クライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法
【課題】定常的に安全なサービスの要求や利用を実現することが可能なクライアント端末を提供する。
【解決手段】サービスID、ユーザID、状況条件を含むチケットを保持するチケット取得部105と、サービスID、ユーザID、サーバID、乱数要素に基づいて、CCVを生成するCCV共有部110と、CCVを保持するCCV設定部120と、クライアント端末100の状況を監視し、状況情報とCCVとを含むトークンを生成する監視部130と、CCV設定部120に保持されたCCVとトークンに含まれるCCVとが同一であるか否かを判定し、トークンに含まれる状況情報とチケットに含まれる状況条件が同一であるか否かを判定し、判定情報とCCVとを含む制御情報を生成する解析部140と、CCV設定部120に保持されたCCVと制御情報に含まれるCCVとが同一であるか否かを判定し、同一である場合、前記サービスを要求、利用する制御部150と、を有する。
【解決手段】サービスID、ユーザID、状況条件を含むチケットを保持するチケット取得部105と、サービスID、ユーザID、サーバID、乱数要素に基づいて、CCVを生成するCCV共有部110と、CCVを保持するCCV設定部120と、クライアント端末100の状況を監視し、状況情報とCCVとを含むトークンを生成する監視部130と、CCV設定部120に保持されたCCVとトークンに含まれるCCVとが同一であるか否かを判定し、トークンに含まれる状況情報とチケットに含まれる状況条件が同一であるか否かを判定し、判定情報とCCVとを含む制御情報を生成する解析部140と、CCV設定部120に保持されたCCVと制御情報に含まれるCCVとが同一であるか否かを判定し、同一である場合、前記サービスを要求、利用する制御部150と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はクライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法に関する。
【背景技術】
【0002】
ユビキタス環境の浸透に伴い、移動体のコンテキスト(場所、向き、温度、時間な状況情報)を考慮してより適切なサービスを提供するコンテキストアウェアサービス(Context Aware Service:CAS)が注目されている。CASを利用したサービスの一例として、ICタグを用いた物流管理サービスや歩行者に対するナビゲーションサービスなどがある。
【0003】
CASを実施可能とするシステムとして、コンテンツの作成者である情報作成者および該情報作成者によって許諾された者を含む情報提供権限者によって提供される該コンテンツの利用制御を行うコンテンツ利用制御システムにおいて、コンテンツを利用者が利用する利用者手段と、利用者手段内で使用するメディアを含む利用者手段の物理要素に関する識別情報および利用者に関する識別情報に基づいた前記コンテンツに対する複数の部分利用許可条件をさらに論理和および論理積の組み合わせによって構造化表現した利用許可条件として設定する設定手段と、設定手段によって設定された利用許可条件をもとに利用者手段によるコンテンツの利用を制御する利用制御手段と、を備えたコンテンツ利用制御システムが知られている。(例えば、特許文献1参照)。
【特許文献1】特開平11−099482号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら特許文献1に記載されたシステムでは、サービスの要求、配信、実行、中断、再開、完了などの各局面において、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることが困難な場合があり、定常的に安全なサービス提供環境が整備されない可能性があった。
【0005】
本発明はかかる事情に鑑みてなされたものであり、定常的に安全なサービスの要求や提供や利用を実現することが可能なクライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1のクライアント端末は、サービスを提供するサービス提供サーバからサービスを提供されるクライアント端末であって、前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、および前記サービスを提供可能な状況条件に関する状況条件情報を含むサービス情報を保持するサービス情報保持部と、前記サービス識別情報、前記提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、前記保証情報保持部によって保持された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成する解析部と、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行う制御部と、を有する構成としている。
【0007】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求およびサービスの利用を行うことができないようにすることができる。例えば、クライアント端末の監視部を入れ換えたり、クライアント端末に外部から保証情報の異なるサービス情報、サービス、状況情報などを入力する攻撃を検知してサービスの実行を禁止することができる。
【0008】
また、本発明の第2のクライアント端末は、前記解析部が、前記端末状況情報および前記サービス情報に前記保証情報を含ませたサービス要求情報を含む前記制御情報を生成し、前記制御部が、前記保証情報保持部によって保持された保持している保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報を送信する構成としている。
【0009】
この構成によれば、定常的に安全なサービスの要求を行うことが可能である。
【0010】
また、本発明の第3のクライアント端末は、前記制御部が、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を認証するための認証情報を生成する認証部を有し、前記端末状況情報、前記サービス要求情報、及び前記認証情報を送信する構成としている。
【0011】
この構成によれば、ユーザ認証を実施可能とすることで、さらに安全なサービスの要求を行うことが可能である。
【0012】
また、本発明の第4のクライアント端末は、前記サービス要求情報に対応する前記保証情報を含むサービスを受信する受信部を有し、前記解析部が、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービスを含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記制御情報に従って前記サービスを実行制御する構成としている。
【0013】
この構成によれば、定常的に安全なサービスの実行を行うことが可能である。
【0014】
また、本発明の第5のクライアント端末は、前記制御部が、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが異なる場合、前記サービスの実行を禁止するように制御する構成としている。
【0015】
この構成によれば、サービスを利用するユーザの所有するクライアント端末において以前とクライアント端末の位置や加速度などの状況が異なり、利用条件を満たさなくなった場合には、サービスの実行を禁止することができ、より安全にサービスを利用することが可能である。
【0016】
また、本発明の第6のクライアント端末は、前記制御部が、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一でない判定結果を含む制御情報が出力された場合、前記サービスの実行を中断するように制御する構成としている。
【0017】
この構成によれば、クライアント端末の状況が実行開始時点と異なる状況となった場合に、サービスの実行を中断することが可能であり、より安全にサービスを利用することができる。
【0018】
また、本発明の第7のクライアント端末は、前記制御部が、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一である判定結果を含む制御情報が再び出力された場合、前記サービスの実行を再開するように制御する構成としている。
【0019】
この構成によれば、一旦サービスを中断した後であっても、クライアント端末の位置や加速度などの状況が再び利用条件を満たすようになった場合には、サービスの実行を再開することができ、安全なサービスを利用することができるとともにサービスの利便性が向上する。
【0020】
また、本発明の第8のクライアント端末は、前記サービス提供サーバおよび当該クライアント端末の間の通信に用いられる秘密鍵または前記秘密鍵に対応する公開鍵のいずれかを保持する鍵保持部を有し、前記受信部が、前記共有鍵で暗号化されたサービスと前記秘密鍵または前記公開鍵のいずれかで暗号化された前記共有鍵および前記端末状況情報を含むサービス付加情報とを受信し、前記解析部が、前記判定結果を示し前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記秘密鍵または前記公開鍵のいずれかで前記制御情報に含まれる暗号化されたサービス付加情報を復号化し、前記サービス付加情報に含まれる端末状況情報と前記監視部によって生成された端末状況情報とが同一である場合、前記サービス付加情報に含まれる共有鍵で前記暗号化されたサービスを復号化する復号化部を有し、前記制御情報に従って前記サービスを実行制御する構成としている。
【0021】
この構成によれば、サーバで暗号化されたサービスを安全に受け取ることができ、コンテキストに依存しない鍵を用いて共通鍵の復号化を行い、コンテキストに依存してサービスの復号化を行なうため、他のサービス利用者によって盗聴などによるサービスの不正利用が行われる危険性を大幅に低減できる。
【0022】
また、本発明の第9のクライアント端末は、前記保証情報の生成に利用する乱数を含む情報が、前記コンテンツ配信サーバと当該クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報である構成としている。
【0023】
この構成によれば、共有時に利用された情報を用いることで効率的かつ、安全な保証情報の生成が可能である。
【0024】
また、本発明の第1のサービス提供サーバは、サービスを提供可能なサービス提供サーバであって、当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信部と、前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報を生成する監視部と、前記保証情報保持部によって保持された保証情報と前記受信部によって受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、受信部によって受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成する解析部と、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信する制御部と、を有する構成としている。
【0025】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの提供を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの提供を行うことができないようにすることができる。
【0026】
また、本発明の第2のサービス提供サーバは、前記クライアント端末または前記サービス提供サーバの状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報またはサーバ状況情報を生成する監視部を有する構成としている。
【0027】
この構成によれば、クライアント端末やサービス提供サーバの状況に関するコンテキストを取得することで、取得時の状態に応じたより安全性の高いサービスを提供することが可能である。例えば、サービス提供サーバに関するコンテキストをユーザが検証したい場合、ユーザのコンテキストをサービス提供サーバが検証したい場合にこの情報を利用することが可能であり、安全性が向上する。
【0028】
また、本発明の第3のサービス提供サーバは、前記受信部が、更に、前記サービスの提供対象を認証するための認証情報を受信し、前記解析部は、前記判定結果を示し前記認証情報および前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を検証するための検証情報を生成し、前記認証情報と前記検証情報とが同一である場合、前記認証情報の送信元が前記サービスの提供対象であると判定する検証部を有する構成としている。
【0029】
この構成によれば、サービス要求を行ったクライアント端末の状況と前記端末を所有するユーザを確実に確認することが可能であり、より安全なサービスの提供を行うことができる。
【0030】
また、本発明の第4のサービス提供サーバは、当該サービス提供サーバおよび前記クライアント端末の間の通信に用いられる共有鍵と秘密鍵または前記秘密鍵に対応する公開鍵のいずれかとを保持する鍵保持部を有し、前記制御部が、前記サービス要求情報によって指定されるサービスを前記共有鍵で暗号化し、前記共有鍵および前記端末状況情報を含むサービス付加情報を前記秘密鍵または前記公開鍵のいずれかで暗号化する暗号化部を有し、前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を送信する構成としている。
【0031】
この構成によれば、提供を行うサービスをコンテキストに依存しない鍵を用いた暗号化とコンテキストに依存した暗号化の両方を行うため、他のサービス利用者によって行なわれる盗聴など攻撃によりサービスの不正利用が行われる危険性を大幅に低減できる。
【0032】
また、本発明の第5のサービス提供サーバは、前記保証情報の生成に利用する乱数を含む情報が、当該コンテンツ配信サーバと前記クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報である構成としている。
【0033】
この構成によれば、共有時に利用された情報を用いることで効率的、安全な保証情報の生成が可能である。
【0034】
また、本発明の第1のサービス提供システムは、上記のサービスの要求および実行が可能な1つ以上のクライアント端末と、上記のサービス提供サーバとを有する構成としている。
【0035】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や提供や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求、提供、利用を行うことができないようにすることができる。
【0036】
また、本発明の第1の制御方法は、クライアント端末がサービスを提供するサービス提供サーバから提供されるサービスに関する制御を行うための制御方法であって、前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報生成ステップにおいて生成された保証情報とを含む端末状況情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービスを提供可能な状況条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行うステップとを有する方法としている。
【0037】
