コンテンツ再生装置、コンテンツ再生方法及びプログラム
【課題】ディスクの再生・実行中に接続するサーバを限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することが容易に制御できるコンテンツ再生装置を提供する。
【解決手段】プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から、アクセスを許可するサーバを示す識別子を読み出して、当該識別子に対応するサーバの正当性を検証する。正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信し、記録媒体の再生、実行中に接続要求が検知された場合には、受信されたサーバポリシーに従って、サーバへのアクセス制御を行う。
【解決手段】プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から、アクセスを許可するサーバを示す識別子を読み出して、当該識別子に対応するサーバの正当性を検証する。正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信し、記録媒体の再生、実行中に接続要求が検知された場合には、受信されたサーバポリシーに従って、サーバへのアクセス制御を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は光ディスクなどの記録媒体に記録された映像・音声情報及びプログラムを含むコンテンツデータを再生・実行するコンテンツ再生装置に関し、特にネットワークを介してサーバに接続するコンテンツ再生装置に関する。
【背景技術】
【0002】
近年では、DVDやビデオCDなど、映像や音声等のデータを記録した光ディスクを再生する光ディスク再生装置が開発されている。これら装置は映画ソフトの鑑賞等に利用され一般に普及している。
【0003】
DVDは、情報記録媒体に記録された映像・音声情報を再生するディスクに関する規格であり、DVDフォーラムにより「DVD Specifications for Read−Only Disc Part 3: VIDEO SPECIFICATIONS」として1996年に発行された。この規格では、動画圧縮方式としてMPEG2方式をサポートし、音声圧縮方式としてMPEGオーディオ圧縮方式およびAC−3オーディオ圧縮方式をサポートしている。さらに、映画の字幕用などに用いるビットマップデータである副映像データや、早送り再生、早戻し再生等の制御データ(ナビパック)を規定している。
【0004】
一方、近年のインターネットの普及により、ネットワーク接続機能を有する映像情報装置が開発されている。たとえば、テレビ放送の受信、録画機能をもつ映像情報装置では、ネットワークを介して接続されたサーバから電子番組表のデータを受信し、その内容に基づいて録画する機能などが開発されている。
【0005】
上記ネットワーク接続機能を有する映像情報装置に関する従来技術として、特許文献1においては、DVD ビデオタイトルとインターネットで提供されるHTMLファイルとを融合させたサービスを行う画像表示装置が開示されている。この画像表示装置では、ナビパックから取り出したURLに基づいてインターネットに接続し、再生中のシーンに連動してHTMLコンテンツを表示することが可能となる。
【0006】
また、特許文献2では、単にHTMLコンテンツを表示するだけではなく、通信回線を介して接続されたサーバから取得した拡張情報により、表現能力の高い映像を再生するとともに、不特定多数の人がサーバに接続できないようにするため、光ディスク上のデータをサーバへ送ることで認証処理を行うことを特徴とする光ディスク装置が開示されている。
【0007】
しかしながら、特許文献1においてはネットワークを介してコンテンツを取得することによるセキュリティの問題については検討されておらず、特許文献2においては、サーバに接続できる光ディスク装置を制限するために認証処理を行っているだけであり、接続先のサーバから悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、光ディスク装置がDDoS(Distributed Denial of Service)攻撃の踏み台となる危険性に関する問題などについては考慮されておらず、セキュリティに関する検討が不十分であった。
【特許文献1】特開平11−161663号公報
【特許文献2】特開2004−79055号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、従来のネットワーク接続機能有する映像情報装置では、サーバへ接続可能な映像情報装置を制限するために、ディスクの認証を行うことでディスクの正当性を保証しているだけである。従って、接続先のサーバから、悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、映像情報装置がDDoS攻撃などの踏み台となる危険性に関する問題、サーバのセキュリティ確保などについては全く考慮されておらず、安心してネットワークへ接続できないという問題があった。
【0009】
そこで、本発明は、上記問題点に鑑み、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができるコンテンツ再生装置及び方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行するコンテンツ再生装置は、前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出して、記憶手段で記憶し、前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する。
【0011】
正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信する。
【0012】
第1のサーバポリシーを受信した場合には、第1のサーバポリシーにより指定されたサーバの正当性を検証し、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたときには、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証して、少なくとも(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続する。
【0013】
第2のポリシーを受信した場合には、正当性の検証されたサーバで、記録媒体上の記憶領域から読み出されたデータを用いて記録媒体の正当性を検証するために、当該サーバとの間で通信を行い、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたときには、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証して、(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記記録媒体から読み出された識別子に対応するサーバの正当性及び記録媒体の正当性が検証されたとき、前記接続要求を受けて、正当性の検証されたサーバへ接続する。
【0014】
第3のポリシーを受信した場合には、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されると、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証するとともに、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証し、少なくとも(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する。
【発明の効果】
【0015】
ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の実施形態について図面を参照して説明する。
【0017】
図1は本発明の一実施形態に係る、記録媒体に記録されたコンテンツデータを再生するコンテンツ再生装置の構成例を示したものである。ここでは、記録媒体が、光ディスクなどのディスクの場合を例にとり、ディスクに記録されたコンテンツデータを再生するコンテンツ再生装置について説明する。
【0018】
ディスクには、映像・音声データや、例えば、XML(Extensible Markup Language)などの言語を用いて一連の処理手順を記述した実行可能なプログラム(スクリプト)などを含むコンテンツデータが記録されている。コンテンツ再生装置は、上記コンテンツデータの記録されたディスクが挿入されて、当該ディスクに記録された映像・音声データの再生機能、プログラムの実行機能、及びインターネットなどの所定のネットワークへの接続機能を有する。ディスクに記録されているプログラムには、接続先のサーバの識別子(例えば、ドメイン名)と、当該サーバと通信を行う際に用いる通信プロトコルの種別やポート番号、当該サーバへ当該コンテンツ再生装置を接続する処理を含むプログラムも含まれている。ディスクに記憶されているプログラムにより、映像・音声データの再生する際に用いるデータやプログラムなどを当該サーバ(当該プログラムに含まれている識別子に対応するサーバで、当該ディスクが正当なものであるならば、このサーバは、ディスクの特定領域に記憶されている識別子に対応するサーバである)からダウンロードするようになっている。
【0019】
本実施形態において、コンテンツデータを記録媒体(例えばディスク)に記録して販売・供給する事業者(distributor)から提供される正当なディスクに記録されているコンテンツデータには、その種類毎(コンテンツのタイトル毎)に、ネットワーク上に1つのサーバが設けられている。すなわち、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバの識別子(例えば、ここではドメイン名)は、当該ディスクの予め定められた特定領域に記録されている。
【0020】
また、コンテンツデータの種別に対応するサーバは1つの場合もあれば、複数の場合もある。後者の場合には、ディスクの特定領域には複数のサーバの識別子が記録されている。
【0021】
ディスク上のコンテンツデータ(プログラムを含む)が改竄されてなく、しかも、当該ディスクの特定領域に記憶されているサーバが正当なものである場合には、正当な(改竄されていない)ディスク上の特定領域に記憶されているサーバの識別子は、当該ディスク上のコンテンツデータに対応する予め定められたサーバであり、当該ディスク上のプログラムに含まれる接続先のサーバの識別子は、当該ディスクの特定領域に記憶されている識別子(複数の識別子が記憶されている場合には、そのいずれか1つ)に等しい。
【0022】
<構成>
図1に示すように、コンテンツ再生装置は、ディスク制御部1、ネットワークアクセス制御部2、再生・実行制御部3、通信部4、ストレージ制御部5を含む。
【0023】
ディスク制御部1は、ディスクが挿入されたことを検出し、ディスクに記録された情報を読み出す。再生・実行制御部3は、ディスク制御部1で読み出された映像・音声データやプログラムを再生・実行する。通信部4は、ネットワークを介してサーバと通信を行うためのものである。
【0024】
ネットワークアクセス制御部2は、再生・実行制御部3で現在再生されているディスク(当該ディスクに記録されているコンテンツデータ)に対応するサーバ101へアクセスするための制御を行うとともに、サーバ認証(後述)やサーバポリシーの管理(後述)およびディスク認証(後述)を行う。ネットワークアクセス制御部2は、接続先管理部21、接続先検証部22、サーバ認証部23、ディスク認証部24、サーバポリシー管理部25を含む。
【0025】
ストレージ制御部5は、コンテンツ再生装置に挿入されているディスクやネットワーク(サーバ101)から取得したデータ(映像・音声データやプログラムなどを含む)を、所定の記憶装置6に記憶するための制御を行う。
【0026】
以下、図1のコンテンツ再生装置の処理動作について説明する。
【0027】
本実施形態では、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバのドメイン名は、当該ディスクの予め定められた特定領域に記録されている。
【0028】
コンテンツ再生装置がディスクを再生しているときにアクセスできるサーバを、当該ディスクの特定領域に記憶されているドメイン名に対応するサーバのみに限定するために、コンテンツ再生装置はサーバへアクセスする前に、当該サーバが、ディスク上の特定領域に記憶されているドメイン名に対応する正当なサーバであるか否かを検証するために、サーバ認証を行う。
【0029】
また、ディスクに記録されているコンテンツデータ(特にコンテンツデータに含まれるプログラム)が改竄されている場合に、コンテンツ再生装置が改竄されているプログラムを実行して、不正なサーバへアクセスすることを防止するために、コンテンツ再生装置は、上記サーバ認証を行った後、サーバからの要求に応じて(サーバポリシーに従って)ディスクの正当性を検証するためのディスク認証を行う。
【0030】
さらに、本実施形態のコンテンツ再生装置では、上記サーバ認証により正当性の検証されたサーバから、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを指定するサーバポリシー(リダイレクト)、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバへの接続方法(通信プロトコルの種別やポート番号など)を指定するサーバポリシー、ディスクに記録されたコンテンツデータやプログラムの再生・実行中にサーバへ接続できるディスクを正当性の検証されたディスクに限定することを示すサーバポリシーなどを取得し、この取得されたサーバポリシーに従って、リダイレクト、サーバへの接続方法の制限、ディスク認証などの制御を行うようになっている。
【0031】
正当性の検証されたサーバから取得されるサーバポリシーは、当該サーバがどのような方針でアクセスを許可するかを示したものである。
【0032】
