【0095】
アプリケーション認証手段(アプリケーション判定手段)917は、検証鍵を記憶、管理する検証鍵管理手段(検証鍵記憶手段)917aを備え、この検証鍵を用いて、アプリケーション取得手段911が取得したアプリケーションの署名が正当であるか否かを検証するものである。そして、アプリケーション認証手段917は、署名が正当の場合、取得したアプリケーションをAアプリケーションと認証し、署名が正当でない場合、取得したアプリケーションを一般アプリケーションと認証する(アプリケーション認証)。
【0096】
<アプリケーション認証の具体例>
以下、アプリケーション認証の具体例について説明する。
アプリケーション認証手段917は、アプリケーション取得手段911から入力された認証指示に応じて、アプリケーション記憶手段912から、アプリケーションに付加されたアプリケーションID(図7ではID)、署名及び署名元メッセージ(図7ではメッセージ)を読み出す。そして、アプリケーション認証手段917は、検証鍵管理手段917aに記憶された検証鍵を用いて、アプリケーションに付加された署名が正当であるか否かを検証する。
【0097】
具体的には、アプリケーション認証手段917は、署名元メッセージにハッシュ関数を適用して、署名元メッセージのハッシュ値を算出する。このハッシュ関数は、署名生成手段704と同一の関数であることは言うまでもない。そして、アプリケーション認証手段917は、アプリケーションに付加された署名を検証鍵で復号化する。さらに、アプリケーション認証手段917は、復号化した署名と、署名元メッセージのハッシュ値とを比較して、これらが一致するか否かを判定する。
【0098】
すなわち、アプリケーション認証手段917は、以下の式(2)を用いて、署名を検証する。この式(2)では、DEC_Kpが検証鍵(公開鍵)による復号化であり、‘<=>’が左右両辺の比較を示す。
DEC_Kp(Sig)<=>Hash(Mes)・・・式(2)
【0099】
ここで、復号化した署名と、署名元メッセージのハッシュ値とが一致する場合、署名が正当なので、アプリケーション認証手段917は、取得したアプリケーションをAアプリケーションと認証する。
一方、アプリケーションに署名が付加されていない場合、又は、復号化した署名と署名元メッセージのハッシュ値とが一致しない場合、署名が正当でないので、アプリケーション認証手段917は、取得したアプリケーションを一般アプリケーションと認証する。
【0100】
そして、アプリケーション認証手段917は、署名を検証したアプリケーションのIDと、Aアプリケーション又は一般アプリケーションを示す属性等の情報(例えば、0:Aアプリケーション、1:一般アプリケーション)とを認証結果(判定結果)として、アプリケーション管理・実行制御手段909及びリソースアクセス制御手段918に出力する。
【0101】
リソースアクセス制御手段918は、アプリケーション取得手段911が取得したアプリケーションの属性に応じて、このアプリケーションに対して、リソースアクセス制御を行うものである。本実施形態では、リソースアクセス制御手段918は、予め設定されたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。
【0102】
<リソースアクセス制御>
図8を参照して、リソースアクセス制御手段918によるリソースアクセス制御を具体的に説明する(適宜図7参照)。
このリソースアクセス制御テーブルは、Aアプリケーション及び一般アプリケーションのそれぞれが、アクセスできるリソースとアクセスできないリソースとを予め設定したテーブルである。また、リソースアクセス制御テーブルは、図8に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
【0103】
API識別子は、リソースにアクセスするAPIを一意に識別する識別子である。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、Aアプリケーション及び一般アプリケーションのそれぞれが、そのリソースにアクセスできるか否かを示す。
【0104】
このリソースは、アプリケーションの動作に必要となるコンテンツ要素及び受信機資源であり、例えば、放送リソース、通信リソース、受信機リソースがある。
この放送リソースは、放送波Wで扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークNで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機90のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
【0105】
図8のリソースアクセス制御テーブルでは、リソースごとに、そのリソースにアクセスする専用のAPIが規定されている。この例では、リソース「映像」にアクセスするAPIが「subA()」であり、リソース「音声」にアクセスするAPIが「subB()」であり、リソース「字幕」にアクセスするAPIが「subC()」であり、リソース「SI」にアクセスするAPIが「subD()」である。
【0106】
また、このリソースアクセス制御テーブルでは、Aアプリケーションが、「映像」、「音声」、「字幕」、「SI」の全リソースについて、アクセス権限が「○」であるため、アクセスできることを示す。
【0107】
さらに、このリソースアクセス制御テーブルでは、一般アプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限が「×」であるため、これらリソースにアクセスできないことを示す。一方、このリソースアクセス制御テーブルでは、一般アプリケーションであっても、リソース「SI」にアクセスできることを示す。
【0108】