この方法によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求およびサービスの利用を行うことができないようにすることができる。例えば、クライアント端末の監視部を入れ換えたり、クライアント端末に外部から保証情報の異なるサービス情報、サービス、状況情報などを入力する攻撃を検知してサービスの実行を禁止することができる。
【0038】
また、本発明の第1のサービス提供方法は、サービスを提供可能なサービス提供サーバが前記サービスを提供するサービス提供方法であって、当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信ステップと、前記保証情報生成ステップにおいて生成された保証情報と前記受信ステップにおいて受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、前記受信ステップにおいて受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信するステップと、を有する方法としている。
【0039】
この方法によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの提供を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの提供を行うことができないようにすることができる。
【発明の効果】
【0040】
本発明によれば、定常的に安全なサービスの要求や提供や利用を実現することが可能である。
【発明を実施するための最良の形態】
【0041】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0042】
(第1の実施形態)
まず、本実施形態におけるコンテンツ配信システム1000の構成について説明する。図1はコンテンツ配信システム1000の構成の一例を示すブロック図である。
コンテンツ配信システム1000は、コンテンツを配信され、そのコンテンツを利用するクライアント端末100、コンテンツの配信を行うコンテンツ配信サーバ200、およびコンテンツを配信するためのサービスチケットを発行するチケット発行サーバ300を有する。尚、コンテンツ配信システム1000は「サービス提供システム」の一例であり、CAS環境を構築している。また、クライアント端末100はCASの利用者が有する端末であり、クライアント端末100の一例として、携帯電話装置、PDA(Personal Degital Assistants)、PCなどが考えられる。また、コンテンツ配信サーバ200は「サービス提供サーバ」の一例であり、CASの提供者であるプロバイダが有するサーバである。また、コンテンツは「サービス」の一例である。また、チケット発行サーバ300はチケットの発行元であるイシュアが有するサーバである。
【0043】
クライアント端末100は、チケット取得部105、CCV(Context Connection Value)共有部110、CCV設定部120、監視部130、解析部140、および制御部150を有する。また、コンテンツ配信サーバ200は、CCV共有部210、CCV設定部220、監視部230、解析部240、および制御部250を有する。
【0044】
ここで、CCVとは、クライアント端末100の識別情報、コンテンツ配信サーバ200、およびコンテンツの識別情報などに基づいて生成される識別情報である。このCCVを用いて、監視部130、230、解析部140、240、および制御部150、250が動作する際の保証が行われる。
【0045】
チケット取得部105は、チケット発行サーバ300からサービスチケットを取得し保持する。尚、チケット取得部105は「サービス情報取得部」としての機能を有する。
【0046】
CCV共有部110および210は同一の機能を有するため、まとめて説明する。尚、CCV共有部110、210は「保証情報生成部」としての機能を有する。
【0047】
CCV共有部110、210は、クライアント端末100とコンテンツ配信サーバ200との間で通信可能とするための相互認証および通信を行う際に使用する鍵を共有する処理(以下、相互認証処理等という)を実施し、クライアント端末100を所有するコンテンツの利用するユーザを識別するユーザIDおよびコンテンツ配信サーバ200を識別するサーバIDをクライアント端末100およびコンテンツ配信サーバ200間で互いに交換し、さらに相互認証処理等において使用された乱数要素を互いに共有する。これらの交換に加え、監視部130にて取得されるコンテキストに対応するトークンやチケット取得部105によって取得されたサービスチケットをこの時点で互いに交換してもよい。尚、相互認証処理等は、一般的な方法で行われる。このように相互認証処理等の実施後に各種情報の交換を行うことにより、安全性が向上する。
【0048】
また、CCV共有部110、210は、各種交換を行った後、ユーザID、サーバID、およびサービスチケットに含まれコンテンツを識別するコンテンツID、共有された乱数要素に基づいて、CCVを生成し互いに共有する。これらのIDに加え、コンテンツを利用するための権利情報を含むサービスチケットにも基づいてCCVを生成してもよい。具体的には、CCVは、CCV共有部110、210が上記の各種ID、乱数要素のハッシュ値を計算することで作成される。また、これらの情報にトークンおよびチケットをも含めてハッシュ値を計算することでCCVの作成を行ってもよい。ハッシュ値の生成にはSHA-1などの方式を利用することが可能である。
【0049】
CCV設定部120は、監視部130、解析部140、制御部150の各機能にCCVを設定する。具体的には、CCV設定部120がCCVを保持し、各部130、140、150が適宜CCVを参照可能な状態とする。もしくは、各部130、140、150を記録するメモリ中にCCVが保持され、適宜CCVを参照可能な状態とする。尚、CCV設定部120は「保証情報保持部」としての機能を有する。
【0050】
監視部130は、クライアント端末100の状況を示すコンテキストを計測し、対応するトークンを解析部140へ出力する。この際、トークンへCCVを埋め込む。コンテキストの計測は、例えばコンテキストとしてクライアント端末100の位置情報を含む場合、GPS(Global Positioning System)の電波を取得することで実現できる。また、例えばコンテキストとしてクライアント端末100の温度情報を含む場合、温度センサにより取得することが可能である。また、例えばコンテキストとしてクライアント端末100の残高情報を含む場合、クライアント端末100にFelica(登録商標)を搭載することで取得可能である。
また、監視部130はコンテキストを定期的に計測しており、計測結果に対応するトークンを制御部150へ出力する。
【0051】
解析部140は、サービスチケット、トークンなどの解析および検証を行い、その結果を制御情報として制御部150へ出力する。具体的には、解析部140は、解析部140に入力される情報に含まれるCCVが解析部140が参照するCCVと一致しているか否かを判定し、一致する場合には制御情報を出力する。この際、制御情報へCCVを埋め込む。
【0052】
制御部150は、CCVを含む制御情報に従い、コンテンツの要求、コンテンツの実行の開始、中断、再開、停止などの処理を行うように制御する。具体的には、制御部150は、制御部150に入力される情報に含まれるCCVが制御部150が参照するCCVと一致しているか否かを判定し、一致する場合には特定の制御を行う。
【0053】
CCV設定部220は、監視部230、解析部240、制御部250の各機能にCCVを設定する。具体的には、CCV設定部220がCCVを保持し、各部230、240、250が適宜CCVを参照可能な状態とする。もしくは、各部230、240、250を記録するメモリ中にCCVが保持され、適宜CCVを参照可能な状態とする。尚、CCV設定部220は「保証情報設定部」としての機能を有する。
【0054】
監視部230は、クライアント端末100の状況を示すコンテキスト、コンテンツ配信サーバ200の状況を示すコンテキストを計測し、対応するトークンを解析部240へ出力する。この際、トークンへCCVを埋め込む。クライアント端末100のコンテキストの計測は、例えばコンテキストとしてクライアント端末100の位置情報を含む場合、GPSの電波を取得すること、基地局のようにクライアント端末100の位置情報をチェックすることで取得すること、もしくはこれらを併用することで実現可能である。また、例えばコンテキストとしてクライアント端末100の温度情報を含む場合、センサネットワークによりクライアント端末100の周辺に配置されたセンサから取得することで実現可能である。また、例えばコンテキストとしてクライアント端末100の残高情報を含む場合、クライアント端末100にFelica(登録商標)などを搭載することで、ネットワーク経由で取得することで実現可能である。また、コンテンツ配信サーバ200の状況を示すコンテキストは、例えば位置情報を含む場合、GPSの電波を取得することで実現可能である。コンテンツ配信サーバ200のコンテキストは、例えばご当地コンテンツの配信先の確認などに利用される。
【0055】
解析部240は、サービスチケット、トークンの解析および検証を行い、その結果に基づいて制御情報として制御部150へ出力する。具体的には、解析部140は、解析部140に入力される情報に含まれるCCVが解析部140が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には制御情報を出力する。この際、制御情報へCCVを埋め込む。尚、解析部240は、「受信部」としての機能を有する。
【0056】
尚、解析部240に入力される情報の1つとしてトークンがあり、このトークンとしてクライアント端末100から送信されるトークンと監視部230によって計測されるコンテキストに対応するトークンがあるが、これらのトークンのうち少なくとも1つが解析部に入力される。
【0057】
制御部250は、CCVを含む制御情報に従い、コンテンツの提供処理を行うように制御する。具体的には、制御部150は、制御部250に入力される情報に含まれるCCVが制御部250が参照するCCVと一致しているか否かを判定し、一致する場合にはコンテンツの配信処理を行うよう制御する。配信コンテンツは、コンテンツを蓄積する外部のコンテンツ蓄積サーバより取得してもよいし、コンテンツ配信サーバ200内にあらかじめ保持しておいてもよい。尚、配信コンテンツへCCVを埋め込む。
【0058】
次に、コンテンツ配信システム1000において用いられる各データのデータ構成について説明する。
【0059】
トークンは、クライアント端末100に関する様々な状況情報(例えば、クライアント端末100の位置情報、加速度情報、時刻情報、残高情報など)およびCCVを有する。
【0060】
クライアント端末100を有しコンテンツを利用するユーザの識別情報を示すプロファイルは、ユーザ情報(例えばユーザのID、属性、会員情報など)を有する。
【0061】
サービスチケットは、コンテンツに関するコンテンツ情報(例えば、コンテンツの種別、コンテンツのID、コンテンツの提供を行うコンテンツ配信サーバ200のサーバIDなど)、本サービスチケットを利用可能な権利者情報(例えば、コンテンツを利用可能なユーザのIDや属性、コンテンツを利用するユーザの優先度など)、本サービスチケットに関する制限事項(本サービスチケットの有効期限や利用可能回数、利用料金など)、本サービスチケットを利用可能な状況条件(位置条件、加速度条件、時刻条件、残高条件など)、およびCCVを有する。尚、CCVはチケット発行サーバ300によるサービスチケット発行時からサービスチケットに含まれているものではなく、解析部140によって設定される。
なお、CCVを含む各種データを一般的な技術であるディジタル署名の付加や暗号化などにより保護することでより安全性を強化することが可能であるが、説明を簡単にするために詳細については省略する。
【0062】
次に、クライアント端末100およびコンテンツ配信サーバ200の動作について説明する。まず、クライアント端末100がコンテンツの配信を要求する場合の動作について説明する。
【0063】
チケット取得部105は、所定のサービスチケットをチケット発行サーバ300から取得し保持する。そして、CCV共有部110が、コンテンツ配信サーバ200との間で相互認証処理等を実施後、CCVを生成し共有する。サービスチケットの状況条件は、例えば「ユーザの住所Aで毎日17:00以降利用可能」などの条件である。CCV共有後、CCV設定部120は監視部130、解析部140、制御部150にCCVを設定する。この設定により、各部130、140、150は、サービスチケット取得時点におけるCCVを保持する。
【0064】
CCVが各部130、140、150へ設定されると、監視部130はクライアント端末100の状況を示すコンテキストを計測し、対応するトークンを生成し解析部140へ出力する。この際、監視部130はトークンへCCVを埋め込む。
【0065】
解析部140は、監視部130からのトークンを受け取ると、トークンに含まれるCCVと解析部140が参照するCCVとの比較およびトークンに含まれる状況情報とチケット取得部105が取得したサービスチケットに含まれる状況条件との比較を行い、それぞれ両者が一致した場合には、サービスチケットにCCVを埋め込んだ制御情報を生成し制御部150へ出力する。
【0066】
制御部150は、解析部140からの制御情報を受け取ると、制御情報に含まれるCCVと制御部150が参照するCCVとの比較を行い、両者が一致した場合には、コンテンツの配信を受けるためのコンテンツ配信要求として、CCVを含むトークンおよびCCVを含むサービスチケットをコンテンツ配信サーバ200へ送信する。
【0067】
このようなCCVを用いたコンテンツ配信要求を行うことにより、例えば予めクライアント端末100がIDを備える場合やコンテンツ配信サーバ200がクライアント端末100に対してIDを設定する場合と比較すると、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、例えば制御部150においてのみIDを用いたアクセス制御を行う場合と異なり、監視部130、解析部140、制御部150の機能すべてにおいてチェックを行っているため、コンテキスト計測時やチケット解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0068】
次に、コンテンツ配信サーバ200がコンテンツの配信を行う場合の動作について説明する。
【0069】
CCV共有部210は、クライアント端末200との間で相互認証処理等を実施後、CCVを生成し共有する。CCV共有後、CCV設定部220は監視部230、解析部240、制御部250にCCVを設定する。この設定により、各部230、240、250は、サービスチケット取得時点におけるCCVを保持する。
【0070】
CCVが各部230、240、250へ設定されると、監視部230はクライアント端末200の状況を示すコンテキストを計測し、対応するトークンを生成し制御部250へ出力する。また、このトークンを解析部240へ出力してもよい。この際、監視部230はトークンへCCVを埋め込む。
【0071】
解析部240は、クライアント端末100から送信されるトークンおよびサービスチケットを受信すると、解析部240に入力されるサービスチケットに含まれるCCVおよびトークンに含まれるCCVが解析部240が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には、サービスチケットにCCVを埋め込んだ制御情報を制御部250へ出力する。また、判定を行うトークンとして、監視部230からのトークンを使用することもできる。また、制御情報にトークンを含ませるか、トークンを監視部から直接、制御部へ入力することもできる。
【0072】