上記サーバ認証およびサーバポリシーの取得は、コンテンツ再生装置にディスクが挿入されたとき、あるいは、コンテンツ再生装置にディスクが挿入された後、(例えば、当該ディスクに記録されているプログラムを実行することにより)サーバ(ネットワーク)へのアクセス要求が(最初)に発生したときに行う。
【0033】
(1)コンテンツ再生装置にディスクが挿入されたときに、サーバ認証およびサーバポリシーの取得を行う場合について、図2に示すフローチャートを参照して説明する。
【0034】
(1−1)サーバ認証
図2に示すように、コンテンツ再生装置100にディスクが挿入されると(ステップS1)、ディスク検出部11が、ディスクの挿入を検出する(ステップS2)。これを受けて、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。読み出されたドメイン名はネットワークアクセス制御部2の接続先管理部21に通知される。接続先管理部21は、通知されたドメイン名を接続先管理部21内のメモリに記憶されている図10に示すような接続先管理テーブルに記録する(ステップS4)。なお、当該ディスク上に特定領域内に、ドメイン名が空であることを示すデータ(例えば「0」)が記憶されている場合には、サーバ認証を行わない、従って、以後、当該ディスクを再生しているときに、ネットワークへの接続要求が発生しても、ネットワークへのアクセスは行わない。
【0035】
接続先管理部21は、当該ディスクがコンテンツ再生装置100に挿入されている間だけ、ドメイン名を接続先管理テーブルに記憶しておく。このため、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、図10に示した接続先管理テーブルから、ステップS4で記憶したドメイン名を削除する。
【0036】
さて、ステップS4で、当該ディスクの特定領域から読み出されたドメイン名が、接続先管理テーブルに記憶されると、サーバ認証部23が、当該ドメイン名に対応するサーバの認証処理を開始する。この場合、まず、通信部4は、当該ドメイン名に対応するIPアドレスを所定のDNS(Domain name system)サーバから取得する(ステップS5)。サーバ認証部23は、この取得されたIPアドレスを用いて、ネットワークへアクセスし、当該ドメイン名に対応するサーバの証明書を取得するための認証処理を行う(ステップS6)。
【0037】
ネットワークを介してサーバを認証する方式は、例えば、インターネット上のWWW(World Wide web)などで広く用いられているSSL(Secure Socket Layer)/TLS(Transport layer security)により行う。SSL/TLSは、公開鍵暗号方式に基づく認証方式であり、クライアントは、ルート認証局と呼ばれる認証機関により認証されたサーバ証明書を受け取り、その内容を確認することでサーバの正当性を保証する方式である。さらに、SSL/TLSは、クライアントとサーバの双方でデータの暗号化を行い通信する処理手順が規定されており、ネットワーク上での傍受によるデータ改竄などを防ぐことができる。
【0038】
SSL/TLSでは、図3に示すような手順で証明書をやり取りする方式が規定されている。すなわち、まず、クライアント(コンテンツ再生装置100)から、使用可能な暗号アルゴリズムのリストなどを含む、ClientHelloメッセージをサーバ(サーバ101)へ送信する(ステップS501)。次に、サーバは、当該リスト中の暗号アルゴリズムのうち使用したい暗号アルゴリズムを示した情報を含む、ServerHelloメッセージをクライアントへ送信する(ステップS502)。その後、サーバの証明書を含むCertificateメッセージをクライアントへ送信し(ステップS503)、ServerHelloDoneメッセージを送信することにより、証明書の送信を終了する(ステップS504)。
【0039】
クライアントは、サーバから送信された証明書から取得したサーバの公開鍵を使って共通鍵を暗号化し、暗号化された共通鍵を含むClientKeyExchangeメッセージをサーバへ送信する(ステップS505)。次に、メッセージの改竄を防ぐためにこれまでのメッセージのダイジェストを計算して、当該ダイジェストを含むFinishedメッセージをサーバへ送信する(ステップS506)。一方、サーバは共通鍵を取得し、クライアントと同様にメッセージのダイジェストを計算してクライアントへ送信する(ステップS507)。
【0040】
図3において、クライアントをコンテンツ再生装置100とすることで、コンテンツ再生装置100は、ステップS503で、ディスクの特定領域から読み出されたドメイン名に対応するサーバの証明書(サーバ証明書)を取得する(ステップS7)。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名を照合する(ステップS8)。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定される。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名とが一致しない場合には、サーバの認証が失敗したと判定される。
【0041】
サーバ認証部23は、接続管理部21に記憶されている図10に示した接続先管理テーブルに、サーバの認証が成功したか否かを示すサーバ認証フラグの値を記録する。サーバの認証が成功した場合には(ステップS9)、サーバ認証フラグの値を「1」とする(ステップS10)。サーバ認証が失敗した場合には(ステップS10)、サーバ認証フラグの値を「0」とする(ステップS11)。
【0042】
サーバ認証フラグが「1」の間は、サーバ101が正当であることを示すので、サーバの正当性を確認できなくなった場合は、サーバ認証フラグの値を「0」に戻す。例えば、サーバ認証の成功したサーバとの間の通信セッションが切断された場合や、予め定められた一定時間が経過した場合に、サーバ認証部23は、サーバ認証フラグの値を「1」から「0」に書き換える。
【0043】
図2のステップS6の認証処理は、SSL/TLSの代わりに、公開鍵暗号方式に基づく独自の認証処理であってもよい。この場合の処理手順について説明する。
【0044】
まず、ディスク制御部1のディスク読み出し部12が、ディスクに予め記憶されている公開鍵を読み出し、所定のメモリへ記憶する。次に、サーバ認証部23は、証明書の送信をサーバに要求する。要求を受け取ったサーバは、当該サーバがもつ秘密鍵で証明書を暗号化し、コンテンツ再生装置に送信する。サーバ認証処理部23は、証明書を受け取ると、上記公開鍵で証明書を復号し、この復号された証明書に含まれるサーバ名と、接続したサーバ名を照合する。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定され、サーバ認証フラグ「1」が記憶される。接続したサーバ名と、復号された証明書に含まれるサーバ名が一致しない場合には、サーバの認証が失敗したと判定され、サーバ認証フラグ「0」が記憶される。
【0045】
サーバの証明書の内容に、例えば当該サーバのドメイン名が含まれていると、正当なサーバに接続していることを確認できる。
【0046】
上記のようなサーバ認証が失敗した場合には、以後、コンテンツ再生装置でディスク上のコンテンツを再生している間にネットワークへの接続要求が発生しても、ネットワークへの接続は行われない。
【0047】
上記のようなサーバ認証が成功することにより、当該サーバが、ディスクの特定領域に記録されていたドメイン名に対応する正当なサーバであることが保証され、コンテンツ再生装置から接続できるサーバを、接続先管理テーブルに記憶されているドメイン名に対応するサーバに限定することができるようになる。
【0048】
サーバ認証が成功すると、次に、サーバポリシー管理部25は、サーバ認証の成功したサーバ(接続先管理テーブルにドメイン名が記憶されているサーバ)からサーバポリシーを取得するためのサーバポリシー取得処理を行い、サーバポリシーを確認する。サーバポリシーとして、他サーバへの接続(リダイレクト)要求がある場合は、後述するリダイレクト処理を行う。また、サーバポリシーとしてディスク認証要求がある場合は、後述のディスク認証を行う。以下サーバポリシー取得処理について説明する。
【0049】
(1−2)サーバポリシーの取得
接続先管理テーブルにドメイン名が記憶されているサーバについて、上記サーバ認証が完了し、且つサーバの正当性が確認できた(サーバ認証が成功した)場合(サーバ認証フラグが「1」の場合)には(図2のステップS12)、当該サーバのポリシーを取得するためにネットワークアクセス制御部2のサーバポリシー管理部25は、サーバポリシー要求メッセージを通信部4を介してサーバへ送信する(ステップS14)。
【0050】
なお、サーバのドメイン名が接続先管理テーブルに記憶されていない場合、サーバ認証フラグが「0」の場合には、以後、ネットワークへのアクセスは行わない(ステップS13)。
【0051】
ステップS14で送信されたサーバポリシー要求を受け取ったサーバは、当該サーバがどのような方針でアクセスを許可するかを示すサーバポリシー(例えば、ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー(ディスク認証の有無を示すサーバポリシー)、通信プロトコルの種別およびポート番号などのサーバへの接続方法を指定して、指定された接続方法による接続に対し許可するというサーバポリシー(接続方法に関するサーバポリシー)、他のサーバを指定して、当該サーバへの再接続を指示するサーバポリシー(リダイレクトに関するサーバポリシー)などの複数のサーバポリシーのうちの少なくとも1つ)をコンテンツ再生装置へ送信する(ステップS15)。
【0052】
サーバポリシーを受け取ったサーバポリシー管理部25は、その内容を解析し、図11に示すように、項目ごとにサーバポリシーテーブルへ保存する(ステップS16)。サーバポリシー管理部25は、保存されたサーバポリシーテーブルの内容に基づきサーバポリシーに従った制御を行う。本実施形態では、ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー、ソケットや、通信プロトコルの種別およびポート番号などのサーバへの接続方法を指定して、指定された接続方法による接続に対し許可するというサーバポリシー、他のサーバを指定して、当該サーバへの再接続(リダイレクト)を指示するサーバポリシーについて、以後詳細に説明する。
【0053】
(1−3)他のサーバへの接続(リダイレクト処理)
上記サーバポリシーの取得処理により、他のサーバへの接続指示がサーバから返された場合の処理について、図2及び図12を参照して説明する。
【0054】
記録媒体の特定領域に最初のサーバのドメイン名を記録して記録媒体が頒布されたが、その後、当該ドメイン名のサーバが移転して、他のドメイン名に変更された場合や、移転した先のサーバからさらに他のドメイン名のサーバへ移転した場合などに、元のサーバからリダイレクトを要求するサーバポリシーが返される。
【0055】
図12(a)において、サーバポリシー管理部25は、ディスクの特定領域に記憶されていたドメイン名に対応するサーバ(第1のサーバ)から、サーバポリシーを取得すると(図2のステップS15)、このサーバポリシーをサーバポリシーテーブルに記憶する(図2のステップS16)。この取得されたサーバポリシーに、他のサーバ(第2のサーバ)のドメイン名を含み当該ドメイン名に対応する第2のサーバ(リダイレクト先サーバ)への接続を指示するサーバポリシーが含まれていると(図2のステップS17)、接続先管理テーブルのドメイン名欄に、当該サーバポリシーに含まれる第2のサーバのドメイン名を追加する(図2のステップS4)。
【0056】
なお、この場合、第1のサーバから取得されるサーバポリシーには、ディスク認証が不要であることを示すサーバポリシー、接続方法の指定がないことを示すサーバポリシーが含まれていてもよい。あるいは、これらディスク認証、接続方法、リダイレクトに関するサーバポリシーのうち、リダイレクトに関するサーバポリシーのみ、すなわち、第2のサーバのドメイン名を含み、リダイレクト有りを示すサーバポリシーのみが含まれていてもよい。
【0057】
次に、図12(b)に示すように、サーバ認証部23は、接続先管理テーブル中の最新のドメイン名に対応するサーバ、すなわち、第2のサーバに接続し、図2のステップS5〜ステップS11と同様にサーバ認証処理を行う。この後で、サーバポリシー管理部25は、当該第2のサーバのサーバ認証が成功した場合には(ステップS12)、第2のサーバからサーバポリシーを取得し(図2のステップS14〜ステップS15)、これをサーバポリシー管理部25のサーバポリシーテーブルへ記憶する(ステップS16)。
【0058】
第2のサーバから取得したサーバポリシーに、さらに他のサーバ(第3のサーバ)への接続を指示するサーバポリシーが含まれる場合は(図2のステップS17)、サーバポリシー管理部25は、接続先管理テーブルのドメイン名欄に、当該サーバポリシーに含まれる第3のサーバのドメイン名を追加する(図2のステップS4)。
【0059】
そして、図12(c)に示すように、サーバ認証部23は、接続先管理テーブル中で最新のドメイン名に対応する第3のサーバへ接続し、図2のステップS5〜ステップS11と同様にサーバ認証処理を行う。この後で、当該他のサーバのサーバ認証が成功した場合には(ステップS12)、サーバポリシー管理部25は、第3のサーバからサーバポリシーを取得し(図2のステップS14〜ステップS15)、第3のサーバのサーバポリシーをサーバポリシー管理部25のサーバポリシーテーブルへ記憶する(ステップS16)。
【0060】
なお、第2のサーバから取得したサーバポリシーに、リダイレクト無を示すサーバポリシーが含まれているとき、すなわち、さらに他のサーバ(第3のサーバ)への接続を指示するサーバポリシーが含まれていない場合には(図2のステップS17)、当然のことながら、その後の第3のサーバへの接続及び第3のサーバのサーバ認証、サーバポリシーの取得処理等は行わない。
【0061】