つまり、図8のリソースアクセス制御テーブルは、Aアプリケーションが、一般アプリケーションに比べて、幅広いリソースにアクセスできるように設定されている。言い換えるなら、このリソースアクセス制御テーブルでは、一般アプリケーションが、安全性や放送の公共性の観点から、所定のリソースにアクセスできないように設定されている。
【0109】
ここで、システム管理者又は放送局等の権限を有する者が、このリソースアクセス制御テーブルを作成して、放送波W又はネットワークNを介して受信機90に送信して、受信機90に記憶されることとしてもよい。これによって、受信機90では、システム管理者又は放送局が、一般アプリケーションがアクセスできるリソースを管理でき、メンテナンス性が向上する。
【0110】
なお、リソースアクセス制御テーブルは、図8の例に限定されない。例えば、リソースアクセス制御テーブルには、放送リソース以外のリソース(例えば、「TCP」等の通信リソース)を設定することもできる。
【0111】
リソースアクセス制御手段918は、アプリケーション認証手段917から認証結果が入力される。そして、リソースアクセス制御手段918は、リソース管理手段919からリソース割当可否問合が入力されると、この認証結果に基づいて、リソースの割り当てが可能であるか否かを判定する。
【0112】
具体的には、認証結果がAアプリケーションの場合、リソースアクセス制御手段918は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、Aアプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、Aアプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段918は、リソース「映像」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。そして、リソースアクセス制御手段918は、リソースの割り当てが可能であることを示すリソース割当可能を、リソース管理手段919に出力する。
なお、Aアプリケーションのアクセス権限が「×」の場合、リソースアクセス制御手段918は、Aアプリケーションであっても、そのリソースにアクセスすることを禁止する(図8不図示)。
【0113】
一方、認証結果が一般アプリケーションの場合、リソースアクセス制御手段918は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、一般アプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、一般アプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段918は、リソース「映像」のアクセス権限が「×」のため、リソースの割り当てが不可と判定する。また、一般アプリケーションが「subD()」を呼び出した場合、リソースアクセス制御手段918は、リソース「SI」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。その後、リソースアクセス制御手段918は、この判定結果に基づいて、リソースの割り当てが不可であることを示すリソース割当不可、又は、リソース割当可能の何れかを、リソース管理手段919に出力する。
【0114】
図7に戻り、受信機90の構成について説明を続ける。
リソース管理手段919は、各種リソースを管理するものである。ここで、リソース管理手段919は、アプリケーション管理・実行制御手段909からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段918に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段918に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
【0115】
また、リソース管理手段919は、リソースアクセス制御手段918からリソース割当可否問合の応答が入力される。
ここで、リソース管理手段919は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段919は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリケーション管理・実行制御手段909に出力する。
一方、リソース管理手段919は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリケーション管理・実行制御手段909に出力する。
【0116】
[放送通信連携システムの動作:Aアプリケーション]
受信機90がAアプリケーションを起動するケース(図9)、及び、受信機90が一般アプリケーションを起動するケース(図10)を、図1の放送通信連携システム1の動作として説明する。
【0117】
図9に示すように、放送通信連携システム1は、署名鍵発行装置60によって、署名鍵(秘密鍵)と、この署名鍵に対応する検証鍵(公開鍵)とを発行する。ここで、署名鍵発行装置60は、例えば、RSA、ElGamal、Rabin、楕円曲線暗号等の一般的な公開鍵暗号方式により、署名鍵及び検証鍵を生成する(ステップS1)。
【0118】
放送通信連携システム1は、署名鍵発行装置60が生成した検証鍵を、任意の方法で受信機90に配布する。例えば、この検証鍵は、受信機90を製造するメーカに送信され、受信機90に予め記録される(プリインストール)。この他、この検証鍵を記録したICカードをユーザにオフラインで送信し、各ユーザがICカードに記憶された検証鍵を受信機90に読み取らせてもよい(ステップS2)。
【0119】