制御部250は、監視機能230からのトークンおよび解析部240からの制御情報を受け取ると、トークンに含まれるCCVおよび制御情報に含まれるCCVが制御部250が参照するCCVと一致しているか否かを判定し、一致する場合には、サービスチケットにて指定されたコンテンツにCCVを埋め込み、CCVを含むコンテンツ配信サーバ200の状況に関するコンテキストに対応するトークンおよびCCVを含むコンテンツをクライアント端末100へ送信する。尚、コンテンツを一般的な暗号化方法により暗号化することで、コンテンツ配信における安全性を向上させることが可能である。コンテンツに含まれるトークンは、事前にサーバの正しいトークンを取得しておき、そのトークンと比較する。正しいトークンはサービスチケットの発行者の有するチケット発行サーバ300から取得する。この比較により、例えばフィッシング詐欺を防止することが可能である。また、コンテンツ配信サーバ200の状況に関するコンテキストに対応するトークンを送信することで、サービスチケットに記載された以外の使用状況(コンテキスト)をコンテンツ配信サーバ200が指定することが可能となる。さらに、クライアント端末100においてコンテンツ配信サーバ200の状況に関するコンテキストを検証することが可能となるため、セキュリティの向上を図ることができる。
【0073】
このようなCCVを用いたコンテンツ配信を行うことにより、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、監視部230、解析部240、制御部250の機能すべてにおいてチェックを行っているため、コンテキスト計測時やトークンおよびサービスチケット解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0074】
次に、クライアント端末100がコンテンツの実行制御を行う場合の動作について説明する。
【0075】
解析部140は、コンテンツ配信サーバ200から送信されるCCVを含むトークンおよびCCVを含むコンテンツを受信すると、コンテンツ受信時における監視部130からのトークンに含まれるCCVが解析部140が参照するCCVと一致しているか否かを判定する。CCVが一致していると判定された場合には、解析部140は、コンテンツ受信時における監視部130からのトークンに含まれる状況情報とチケット保持部105が保持するサービスチケットの状況条件とが一致しているか否かを判定し、状況情報と状況条件とが一致する場合には、コンテンツおよびトークンを含む情報にCCVを埋め込んだコンテンツの実行を指示するための制御情報を制御部150へ出力する。また、状況情報と状況条件とが一致しない場合には、解析部140は、コンテンツおよびトークンを含む情報にCCVを埋め込んだコンテンツの実行をさせないための制御信号を制御部150へ出力する。
【0076】
制御部150は、解析部140からの制御情報を受け取ると、制御情報に含まれるCCVが制御部150が参照するCCVと一致しているか否かを判定する。両者が一致する場合には、制御情報に基づいてコンテンツの実行制御を行う。つまり、コンテンツの実行を行うよう制御情報によって指示された場合は、制御部150はコンテンツを利用可能状態としてコンテンツを実行するアプリケーションへ送信する。また、コンテンツの実行をしないよう制御情報によって指示された場合は、制御部150はコンテンツの実行を行わないようにアプリケーションに指示する。したがって、コンテンツの実行をさせないよう指示する制御情報を受け取った場合、その時点においてすでにコンテンツの実行を行っていた場合には、制御部150はコンテンツの実行を中断させることができる。また、コンテンツの実行を行うよう指示する制御情報を受け取った場合、その時点においてコンテンツの実行を中断させていた場合には、制御部150はコンテンツの実行を再開させることができる。これにより、アプリケーションによるコンテンツの実行、中断、再開が可能となる。尚、制御部150は制御情報に含まれるトークンを一時的に保持することができる。
【0077】
また、アプリケーションによるコンテンツ実行中においても、監視部130はコンテキストの計測を定期的に実施しており、計測結果に対応するトークンにCCVを埋め込み、トークンを制御部150へ出力している。例えば、第3者によるなりすましによって監視部130が計測するコンテキストが変化した場合には、その計測結果に対応するトークンも以前と異なるものとなるため、制御部150が一時保持しているトークンと監視部が計測したコンテキストに対応するトークンが一致しない。このようにトークンが一致しない場合には、制御部150がコンテンツの実行を禁止する実行禁止情報をアプリケーションへ送信する。これにより、監視部130によるコンテキストの計測結果に基づいて、アプリケーションによるコンテンツ実行を禁止することが可能である。
【0078】
このようなCCVを用いたコンテンツ実行を行うことにより、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、監視部130、解析部140、制御部150の機能すべてにおいてチェックを行っているため、コンテキスト計測時やトークンおよびコンテンツ解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0079】
このようなコンテンツ配信システム1000によれば、CCVを一度共有した後に、第3者がなりすましたり、第3者のコンテキスト情報を外部から与えたり、制御機能を他の機能に入れ換えたりすると、CCVが一致しなくなり、いずれかの部位で異常を検出することができるので、コンテキスト対象者と、サービス権利者と、サービス利用者の一致を確実に実現することが可能である。
【0080】
(第2の実施形態)
まず、本実施形態におけるコンテンツ配信システム2000の構成について説明する。図2はコンテンツ配信システム2000の構成の一例を示す図である。コンテンツ配信システム1000の構成部と同一の機能である構成部には同一の符号を付し、説明を省略する。
【0081】
コンテンツ配信システム2000は、コンテンツを利用可能なクライアント端末400、コンテンツを提供可能なコンテンツ配信サーバ500、およびチケット発行サーバ300を有する。尚、コンテンツ配信システム2000は「サービス提供システム」の一例である。コンテンツ配信サーバは「サービス提供サーバ」の一例である。
【0082】
クライアント端末400は、チケット取得部105、CCV共有部110、CCV設定部120、監視部130、解析部440、制御部450を有する。また、コンテンツ提供サーバ500は、CCV共有部110、CCV設定部220、監視部230、解析部540、および制御部550を有する。
【0083】
解析部440は、解析部140が有する機能に加え、暗号化部552によって暗号化されたヘッダが付加された暗号コンテンツを受信し、所定の条件を満たした場合に、暗号化ヘッダが付加された暗号コンテンツを含み復号化を指示するための制御情報を生成する。この際、制御情報へCCVを埋め込む。
【0084】
制御部450は、制御部150が有する機能に加え、ユーザ認証のための署名を行う署名部451およびヘッダと暗号化コンテンツを復号可能な復号化部452を有する。
【0085】
署名部451は、監視部130からのトークンと解析部440を経由して取得されたサービスチケットの連接情報のハッシュ値を計算し、計算結果を認証情報として生成する。認証情報により、クライアント端末400を所有するユーザからのコンテンツ要求であることをコンテンツ配信サーバ500に知らせることができる。尚、署名部451は「認証部」としての機能を有する。
【0086】
復号化部452は、コンテンツ配信サーバ500から配信される暗号コンテンツに付加されるヘッダを復号化部452が有する固有の秘密鍵またはこれに対応する公開鍵で復号化し、ヘッダを復号化して得たヘッダに含まれるトークンと制御情報に含まれるトークンとが同一であり、さらに、制御部450が参照するCCVとヘッダに含まれるトークンに含まれるCCVとが同一である場合のみ、ヘッダに含まれる復号鍵を利用して暗号化コンテンツを復号する。復号鍵として、コンテンツ配信サーバ500との共有鍵を用いる。これにより、さらに安全性が向上する。復号化部452は固有の秘密鍵またはこれに対応する公開鍵、復号鍵を保持している。尚、復号化部452は「鍵保持部」の機能を有している。
【0087】
解析部540は、解析部240が有する機能に加え、認証情報を受信し、所定の条件を満たす場合には、認証情報を含み制御部550へ暗号化を指示するための制御情報を生成する。この際、制御情報へCCVを埋め込む。尚、解析部540は「受信部」としての機能を有する。
【0088】
制御部550は、制御部250が有する機能に加え、クライアント端末400から送信される認証情報の検証を行う検証部551および配信を行うコンテンツおよびヘッダの暗号化を行う暗号化部552を有する。
【0089】
検証部551は、クライアント端末400から送信される署名に含まれるトークンおよびサービスチケットの連接情報からハッシュ値を計算し、計算結果を検証情報として生成する。そして、クライアント端末400から送信される認証情報と検証情報が一致する場合に、正当なユーザからのコンテンツ要求であるものと判断する。
【0090】
暗号化部552は、配信対象のコンテンツを復号鍵で暗号化し暗号化コンテンツを生成する。また、暗号化部552は、暗号化コンテンツの配信時に、暗号化コンテンツに添付するヘッダ(後述する図3参照)を復号化部452が有する固有の秘密鍵またはこれに対応する公開鍵で暗号化する。これにより、コンテキストに依存して処理負荷が増加することを防止できる。また、ヘッダを暗号化する回数が1回で済み、処理負荷が軽減される。また、ヘッダはコンテキストに依存しない鍵によって暗号化されるため、鍵を推測される危険性が低減される。暗号化部552は固有の秘密鍵またはこれに対応する公開鍵、復号鍵を保持している。尚、暗号化部552は「鍵保持部」としての機能を有する。
【0091】
次に、制御部550がコンテンツの配信を行う際に暗号化コンテンツに付加されるヘッダの構成について説明する。図3はヘッダのデータ構成の一例を示した図である。ヘッダは柔軟に構成させることが可能である。
【0092】
図3(a)に示すように、ヘッダ600は、CCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601と暗号化コンテンツの復号化するための復号鍵602を有する。ヘッダ600により、暗号化コンテンツの復号鍵とともに解析が困難なトークンを暗号化して送付することで、より安全なコンテンツ配信を行うことが可能である。
【0093】
また、図3(b)に示すように、ヘッダ610は、コンテンツの第1部分に対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601A、コンテンツの第2部分に対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601B、コンテンツの第1部分を復号化するための復号鍵602A、コンテンツの第2部分を復号化するための復号鍵602Bを有する。ヘッダ610により、コンテンツが第1部分、第2部分を有する場合には、それぞれに対応する復号鍵、トークンを使用できるため、利便性が向上する。尚、ヘッダに含ませる復号鍵およびトークンの数は2つでなくてもよい。
【0094】
また、図3(c)に示すように、ヘッダ620は、トークン601A、トークン601B、およびコンテンツの第1部分、第2部分のいずれも復号化をするための復号鍵602Cを有する。ヘッダ620により、コンテンツの第1部分、第2部分に対して複合鍵を共通して用いることができ、処理負荷を軽減できる。尚、第1部分、第2部分は例えば第1章、第2章として分けられるなど、様々な条件で分けられる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0095】
また、図3(d)に示すように、ヘッダ630は、コンテンツの第1部分、第2部分のいずれにも対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601C、復号鍵602A、602Bを有する。ヘッダ630により、コンテンツの第1部分、第2部分に対してトークンを共通して用いることができ、処理負荷を軽減できる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0096】
また、図3(e)に示すように、ヘッダ640は、トークン601、復号鍵602、サービスチケット603を有する。ヘッダ640により、例えば継続するコンテンツを配信する場合において、この配信において第1部分のコンテンツを配信し、次の配信において第2部分のコンテンツを配信することができる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0097】
また、図3(f)に示すように、ヘッダ650は、トークン601、復号鍵602、ヘッダ604を有する。ヘッダ604は、例えばヘッダ600〜650のヘッダである。ヘッダ640により、ヘッダを入れ子構造として復号順序を指定することが可能である。
【0098】
次に、クライアント端末400およびコンテンツ配信サーバ500の動作について説明する。まず、クライアント端末400がコンテンツの配信を要求する場合の動作について説明する。
【0099】
次に、クライアント端末400およびコンテンツ配信サーバ500の動作について説明する。まず、クライアント端末400がコンテンツの配信を要求する場合の動作について説明する。尚、クライアント端末100がコンテンツの配信を要求する場合の動作と同様の処理については、説明を省略する。
【0100】
まず、チケット取得部105によるサービスチケットの取得から解析部440による制御情報の生成、出力については、クライアント端末100と同様の処理を行う。
【0101】
制御部450は、解析部440からの制御情報を受け取ると、制御情報に含まれるCCVと制御部450が参照するCCVとの比較を行う。両者が一致した場合には、署名部451は、制御情報に含まれるサービスチケットと監視部130からのトークンとの連接情報のハッシュ値を計算し、計算結果を認証情報として生成する。そして、制御部450は、CCVを含むトークン、CCVを含むサービスチケット、および認証情報をコンテンツ配信サーバ500へ送信する。
【0102】
このような認証処理を用いたコンテンツ配信要求を行うことにより、コンテンツなどのサービスを受けるべきユーザを確実にサーバ側へ知らせることが可能となり、コンテンツ要求時の安全性が一層向上する。
【0103】
次に、コンテンツ配信サーバ500がコンテンツの配信を行う場合の動作について説明する。
【0104】
まず、CCV共有部210によるCCVの共有から監視部230によるトークンの生成、出力については、コンテンツ配信サーバ200と同様の処理を行う。
【0105】
解析部540は、クライアント端末100から送信されるCCVを含むトークン、CCVを含むサービスチケット、および認証情報を受信すると、サービスチケットに含まれるCCVとトークンに含まれるCCVが解析部540が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には、認証情報およびサービスチケットにCCVを含めた暗号化を指示するための制御情報を制御部550に出力する。また、判定を行うトークンとして、監視部230からのトークンを使用することもできる。また、制御情報にはトークンを含ませることもできる。
【0106】
制御部550は、監視部230からのCCVを含むトークンおよび解析部540からのCCVを含む制御情報を受け取ると、トークンに含まれるCCVおよび制御情報に含まれるCCVが制御部550が参照するCCVと一致しているか否かを判定する。
【0107】