さて、図12(a)〜(c)に示すように、リダイレクトを2回行った場合の接続先管理テーブルには、図13に示すように、第1乃至第3のサーバのドメイン名と、リダイレクトの有無(リダイレクト有りの場合には「1」、無しの場合には「0」)や、図2のステップS5〜ステップS11のサーバ認証処理において、成功/失敗を示すサーバ認証フラグが記憶されている。
【0062】
なお、図12(a)において、第1のサーバから取得されたサーバポリシーは、第2のサーバへのリダイレクトを指示するサーバポリシーであり、ディスク認証を要求するサーバポリシーや接続方法を指示するサーバポリシーは取得されなかったので、ディスク認証は行われない(図13(a)参照)。
【0063】
同様に、図12(b)において、第2のサーバから取得されたサーバポリシーは、第3のサーバへのリダイレクトを指示するサーバポリシーであり、ディスク認証を要求するサーバポリシーや接続方法を指示するサーバポリシーは取得されなかったので、ディスク認証は行われない(図13(b)参照)。
【0064】
図12(c)において、第3のサーバから取得されたサーバポリシーは、リダイレクトを指示するサーバポリシーはなく、ディスク認証を要求するサーバポリシーおよび接続方法を指示するサーバポリシーが取得されたので、ディスク認証が行われ、ディスク認証フラグが「1」となっている(図13(c)参照)。
【0065】
図14は、図12(a)〜(c)に示すように、リダイレクトを2回行った場合に、第3のサーバから取得され、サーバポリシーテーブルに記憶されたサーバポリシーの一例を示したものである。
【0066】
図14に示すように、第3のサーバから取得したサーバポリシーには、リダイレクト不要、接続方法については、プロトコルがTCPの場合はポート番号「21」、プロトコルがUDPの場合にはポート番号「111」が指定されている。また、ディスク認証が必要であるというサーバポリシーが含まれている。
【0067】
なお、リダイレクトを指示するサーバポリシーの場合には、サーバポリシーテーブルの「リダイレクト」の項目には「1」が記憶され、リダイレクトが指示されていない、あるいは不要である旨のサーバポリシーの場合には、サーバポリシーテーブルの「リダイレクト」の項目には「0」が記憶される。
【0068】
また、ディスク認証が必要であるというサーバポリシーの場合には、サーバポリシーテーブルの「ディスク認証」の項目には、「1」が記憶され、ディスク認証が不要であるというサーバポリシーの場合には、サーバポリシーテーブルの「ディスク認証」の項目には、「0」が記憶される。
【0069】
(1−4)リダイレクト回数の制限
上記リダイレクト処理では、サーバから返されたリダイレクト先のサーバへ無条件に接続するため、リダイレクトの連鎖が何回も続く可能性がある。例えば、最初に第1のサーバへ接続後第2のサーバへリダイレクトされ、第2のサーバはさらに第3のサーバへリダイレクトするような状況ではリダイレクトの連鎖が無限に続くことになる。このような問題を回避するため、リダイレクトの回数を制限してもよい。以下、リダイレクト回数の制限方法について、図4に示すフローチャートを参照して説明する。なお、図4において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0070】
図2のステップS17に対応する図4のステップS17で、取得したサーバポリシーからリダイレクト先を取得すると、ディスクを挿入後のリダイレクト回数を保持しているサーバポリシー管理部25に備えられたリダイレクトカウンタの値と、サーバポリシー管理部25にあらかじめ保持されている最大リダイレクト数とを比較する(図4のステップS18)。リダイレクトカウンタの値が最大リダイレクト数以下の場合には、接続先管理テーブルへリダイレクト先サーバのドメイン名を追加し(図4のステップS4)、リダイレクト先サーバへ接続を行う(ステップS5〜ステップS16)。リダイレクト先サーバの認証が成功し、当該サーバからサーバポリシーを取得した後、リダイレクトカウンタの値を「1」だけ増やす(ステップS19)。ステップS18において、リダイレクトカウンタの値が最大リダイレクト数を超える場合には、リダイレクト先サーバへの接続は行わず、接続先管理テーブルとサーバポリシーテーブルをクリアし、ネットワーク接続を行わない(ステップS20)。
【0071】
(1−5)ディスク認証
ディスク認証では、コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータが正当なものであるか否かがチェックされる。ディスク認証を行うことにより、改竄されたコンテンツデータ(特に、改竄された不正なプログラム)がディスクに記録されている場合には、当該不正なプログラムを実行することにより上記正当なサーバへアクセスすることを回避することができる。
【0072】
ディスク認証は、図2や図4のステップS14〜ステップS16の処理で、サーバ認証の成功したサーバから取得されたサーバポリシーに、ディスク認証が必要であることを示すサーバポリシー(ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー)が含まれている場合に行われる。
【0073】
以下、図5に示すフローチャートを参照してディスク認証処理について説明する。
【0074】
図2に示したようなサーバ認証が成功し、上記サーバポリシー取得処理後、ディスク認証の要求がある場合(サーバポリシーテーブルの「ディスク認証」の項目に対応する値がが「1」である場合)、ディスク認証部24は、接続先管理テーブルにドメイン名が記憶されているか否か、サーバ認証が成功したか否かを確認する(ステップS21)。接続先管理テーブルにドメイン名が記憶されていない場合、サーバ認証フラグが「0」である場合には(ステップS21)、以後のディスク認証処理を行わない。従って、ネットワークへのアクセスも行うことはできなくなる(ステップS22)。
【0075】
接続先管理テーブルにドメイン名が記憶されており、且つ、サーバ認証フラグが「1」であるときには(ステップS21)、通信部4を介して、接続先管理テーブルに記憶されているドメイン名に対応するサーバに対してディスクの認証要求を送信する(ステップS23)。
【0076】
ディスク認証要求を受信したサーバは、ディスク上のディスクが識別できるデータが記録されている記録領域をランダムに選択する(ステップS24)。ここでは、1つのみならず複数の記録領域が選択されてもよい。そして、コンテンツ再生装置に対し、当該選択された記録領域に記録されているデータのハッシュ値を送信するよう要求する(ステップS25)。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0077】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出し(ステップS26)、読み出されたデータのハッシュ値を計算する(ステップS27)。
【0078】
求めたハッシュ値はサーバへ送信される(ステップS28)。
【0079】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、このディスク上の上記ステップS24で選択された記録領域から、データを読み出し、ハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較し(ステップS29)、両者が不一致である場合(ディスク認証が失敗した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されている可能性があると判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信する(ステップS31)。
【0080】
サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されていないと判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信する(ステップS33)。
【0081】
コンテンツ再生装置100は、サーバからアクセス許可通知/アクセス不許可通知を受信すると、ディスク認証部24は、受信した通知の内容を基に、接続管理部21に記憶されている図13に示した接続先管理テーブルに、ディスク認証が成功したか否かを示すディスク認証フラグの値を記録する。アクセス許可通知を受信し、ディスク認証が成功した場合には、ディスク認証フラグの値を「1」とする(ステップS34)。アクセス不許可通知を受信し、ディスク認証が失敗した場合には、ディスク認証フラグの値を「0」とする(ステップS32)。
【0082】
上記ディスク認証処理では、サーバが、当該サーバに対応するコンテンツデータの記録されているディスクについて、ディスクが識別できるデータが記録されている記録領域をランダムに選択し、コンテンツ再生装置から送信された、当該選択された記録領域内のデータのハッシュ値を用いて、当該記録領域内のデータが改竄されているか否かを判定している。
【0083】
このようなディスク上の任意の記録領域内のデータを用いてディスク認証を行う代わりに、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域内のデータ(プログラム)を用いた、他のディスク認証処理について、図6に示すフローチャートを参照して説明する。なお、図6において、図5と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0084】
すなわち、図5のステップS24が、図6ではステップS24a及びステップS24bに置き換えられ、図5のステップS25が図6ではステップS25aに置き換えられ、図5のステップS27が、図6ではステップS27aに置き換えられ、図5のステップS29が、図6ではステップS29aに置き換えられている。
【0085】
図6のステップS24aでは、サーバがディスク認証要求を受信すると、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域を選択する。この場合、サーバは、当該サーバに対応するコンテンツデータの記録されているディスクについて、プログラム(改竄されると他に危害を及ぼす可能性のあるプログラム)の記録されている記録領域がどこであるかを予め記憶している。そして、プログラムの記録されている記録領域のうちの少なくとも1つを選択する。複数の記録領域を選択してもよい。
【0086】
次に、ステップS24bでは、サーバは、ランダムなデータ系列を生成する。そして、ステップS25aでは、コンテンツ再生装置100に対し、この生成されたデータ系列と、ステップS24aで選択した記録領域に記録されているデータ(プログラムデータ)とから計算されるハッシュ値を送信するよう要求する。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0087】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出す(ステップS26)。ステップS27aでは、この読み出されたデータとサーバから送られてきたデータ系列とを連結して、読み出されたデータとサーバから送られてきたデータ系列を含むデータ全体のハッシュ値を計算する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0088】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、ステップS29aにおいて、このディスク上の上記ステップS24aで選択された記録領域からデータを読み出し、読み出したデータと、ステップS24bで生成したデータ系列を連結して、読み出したデータとステップS24bで生成したデータ系列を含むデータ全体のハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較する(ステップS29)。その後、図5と同様で、両者が不一致である場合(ディスク認証が失敗した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信し(ステップS31)、コンテンツ再生装置は、ディスク認証フラグを「0」にする(ステップS32)。サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信し(ステップS33)、コンテンツ再生装置は、ディスク認証フラグを「1」にする(ステップS34)。
【0089】
上記ディスク認証は、当該ディスクがコンテンツ再生装置から取り出されるまで有効となる。すなわち、当該ディスクがコンテンツ再生装置から取り出されたら、ディスク認証フラグを「0」に書き変える。
【0090】
上記説明では、ディスク認証フラグの値によってディスク認証が有効かどうかを判定したが、別の方式として、サーバから指定された有効期間(ディスクの正当性を保証する期間)とセッション識別子を用いる方式を以下に説明する。これは、通信プロトコルとして、例えばHTTP(Hyper Text Transfer Protocol)を用いた場合、Cookieを使うことにより実現可能である。
【0091】
図5および図6のステップS33で、サーバはアクセス許可通知とともに、有効期間(例えば「300秒」と指定する)とセッション識別子(例えばサーバが生成したコンテンツ再生装置を識別するためのランダム文字列)をディスク認証処理部24へ送信する。ディスク認証処理部24は、接続管理部24に記憶されている接続先管理テーブルに、サーバから送られた有効期間とセッション識別子を保存する。以降、図9に示すようにして、ステップS54においてサーバと通信する場合、このセッション識別子をサーバへの通信データに付加することで、サーバは、ディスク認証が行われていることが確認できる。サーバは、セッション識別子が付加されていない通信データがコンテンツ再生装置から送られてきても、それを拒否する。
【0092】
ディスク認証処理部24は、保存された有効期間を経過した場合やコンテンツ再生装置の操作(例えば、利用者によりディスクが取り出されたり、再生中のコンテンツが停止された場合)に応じて、保存されている有効期間の値を「0」とし、セッション識別子を削除するとき、ディスク認証フラグを「1」から「0」に更新するようにしてもよい。
【0093】