放送通信連携システム1は、署名鍵発行装置60によって、生成した署名鍵をアプリケーション登録装置70に出力する。例えば、署名鍵発行装置60は、システム管理者からの指令に応じて、この署名鍵をアプリケーション登録装置70に出力(発行)する(ステップS3)。
なお、ステップS1〜S3の処理は、Aアプリケーションの登録を開始するまでに1回実行すればよく、Aアプリケーションを登録する都度、実行しなくともよい。
【0120】
放送通信連携システム1は、アプリケーションID生成装置50によって、アプリケーションIDを生成する(ステップS4)。そして、放送通信連携システム1は、アプリケーションID生成装置50によって、生成したアプリケーションIDを、アプリケーション登録装置70に出力する(ステップS5)。
【0121】
放送通信連携システム1は、アプリケーション管理装置40に記憶されたアプリケーションを、アプリケーション登録装置70に任意の方法で出力する。例えば、このアプリケーションは、ネットワークNを介して、アプリケーション登録装置70に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者にオフラインで送信し、システム管理者がこのアプリケーションをアプリケーション登録装置70に手動で入力してもよい(ステップS6)。
【0122】
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーション管理装置40から入力されたアプリケーションに、アプリケーションID生成装置50から入力されたアプリケーションIDを付加する(ステップS7)。
【0123】
放送通信連携システム1は、アプリケーション登録装置70によって、署名鍵発行装置60から署名鍵が入力された署名鍵を用いて、署名を生成する。例えば、アプリケーション登録装置70は、署名元メッセージにハッシュ関数を適用して、署名元メッセージのハッシュ値を算出する。そして、アプリケーション登録装置70は、算出したハッシュ値を署名鍵で暗号化して署名を生成する(ステップS8)。
【0124】
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションID付きアプリケーションに、生成した署名を付加する(ステップS9)。そして、放送通信連携システム1は、アプリケーション登録装置70によって、署名が付加されたアプリケーションをリポジトリ80に送信し、リポジトリ80によって、Aアプリケーションを記憶、管理する(ステップS10)。
【0125】
放送通信連携システム1は、受信機90によって、Aアプリケーションをリポジトリ80に要求する(ステップS11)。そして、放送通信連携システム1は、受信機90によって、要求したAアプリケーションをリポジトリ80から取得する(ステップS12)。
【0126】
放送通信連携システム1は、受信機90によって、アプリケーション認証処理を行う(ステップS13)。なお、ステップS13のアプリケーション認証処理は、詳細を後記する。
ここでは、アプリケーションの署名が正当なため、放送通信連携システム1は、受信機90によって、取得したアプリケーションをAアプリケーションとして起動する(ステップS14)。
【0127】
[放送通信連携システムの動作:一般アプリケーション]
図10に示すように、放送通信連携システム1は、一般アプリケーションをアプリケーションサーバ30に要求する(ステップS21)。そして、放送通信連携システム1は、受信機90によって、要求した一般アプリケーションをアプリケーションサーバ30から取得する(ステップS22)。
【0128】
放送通信連携システム1は、受信機90によって、アプリケーション認証処理を行う(ステップS23)。ここでは、アプリケーションの署名が正当でないため、放送通信連携システム1は、受信機90によって、取得したアプリケーションを一般アプリケーションとして起動する(ステップS24)。
なお、ステップS23の処理は、図9のステップS13と同じ処理である。
【0129】
[受信機の動作:アプリケーション認証処理]
図11を参照して、受信機90の動作として、アプリケーション認証処理について説明する(適宜図7参照)。
【0130】
アプリケーション認証手段917は、アプリケーションを取得したときに、アプリケーション取得手段911から認証指示が入力される(ステップS131)。そして、アプリケーション認証手段917は、アプリケーション記憶手段912からアプリケーションに付加されたアプリケーションID、署名及び署名元メッセージを読み出すと共に、検証鍵管理手段917aから検証鍵を読み出す(ステップS132)。
【0131】
アプリケーション認証手段917は、アプリケーションに署名が付加されているか否かを判定する(ステップS133)。
アプリケーションに署名が付加されている場合(ステップS133でYes)、アプリケーション認証手段917は、ステップS134の処理に進む。
一方、アプリケーションに署名が付加されていない場合(ステップS133でNo)、アプリケーション認証手段917は、ステップS136の処理に進む。
【0132】
アプリケーション認証手段917は、検証鍵により署名が正当であるか否かを検証する(ステップS134)。
署名が正当な場合(ステップS134でYes)、アプリケーション認証手段917は、ステップS135の処理に進む。
署名が正当でない場合(ステップS134でNo)、アプリケーション認証手段917は、ステップS136の処理に進む。
【0133】
ステップS134でYesの場合、アプリケーション認証手段917は、取得したアプリケーションをAアプリケーションと認証(判定)する(ステップS135)。
ステップS133でNo又はステップS134でNoの場合、アプリケーション認証手段917は、取得したアプリケーションを一般アプリケーションと認証(判定)する(ステップS136)。
【0134】