CCVが一致している場合には、検証部551は、トークンと制御情報に含まれるサービスチケットの連接情報からハッシュ値を計算し、計算結果として検証情報を生成する。そして、検証部551は、制御情報に含まれる認証情報および検証情報が一致しているか否かを判定する。
【0108】
両者が一致している場合には、制御部550は、サービスチケットにて指定されたコンテンツを取得する。そして、暗号化部552は、コンテンツを復号鍵で暗号化し、さらに、CCVを含むクライアント端末400の状況に関するコンテキストに対応するトークンと復号鍵を含むヘッダを固有の秘密鍵またはこれに対応する公開鍵で暗号化し、暗号化したヘッダを暗号化したコンテンツに付加する。そして、制御部550は、CCVを含むトークンおよび暗号化されたヘッダが付加された暗号コンテンツをクライアント端末400へ送信する。
【0109】
このような検証処理、暗号化処理を行うコンテンツ配信を行うことにより、確実にコンテンツの配信対象であるユーザを認証することが可能であり、さらにコンテンツ配信時にCCVを伴う暗号化を実施することにより、コンテンツ配信時の安全性が一層向上する。
【0110】
次に、クライアント端末400がコンテンツの実行制御を行う場合の動作について説明する。
【0111】
解析部440は、コンテンツ配信サーバ500から送信されるCCVを含むトークンおよび復号鍵およびトークンを含む暗号化されたヘッダが付加された暗号コンテンツを受信すると、受信時における監視部130からのトークンに含まれるCCVが解析部440が参照するCCVと一致しているか否かを判定する。さらにCCVが一致していると判定された場合には、監視部440は、受信時における監視部130からのトークンに含まれる状況情報とチケット保持部105が保持するサービスチケットの状況条件とが一致しているか否かを判定する。両者が一致する場合には、暗号化ヘッダが付加された暗号コンテンツおよびトークンにCCVを埋め込んだ復号化の指示および実行制御を行うための制御情報を制御部450へ出力する。
【0112】
制御部450は、制御部550からの制御情報を受け取ると、制御情報に含まれるCCVが制御部450が参照するCCVと一致しているか否かを判定する。CCVが一致している場合には、復号化部452は、暗号化ヘッダを固有の秘密鍵またはこれに対応する公開鍵で復号化する。そして、制御部450は、復号化されたヘッダに含まれるトークンと監視部130からのトークンとが一定しているか否かを判定する。両者が一致している場合には、復号化部452は、ヘッダに含まれる復号鍵を用いて暗号コンテンツを復号化する。そして、制御部450は、制御情報に指定された実行制御方法(再生、中断等)により、復号化されたコンテンツを実行制御する。例えば、制御情報によってコンテンツの実行を指示された場合、復号化されたコンテンツを利用可能状態としてコンテンツを実行するアプリケーションへ送信する。
【0113】
尚、安全性の観点から署名処理、復号処理を行う機能は耐タンパモジュールとして実装することが望ましい。例えば、専用のHWを用意するか、UIMカードを利用することが考えられる。このとき、ヘッダの復号や署名の生成に利用するクライアント端末の秘密鍵も、耐タンパモジュール内のセキュアメモリに保存するべきである。
【0114】
本来は、制御部450自体を耐タンパモジュールとして実装することが望ましいが、コスト面から署名/復号の暗号機能のみを耐タンパモジュール化することになると考えられる。そのため、制御部450の改ざんを検出するために上記耐タンパモジュールに改ざん検出部を実装しておき、暗号機能の利用前に前記改ざん検出部により制御部450に改ざんがないことを確認する方法が考えられる。
【0115】
また、CCV共有部110、CCV設定部120、解析部440、監視部130についても、改ざん検出の対象とするとより安全性が高まる。特にCCVの比較/埋め込みの処理を対象とすると効果が高い。
【0116】
尚、制御部450は、制御部150と同様の機能により、アプリケーションがコンテンツ実行の中断、再開、禁止を行うように制御することも可能である。
【0117】
このような復号化処理を用いたコンテンツ実行を行うことにより、CCVを伴う暗号コンテンツをコンテンツの配信対象とすべきユーザのみが実行可能であり、他のユーザによるコンテンツの実行は不可能となるため、コンテンツ実行時の安全性は一層向上する。
【0118】
このようなコンテンツ配信システム2000によれば、解析困難なCCVと併用して、コンテンツなどのサービスを受けるべきユーザを確実に認証するための認証処理やユーザの検証処理、より安全にコンテンツの配信を行うための暗号化処理や復号化処理を実施することで、コンテンツなどのサービスの要求、提供、利用に際して、より確実に定常的な安全を保証することができる。
【産業上の利用可能性】
【0119】
本発明は、定常的に安全なサービスの要求や提供や利用を実現することが可能なクライアント端末、サービス提供サーバ、サービス提供システム等に有用である。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施形態におけるコンテンツ配信システムの構成の一例を示すブロック図である。
【図2】本発明の第2の実施形態におけるコンテンツ配信システムの構成の一例を示すブロック図である。
【図3】本発明の第2の実施形態におけるヘッダのデータ構成の一例を示す図である。
【符号の説明】
【0121】
1000、2000 コンテンツ配信システム
100、400 クライアント端末
105 チケット取得部
110、210 CCV共有部
120、220 CCV設定部
130、230 監視部
140、240、440、540 解析部
150、250、450、550 制御部
200、500 コンテンツ配信サーバ
300 チケット発行サーバ
451 署名部
452 復号化部
551 検証部
552 暗号化部
600、610、620、630、640、650 ヘッダ
601、601A、601B、601C トークン
602、602A、602B、602C 復号鍵
603 サービスチケット
604 ヘッダ
【技術分野】
【0001】
本発明はクライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法に関する。
【背景技術】
【0002】
ユビキタス環境の浸透に伴い、移動体のコンテキスト(場所、向き、温度、時間な状況情報)を考慮してより適切なサービスを提供するコンテキストアウェアサービス(Context Aware Service:CAS)が注目されている。CASを利用したサービスの一例として、ICタグを用いた物流管理サービスや歩行者に対するナビゲーションサービスなどがある。
【0003】
CASを実施可能とするシステムとして、コンテンツの作成者である情報作成者および該情報作成者によって許諾された者を含む情報提供権限者によって提供される該コンテンツの利用制御を行うコンテンツ利用制御システムにおいて、コンテンツを利用者が利用する利用者手段と、利用者手段内で使用するメディアを含む利用者手段の物理要素に関する識別情報および利用者に関する識別情報に基づいた前記コンテンツに対する複数の部分利用許可条件をさらに論理和および論理積の組み合わせによって構造化表現した利用許可条件として設定する設定手段と、設定手段によって設定された利用許可条件をもとに利用者手段によるコンテンツの利用を制御する利用制御手段と、を備えたコンテンツ利用制御システムが知られている。(例えば、特許文献1参照)。
【特許文献1】特開平11−099482号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら特許文献1に記載されたシステムでは、サービスの要求、配信、実行、中断、再開、完了などの各局面において、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることが困難な場合があり、定常的に安全なサービス提供環境が整備されない可能性があった。
【0005】
本発明はかかる事情に鑑みてなされたものであり、定常的に安全なサービスの要求や提供や利用を実現することが可能なクライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1のクライアント端末は、サービスを提供するサービス提供サーバからサービスを提供されるクライアント端末であって、前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、および前記サービスを提供可能な状況条件に関する状況条件情報を含むサービス情報を保持するサービス情報保持部と、前記サービス識別情報、前記提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、前記保証情報保持部によって保持された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成する解析部と、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行う制御部と、を有する構成としている。
【0007】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求およびサービスの利用を行うことができないようにすることができる。例えば、クライアント端末の監視部を入れ換えたり、クライアント端末に外部から保証情報の異なるサービス情報、サービス、状況情報などを入力する攻撃を検知してサービスの実行を禁止することができる。
【0008】
また、本発明の第2のクライアント端末は、前記解析部が、前記端末状況情報および前記サービス情報に前記保証情報を含ませたサービス要求情報を含む前記制御情報を生成し、前記制御部が、前記保証情報保持部によって保持された保持している保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報を送信する構成としている。
【0009】
この構成によれば、定常的に安全なサービスの要求を行うことが可能である。
【0010】
また、本発明の第3のクライアント端末は、前記制御部が、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を認証するための認証情報を生成する認証部を有し、前記端末状況情報、前記サービス要求情報、及び前記認証情報を送信する構成としている。
【0011】
この構成によれば、ユーザ認証を実施可能とすることで、さらに安全なサービスの要求を行うことが可能である。
【0012】
また、本発明の第4のクライアント端末は、前記サービス要求情報に対応する前記保証情報を含むサービスを受信する受信部を有し、前記解析部が、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービスを含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記制御情報に従って前記サービスを実行制御する構成としている。
【0013】
この構成によれば、定常的に安全なサービスの実行を行うことが可能である。
【0014】
また、本発明の第5のクライアント端末は、前記制御部が、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが異なる場合、前記サービスの実行を禁止するように制御する構成としている。
【0015】
この構成によれば、サービスを利用するユーザの所有するクライアント端末において以前とクライアント端末の位置や加速度などの状況が異なり、利用条件を満たさなくなった場合には、サービスの実行を禁止することができ、より安全にサービスを利用することが可能である。
【0016】
また、本発明の第6のクライアント端末は、前記制御部が、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一でない判定結果を含む制御情報が出力された場合、前記サービスの実行を中断するように制御する構成としている。
【0017】
この構成によれば、クライアント端末の状況が実行開始時点と異なる状況となった場合に、サービスの実行を中断することが可能であり、より安全にサービスを利用することができる。
【0018】
また、本発明の第7のクライアント端末は、前記制御部が、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一である判定結果を含む制御情報が再び出力された場合、前記サービスの実行を再開するように制御する構成としている。
【0019】
この構成によれば、一旦サービスを中断した後であっても、クライアント端末の位置や加速度などの状況が再び利用条件を満たすようになった場合には、サービスの実行を再開することができ、安全なサービスを利用することができるとともにサービスの利便性が向上する。
【0020】
また、本発明の第8のクライアント端末は、前記サービス提供サーバおよび当該クライアント端末の間の通信に用いられる秘密鍵または前記秘密鍵に対応する公開鍵のいずれかを保持する鍵保持部を有し、前記受信部が、前記共有鍵で暗号化されたサービスと前記秘密鍵または前記公開鍵のいずれかで暗号化された前記共有鍵および前記端末状況情報を含むサービス付加情報とを受信し、前記解析部が、前記判定結果を示し前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記秘密鍵または前記公開鍵のいずれかで前記制御情報に含まれる暗号化されたサービス付加情報を復号化し、前記サービス付加情報に含まれる端末状況情報と前記監視部によって生成された端末状況情報とが同一である場合、前記サービス付加情報に含まれる共有鍵で前記暗号化されたサービスを復号化する復号化部を有し、前記制御情報に従って前記サービスを実行制御する構成としている。
【0021】
この構成によれば、サーバで暗号化されたサービスを安全に受け取ることができ、コンテキストに依存しない鍵を用いて共通鍵の復号化を行い、コンテキストに依存してサービスの復号化を行なうため、他のサービス利用者によって盗聴などによるサービスの不正利用が行われる危険性を大幅に低減できる。
【0022】
また、本発明の第9のクライアント端末は、前記保証情報の生成に利用する乱数を含む情報が、前記コンテンツ配信サーバと当該クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報である構成としている。
【0023】
この構成によれば、共有時に利用された情報を用いることで効率的かつ、安全な保証情報の生成が可能である。
【0024】
また、本発明の第1のサービス提供サーバは、サービスを提供可能なサービス提供サーバであって、当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信部と、前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報を生成する監視部と、前記保証情報保持部によって保持された保証情報と前記受信部によって受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、受信部によって受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成する解析部と、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信する制御部と、を有する構成としている。
【0025】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの提供を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの提供を行うことができないようにすることができる。
【0026】