保存されている有効期間が経過した後や、上記予め定められたユーザ操作により有効期間が「0」になった後は、有効期間が「0」になったことを契機に、あるいは、コンテンツデータの再生・実行中にネットワークへの接続要求が発生したことを契機に、再び、上記ディスク認証を行う。
【0094】
また、保存したセッション識別子が削除された場合には、図9のステップS54においてサーバと通信することはできないため、再び、ディスク認証を行う。
【0095】
このように、上記有効期間を用いる場合には、コンテンツデータの再生・実行中に発生した接続要求を受けて、サーバに接続するためには、図9のステップS53bにおいて、有効期間が「0」でないことが条件として加わる。また、セッション識別子を用いる場合には、図9のステップS53bにおいて、セッション識別子が保存されていることが条件として加わる。
【0096】
なお、本実施形態では、1つのサーバはある1つのコンテンツに対応するディスク認証処理を行うとして説明したが、1つのサーバで複数のディスク認証処理を行うことも可能である。その場合、例えば、ディスクまたはコンテンツを一意に特定する識別子をディスク上に格納しておき、ディスク認証時にその識別子をディスクから読み込んでサーバへ送信することで、サーバはどのディスクかを特定することができる。
【0097】
(2)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合について、図7に示すフローチャートを参照して説明する。なお、図7において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図2のステップS2が図7ではステップS41に置き換えられている。
【0098】
図2に示すサーバ認証では、ステップS2で、ディスクがコンテンツ再生装置に挿入されたことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。
【0099】
一方、図7に示すサーバ認証では、ステップS41で、ディスクがコンテンツ再生装置に挿入された後、例えば、当該ディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)へのアクセス要求が(最初)に発生したことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。その後の処理動作は、図2のステップS4からステップS17までの処理動作と同様である。
【0100】
図7のサーバ認証処理を行った後に、取得したサーバポリシーに、ディスク認証が要求されている場合には、図5あるいは図6に示したようなディスク認証を行う。
【0101】
なお、図7の処理動作に、リダイレクト回数を制限するための図4に示す処理動作を組み合わせてもよい。
【0102】
(3)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合の他の例について、図8に示すフローチャートを参照して説明する。なお、図8において、図2及び図7と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図8では、図2と同様に、ディスクのコンテンツ再生装置への挿入を検出したことを契機に(ステップS2)、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。そして、読み出されたドメイン名は、接続先管理部21内のメモリに記憶されている図10に示すような接続先管理テーブルに記録される(ステップS4)。ここまでは、図2と同様である。
【0103】
図8において、図2と異なるのは、サーバ認証部23のステップS5〜ステップS11までの処理と、サーバポリシー管理部25のステップS14〜ステップS17,およびステップS4の処理は、図8ではステップS41〜ステップS43までの処理を行った後であるという点である。すなわち、ディスク検出部11で、ディスクがコンテンツ再生装置へのディスクの挿入が検出され、当該ディスクの特定領域から読み出されたドメイン名が接続先管理テーブルに記録される(図8のステップS1〜ステップS4)。その後、コンテンツ再生装置に挿入されたディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)への接続要求が(最初)に発生すると、すなわち、接続要求が再生・実行制御部3から出力されると(図8のステップS41)、当該接続要求が、ネットワークアクセス制御部2の接続先検証部22により検出される。接続先検証部22は、当該プログラムにより指定されている接続先のドメイン名を取得する(ステップS42)。
【0104】
ディスクに記録されているプログラムを実行することにより再生・実行制御部3で発生する接続要求には、当該プログラムに含まれる接続先のドメイン名が含まれている。接続先検証部22は、この接続要求に含まれる接続先のドメイン名を取得する。
【0105】
次に、接続先検証部22は、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とを比較し(ステップS43)、両者が一致した場合に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。その後、サーバポリシー管理部25が、ステップS12〜ステップS17、およびステップS4´に示すようなサーバポリシーの取得処理を行う。
【0106】
なお、ステップS4´では、取得したサーバポリシーに、リダイレクトを指示するポリシーが含まれている場合に、当該サーバポリシーからリダイレクト先のサーバのドメイン名を接続先管理テーブルに記憶する。
【0107】
ステップS43において、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが異なる場合には、ここで処理を中止し、サーバ認証部23でのサーバ認証処理(ステップS5〜ステップS11)、サーバポリシー管理部25でのサーバポリシー取得処理(ステップS12〜ステップS17,ステップS4´)を行わない。その結果、コンテンツ再生装置100は、ネットワークへの接続は行わない。
【0108】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが一致した場合には、図2と同様に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。すなわち、サーバ認証部23は、接続管理テーブルに記録されているドメイン名に対応するサーバから証明書を取得し(ステップS5〜ステップS7)、この取得した証明書と、サーバ認証部23に予め記憶されている証明書が一致し、サーバの認証が成功した場合には、サーバ認証フラグ「1」を接続管理テーブルに記憶する(ステップS8〜ステップS10)。また、取得した証明書と、サーバ認証部23に予め記憶されている証明書が異なる場合には、サーバ認証フラグ「0」を接続管理テーブルに記憶する(ステップS8、ステップS9,ステップS11)。
【0109】
その後、サーバポリシー管理部25が、サーバからサーバポリシーを取得し(ステップS12〜ステップS15)、サーバポリシーテーブルに記憶する(ステップS16)。取得したポリシーに、リダイレクトを指示するサーバポリシーが含まれている場合には(ステップS17)、当該ポリシーに含まれているリダイレクト先のサーバのドメイン名を接続先管理テーブルに記憶し(ステップS4´)する。そして、サーバ認証部23は、ステップS4´で記憶した最新のドメイン名に対応するサーバに対して、サーバ認証処理を行う(ステップS5〜ステップS11)。
【0110】
図8のサーバ認証処理を行った後に、取得したサーバポリシーに、ディスク認証が要求されている場合には、図5あるいは図6に示したようなディスク認証を行う。
【0111】
なお、図8の処理動作に、リダイレクト回数を制限するための図4に示す処理動作を組み合わせてもよい。
【0112】
本実施形態では、(1)コンテンツ再生装置にディスクが挿入されたとき、または、(2)サーバへ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証、サーバポリシーを取得し、取得したサーバポリシーに、ディスク認証が必要である旨のサーバポリシーが含まれている場合に、ディスク認証処理を行う方式を説明した。このとき、コンテンツ再生装置の不具合等で、ディスクの差し替えが検出できない場合、ディスク認証処理後に他のディスクへ差し替えられる危険性がある。
【0113】
この場合、接続先管理テーブルのドメイン名、サーバ認識フラグおよびディスク認識フラグは消去されないため、差し替えられたディスクに記憶されているプログラムが、接続先管理テーブルに保存されているドメイン名のサーバへアクセスすることが可能となる。
【0114】
上記危険性を回避するため、前記ディスク認証処理完了後、ネットワークアクセス制御部のディスク認証部24は、あらかじめ定められた方式に基づくあるタイミング(例えば、一定周期や乱数に基づいた不定期)で、前記ディスク認証処理をくりかえし実行してもよい。
【0115】
(4)サーバへの接続方法を制限するためのアクセス制御
図2、図8に示したように、コンテンツ再生装置100は、ディスクが挿入されると、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録される。図2の場合には、さらに、サーバ認証及びサーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行い、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0116】
次に、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに、ネットワーク接続要求が発生した場合について、図9に示すフローチャートを参照して説明する。
【0117】
ネットワーク接続要求は、コンテンツ再生装置にディスクが挿入された後、(a)当該ディスクに記録されているプログラムを実行することにより、また、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、発生する。
【0118】
ネットワーク接続要求は、前述同様、ネットワークアクセス制御部2の接続先検証部22により検出される(ステップS51)。ネットワーク接続要求には、接続先のサーバのドメイン名や、当該サーバへの接続方法(ソケット、通信プロトコル・ポート番号など)が含まれている。
【0119】
接続先検証部22は、ネットワーク接続要求に含まれるドメイン名を取得する(ステップS52)。
【0120】
なお、図8に示したようなサーバ認証を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出され(図8のステップS41)、接続先のドメイン名が取得されたときに(図8のステップS42)、サーバ認証を開始し、さらに、サーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0121】
また、図7に示したようなサーバ認証処理を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出されたときに(図7のステップS41)、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録する(図7のステップS3〜ステップS4)。その後、サーバ認証、サーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0122】
従って、図9のステップS51及びS52で、ネットワーク接続要求が検知され、接続先のドメイン名を取得した場合、図2、図7,図8のいずれの場合においても、接続先管理テーブルにはドメイン名が記録され、サーバ認証、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証の結果を示すサーバ認証フラグやディスク認証フラグに「1」あるいは「0」が記録されている。
【0123】
さらに、上記サーバのリダイレクトが行われた場合には、リダイレクト先サーバのドメイン名が接続先管理テーブルに記憶され、通信プロトコルやポート番号などの接続方法を指定するサーバポリシーが取得された場合には通信プロトコルやポート番号などの接続方法がサーバポリシーテーブルに記憶されている。
【0124】
ディスク認証を要求するサーバポリシーがサーバポリシーテーブルに記憶されている場合には(ステップS53a)、接続先検証部22は、(第1の条件)(リダイレクトされているときにはリダイレクト後の)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS52で、ネットワーク接続要求元から取得した(接続要求に含まれる)ドメイン名と、接続先管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の3つの条件を全て満足し、接続方法を指定するサーバポリシーを取得している場合には、さらに、(第4の条件)接続要求に含まれる接続方法(プロトコルとポート番号、ソケットなど)が、サーバポリシーテーブルに記録されている接続方法(プロトコルとポート番号、ソケットなど)に含まれていること、の4つの条件を全て満足する場合に限り、接続先管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53b)。上記第1乃至第3条件、接続方法を指定するサーバポリシーを取得している場合には第1乃至第4の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53b、ステップS55)。
【0125】