以上のように、本発明の実施形態に係る受信機90は、リポジトリ80又はアプリケーションサーバ30の何れかに記憶されたアプリケーションを取得すると共に、取得したアプリケーションがAアプリケーション又は一般アプリケーションの何れであるかを認証する。そして、受信機90は、この認証結果に基づいて、取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止する。これによって、受信機90は、動作が保証されていない一般アプリケーションに対して、無制限なリソースアクセスを禁止することができる。
【0135】
なお、本実施形態では、アプリケーション取得時にアプリケーション認証を行うこととして説明したが、本発明は、アプリケーション起動時にアプリケーション認証を行うこともできる。この場合、起動制御手段909aがアプリケーションを起動する都度、認証指示がアプリケーション認証手段917に出力されて(図7の「認証指示2」)、アプリケーション認証が行われることになり、安全性がより向上する。
このように、受信機90は、アプリケーション取得時又はアプリケーション起動時の何れかのタイミングで署名を検証すればよいので、受信機90の設計自由度を向上させることができる。
【0136】
なお、本実施形態では、アプリケーションに署名を付加することとして説明したが、本発明は、これに限定されない。例えば、本発明では、署名鍵・検証鍵でアプリケーションを暗号化・復号化することで、アプリケーションそのものを署名として扱うこともできる。
【0137】
なお、本実施形態では、署名鍵・検証鍵をそれぞれ1個として説明したが、本発明は、これに限定されない。例えば、本発明は、サービス事業者ごとに署名鍵・検証鍵を発行してもよく、Aアプリケーションごとに署名鍵・検証鍵を発行してもよい。
【0138】
なお、本実施形態では、Aアプリケーション及び一般アプリケーションを制作するサービス事業者をそれぞれ1つとして説明したが、複数であってもよい。また、同一のサービス事業者がAアプリケーション及び一般アプリケーションの両方を制作してもよい。さらに、放送局がサービス事業者として、アプリケーションを制作してもよい。
【0139】
なお、本実施形態では、Aアプリケーションを1つのリポジトリ80に集約して、受信機90に配布することとして説明したが、これに限定されない。例えば、本発明に係る放送通信連携システム1は、複数のリポジトリを備えており、各リポジトリ80が受信機90にAアプリケーションを配布してもよい(不図示)。
また、システム管理者が署名及びアプリケーションIDを発行した後、これをサービス事業者Bに配布して、サービス事業者Bがアプリケーションに署名・アプリケーションIDを付加してもよい。この場合、Aアプリケーションは、サービス事業者Bによって管理されるアプリケーションサーバ(不図示)から直接、受信機90に配布される。
【0140】
なお、本実施形態に係る受信機90の制御機能は、コンピュータで実現するようにしてもよい。この場合、本発明は、この制御機能を実現するためのリソースアクセス制御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたリソースアクセス制御プログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。
【0141】
なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時刻の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時刻プログラムを保持しているものも含んでもよい。
【0142】
また、前記したリソースアクセス制御プログラムは、前記した制御機能の一部を実現するためのものであってもよく、さらに、前記した制御機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
【符号の説明】
【0143】
1 放送通信連携システム
10 放送送信装置
20,20A,20B コンテンツ配信サーバ
30 アプリケーションサーバ
300 アプリケーション入力手段
301 アプリケーション記憶手段
302 アプリケーション送信手段
40 アプリケーション管理装置
50 アプリケーションID生成装置
500 アプリケーションID生成手段
501 アプリケーションID出力手段
60 署名鍵発行装置
600 署名鍵・検証鍵生成手段
601 署名鍵管理手段
602 署名鍵管理手段
70 アプリケーション登録装置
700 アプリケーション入力手段
701 アプリケーションID入力手段
702 アプリケーションID付加手段
703 署名鍵入力手段
704 署名生成手段
705 署名付加手段
706 アプリケーション出力手段
80 リポジトリ
800 アプリケーション入力手段
801 アプリケーション記憶手段
802 アプリケーション送信手段
90 受信機
901 放送受信手段
902 放送信号解析手段
903 映像・音声復号手段
904 データ放送復号手段
905 通信送受信手段
906 アプリケーション起動情報取得手段
907 アプリケーション起動情報記憶手段
908 リスト制御手段
909 アプリケーション管理・実行制御手段
910 起動アプリケーション識別情報記憶手段
911 アプリケーション取得手段
912 アプリケーション記憶手段
913 アプリケーション実行手段
914 操作制御手段
915 合成表示手段
916 セキュリティ管理手段
917 アプリケーション認証手段(アプリケーション判定手段)
917a 検証鍵管理手段(検証鍵記憶手段)
918 リソースアクセス制御手段
919 リソース管理手段
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.