また、本発明の第2のサービス提供サーバは、前記クライアント端末または前記サービス提供サーバの状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報またはサーバ状況情報を生成する監視部を有する構成としている。
【0027】
この構成によれば、クライアント端末やサービス提供サーバの状況に関するコンテキストを取得することで、取得時の状態に応じたより安全性の高いサービスを提供することが可能である。例えば、サービス提供サーバに関するコンテキストをユーザが検証したい場合、ユーザのコンテキストをサービス提供サーバが検証したい場合にこの情報を利用することが可能であり、安全性が向上する。
【0028】
また、本発明の第3のサービス提供サーバは、前記受信部が、更に、前記サービスの提供対象を認証するための認証情報を受信し、前記解析部は、前記判定結果を示し前記認証情報および前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成し、前記制御部が、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を検証するための検証情報を生成し、前記認証情報と前記検証情報とが同一である場合、前記認証情報の送信元が前記サービスの提供対象であると判定する検証部を有する構成としている。
【0029】
この構成によれば、サービス要求を行ったクライアント端末の状況と前記端末を所有するユーザを確実に確認することが可能であり、より安全なサービスの提供を行うことができる。
【0030】
また、本発明の第4のサービス提供サーバは、当該サービス提供サーバおよび前記クライアント端末の間の通信に用いられる共有鍵と秘密鍵または前記秘密鍵に対応する公開鍵のいずれかとを保持する鍵保持部を有し、前記制御部が、前記サービス要求情報によって指定されるサービスを前記共有鍵で暗号化し、前記共有鍵および前記端末状況情報を含むサービス付加情報を前記秘密鍵または前記公開鍵のいずれかで暗号化する暗号化部を有し、前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を送信する構成としている。
【0031】
この構成によれば、提供を行うサービスをコンテキストに依存しない鍵を用いた暗号化とコンテキストに依存した暗号化の両方を行うため、他のサービス利用者によって行なわれる盗聴など攻撃によりサービスの不正利用が行われる危険性を大幅に低減できる。
【0032】
また、本発明の第5のサービス提供サーバは、前記保証情報の生成に利用する乱数を含む情報が、当該コンテンツ配信サーバと前記クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報である構成としている。
【0033】
この構成によれば、共有時に利用された情報を用いることで効率的、安全な保証情報の生成が可能である。
【0034】
また、本発明の第1のサービス提供システムは、上記のサービスの要求および実行が可能な1つ以上のクライアント端末と、上記のサービス提供サーバとを有する構成としている。
【0035】
この構成によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や提供や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求、提供、利用を行うことができないようにすることができる。
【0036】
また、本発明の第1の制御方法は、クライアント端末がサービスを提供するサービス提供サーバから提供されるサービスに関する制御を行うための制御方法であって、前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報生成ステップにおいて生成された保証情報とを含む端末状況情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービスを提供可能な状況条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行うステップとを有する方法としている。
【0037】
この方法によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの要求や利用を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの要求およびサービスの利用を行うことができないようにすることができる。例えば、クライアント端末の監視部を入れ換えたり、クライアント端末に外部から保証情報の異なるサービス情報、サービス、状況情報などを入力する攻撃を検知してサービスの実行を禁止することができる。
【0038】
また、本発明の第1のサービス提供方法は、サービスを提供可能なサービス提供サーバが前記サービスを提供するサービス提供方法であって、当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信ステップと、前記保証情報生成ステップにおいて生成された保証情報と前記受信ステップにおいて受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、前記受信ステップにおいて受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成するステップと、前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信するステップと、を有する方法としている。
【0039】
この方法によれば、サービスを利用する状況条件を満たすコンテキスト対象者、サービスを利用する権利をもつサービス権利者、および実際にサービスを利用するサービス利用者を一致させることができ、定常的に安全なサービスの提供を実現することが可能である。また、コンテキスト対象者、サービス権利者、サービス利用者が一致しない場合には、サービスの提供を行うことができないようにすることができる。
【発明の効果】
【0040】
本発明によれば、定常的に安全なサービスの要求や提供や利用を実現することが可能である。
【発明を実施するための最良の形態】
【0041】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0042】
(第1の実施形態)
まず、本実施形態におけるコンテンツ配信システム1000の構成について説明する。図1はコンテンツ配信システム1000の構成の一例を示すブロック図である。
コンテンツ配信システム1000は、コンテンツを配信され、そのコンテンツを利用するクライアント端末100、コンテンツの配信を行うコンテンツ配信サーバ200、およびコンテンツを配信するためのサービスチケットを発行するチケット発行サーバ300を有する。尚、コンテンツ配信システム1000は「サービス提供システム」の一例であり、CAS環境を構築している。また、クライアント端末100はCASの利用者が有する端末であり、クライアント端末100の一例として、携帯電話装置、PDA(Personal Degital Assistants)、PCなどが考えられる。また、コンテンツ配信サーバ200は「サービス提供サーバ」の一例であり、CASの提供者であるプロバイダが有するサーバである。また、コンテンツは「サービス」の一例である。また、チケット発行サーバ300はチケットの発行元であるイシュアが有するサーバである。
【0043】
クライアント端末100は、チケット取得部105、CCV(Context Connection Value)共有部110、CCV設定部120、監視部130、解析部140、および制御部150を有する。また、コンテンツ配信サーバ200は、CCV共有部210、CCV設定部220、監視部230、解析部240、および制御部250を有する。
【0044】
ここで、CCVとは、クライアント端末100の識別情報、コンテンツ配信サーバ200、およびコンテンツの識別情報などに基づいて生成される識別情報である。このCCVを用いて、監視部130、230、解析部140、240、および制御部150、250が動作する際の保証が行われる。
【0045】
チケット取得部105は、チケット発行サーバ300からサービスチケットを取得し保持する。尚、チケット取得部105は「サービス情報取得部」としての機能を有する。
【0046】
CCV共有部110および210は同一の機能を有するため、まとめて説明する。尚、CCV共有部110、210は「保証情報生成部」としての機能を有する。
【0047】
CCV共有部110、210は、クライアント端末100とコンテンツ配信サーバ200との間で通信可能とするための相互認証および通信を行う際に使用する鍵を共有する処理(以下、相互認証処理等という)を実施し、クライアント端末100を所有するコンテンツの利用するユーザを識別するユーザIDおよびコンテンツ配信サーバ200を識別するサーバIDをクライアント端末100およびコンテンツ配信サーバ200間で互いに交換し、さらに相互認証処理等において使用された乱数要素を互いに共有する。これらの交換に加え、監視部130にて取得されるコンテキストに対応するトークンやチケット取得部105によって取得されたサービスチケットをこの時点で互いに交換してもよい。尚、相互認証処理等は、一般的な方法で行われる。このように相互認証処理等の実施後に各種情報の交換を行うことにより、安全性が向上する。
【0048】
また、CCV共有部110、210は、各種交換を行った後、ユーザID、サーバID、およびサービスチケットに含まれコンテンツを識別するコンテンツID、共有された乱数要素に基づいて、CCVを生成し互いに共有する。これらのIDに加え、コンテンツを利用するための権利情報を含むサービスチケットにも基づいてCCVを生成してもよい。具体的には、CCVは、CCV共有部110、210が上記の各種ID、乱数要素のハッシュ値を計算することで作成される。また、これらの情報にトークンおよびチケットをも含めてハッシュ値を計算することでCCVの作成を行ってもよい。ハッシュ値の生成にはSHA-1などの方式を利用することが可能である。
【0049】
CCV設定部120は、監視部130、解析部140、制御部150の各機能にCCVを設定する。具体的には、CCV設定部120がCCVを保持し、各部130、140、150が適宜CCVを参照可能な状態とする。もしくは、各部130、140、150を記録するメモリ中にCCVが保持され、適宜CCVを参照可能な状態とする。尚、CCV設定部120は「保証情報保持部」としての機能を有する。
【0050】
監視部130は、クライアント端末100の状況を示すコンテキストを計測し、対応するトークンを解析部140へ出力する。この際、トークンへCCVを埋め込む。コンテキストの計測は、例えばコンテキストとしてクライアント端末100の位置情報を含む場合、GPS(Global Positioning System)の電波を取得することで実現できる。また、例えばコンテキストとしてクライアント端末100の温度情報を含む場合、温度センサにより取得することが可能である。また、例えばコンテキストとしてクライアント端末100の残高情報を含む場合、クライアント端末100にFelica(登録商標)を搭載することで取得可能である。
また、監視部130はコンテキストを定期的に計測しており、計測結果に対応するトークンを制御部150へ出力する。
【0051】
解析部140は、サービスチケット、トークンなどの解析および検証を行い、その結果を制御情報として制御部150へ出力する。具体的には、解析部140は、解析部140に入力される情報に含まれるCCVが解析部140が参照するCCVと一致しているか否かを判定し、一致する場合には制御情報を出力する。この際、制御情報へCCVを埋め込む。
【0052】
制御部150は、CCVを含む制御情報に従い、コンテンツの要求、コンテンツの実行の開始、中断、再開、停止などの処理を行うように制御する。具体的には、制御部150は、制御部150に入力される情報に含まれるCCVが制御部150が参照するCCVと一致しているか否かを判定し、一致する場合には特定の制御を行う。
【0053】
CCV設定部220は、監視部230、解析部240、制御部250の各機能にCCVを設定する。具体的には、CCV設定部220がCCVを保持し、各部230、240、250が適宜CCVを参照可能な状態とする。もしくは、各部230、240、250を記録するメモリ中にCCVが保持され、適宜CCVを参照可能な状態とする。尚、CCV設定部220は「保証情報設定部」としての機能を有する。
【0054】
監視部230は、クライアント端末100の状況を示すコンテキスト、コンテンツ配信サーバ200の状況を示すコンテキストを計測し、対応するトークンを解析部240へ出力する。この際、トークンへCCVを埋め込む。クライアント端末100のコンテキストの計測は、例えばコンテキストとしてクライアント端末100の位置情報を含む場合、GPSの電波を取得すること、基地局のようにクライアント端末100の位置情報をチェックすることで取得すること、もしくはこれらを併用することで実現可能である。また、例えばコンテキストとしてクライアント端末100の温度情報を含む場合、センサネットワークによりクライアント端末100の周辺に配置されたセンサから取得することで実現可能である。また、例えばコンテキストとしてクライアント端末100の残高情報を含む場合、クライアント端末100にFelica(登録商標)などを搭載することで、ネットワーク経由で取得することで実現可能である。また、コンテンツ配信サーバ200の状況を示すコンテキストは、例えば位置情報を含む場合、GPSの電波を取得することで実現可能である。コンテンツ配信サーバ200のコンテキストは、例えばご当地コンテンツの配信先の確認などに利用される。
【0055】
解析部240は、サービスチケット、トークンの解析および検証を行い、その結果に基づいて制御情報として制御部150へ出力する。具体的には、解析部140は、解析部140に入力される情報に含まれるCCVが解析部140が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には制御情報を出力する。この際、制御情報へCCVを埋め込む。尚、解析部240は、「受信部」としての機能を有する。
【0056】
尚、解析部240に入力される情報の1つとしてトークンがあり、このトークンとしてクライアント端末100から送信されるトークンと監視部230によって計測されるコンテキストに対応するトークンがあるが、これらのトークンのうち少なくとも1つが解析部に入力される。
【0057】
制御部250は、CCVを含む制御情報に従い、コンテンツの提供処理を行うように制御する。具体的には、制御部150は、制御部250に入力される情報に含まれるCCVが制御部250が参照するCCVと一致しているか否かを判定し、一致する場合にはコンテンツの配信処理を行うよう制御する。配信コンテンツは、コンテンツを蓄積する外部のコンテンツ蓄積サーバより取得してもよいし、コンテンツ配信サーバ200内にあらかじめ保持しておいてもよい。尚、配信コンテンツへCCVを埋め込む。
【0058】
次に、コンテンツ配信システム1000において用いられる各データのデータ構成について説明する。
【0059】
トークンは、クライアント端末100に関する様々な状況情報(例えば、クライアント端末100の位置情報、加速度情報、時刻情報、残高情報など)およびCCVを有する。
【0060】
クライアント端末100を有しコンテンツを利用するユーザの識別情報を示すプロファイルは、ユーザ情報(例えばユーザのID、属性、会員情報など)を有する。
【0061】