また、ディスク認証を要求しない(ディスク認証は不要の)サーバポリシーがサーバポリシーテーブルに記憶されている場合には(ステップS53a)、接続先検証部22は、(第1の条件)(リダイレクトされているときにはリダイレクト後の)サーバ認証フラグの値が「1」であること、(第2の条件)ステップS52で、ネットワーク接続要求元から取得した(接続要求に含まれる)ドメイン名と、接続先管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の2つの条件を全て満足し、接続方法を指定するサーバポリシーを取得している場合には、さらに、(第3の条件)接続要求に含まれる接続方法(プロトコルとポート番号)が、サーバポリシーテーブルに記録されている接続方法(プロトコルとポート番号)に含まれていること、の3つの条件を全て満足する場合に限り、接続先管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53c)。上記第1乃至第2条件、接続方法を指定するサーバポリシーを取得している場合には第1乃至第3の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53c、ステップS55)。
【0126】
接続先検証部22で、ネットワークへの接続が許可された場合には、通信部4は、接続管理テーブルに記録されている最新のドメイン名(リダイレクトによりドメイン名が追加されている場合には、最後に追加されたドメイン名)に対応するサーバへ接続し、ディスク上のコンテンツデータの再生・実行の際に用いるデータやプログラムなどを通信部4を介して当該サーバから受信する(ステップS54)。受信されたデータやプログラムなどは、ネットワークアクセス制御部2を介して、再生・実行制御部3へ出力される。その結果、コンテンツ再生装置100の再生・実行制御部3は、当該サーバと通信を行いながら(当該サーバからダウンロードされるデータやプログラムを用いて)、当該ディスク上のコンテンツデータの再生・実行を行う。
【0127】
なお、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに発生するネットワーク接続要求には、ストレージ制御部5が、記憶装置6にデータを書き込む場合や記憶装置6からデータを読み出す場合にも発生することがある。
【0128】
例えば、ストレージ制御部5が記憶装置6に書き込むデータに対する証明書の生成や当該データの暗号化をサーバに依頼する場合や、ストレージ制御部5が記憶装置6から読み出すデータに対する証明書の検証や記憶装置6から読み出すデータの復号を依頼する場合などにネットワーク接続要求が発生する。
【0129】
ストレージ制御部5が、記憶装置6にデータを書き込む場合や記憶装置6からデータを読み出す場合に、サーバへのアクセスが必要か否かについても、当該サーバのサーバポリシーとして取得するようにしてもよい。
【0130】
(5)サーバからの配信データをコンテンツ再生装置から通知される日時を基に選択する
なお、図2や図4のステップS14において、サーバポリシーを要求する際に、ディスクをコンテンツ再生装置へ挿入した日時(挿入日時)または、コンテンツ再生装置へ挿入されたディスクの再生開始日時を通知し(例えば、サーバポリシーの要求とともに、上記日時を送信し)、サーバはこの日時に応じて動作を変えるようにしてもよい。この場合、挿入日時あるいは再生開始日時といった日時データを受信したサーバは、受信した日時とサーバが保持しているコンテンツの更新日時とを比較して、コンテンツの更新日時よりもサーバへ送られてきた日時データが古い場合には、更新前のコンテンツを提供する。このように、サーバにおけるコンテンツ更新のタイミングに応じて、適切なコンテンツをコンテンツ再生装置へ提供し、表示させることが可能となる。
【0131】
すなわち、コンテンツ再生装置でディスク上のプログラムを実行することにより、ネットワークへの接続要求が発生し、図9に示したようにしてサーバへの接続を行い、当該サーバからコンテンツデータやプログラムなどをダウンロードしてもらう場合には、当該サーバでは、上記ステップS14でコンテンツ再生装置から送信されてきた日時データを基に、ダウンロードするコンテンツデータやプログラムを選択して、コンテンツ再生装置へ送信する。
【0132】
視聴者がディスク上のコンテンツデータを再生し、鑑賞している最中に、サーバ上のコンテンツが更新されると、ストーリーに矛盾が生じる可能性がある。そのため、コンテンツ再生装置及びサーバを上記のような構成にすることで、サーバ側では、ディスク挿入日時または再生日時に応じて配信データを決定することで矛盾を回避することができる。
【0133】
(6) 以上説明したように、コンテンツ再生装置では、サーバ認証やサーバポリシーを取得し、取得したサーバポリシーにディスク認証が要求されている場合にはディスク認証を行い、さらに、図9に示したようなアクセス制御を行って、ネットワーク接続要求発生時に接続先のサーバを、コンテンツ再生装置に挿入されたディスクの特定領域に記録されたドメイン名に対応するサーバ(リダイレクトがあった場合には、最終のリダイレクト先のサーバ)のみに制限し、また、当該サーバへの接続方法を当該サーバから指定されている接続方法のみに限定し、さらに、当該サーバのポリシーによっては、当該サーバへ接続できるディスクをその正当性が検証されたディスクのみに限定することで、コンテンツ再生装置がDDoS攻撃などの踏み台となることを防いでいる。
【0134】
なお、本実施形態では、ディスクとサーバは1対1に対応し、ディスク上の特定領域に記憶されているサーバのドメイン名は1つであるとしたが、ディスク上の特定領域に複数のサーバのドメイン名からなるドメイン名リストが記憶されている場合には、上述の特定領域にドメイン名が1つ記憶されている場合と同様に、ディスク読み出し部12が特定領域から当該ドメイン名リストを読み込んで接続先管理部21の接続先管理テーブルに保持する。この場合、ドメイン名リストに記述されている各サーバの識別子に関して、上述のサーバ認証処理、サーバポリシー取得、ディスク認証処理、アクセス制御処理を行う。
【0135】
例えば、ディスク挿入時や、ネットワークへの接続要求が発生したときなどに、ディスク読み出し部12がディスクの特定領域から当該ドメイン名リストを読み込んで、接続先管理テーブルに記憶しておく(ステップS4)。
【0136】
上記サーバ認証(ステップS5〜ステップS11)は、読み出した直後に、ドメイン名リスト上の各ドメイン名について行うようにしてもよい。また、コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合に、当該ドメイン名に対応するサーバについて、上記サーバ認証を行うようにしてもよい。サーバ認証の結果、当該サーバの正当性が検証された場合には、さらにサーバポリシーを取得する。
【0137】
コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合、当該ドメイン名に対応するサーバのサーバ認証フラグが「1」で、且つ当該サーバから取得した、ディスク認証を要求するサーバポリシーがサーバポリシーテーブルに記憶されているとき、当該ドメイン名に対応するサーバ(リダイレクトがなされているときには最終のリダイレクト先のサーバ)へディスク認証を要求し、ディスク認証を行う(ステップS23〜ステップS34)。
【0138】
接続先管理部21は、ディスク検出部11でディスクの挿入が検出されたときに、当該ディスクの特定領域からドメイン名を読み出し、接続先管理テーブルに当該ドメイン名を記憶するが、その後、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、接続先管理テーブルから、当該ドメイン名およびリダイレクトがなされている場合には、リダイレクト先の全てのドメイン名を削除する。また、当該ディスクがコンテンツ再生装置100に挿入されている間に、ネットワーク接続要求が検知されて、接続先管理テーブルに記憶されているドメイン名に対応するサーバおよびリダイレクトがなされている場合にはリダイレクト先のサーバへ接続した後、何らかの理由で、当該サーバとの間の通信が切断した場合には、接続先管理テーブルから、全てのドメイン名を削除する。さらに、接続先管理テーブルに記憶されているサーバ認証フラグ及びディスク認証フラグが「1」であるときには、それらを「0」に書き換えてもよい。
【0139】
上記実施形態に係るコンテンツ再生装置によれば、プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から、アクセスを許可するサーバを示す識別子を読み出して、当該識別子に対応するサーバの正当性を検証する。正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信し、記録媒体の再生、実行中に接続要求が検知された場合には、受信されたサーバポリシーに従って、サーバへのアクセス制御を行うことにより、ディスクの再生・実行中に接続するサーバをディスク上の特定領域に記憶されたドメイン名に対応するサーバ(リダイレクトがなされた場合には最終のリダイレクト先のサーバ)に限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができる。
【0140】
ネットワーク上のサーバおよびディスクの正当性を検証するため、ディスク上のコンテンツに関連した映像情報を、インターネットを介して安心して取得、再生することが可能となる。また、接続できるサーバを限定することで、悪意を持って作成された危険なコンテンツが不特定多数のサーバへ接続することができなくなるため、DDoS攻撃の踏み台となることを避けることができる。このため、危険なコンテンツを再生することによる被害を回避するだけでなく、他のサーバへの攻撃の加害者となることも回避できる。
【0141】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フレキシブルディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0142】
例えば、映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、予め定められた特定の記憶領域に、ネットワーク上のサーバを示す識別子を記憶する記録媒体に記憶されたコンテンツデータを再生・実行する再生・実行手段(ディスク制御部1、再生・実行制御部3)、記憶手段、通信部4を備えたコンピュータに、ネットワークアクセス制御部2、ストレージ制御部6の機能を実現させるためのプログラムを、当該コンピュータが実行することにより、図1のコンテンツ再生装置が実現可能である。
【0143】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0144】
【図1】本発明の実施形態に係るコンテンツ再生装置の構成例を示した図。
【図2】サーバ認証処理動作(ディスク挿入時に行うサーバ認証)を説明するためのフローチャート。
【図3】サーバ認証に用いられる認証手順の一例を示した図。
【図4】リダイレクト回数の制限方法について説明するためのフローチャート。
【図5】ディスク認証処理動作を説明するためのフローチャート。
【図6】他のディスク認証処理動作を説明するためのフローチャート。
【図7】他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図8】さらに他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図9】ディスク再生時にネットワーク接続要求が発生したときのコンテンツ再生装置の処理動作を説明するためのフローチャート。
【図10】接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【図11】サーバポリシーを記憶するテーブルの一例を示した図。
【図12】リダイレクト処理について説明するための図。
【図13】2回リダイレクトした後の接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【図14】2回目にリダイレクト先のサーバから取得したサーバポリシーの記憶例を示した図。
【符号の説明】
【0145】
1…ディスク制御部、2ネットワークアクセス制御部、3…再生・実行制御部、4…通信部、5…ストレージ制御部、6…記憶装置、11…ディスク検出部、12…ディスク読み出し部、21…接続先管理部、22…接続先検証部、23…サーバ認証部、24…ディスク認証部、25…サーバポリシー管理部、100…コンテンツ再生装置、101…サーバ。
【技術分野】
【0001】
本発明は光ディスクなどの記録媒体に記録された映像・音声情報及びプログラムを含むコンテンツデータを再生・実行するコンテンツ再生装置に関し、特にネットワークを介してサーバに接続するコンテンツ再生装置に関する。
【背景技術】
【0002】
近年では、DVDやビデオCDなど、映像や音声等のデータを記録した光ディスクを再生する光ディスク再生装置が開発されている。これら装置は映画ソフトの鑑賞等に利用され一般に普及している。
【0003】
DVDは、情報記録媒体に記録された映像・音声情報を再生するディスクに関する規格であり、DVDフォーラムにより「DVD Specifications for Read−Only Disc Part 3: VIDEO SPECIFICATIONS」として1996年に発行された。この規格では、動画圧縮方式としてMPEG2方式をサポートし、音声圧縮方式としてMPEGオーディオ圧縮方式およびAC−3オーディオ圧縮方式をサポートしている。さらに、映画の字幕用などに用いるビットマップデータである副映像データや、早送り再生、早戻し再生等の制御データ(ナビパック)を規定している。
【0004】
一方、近年のインターネットの普及により、ネットワーク接続機能を有する映像情報装置が開発されている。たとえば、テレビ放送の受信、録画機能をもつ映像情報装置では、ネットワークを介して接続されたサーバから電子番組表のデータを受信し、その内容に基づいて録画する機能などが開発されている。
【0005】
上記ネットワーク接続機能を有する映像情報装置に関する従来技術として、特許文献1においては、DVD ビデオタイトルとインターネットで提供されるHTMLファイルとを融合させたサービスを行う画像表示装置が開示されている。この画像表示装置では、ナビパックから取り出したURLに基づいてインターネットに接続し、再生中のシーンに連動してHTMLコンテンツを表示することが可能となる。
【0006】