サービスチケットは、コンテンツに関するコンテンツ情報(例えば、コンテンツの種別、コンテンツのID、コンテンツの提供を行うコンテンツ配信サーバ200のサーバIDなど)、本サービスチケットを利用可能な権利者情報(例えば、コンテンツを利用可能なユーザのIDや属性、コンテンツを利用するユーザの優先度など)、本サービスチケットに関する制限事項(本サービスチケットの有効期限や利用可能回数、利用料金など)、本サービスチケットを利用可能な状況条件(位置条件、加速度条件、時刻条件、残高条件など)、およびCCVを有する。尚、CCVはチケット発行サーバ300によるサービスチケット発行時からサービスチケットに含まれているものではなく、解析部140によって設定される。
なお、CCVを含む各種データを一般的な技術であるディジタル署名の付加や暗号化などにより保護することでより安全性を強化することが可能であるが、説明を簡単にするために詳細については省略する。
【0062】
次に、クライアント端末100およびコンテンツ配信サーバ200の動作について説明する。まず、クライアント端末100がコンテンツの配信を要求する場合の動作について説明する。
【0063】
チケット取得部105は、所定のサービスチケットをチケット発行サーバ300から取得し保持する。そして、CCV共有部110が、コンテンツ配信サーバ200との間で相互認証処理等を実施後、CCVを生成し共有する。サービスチケットの状況条件は、例えば「ユーザの住所Aで毎日17:00以降利用可能」などの条件である。CCV共有後、CCV設定部120は監視部130、解析部140、制御部150にCCVを設定する。この設定により、各部130、140、150は、サービスチケット取得時点におけるCCVを保持する。
【0064】
CCVが各部130、140、150へ設定されると、監視部130はクライアント端末100の状況を示すコンテキストを計測し、対応するトークンを生成し解析部140へ出力する。この際、監視部130はトークンへCCVを埋め込む。
【0065】
解析部140は、監視部130からのトークンを受け取ると、トークンに含まれるCCVと解析部140が参照するCCVとの比較およびトークンに含まれる状況情報とチケット取得部105が取得したサービスチケットに含まれる状況条件との比較を行い、それぞれ両者が一致した場合には、サービスチケットにCCVを埋め込んだ制御情報を生成し制御部150へ出力する。
【0066】
制御部150は、解析部140からの制御情報を受け取ると、制御情報に含まれるCCVと制御部150が参照するCCVとの比較を行い、両者が一致した場合には、コンテンツの配信を受けるためのコンテンツ配信要求として、CCVを含むトークンおよびCCVを含むサービスチケットをコンテンツ配信サーバ200へ送信する。
【0067】
このようなCCVを用いたコンテンツ配信要求を行うことにより、例えば予めクライアント端末100がIDを備える場合やコンテンツ配信サーバ200がクライアント端末100に対してIDを設定する場合と比較すると、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、例えば制御部150においてのみIDを用いたアクセス制御を行う場合と異なり、監視部130、解析部140、制御部150の機能すべてにおいてチェックを行っているため、コンテキスト計測時やチケット解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0068】
次に、コンテンツ配信サーバ200がコンテンツの配信を行う場合の動作について説明する。
【0069】
CCV共有部210は、クライアント端末200との間で相互認証処理等を実施後、CCVを生成し共有する。CCV共有後、CCV設定部220は監視部230、解析部240、制御部250にCCVを設定する。この設定により、各部230、240、250は、サービスチケット取得時点におけるCCVを保持する。
【0070】
CCVが各部230、240、250へ設定されると、監視部230はクライアント端末200の状況を示すコンテキストを計測し、対応するトークンを生成し制御部250へ出力する。また、このトークンを解析部240へ出力してもよい。この際、監視部230はトークンへCCVを埋め込む。
【0071】
解析部240は、クライアント端末100から送信されるトークンおよびサービスチケットを受信すると、解析部240に入力されるサービスチケットに含まれるCCVおよびトークンに含まれるCCVが解析部240が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には、サービスチケットにCCVを埋め込んだ制御情報を制御部250へ出力する。また、判定を行うトークンとして、監視部230からのトークンを使用することもできる。また、制御情報にトークンを含ませるか、トークンを監視部から直接、制御部へ入力することもできる。
【0072】
制御部250は、監視機能230からのトークンおよび解析部240からの制御情報を受け取ると、トークンに含まれるCCVおよび制御情報に含まれるCCVが制御部250が参照するCCVと一致しているか否かを判定し、一致する場合には、サービスチケットにて指定されたコンテンツにCCVを埋め込み、CCVを含むコンテンツ配信サーバ200の状況に関するコンテキストに対応するトークンおよびCCVを含むコンテンツをクライアント端末100へ送信する。尚、コンテンツを一般的な暗号化方法により暗号化することで、コンテンツ配信における安全性を向上させることが可能である。コンテンツに含まれるトークンは、事前にサーバの正しいトークンを取得しておき、そのトークンと比較する。正しいトークンはサービスチケットの発行者の有するチケット発行サーバ300から取得する。この比較により、例えばフィッシング詐欺を防止することが可能である。また、コンテンツ配信サーバ200の状況に関するコンテキストに対応するトークンを送信することで、サービスチケットに記載された以外の使用状況(コンテキスト)をコンテンツ配信サーバ200が指定することが可能となる。さらに、クライアント端末100においてコンテンツ配信サーバ200の状況に関するコンテキストを検証することが可能となるため、セキュリティの向上を図ることができる。
【0073】
このようなCCVを用いたコンテンツ配信を行うことにより、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、監視部230、解析部240、制御部250の機能すべてにおいてチェックを行っているため、コンテキスト計測時やトークンおよびサービスチケット解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0074】
次に、クライアント端末100がコンテンツの実行制御を行う場合の動作について説明する。
【0075】
解析部140は、コンテンツ配信サーバ200から送信されるCCVを含むトークンおよびCCVを含むコンテンツを受信すると、コンテンツ受信時における監視部130からのトークンに含まれるCCVが解析部140が参照するCCVと一致しているか否かを判定する。CCVが一致していると判定された場合には、解析部140は、コンテンツ受信時における監視部130からのトークンに含まれる状況情報とチケット保持部105が保持するサービスチケットの状況条件とが一致しているか否かを判定し、状況情報と状況条件とが一致する場合には、コンテンツおよびトークンを含む情報にCCVを埋め込んだコンテンツの実行を指示するための制御情報を制御部150へ出力する。また、状況情報と状況条件とが一致しない場合には、解析部140は、コンテンツおよびトークンを含む情報にCCVを埋め込んだコンテンツの実行をさせないための制御信号を制御部150へ出力する。
【0076】
制御部150は、解析部140からの制御情報を受け取ると、制御情報に含まれるCCVが制御部150が参照するCCVと一致しているか否かを判定する。両者が一致する場合には、制御情報に基づいてコンテンツの実行制御を行う。つまり、コンテンツの実行を行うよう制御情報によって指示された場合は、制御部150はコンテンツを利用可能状態としてコンテンツを実行するアプリケーションへ送信する。また、コンテンツの実行をしないよう制御情報によって指示された場合は、制御部150はコンテンツの実行を行わないようにアプリケーションに指示する。したがって、コンテンツの実行をさせないよう指示する制御情報を受け取った場合、その時点においてすでにコンテンツの実行を行っていた場合には、制御部150はコンテンツの実行を中断させることができる。また、コンテンツの実行を行うよう指示する制御情報を受け取った場合、その時点においてコンテンツの実行を中断させていた場合には、制御部150はコンテンツの実行を再開させることができる。これにより、アプリケーションによるコンテンツの実行、中断、再開が可能となる。尚、制御部150は制御情報に含まれるトークンを一時的に保持することができる。
【0077】
また、アプリケーションによるコンテンツ実行中においても、監視部130はコンテキストの計測を定期的に実施しており、計測結果に対応するトークンにCCVを埋め込み、トークンを制御部150へ出力している。例えば、第3者によるなりすましによって監視部130が計測するコンテキストが変化した場合には、その計測結果に対応するトークンも以前と異なるものとなるため、制御部150が一時保持しているトークンと監視部が計測したコンテキストに対応するトークンが一致しない。このようにトークンが一致しない場合には、制御部150がコンテンツの実行を禁止する実行禁止情報をアプリケーションへ送信する。これにより、監視部130によるコンテキストの計測結果に基づいて、アプリケーションによるコンテンツ実行を禁止することが可能である。
【0078】
このようなCCVを用いたコンテンツ実行を行うことにより、CCVはクライアント端末100およびコンテンツ配信サーバ200が協調してコンテンツなどのサービス毎に動的に生成されるため、予めCCVを予想することが困難となり、安全性が飛躍的に向上する。また、監視部130、解析部140、制御部150の機能すべてにおいてチェックを行っているため、コンテキスト計測時やトークンおよびコンテンツ解析時における外部要因による異常に対しても定常的に安全を保証することができる。
【0079】
このようなコンテンツ配信システム1000によれば、CCVを一度共有した後に、第3者がなりすましたり、第3者のコンテキスト情報を外部から与えたり、制御機能を他の機能に入れ換えたりすると、CCVが一致しなくなり、いずれかの部位で異常を検出することができるので、コンテキスト対象者と、サービス権利者と、サービス利用者の一致を確実に実現することが可能である。
【0080】
(第2の実施形態)
まず、本実施形態におけるコンテンツ配信システム2000の構成について説明する。図2はコンテンツ配信システム2000の構成の一例を示す図である。コンテンツ配信システム1000の構成部と同一の機能である構成部には同一の符号を付し、説明を省略する。
【0081】
コンテンツ配信システム2000は、コンテンツを利用可能なクライアント端末400、コンテンツを提供可能なコンテンツ配信サーバ500、およびチケット発行サーバ300を有する。尚、コンテンツ配信システム2000は「サービス提供システム」の一例である。コンテンツ配信サーバは「サービス提供サーバ」の一例である。
【0082】
クライアント端末400は、チケット取得部105、CCV共有部110、CCV設定部120、監視部130、解析部440、制御部450を有する。また、コンテンツ提供サーバ500は、CCV共有部110、CCV設定部220、監視部230、解析部540、および制御部550を有する。
【0083】
解析部440は、解析部140が有する機能に加え、暗号化部552によって暗号化されたヘッダが付加された暗号コンテンツを受信し、所定の条件を満たした場合に、暗号化ヘッダが付加された暗号コンテンツを含み復号化を指示するための制御情報を生成する。この際、制御情報へCCVを埋め込む。
【0084】
制御部450は、制御部150が有する機能に加え、ユーザ認証のための署名を行う署名部451およびヘッダと暗号化コンテンツを復号可能な復号化部452を有する。
【0085】
署名部451は、監視部130からのトークンと解析部440を経由して取得されたサービスチケットの連接情報のハッシュ値を計算し、計算結果を認証情報として生成する。認証情報により、クライアント端末400を所有するユーザからのコンテンツ要求であることをコンテンツ配信サーバ500に知らせることができる。尚、署名部451は「認証部」としての機能を有する。
【0086】
復号化部452は、コンテンツ配信サーバ500から配信される暗号コンテンツに付加されるヘッダを復号化部452が有する固有の秘密鍵またはこれに対応する公開鍵で復号化し、ヘッダを復号化して得たヘッダに含まれるトークンと制御情報に含まれるトークンとが同一であり、さらに、制御部450が参照するCCVとヘッダに含まれるトークンに含まれるCCVとが同一である場合のみ、ヘッダに含まれる復号鍵を利用して暗号化コンテンツを復号する。復号鍵として、コンテンツ配信サーバ500との共有鍵を用いる。これにより、さらに安全性が向上する。復号化部452は固有の秘密鍵またはこれに対応する公開鍵、復号鍵を保持している。尚、復号化部452は「鍵保持部」の機能を有している。
【0087】
解析部540は、解析部240が有する機能に加え、認証情報を受信し、所定の条件を満たす場合には、認証情報を含み制御部550へ暗号化を指示するための制御情報を生成する。この際、制御情報へCCVを埋め込む。尚、解析部540は「受信部」としての機能を有する。
【0088】
制御部550は、制御部250が有する機能に加え、クライアント端末400から送信される認証情報の検証を行う検証部551および配信を行うコンテンツおよびヘッダの暗号化を行う暗号化部552を有する。
【0089】
検証部551は、クライアント端末400から送信される署名に含まれるトークンおよびサービスチケットの連接情報からハッシュ値を計算し、計算結果を検証情報として生成する。そして、クライアント端末400から送信される認証情報と検証情報が一致する場合に、正当なユーザからのコンテンツ要求であるものと判断する。
【0090】
暗号化部552は、配信対象のコンテンツを復号鍵で暗号化し暗号化コンテンツを生成する。また、暗号化部552は、暗号化コンテンツの配信時に、暗号化コンテンツに添付するヘッダ(後述する図3参照)を復号化部452が有する固有の秘密鍵またはこれに対応する公開鍵で暗号化する。これにより、コンテキストに依存して処理負荷が増加することを防止できる。また、ヘッダを暗号化する回数が1回で済み、処理負荷が軽減される。また、ヘッダはコンテキストに依存しない鍵によって暗号化されるため、鍵を推測される危険性が低減される。暗号化部552は固有の秘密鍵またはこれに対応する公開鍵、復号鍵を保持している。尚、暗号化部552は「鍵保持部」としての機能を有する。
【0091】
次に、制御部550がコンテンツの配信を行う際に暗号化コンテンツに付加されるヘッダの構成について説明する。図3はヘッダのデータ構成の一例を示した図である。ヘッダは柔軟に構成させることが可能である。
【0092】
図3(a)に示すように、ヘッダ600は、CCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601と暗号化コンテンツの復号化するための復号鍵602を有する。ヘッダ600により、暗号化コンテンツの復号鍵とともに解析が困難なトークンを暗号化して送付することで、より安全なコンテンツ配信を行うことが可能である。
【0093】
また、図3(b)に示すように、ヘッダ610は、コンテンツの第1部分に対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601A、コンテンツの第2部分に対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601B、コンテンツの第1部分を復号化するための復号鍵602A、コンテンツの第2部分を復号化するための復号鍵602Bを有する。ヘッダ610により、コンテンツが第1部分、第2部分を有する場合には、それぞれに対応する復号鍵、トークンを使用できるため、利便性が向上する。尚、ヘッダに含ませる復号鍵およびトークンの数は2つでなくてもよい。
【0094】
また、図3(c)に示すように、ヘッダ620は、トークン601A、トークン601B、およびコンテンツの第1部分、第2部分のいずれも復号化をするための復号鍵602Cを有する。ヘッダ620により、コンテンツの第1部分、第2部分に対して複合鍵を共通して用いることができ、処理負荷を軽減できる。尚、第1部分、第2部分は例えば第1章、第2章として分けられるなど、様々な条件で分けられる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0095】
また、図3(d)に示すように、ヘッダ630は、コンテンツの第1部分、第2部分のいずれにも対応するCCVを含むクライアント端末400の状況に関するコンテキストに対応するトークン601C、復号鍵602A、602Bを有する。ヘッダ630により、コンテンツの第1部分、第2部分に対してトークンを共通して用いることができ、処理負荷を軽減できる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0096】
また、図3(e)に示すように、ヘッダ640は、トークン601、復号鍵602、サービスチケット603を有する。ヘッダ640により、例えば継続するコンテンツを配信する場合において、この配信において第1部分のコンテンツを配信し、次の配信において第2部分のコンテンツを配信することができる。尚、ヘッダに含ませる復号鍵およびトークンの数はこれに限られない。
【0097】
また、図3(f)に示すように、ヘッダ650は、トークン601、復号鍵602、ヘッダ604を有する。ヘッダ604は、例えばヘッダ600〜650のヘッダである。ヘッダ640により、ヘッダを入れ子構造として復号順序を指定することが可能である。
【0098】
次に、クライアント端末400およびコンテンツ配信サーバ500の動作について説明する。まず、クライアント端末400がコンテンツの配信を要求する場合の動作について説明する。
【0099】
次に、クライアント端末400およびコンテンツ配信サーバ500の動作について説明する。まず、クライアント端末400がコンテンツの配信を要求する場合の動作について説明する。尚、クライアント端末100がコンテンツの配信を要求する場合の動作と同様の処理については、説明を省略する。
【0100】
まず、チケット取得部105によるサービスチケットの取得から解析部440による制御情報の生成、出力については、クライアント端末100と同様の処理を行う。
【0101】
制御部450は、解析部440からの制御情報を受け取ると、制御情報に含まれるCCVと制御部450が参照するCCVとの比較を行う。両者が一致した場合には、署名部451は、制御情報に含まれるサービスチケットと監視部130からのトークンとの連接情報のハッシュ値を計算し、計算結果を認証情報として生成する。そして、制御部450は、CCVを含むトークン、CCVを含むサービスチケット、および認証情報をコンテンツ配信サーバ500へ送信する。
【0102】
このような認証処理を用いたコンテンツ配信要求を行うことにより、コンテンツなどのサービスを受けるべきユーザを確実にサーバ側へ知らせることが可能となり、コンテンツ要求時の安全性が一層向上する。
【0103】
次に、コンテンツ配信サーバ500がコンテンツの配信を行う場合の動作について説明する。
【0104】
まず、CCV共有部210によるCCVの共有から監視部230によるトークンの生成、出力については、コンテンツ配信サーバ200と同様の処理を行う。
【0105】
解析部540は、クライアント端末100から送信されるCCVを含むトークン、CCVを含むサービスチケット、および認証情報を受信すると、サービスチケットに含まれるCCVとトークンに含まれるCCVが解析部540が参照するCCVと一致しているか否か、かつ、サービスチケットに含まれる状況条件とトークンに含まれる状況情報が一致するか否かを判定し、一致する場合には、認証情報およびサービスチケットにCCVを含めた暗号化を指示するための制御情報を制御部550に出力する。また、判定を行うトークンとして、監視部230からのトークンを使用することもできる。また、制御情報にはトークンを含ませることもできる。
【0106】
制御部550は、監視部230からのCCVを含むトークンおよび解析部540からのCCVを含む制御情報を受け取ると、トークンに含まれるCCVおよび制御情報に含まれるCCVが制御部550が参照するCCVと一致しているか否かを判定する。
【0107】
CCVが一致している場合には、検証部551は、トークンと制御情報に含まれるサービスチケットの連接情報からハッシュ値を計算し、計算結果として検証情報を生成する。そして、検証部551は、制御情報に含まれる認証情報および検証情報が一致しているか否かを判定する。
【0108】
両者が一致している場合には、制御部550は、サービスチケットにて指定されたコンテンツを取得する。そして、暗号化部552は、コンテンツを復号鍵で暗号化し、さらに、CCVを含むクライアント端末400の状況に関するコンテキストに対応するトークンと復号鍵を含むヘッダを固有の秘密鍵またはこれに対応する公開鍵で暗号化し、暗号化したヘッダを暗号化したコンテンツに付加する。そして、制御部550は、CCVを含むトークンおよび暗号化されたヘッダが付加された暗号コンテンツをクライアント端末400へ送信する。
【0109】
このような検証処理、暗号化処理を行うコンテンツ配信を行うことにより、確実にコンテンツの配信対象であるユーザを認証することが可能であり、さらにコンテンツ配信時にCCVを伴う暗号化を実施することにより、コンテンツ配信時の安全性が一層向上する。
【0110】
次に、クライアント端末400がコンテンツの実行制御を行う場合の動作について説明する。
【0111】
解析部440は、コンテンツ配信サーバ500から送信されるCCVを含むトークンおよび復号鍵およびトークンを含む暗号化されたヘッダが付加された暗号コンテンツを受信すると、受信時における監視部130からのトークンに含まれるCCVが解析部440が参照するCCVと一致しているか否かを判定する。さらにCCVが一致していると判定された場合には、監視部440は、受信時における監視部130からのトークンに含まれる状況情報とチケット保持部105が保持するサービスチケットの状況条件とが一致しているか否かを判定する。両者が一致する場合には、暗号化ヘッダが付加された暗号コンテンツおよびトークンにCCVを埋め込んだ復号化の指示および実行制御を行うための制御情報を制御部450へ出力する。
【0112】
制御部450は、制御部550からの制御情報を受け取ると、制御情報に含まれるCCVが制御部450が参照するCCVと一致しているか否かを判定する。CCVが一致している場合には、復号化部452は、暗号化ヘッダを固有の秘密鍵またはこれに対応する公開鍵で復号化する。そして、制御部450は、復号化されたヘッダに含まれるトークンと監視部130からのトークンとが一定しているか否かを判定する。両者が一致している場合には、復号化部452は、ヘッダに含まれる復号鍵を用いて暗号コンテンツを復号化する。そして、制御部450は、制御情報に指定された実行制御方法(再生、中断等)により、復号化されたコンテンツを実行制御する。例えば、制御情報によってコンテンツの実行を指示された場合、復号化されたコンテンツを利用可能状態としてコンテンツを実行するアプリケーションへ送信する。
【0113】
尚、安全性の観点から署名処理、復号処理を行う機能は耐タンパモジュールとして実装することが望ましい。例えば、専用のHWを用意するか、UIMカードを利用することが考えられる。このとき、ヘッダの復号や署名の生成に利用するクライアント端末の秘密鍵も、耐タンパモジュール内のセキュアメモリに保存するべきである。
【0114】
本来は、制御部450自体を耐タンパモジュールとして実装することが望ましいが、コスト面から署名/復号の暗号機能のみを耐タンパモジュール化することになると考えられる。そのため、制御部450の改ざんを検出するために上記耐タンパモジュールに改ざん検出部を実装しておき、暗号機能の利用前に前記改ざん検出部により制御部450に改ざんがないことを確認する方法が考えられる。
【0115】
また、CCV共有部110、CCV設定部120、解析部440、監視部130についても、改ざん検出の対象とするとより安全性が高まる。特にCCVの比較/埋め込みの処理を対象とすると効果が高い。
【0116】
尚、制御部450は、制御部150と同様の機能により、アプリケーションがコンテンツ実行の中断、再開、禁止を行うように制御することも可能である。
【0117】
このような復号化処理を用いたコンテンツ実行を行うことにより、CCVを伴う暗号コンテンツをコンテンツの配信対象とすべきユーザのみが実行可能であり、他のユーザによるコンテンツの実行は不可能となるため、コンテンツ実行時の安全性は一層向上する。
【0118】
このようなコンテンツ配信システム2000によれば、解析困難なCCVと併用して、コンテンツなどのサービスを受けるべきユーザを確実に認証するための認証処理やユーザの検証処理、より安全にコンテンツの配信を行うための暗号化処理や復号化処理を実施することで、コンテンツなどのサービスの要求、提供、利用に際して、より確実に定常的な安全を保証することができる。
【産業上の利用可能性】
【0119】
本発明は、定常的に安全なサービスの要求や提供や利用を実現することが可能なクライアント端末、サービス提供サーバ、サービス提供システム等に有用である。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施形態におけるコンテンツ配信システムの構成の一例を示すブロック図である。
【図2】本発明の第2の実施形態におけるコンテンツ配信システムの構成の一例を示すブロック図である。
【図3】本発明の第2の実施形態におけるヘッダのデータ構成の一例を示す図である。
【符号の説明】
【0121】
1000、2000 コンテンツ配信システム
100、400 クライアント端末
105 チケット取得部
110、210 CCV共有部
120、220 CCV設定部
130、230 監視部
140、240、440、540 解析部
150、250、450、550 制御部
200、500 コンテンツ配信サーバ
300 チケット発行サーバ
451 署名部
452 復号化部
551 検証部
552 暗号化部
600、610、620、630、640、650 ヘッダ
601、601A、601B、601C トークン
602、602A、602B、602C 復号鍵
603 サービスチケット
604 ヘッダ
【特許請求の範囲】
【請求項1】
サービスを提供するサービス提供サーバからサービスを提供されるクライアント端末であって、
前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、および前記サービスを提供可能な状況条件に関する状況条件情報を含むサービス情報を保持するサービス情報保持部と、
前記サービス識別情報、前記提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、
前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、
当該クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報を生成する監視部と、
前記保証情報保持部によって保持された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成する解析部と、
前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行う制御部と、
を有するクライアント端末。
【請求項2】
請求項1に記載のクライアント端末であって、
前記解析部は、前記端末状況情報および前記サービス情報に前記保証情報を含ませたサービス要求情報を含む前記制御情報を生成し、
前記制御部は、前記保証情報保持部によって保持された保持している保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報を送信するクライアント端末。
【請求項3】
請求項2に記載のクライアント端末であって、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を認証するための認証情報を生成する認証部を有し、前記端末状況情報、前記サービス要求情報、及び前記認証情報を送信するクライアント端末。
【請求項4】
請求項1ないし3のいずれか1項に記載のクライアント端末であって、
前記サービス要求情報に対応する前記保証情報を含むサービスを受信する受信部を有し、
前記解析部は、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービスを含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記制御情報に従って前記サービスを実行制御するクライアント端末。
【請求項5】
請求項4に記載のクライアント端末であって、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが異なる場合、前記サービスの実行を禁止するように制御するクライアント端末。
【請求項6】
請求項4に記載のクライアント端末であって、
前記制御部は、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一でない判定結果を含む制御情報が出力された場合、前記サービスの実行を中断するように制御するクライアント端末。
【請求項7】
請求項6に記載のクライアント端末であって、
前記制御部は、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一である判定結果を含む制御情報が再び出力された場合、前記サービスの実行を再開するように制御するクライアント端末。
【請求項8】
請求項3に記載のクライアント端末であって、
前記サービス提供サーバおよび当該クライアント端末の間の通信に用いられる秘密鍵または前記秘密鍵に対応する公開鍵のいずれかを保持する鍵保持部を有し、
前記受信部は、前記共有鍵で暗号化されたサービスと前記秘密鍵または前記公開鍵のいずれかで暗号化された前記共有鍵および前記端末状況情報を含むサービス付加情報とを受信し、
前記解析部は、前記判定結果を示し前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記秘密鍵または前記公開鍵のいずれかで前記制御情報に含まれる暗号化されたサービス付加情報を復号化し、前記サービス付加情報に含まれる端末状況情報と前記監視部によって生成された端末状況情報とが同一である場合、前記サービス付加情報に含まれる共有鍵で前記暗号化されたサービスを復号化する復号化部を有し、前記制御情報に従って前記サービスを実行制御するクライアント端末。
【請求項9】
請求項1ないし8のいずれか1項に記載のクライアント端末であって、
前記保証情報の生成に利用する乱数を含む情報が、前記コンテンツ配信サーバと当該クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報であるクライアント端末。
【請求項10】
サービスを提供可能なサービス提供サーバであって、
当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、
前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信部と、
前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、