また、特許文献2では、単にHTMLコンテンツを表示するだけではなく、通信回線を介して接続されたサーバから取得した拡張情報により、表現能力の高い映像を再生するとともに、不特定多数の人がサーバに接続できないようにするため、光ディスク上のデータをサーバへ送ることで認証処理を行うことを特徴とする光ディスク装置が開示されている。
【0007】
しかしながら、特許文献1においてはネットワークを介してコンテンツを取得することによるセキュリティの問題については検討されておらず、特許文献2においては、サーバに接続できる光ディスク装置を制限するために認証処理を行っているだけであり、接続先のサーバから悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、光ディスク装置がDDoS(Distributed Denial of Service)攻撃の踏み台となる危険性に関する問題などについては考慮されておらず、セキュリティに関する検討が不十分であった。
【特許文献1】特開平11−161663号公報
【特許文献2】特開2004−79055号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
以上説明したように、従来のネットワーク接続機能有する映像情報装置では、サーバへ接続可能な映像情報装置を制限するために、ディスクの認証を行うことでディスクの正当性を保証しているだけである。従って、接続先のサーバから、悪意を持って作成された危険なコンテンツを取得する危険性に関する問題や、悪意を持って作成された危険なコンテンツを再生することで、映像情報装置がDDoS攻撃などの踏み台となる危険性に関する問題、サーバのセキュリティ確保などについては全く考慮されておらず、安心してネットワークへ接続できないという問題があった。
【0009】
そこで、本発明は、上記問題点に鑑み、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができるコンテンツ再生装置及び方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行するコンテンツ再生装置は、前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出して、記憶手段で記憶し、前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する。
【0011】
正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信する。
【0012】
第1のサーバポリシーを受信した場合には、第1のサーバポリシーにより指定されたサーバの正当性を検証し、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたときには、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証して、少なくとも(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続する。
【0013】
第2のポリシーを受信した場合には、正当性の検証されたサーバで、記録媒体上の記憶領域から読み出されたデータを用いて記録媒体の正当性を検証するために、当該サーバとの間で通信を行い、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたときには、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証して、(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記記録媒体から読み出された識別子に対応するサーバの正当性及び記録媒体の正当性が検証されたとき、前記接続要求を受けて、正当性の検証されたサーバへ接続する。
【0014】
第3のポリシーを受信した場合には、前記記録媒体から前記コンテンツデータの再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されると、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証するとともに、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証し、少なくとも(a)前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ(b)前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する。
【発明の効果】
【0015】
ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の実施形態について図面を参照して説明する。
【0017】
図1は本発明の一実施形態に係る、記録媒体に記録されたコンテンツデータを再生するコンテンツ再生装置の構成例を示したものである。ここでは、記録媒体が、光ディスクなどのディスクの場合を例にとり、ディスクに記録されたコンテンツデータを再生するコンテンツ再生装置について説明する。
【0018】
ディスクには、映像・音声データや、例えば、XML(Extensible Markup Language)などの言語を用いて一連の処理手順を記述した実行可能なプログラム(スクリプト)などを含むコンテンツデータが記録されている。コンテンツ再生装置は、上記コンテンツデータの記録されたディスクが挿入されて、当該ディスクに記録された映像・音声データの再生機能、プログラムの実行機能、及びインターネットなどの所定のネットワークへの接続機能を有する。ディスクに記録されているプログラムには、接続先のサーバの識別子(例えば、ドメイン名)と、当該サーバと通信を行う際に用いる通信プロトコルの種別やポート番号、当該サーバへ当該コンテンツ再生装置を接続する処理を含むプログラムも含まれている。ディスクに記憶されているプログラムにより、映像・音声データの再生する際に用いるデータやプログラムなどを当該サーバ(当該プログラムに含まれている識別子に対応するサーバで、当該ディスクが正当なものであるならば、このサーバは、ディスクの特定領域に記憶されている識別子に対応するサーバである)からダウンロードするようになっている。
【0019】
本実施形態において、コンテンツデータを記録媒体(例えばディスク)に記録して販売・供給する事業者(distributor)から提供される正当なディスクに記録されているコンテンツデータには、その種類毎(コンテンツのタイトル毎)に、ネットワーク上に1つのサーバが設けられている。すなわち、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバの識別子(例えば、ここではドメイン名)は、当該ディスクの予め定められた特定領域に記録されている。
【0020】
また、コンテンツデータの種別に対応するサーバは1つの場合もあれば、複数の場合もある。後者の場合には、ディスクの特定領域には複数のサーバの識別子が記録されている。
【0021】
ディスク上のコンテンツデータ(プログラムを含む)が改竄されてなく、しかも、当該ディスクの特定領域に記憶されているサーバが正当なものである場合には、正当な(改竄されていない)ディスク上の特定領域に記憶されているサーバの識別子は、当該ディスク上のコンテンツデータに対応する予め定められたサーバであり、当該ディスク上のプログラムに含まれる接続先のサーバの識別子は、当該ディスクの特定領域に記憶されている識別子(複数の識別子が記憶されている場合には、そのいずれか1つ)に等しい。
【0022】
<構成>
図1に示すように、コンテンツ再生装置は、ディスク制御部1、ネットワークアクセス制御部2、再生・実行制御部3、通信部4、ストレージ制御部5を含む。
【0023】
ディスク制御部1は、ディスクが挿入されたことを検出し、ディスクに記録された情報を読み出す。再生・実行制御部3は、ディスク制御部1で読み出された映像・音声データやプログラムを再生・実行する。通信部4は、ネットワークを介してサーバと通信を行うためのものである。
【0024】
ネットワークアクセス制御部2は、再生・実行制御部3で現在再生されているディスク(当該ディスクに記録されているコンテンツデータ)に対応するサーバ101へアクセスするための制御を行うとともに、サーバ認証(後述)やサーバポリシーの管理(後述)およびディスク認証(後述)を行う。ネットワークアクセス制御部2は、接続先管理部21、接続先検証部22、サーバ認証部23、ディスク認証部24、サーバポリシー管理部25を含む。
【0025】
ストレージ制御部5は、コンテンツ再生装置に挿入されているディスクやネットワーク(サーバ101)から取得したデータ(映像・音声データやプログラムなどを含む)を、所定の記憶装置6に記憶するための制御を行う。
【0026】
以下、図1のコンテンツ再生装置の処理動作について説明する。
【0027】
本実施形態では、正当なディスクに記録されているコンテンツデータの種類とサーバとは1対1に対応付けられている。ディスクに記録されているコンテンツデータに対応するサーバのドメイン名は、当該ディスクの予め定められた特定領域に記録されている。
【0028】
コンテンツ再生装置がディスクを再生しているときにアクセスできるサーバを、当該ディスクの特定領域に記憶されているドメイン名に対応するサーバのみに限定するために、コンテンツ再生装置はサーバへアクセスする前に、当該サーバが、ディスク上の特定領域に記憶されているドメイン名に対応する正当なサーバであるか否かを検証するために、サーバ認証を行う。
【0029】
また、ディスクに記録されているコンテンツデータ(特にコンテンツデータに含まれるプログラム)が改竄されている場合に、コンテンツ再生装置が改竄されているプログラムを実行して、不正なサーバへアクセスすることを防止するために、コンテンツ再生装置は、上記サーバ認証を行った後、サーバからの要求に応じて(サーバポリシーに従って)ディスクの正当性を検証するためのディスク認証を行う。
【0030】
さらに、本実施形態のコンテンツ再生装置では、上記サーバ認証により正当性の検証されたサーバから、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバを指定するサーバポリシー(リダイレクト)、ディスクに記録されたコンテンツデータやプログラムの再生・実行中に接続するサーバへの接続方法(通信プロトコルの種別やポート番号など)を指定するサーバポリシー、ディスクに記録されたコンテンツデータやプログラムの再生・実行中にサーバへ接続できるディスクを正当性の検証されたディスクに限定することを示すサーバポリシーなどを取得し、この取得されたサーバポリシーに従って、リダイレクト、サーバへの接続方法の制限、ディスク認証などの制御を行うようになっている。
【0031】
正当性の検証されたサーバから取得されるサーバポリシーは、当該サーバがどのような方針でアクセスを許可するかを示したものである。
【0032】
上記サーバ認証およびサーバポリシーの取得は、コンテンツ再生装置にディスクが挿入されたとき、あるいは、コンテンツ再生装置にディスクが挿入された後、(例えば、当該ディスクに記録されているプログラムを実行することにより)サーバ(ネットワーク)へのアクセス要求が(最初)に発生したときに行う。
【0033】
(1)コンテンツ再生装置にディスクが挿入されたときに、サーバ認証およびサーバポリシーの取得を行う場合について、図2に示すフローチャートを参照して説明する。
【0034】
(1−1)サーバ認証
図2に示すように、コンテンツ再生装置100にディスクが挿入されると(ステップS1)、ディスク検出部11が、ディスクの挿入を検出する(ステップS2)。これを受けて、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。読み出されたドメイン名はネットワークアクセス制御部2の接続先管理部21に通知される。接続先管理部21は、通知されたドメイン名を接続先管理部21内のメモリに記憶されている図10に示すような接続先管理テーブルに記録する(ステップS4)。なお、当該ディスク上に特定領域内に、ドメイン名が空であることを示すデータ(例えば「0」)が記憶されている場合には、サーバ認証を行わない、従って、以後、当該ディスクを再生しているときに、ネットワークへの接続要求が発生しても、ネットワークへのアクセスは行わない。
【0035】
接続先管理部21は、当該ディスクがコンテンツ再生装置100に挿入されている間だけ、ドメイン名を接続先管理テーブルに記憶しておく。このため、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、図10に示した接続先管理テーブルから、ステップS4で記憶したドメイン名を削除する。
【0036】
さて、ステップS4で、当該ディスクの特定領域から読み出されたドメイン名が、接続先管理テーブルに記憶されると、サーバ認証部23が、当該ドメイン名に対応するサーバの認証処理を開始する。この場合、まず、通信部4は、当該ドメイン名に対応するIPアドレスを所定のDNS(Domain name system)サーバから取得する(ステップS5)。サーバ認証部23は、この取得されたIPアドレスを用いて、ネットワークへアクセスし、当該ドメイン名に対応するサーバの証明書を取得するための認証処理を行う(ステップS6)。
【0037】
ネットワークを介してサーバを認証する方式は、例えば、インターネット上のWWW(World Wide web)などで広く用いられているSSL(Secure Socket Layer)/TLS(Transport layer security)により行う。SSL/TLSは、公開鍵暗号方式に基づく認証方式であり、クライアントは、ルート認証局と呼ばれる認証機関により認証されたサーバ証明書を受け取り、その内容を確認することでサーバの正当性を保証する方式である。さらに、SSL/TLSは、クライアントとサーバの双方でデータの暗号化を行い通信する処理手順が規定されており、ネットワーク上での傍受によるデータ改竄などを防ぐことができる。
【0038】