前記保証情報保持部によって保持された保証情報と前記受信部によって受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、受信部によって受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成する解析部と、
前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信する制御部と、
を有するサービス提供サーバ。
【請求項11】
請求項10に記載のサービス提供サーバであって、
前記クライアント端末またはサービス提供サーバの状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報またはサーバ状況情報を生成する監視部を有するサービス提供サーバ。
【請求項12】
請求項10または11に記載のサービス提供サーバであって、
前記受信部は、更に、前記サービスの提供対象を認証するための認証情報を受信し、
前記解析部は、前記判定結果を示し前記認証情報および前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を検証するための検証情報を生成し、前記認証情報と前記検証情報とが同一である場合、前記認証情報の送信元が前記サービスの提供対象であると判定する検証部を有するサービス提供サーバ。
【請求項13】
請求項10ないし12のいずれか1項に記載のサービス提供サーバであって、
当該サービス提供サーバおよび前記クライアント端末の間の通信に用いられる共有鍵と秘密鍵または前記秘密鍵に対応する公開鍵のいずれかとを保持する鍵保持部を有し、
前記制御部は、前記サービス要求情報によって指定されるサービスを前記共有鍵で暗号化し、前記共有鍵および前記端末状況情報を含むサービス付加情報を前記秘密鍵または前記公開鍵のいずれかで暗号化する暗号化部を有し、前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を送信するサービス提供サーバ。
【請求項14】
請求項10ないし13のいずれか1項に記載のサービス提供サーバであって、
前記保証情報の生成に利用する乱数を含む情報が、当該コンテンツ配信サーバと前記クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報であるサービス提供サーバ。
【請求項15】
請求項4ないし9に記載の1つ以上のクライアント端末と、
請求項10ないし14に記載のサービス提供サーバと
を有するサービス提供システム。
【請求項16】
クライアント端末がサービスを提供するサービス提供サーバから提供されるサービスに関する制御を行うための制御方法であって、
前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、
前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報生成ステップにおいて生成された保証情報とを含む端末状況情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービスを提供可能な状況条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行うステップと
を有する制御方法。
【請求項17】
サービスを提供可能なサービス提供サーバが前記サービスを提供するサービス提供方法であって、
当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、
前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信ステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記受信ステップにおいて受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、前記受信ステップにおいて受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信するステップと、
を有するサービス提供方法。
【請求項1】
サービスを提供するサービス提供サーバからサービスを提供されるクライアント端末であって、
前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、および前記サービスを提供可能な状況条件に関する状況条件情報を含むサービス情報を保持するサービス情報保持部と、
前記サービス識別情報、前記提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、
前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、
当該クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報を生成する監視部と、
前記保証情報保持部によって保持された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成する解析部と、
前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行う制御部と、
を有するクライアント端末。
【請求項2】
請求項1に記載のクライアント端末であって、
前記解析部は、前記端末状況情報および前記サービス情報に前記保証情報を含ませたサービス要求情報を含む前記制御情報を生成し、
前記制御部は、前記保証情報保持部によって保持された保持している保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報を送信するクライアント端末。
【請求項3】
請求項2に記載のクライアント端末であって、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を認証するための認証情報を生成する認証部を有し、前記端末状況情報、前記サービス要求情報、及び前記認証情報を送信するクライアント端末。
【請求項4】
請求項1ないし3のいずれか1項に記載のクライアント端末であって、
前記サービス要求情報に対応する前記保証情報を含むサービスを受信する受信部を有し、
前記解析部は、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービスを含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記制御情報に従って前記サービスを実行制御するクライアント端末。
【請求項5】
請求項4に記載のクライアント端末であって、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記監視部によって生成された端末状況情報に含まれる保証情報とが異なる場合、前記サービスの実行を禁止するように制御するクライアント端末。
【請求項6】
請求項4に記載のクライアント端末であって、
前記制御部は、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一でない判定結果を含む制御情報が出力された場合、前記サービスの実行を中断するように制御するクライアント端末。
【請求項7】
請求項6に記載のクライアント端末であって、
前記制御部は、前記解析部において前記端末状況情報に含まれる監視情報と前記サービス情報に含まれる状況条件情報が同一である判定結果を含む制御情報が再び出力された場合、前記サービスの実行を再開するように制御するクライアント端末。
【請求項8】
請求項3に記載のクライアント端末であって、
前記サービス提供サーバおよび当該クライアント端末の間の通信に用いられる秘密鍵または前記秘密鍵に対応する公開鍵のいずれかを保持する鍵保持部を有し、
前記受信部は、前記共有鍵で暗号化されたサービスと前記秘密鍵または前記公開鍵のいずれかで暗号化された前記共有鍵および前記端末状況情報を含むサービス付加情報とを受信し、
前記解析部は、前記判定結果を示し前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記秘密鍵または前記公開鍵のいずれかで前記制御情報に含まれる暗号化されたサービス付加情報を復号化し、前記サービス付加情報に含まれる端末状況情報と前記監視部によって生成された端末状況情報とが同一である場合、前記サービス付加情報に含まれる共有鍵で前記暗号化されたサービスを復号化する復号化部を有し、前記制御情報に従って前記サービスを実行制御するクライアント端末。
【請求項9】
請求項1ないし8のいずれか1項に記載のクライアント端末であって、
前記保証情報の生成に利用する乱数を含む情報が、前記コンテンツ配信サーバと当該クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報であるクライアント端末。
【請求項10】
サービスを提供可能なサービス提供サーバであって、
当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成部と、
前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信部と、
前記保証情報生成部によって生成された保証情報を保持する保証情報保持部と、
前記保証情報保持部によって保持された保証情報と前記受信部によって受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、受信部によって受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成する解析部と、
前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信する制御部と、
を有するサービス提供サーバ。
【請求項11】
請求項10に記載のサービス提供サーバであって、
前記クライアント端末またはサービス提供サーバの状況を監視し、監視結果を示す監視情報と前記保証情報保持部によって保持された保証情報とを含む端末状況情報またはサーバ状況情報を生成する監視部を有するサービス提供サーバ。
【請求項12】
請求項10または11に記載のサービス提供サーバであって、
前記受信部は、更に、前記サービスの提供対象を認証するための認証情報を受信し、
前記解析部は、前記判定結果を示し前記認証情報および前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成し、
前記制御部は、前記保証情報保持部によって保持された保証情報と前記制御情報に含まれる保証情報とが同一である場合、前記端末状況情報および前記サービス要求情報に基づいて前記サービスの提供対象を検証するための検証情報を生成し、前記認証情報と前記検証情報とが同一である場合、前記認証情報の送信元が前記サービスの提供対象であると判定する検証部を有するサービス提供サーバ。
【請求項13】
請求項10ないし12のいずれか1項に記載のサービス提供サーバであって、
当該サービス提供サーバおよび前記クライアント端末の間の通信に用いられる共有鍵と秘密鍵または前記秘密鍵に対応する公開鍵のいずれかとを保持する鍵保持部を有し、
前記制御部は、前記サービス要求情報によって指定されるサービスを前記共有鍵で暗号化し、前記共有鍵および前記端末状況情報を含むサービス付加情報を前記秘密鍵または前記公開鍵のいずれかで暗号化する暗号化部を有し、前記暗号化されたサービスおよび前記暗号化されたサービス付加情報を送信するサービス提供サーバ。
【請求項14】
請求項10ないし13のいずれか1項に記載のサービス提供サーバであって、
前記保証情報の生成に利用する乱数を含む情報が、当該コンテンツ配信サーバと前記クライアント端末との間で保証情報の共有に先立ち実施された相手認証、鍵共有において利用された情報であるサービス提供サーバ。
【請求項15】
請求項4ないし9に記載の1つ以上のクライアント端末と、
請求項10ないし14に記載のサービス提供サーバと
を有するサービス提供システム。
【請求項16】
クライアント端末がサービスを提供するサービス提供サーバから提供されるサービスに関する制御を行うための制御方法であって、
前記サービスを識別するサービス識別情報、前記サービスの提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービス提供サーバを識別するサーバ識別情報に基づいて、前記サービス提供サーバと当該クライアント端末との間で送受する情報と前記サービス提供サーバ又は当該クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、
前記クライアント端末の状況を監視し、監視結果を示す監視情報と前記保証情報生成ステップにおいて生成された保証情報とを含む端末状況情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記端末状況情報に含まれる保証情報とが同一であるか否かを判定し、前記端末状況情報に含まれる監視情報と前記サービスを提供可能な状況条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示す判定情報と前記保証情報とを含む制御情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービスに関する制御を行うステップと
を有する制御方法。
【請求項17】
サービスを提供可能なサービス提供サーバが前記サービスを提供するサービス提供方法であって、
当該サービス提供サーバを識別するサーバ識別情報、前記サービスを提供対象を識別する提供対象識別情報、前記サービス提供サーバおよび当該クライアント端末との間で共有される乱数を含む情報、および前記サービスを識別するサービス識別情報に基づいて、当該サービス提供サーバと前記サービスが提供されるクライアント端末との間で送受する情報と当該サービス提供サーバ又は前記クライアント端末内部で処理される情報の内容を保証する保証情報を生成する保証情報生成ステップと、
前記クライアント端末からの前記サービスを提供するクライアント端末の状況に関し前記保証情報を含む端末状況情報および前記サービスの要求に関し前記保証情報を含むサービス要求情報を受信する受信ステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記受信ステップにおいて受信された端末状況情報に含まれる保証情報と前記サービス要求情報に含まれる保証情報とが同一であるか否かを判定し、前記受信ステップにおいて受信された前記端末状況情報に含まれる監視情報と前記サービス要求情報に含まれる前記サービスを提供可能な条件に関する状況条件情報が同一であるか否かを判定し、判定結果を示し前記サービス要求情報を含む判定情報と前記保証情報とを含む制御情報を生成するステップと、
前記保証情報生成ステップにおいて生成された保証情報と前記制御情報に含まれる保証情報とが同一であるか否かを判定し、同一である場合、前記サービス要求情報によって指定される前記保証情報を含むサービスを送信するステップと、
を有するサービス提供方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2008−176741(P2008−176741A)
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願番号】特願2007−11940(P2007−11940)
【出願日】平成19年1月22日(2007.1.22)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願日】平成19年1月22日(2007.1.22)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]