SSL/TLSでは、図3に示すような手順で証明書をやり取りする方式が規定されている。すなわち、まず、クライアント(コンテンツ再生装置100)から、使用可能な暗号アルゴリズムのリストなどを含む、ClientHelloメッセージをサーバ(サーバ101)へ送信する(ステップS501)。次に、サーバは、当該リスト中の暗号アルゴリズムのうち使用したい暗号アルゴリズムを示した情報を含む、ServerHelloメッセージをクライアントへ送信する(ステップS502)。その後、サーバの証明書を含むCertificateメッセージをクライアントへ送信し(ステップS503)、ServerHelloDoneメッセージを送信することにより、証明書の送信を終了する(ステップS504)。
【0039】
クライアントは、サーバから送信された証明書から取得したサーバの公開鍵を使って共通鍵を暗号化し、暗号化された共通鍵を含むClientKeyExchangeメッセージをサーバへ送信する(ステップS505)。次に、メッセージの改竄を防ぐためにこれまでのメッセージのダイジェストを計算して、当該ダイジェストを含むFinishedメッセージをサーバへ送信する(ステップS506)。一方、サーバは共通鍵を取得し、クライアントと同様にメッセージのダイジェストを計算してクライアントへ送信する(ステップS507)。
【0040】
図3において、クライアントをコンテンツ再生装置100とすることで、コンテンツ再生装置100は、ステップS503で、ディスクの特定領域から読み出されたドメイン名に対応するサーバの証明書(サーバ証明書)を取得する(ステップS7)。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名を照合する(ステップS8)。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定される。接続したサーバ名と、サーバ101から取得したサーバ証明書に含まれるサーバ名とが一致しない場合には、サーバの認証が失敗したと判定される。
【0041】
サーバ認証部23は、接続管理部21に記憶されている図10に示した接続先管理テーブルに、サーバの認証が成功したか否かを示すサーバ認証フラグの値を記録する。サーバの認証が成功した場合には(ステップS9)、サーバ認証フラグの値を「1」とする(ステップS10)。サーバ認証が失敗した場合には(ステップS10)、サーバ認証フラグの値を「0」とする(ステップS11)。
【0042】
サーバ認証フラグが「1」の間は、サーバ101が正当であることを示すので、サーバの正当性を確認できなくなった場合は、サーバ認証フラグの値を「0」に戻す。例えば、サーバ認証の成功したサーバとの間の通信セッションが切断された場合や、予め定められた一定時間が経過した場合に、サーバ認証部23は、サーバ認証フラグの値を「1」から「0」に書き換える。
【0043】
図2のステップS6の認証処理は、SSL/TLSの代わりに、公開鍵暗号方式に基づく独自の認証処理であってもよい。この場合の処理手順について説明する。
【0044】
まず、ディスク制御部1のディスク読み出し部12が、ディスクに予め記憶されている公開鍵を読み出し、所定のメモリへ記憶する。次に、サーバ認証部23は、証明書の送信をサーバに要求する。要求を受け取ったサーバは、当該サーバがもつ秘密鍵で証明書を暗号化し、コンテンツ再生装置に送信する。サーバ認証処理部23は、証明書を受け取ると、上記公開鍵で証明書を復号し、この復号された証明書に含まれるサーバ名と、接続したサーバ名を照合する。両者が一致し、サーバの認証が成功した場合には、当該サーバ101は、コンテンツ再生装置100に挿入されているディスクの特定領域に記憶されているドメイン名に対応する正当なサーバであると判定され、サーバ認証フラグ「1」が記憶される。接続したサーバ名と、復号された証明書に含まれるサーバ名が一致しない場合には、サーバの認証が失敗したと判定され、サーバ認証フラグ「0」が記憶される。
【0045】
サーバの証明書の内容に、例えば当該サーバのドメイン名が含まれていると、正当なサーバに接続していることを確認できる。
【0046】
上記のようなサーバ認証が失敗した場合には、以後、コンテンツ再生装置でディスク上のコンテンツを再生している間にネットワークへの接続要求が発生しても、ネットワークへの接続は行われない。
【0047】
上記のようなサーバ認証が成功することにより、当該サーバが、ディスクの特定領域に記録されていたドメイン名に対応する正当なサーバであることが保証され、コンテンツ再生装置から接続できるサーバを、接続先管理テーブルに記憶されているドメイン名に対応するサーバに限定することができるようになる。
【0048】
サーバ認証が成功すると、次に、サーバポリシー管理部25は、サーバ認証の成功したサーバ(接続先管理テーブルにドメイン名が記憶されているサーバ)からサーバポリシーを取得するためのサーバポリシー取得処理を行い、サーバポリシーを確認する。サーバポリシーとして、他サーバへの接続(リダイレクト)要求がある場合は、後述するリダイレクト処理を行う。また、サーバポリシーとしてディスク認証要求がある場合は、後述のディスク認証を行う。以下サーバポリシー取得処理について説明する。
【0049】
(1−2)サーバポリシーの取得
接続先管理テーブルにドメイン名が記憶されているサーバについて、上記サーバ認証が完了し、且つサーバの正当性が確認できた(サーバ認証が成功した)場合(サーバ認証フラグが「1」の場合)には(図2のステップS12)、当該サーバのポリシーを取得するためにネットワークアクセス制御部2のサーバポリシー管理部25は、サーバポリシー要求メッセージを通信部4を介してサーバへ送信する(ステップS14)。
【0050】
なお、サーバのドメイン名が接続先管理テーブルに記憶されていない場合、サーバ認証フラグが「0」の場合には、以後、ネットワークへのアクセスは行わない(ステップS13)。
【0051】
ステップS14で送信されたサーバポリシー要求を受け取ったサーバは、当該サーバがどのような方針でアクセスを許可するかを示すサーバポリシー(例えば、ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー(ディスク認証の有無を示すサーバポリシー)、通信プロトコルの種別およびポート番号などのサーバへの接続方法を指定して、指定された接続方法による接続に対し許可するというサーバポリシー(接続方法に関するサーバポリシー)、他のサーバを指定して、当該サーバへの再接続を指示するサーバポリシー(リダイレクトに関するサーバポリシー)などの複数のサーバポリシーのうちの少なくとも1つ)をコンテンツ再生装置へ送信する(ステップS15)。
【0052】
サーバポリシーを受け取ったサーバポリシー管理部25は、その内容を解析し、図11に示すように、項目ごとにサーバポリシーテーブルへ保存する(ステップS16)。サーバポリシー管理部25は、保存されたサーバポリシーテーブルの内容に基づきサーバポリシーに従った制御を行う。本実施形態では、ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー、ソケットや、通信プロトコルの種別およびポート番号などのサーバへの接続方法を指定して、指定された接続方法による接続に対し許可するというサーバポリシー、他のサーバを指定して、当該サーバへの再接続(リダイレクト)を指示するサーバポリシーについて、以後詳細に説明する。
【0053】
(1−3)他のサーバへの接続(リダイレクト処理)
上記サーバポリシーの取得処理により、他のサーバへの接続指示がサーバから返された場合の処理について、図2及び図12を参照して説明する。
【0054】
記録媒体の特定領域に最初のサーバのドメイン名を記録して記録媒体が頒布されたが、その後、当該ドメイン名のサーバが移転して、他のドメイン名に変更された場合や、移転した先のサーバからさらに他のドメイン名のサーバへ移転した場合などに、元のサーバからリダイレクトを要求するサーバポリシーが返される。
【0055】
図12(a)において、サーバポリシー管理部25は、ディスクの特定領域に記憶されていたドメイン名に対応するサーバ(第1のサーバ)から、サーバポリシーを取得すると(図2のステップS15)、このサーバポリシーをサーバポリシーテーブルに記憶する(図2のステップS16)。この取得されたサーバポリシーに、他のサーバ(第2のサーバ)のドメイン名を含み当該ドメイン名に対応する第2のサーバ(リダイレクト先サーバ)への接続を指示するサーバポリシーが含まれていると(図2のステップS17)、接続先管理テーブルのドメイン名欄に、当該サーバポリシーに含まれる第2のサーバのドメイン名を追加する(図2のステップS4)。
【0056】
なお、この場合、第1のサーバから取得されるサーバポリシーには、ディスク認証が不要であることを示すサーバポリシー、接続方法の指定がないことを示すサーバポリシーが含まれていてもよい。あるいは、これらディスク認証、接続方法、リダイレクトに関するサーバポリシーのうち、リダイレクトに関するサーバポリシーのみ、すなわち、第2のサーバのドメイン名を含み、リダイレクト有りを示すサーバポリシーのみが含まれていてもよい。
【0057】
次に、図12(b)に示すように、サーバ認証部23は、接続先管理テーブル中の最新のドメイン名に対応するサーバ、すなわち、第2のサーバに接続し、図2のステップS5〜ステップS11と同様にサーバ認証処理を行う。この後で、サーバポリシー管理部25は、当該第2のサーバのサーバ認証が成功した場合には(ステップS12)、第2のサーバからサーバポリシーを取得し(図2のステップS14〜ステップS15)、これをサーバポリシー管理部25のサーバポリシーテーブルへ記憶する(ステップS16)。
【0058】
第2のサーバから取得したサーバポリシーに、さらに他のサーバ(第3のサーバ)への接続を指示するサーバポリシーが含まれる場合は(図2のステップS17)、サーバポリシー管理部25は、接続先管理テーブルのドメイン名欄に、当該サーバポリシーに含まれる第3のサーバのドメイン名を追加する(図2のステップS4)。
【0059】
そして、図12(c)に示すように、サーバ認証部23は、接続先管理テーブル中で最新のドメイン名に対応する第3のサーバへ接続し、図2のステップS5〜ステップS11と同様にサーバ認証処理を行う。この後で、当該他のサーバのサーバ認証が成功した場合には(ステップS12)、サーバポリシー管理部25は、第3のサーバからサーバポリシーを取得し(図2のステップS14〜ステップS15)、第3のサーバのサーバポリシーをサーバポリシー管理部25のサーバポリシーテーブルへ記憶する(ステップS16)。
【0060】
なお、第2のサーバから取得したサーバポリシーに、リダイレクト無を示すサーバポリシーが含まれているとき、すなわち、さらに他のサーバ(第3のサーバ)への接続を指示するサーバポリシーが含まれていない場合には(図2のステップS17)、当然のことながら、その後の第3のサーバへの接続及び第3のサーバのサーバ認証、サーバポリシーの取得処理等は行わない。
【0061】
さて、図12(a)〜(c)に示すように、リダイレクトを2回行った場合の接続先管理テーブルには、図13に示すように、第1乃至第3のサーバのドメイン名と、リダイレクトの有無(リダイレクト有りの場合には「1」、無しの場合には「0」)や、図2のステップS5〜ステップS11のサーバ認証処理において、成功/失敗を示すサーバ認証フラグが記憶されている。
【0062】
なお、図12(a)において、第1のサーバから取得されたサーバポリシーは、第2のサーバへのリダイレクトを指示するサーバポリシーであり、ディスク認証を要求するサーバポリシーや接続方法を指示するサーバポリシーは取得されなかったので、ディスク認証は行われない(図13(a)参照)。
【0063】
同様に、図12(b)において、第2のサーバから取得されたサーバポリシーは、第3のサーバへのリダイレクトを指示するサーバポリシーであり、ディスク認証を要求するサーバポリシーや接続方法を指示するサーバポリシーは取得されなかったので、ディスク認証は行われない(図13(b)参照)。
【0064】
図12(c)において、第3のサーバから取得されたサーバポリシーは、リダイレクトを指示するサーバポリシーはなく、ディスク認証を要求するサーバポリシーおよび接続方法を指示するサーバポリシーが取得されたので、ディスク認証が行われ、ディスク認証フラグが「1」となっている(図13(c)参照)。
【0065】
図14は、図12(a)〜(c)に示すように、リダイレクトを2回行った場合に、第3のサーバから取得され、サーバポリシーテーブルに記憶されたサーバポリシーの一例を示したものである。
【0066】
図14に示すように、第3のサーバから取得したサーバポリシーには、リダイレクト不要、接続方法については、プロトコルがTCPの場合はポート番号「21」、プロトコルがUDPの場合にはポート番号「111」が指定されている。また、ディスク認証が必要であるというサーバポリシーが含まれている。
【0067】
なお、リダイレクトを指示するサーバポリシーの場合には、サーバポリシーテーブルの「リダイレクト」の項目には「1」が記憶され、リダイレクトが指示されていない、あるいは不要である旨のサーバポリシーの場合には、サーバポリシーテーブルの「リダイレクト」の項目には「0」が記憶される。
【0068】
また、ディスク認証が必要であるというサーバポリシーの場合には、サーバポリシーテーブルの「ディスク認証」の項目には、「1」が記憶され、ディスク認証が不要であるというサーバポリシーの場合には、サーバポリシーテーブルの「ディスク認証」の項目には、「0」が記憶される。
【0069】
(1−4)リダイレクト回数の制限
上記リダイレクト処理では、サーバから返されたリダイレクト先のサーバへ無条件に接続するため、リダイレクトの連鎖が何回も続く可能性がある。例えば、最初に第1のサーバへ接続後第2のサーバへリダイレクトされ、第2のサーバはさらに第3のサーバへリダイレクトするような状況ではリダイレクトの連鎖が無限に続くことになる。このような問題を回避するため、リダイレクトの回数を制限してもよい。以下、リダイレクト回数の制限方法について、図4に示すフローチャートを参照して説明する。なお、図4において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0070】
図2のステップS17に対応する図4のステップS17で、取得したサーバポリシーからリダイレクト先を取得すると、ディスクを挿入後のリダイレクト回数を保持しているサーバポリシー管理部25に備えられたリダイレクトカウンタの値と、サーバポリシー管理部25にあらかじめ保持されている最大リダイレクト数とを比較する(図4のステップS18)。リダイレクトカウンタの値が最大リダイレクト数以下の場合には、接続先管理テーブルへリダイレクト先サーバのドメイン名を追加し(図4のステップS4)、リダイレクト先サーバへ接続を行う(ステップS5〜ステップS16)。リダイレクト先サーバの認証が成功し、当該サーバからサーバポリシーを取得した後、リダイレクトカウンタの値を「1」だけ増やす(ステップS19)。ステップS18において、リダイレクトカウンタの値が最大リダイレクト数を超える場合には、リダイレクト先サーバへの接続は行わず、接続先管理テーブルとサーバポリシーテーブルをクリアし、ネットワーク接続を行わない(ステップS20)。
【0071】
(1−5)ディスク認証
ディスク認証では、コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータが正当なものであるか否かがチェックされる。ディスク認証を行うことにより、改竄されたコンテンツデータ(特に、改竄された不正なプログラム)がディスクに記録されている場合には、当該不正なプログラムを実行することにより上記正当なサーバへアクセスすることを回避することができる。
【0072】
ディスク認証は、図2や図4のステップS14〜ステップS16の処理で、サーバ認証の成功したサーバから取得されたサーバポリシーに、ディスク認証が必要であることを示すサーバポリシー(ディスク認証により正当性の検証されたディスクからのアクセスを許可するというサーバポリシー)が含まれている場合に行われる。
【0073】
以下、図5に示すフローチャートを参照してディスク認証処理について説明する。
【0074】
図2に示したようなサーバ認証が成功し、上記サーバポリシー取得処理後、ディスク認証の要求がある場合(サーバポリシーテーブルの「ディスク認証」の項目に対応する値がが「1」である場合)、ディスク認証部24は、接続先管理テーブルにドメイン名が記憶されているか否か、サーバ認証が成功したか否かを確認する(ステップS21)。接続先管理テーブルにドメイン名が記憶されていない場合、サーバ認証フラグが「0」である場合には(ステップS21)、以後のディスク認証処理を行わない。従って、ネットワークへのアクセスも行うことはできなくなる(ステップS22)。
【0075】
接続先管理テーブルにドメイン名が記憶されており、且つ、サーバ認証フラグが「1」であるときには(ステップS21)、通信部4を介して、接続先管理テーブルに記憶されているドメイン名に対応するサーバに対してディスクの認証要求を送信する(ステップS23)。
【0076】
ディスク認証要求を受信したサーバは、ディスク上のディスクが識別できるデータが記録されている記録領域をランダムに選択する(ステップS24)。ここでは、1つのみならず複数の記録領域が選択されてもよい。そして、コンテンツ再生装置に対し、当該選択された記録領域に記録されているデータのハッシュ値を送信するよう要求する(ステップS25)。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0077】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出し(ステップS26)、読み出されたデータのハッシュ値を計算する(ステップS27)。
【0078】
求めたハッシュ値はサーバへ送信される(ステップS28)。
【0079】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、このディスク上の上記ステップS24で選択された記録領域から、データを読み出し、ハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較し(ステップS29)、両者が不一致である場合(ディスク認証が失敗した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されている可能性があると判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信する(ステップS31)。
【0080】
サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、現在コンテンツ再生装置に挿入されているディスクに記録されているコンテンツデータは改竄されていないと判定される。この場合、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信する(ステップS33)。
【0081】
コンテンツ再生装置100は、サーバからアクセス許可通知/アクセス不許可通知を受信すると、ディスク認証部24は、受信した通知の内容を基に、接続管理部21に記憶されている図13に示した接続先管理テーブルに、ディスク認証が成功したか否かを示すディスク認証フラグの値を記録する。アクセス許可通知を受信し、ディスク認証が成功した場合には、ディスク認証フラグの値を「1」とする(ステップS34)。アクセス不許可通知を受信し、ディスク認証が失敗した場合には、ディスク認証フラグの値を「0」とする(ステップS32)。
【0082】
上記ディスク認証処理では、サーバが、当該サーバに対応するコンテンツデータの記録されているディスクについて、ディスクが識別できるデータが記録されている記録領域をランダムに選択し、コンテンツ再生装置から送信された、当該選択された記録領域内のデータのハッシュ値を用いて、当該記録領域内のデータが改竄されているか否かを判定している。
【0083】
このようなディスク上の任意の記録領域内のデータを用いてディスク認証を行う代わりに、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域内のデータ(プログラム)を用いた、他のディスク認証処理について、図6に示すフローチャートを参照して説明する。なお、図6において、図5と同一部分には同一符号を付し、異なる部分についてのみ説明する。
【0084】
すなわち、図5のステップS24が、図6ではステップS24a及びステップS24bに置き換えられ、図5のステップS25が図6ではステップS25aに置き換えられ、図5のステップS27が、図6ではステップS27aに置き換えられ、図5のステップS29が、図6ではステップS29aに置き換えられている。
【0085】
図6のステップS24aでは、サーバがディスク認証要求を受信すると、改竄されると他に危害を及ぼす可能性のあるプログラムの記録されているディスク上の記録領域を選択する。この場合、サーバは、当該サーバに対応するコンテンツデータの記録されているディスクについて、プログラム(改竄されると他に危害を及ぼす可能性のあるプログラム)の記録されている記録領域がどこであるかを予め記憶している。そして、プログラムの記録されている記録領域のうちの少なくとも1つを選択する。複数の記録領域を選択してもよい。
【0086】
次に、ステップS24bでは、サーバは、ランダムなデータ系列を生成する。そして、ステップS25aでは、コンテンツ再生装置100に対し、この生成されたデータ系列と、ステップS24aで選択した記録領域に記録されているデータ(プログラムデータ)とから計算されるハッシュ値を送信するよう要求する。このとき、予め定められたアルゴリズムを用いて、暗号化してから送信するよう要求してもよい。
【0087】
コンテンツ再生装置100が、この送信要求を受信すると、ディスク認証処理部24は、サーバにより指定された記録領域のデータをディスク制御部1を介してディスクから読み出す(ステップS26)。ステップS27aでは、この読み出されたデータとサーバから送られてきたデータ系列とを連結して、読み出されたデータとサーバから送られてきたデータ系列を含むデータ全体のハッシュ値を計算する。求めたハッシュ値はサーバへ送信される(ステップS28)。
【0088】
サーバは、当該サーバに対応するコンテンツデータの記録されている正当なディスクを備えている。ハッシュ値を受信したサーバは、ステップS29aにおいて、このディスク上の上記ステップS24aで選択された記録領域からデータを読み出し、読み出したデータと、ステップS24bで生成したデータ系列を連結して、読み出したデータとステップS24bで生成したデータ系列を含むデータ全体のハッシュ値を計算する。そして、この計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とを比較する(ステップS29)。その後、図5と同様で、両者が不一致である場合(ディスク認証が失敗した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス不許可通知を送信し(ステップS31)、コンテンツ再生装置は、ディスク認証フラグを「0」にする(ステップS32)。サーバで計算されたハッシュ値とコンテンツ再生装置から受信したハッシュ値とが一致する場合(ディスク認証が成功した場合)には、サーバは、コンテンツ再生装置100に対し、アクセス許可通知を送信し(ステップS33)、コンテンツ再生装置は、ディスク認証フラグを「1」にする(ステップS34)。
【0089】
上記ディスク認証は、当該ディスクがコンテンツ再生装置から取り出されるまで有効となる。すなわち、当該ディスクがコンテンツ再生装置から取り出されたら、ディスク認証フラグを「0」に書き変える。
【0090】
上記説明では、ディスク認証フラグの値によってディスク認証が有効かどうかを判定したが、別の方式として、サーバから指定された有効期間(ディスクの正当性を保証する期間)とセッション識別子を用いる方式を以下に説明する。これは、通信プロトコルとして、例えばHTTP(Hyper Text Transfer Protocol)を用いた場合、Cookieを使うことにより実現可能である。
【0091】
図5および図6のステップS33で、サーバはアクセス許可通知とともに、有効期間(例えば「300秒」と指定する)とセッション識別子(例えばサーバが生成したコンテンツ再生装置を識別するためのランダム文字列)をディスク認証処理部24へ送信する。ディスク認証処理部24は、接続管理部24に記憶されている接続先管理テーブルに、サーバから送られた有効期間とセッション識別子を保存する。以降、図9に示すようにして、ステップS54においてサーバと通信する場合、このセッション識別子をサーバへの通信データに付加することで、サーバは、ディスク認証が行われていることが確認できる。サーバは、セッション識別子が付加されていない通信データがコンテンツ再生装置から送られてきても、それを拒否する。
【0092】
ディスク認証処理部24は、保存された有効期間を経過した場合やコンテンツ再生装置の操作(例えば、利用者によりディスクが取り出されたり、再生中のコンテンツが停止された場合)に応じて、保存されている有効期間の値を「0」とし、セッション識別子を削除するとき、ディスク認証フラグを「1」から「0」に更新するようにしてもよい。
【0093】
保存されている有効期間が経過した後や、上記予め定められたユーザ操作により有効期間が「0」になった後は、有効期間が「0」になったことを契機に、あるいは、コンテンツデータの再生・実行中にネットワークへの接続要求が発生したことを契機に、再び、上記ディスク認証を行う。
【0094】
また、保存したセッション識別子が削除された場合には、図9のステップS54においてサーバと通信することはできないため、再び、ディスク認証を行う。
【0095】
このように、上記有効期間を用いる場合には、コンテンツデータの再生・実行中に発生した接続要求を受けて、サーバに接続するためには、図9のステップS53bにおいて、有効期間が「0」でないことが条件として加わる。また、セッション識別子を用いる場合には、図9のステップS53bにおいて、セッション識別子が保存されていることが条件として加わる。
【0096】
なお、本実施形態では、1つのサーバはある1つのコンテンツに対応するディスク認証処理を行うとして説明したが、1つのサーバで複数のディスク認証処理を行うことも可能である。その場合、例えば、ディスクまたはコンテンツを一意に特定する識別子をディスク上に格納しておき、ディスク認証時にその識別子をディスクから読み込んでサーバへ送信することで、サーバはどのディスクかを特定することができる。
【0097】
(2)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合について、図7に示すフローチャートを参照して説明する。なお、図7において、図2と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図2のステップS2が図7ではステップS41に置き換えられている。
【0098】
図2に示すサーバ認証では、ステップS2で、ディスクがコンテンツ再生装置に挿入されたことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。
【0099】
一方、図7に示すサーバ認証では、ステップS41で、ディスクがコンテンツ再生装置に挿入された後、例えば、当該ディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)へのアクセス要求が(最初)に発生したことを契機に、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。その後の処理動作は、図2のステップS4からステップS17までの処理動作と同様である。
【0100】
図7のサーバ認証処理を行った後に、取得したサーバポリシーに、ディスク認証が要求されている場合には、図5あるいは図6に示したようなディスク認証を行う。
【0101】
なお、図7の処理動作に、リダイレクト回数を制限するための図4に示す処理動作を組み合わせてもよい。
【0102】
(3)コンテンツ再生装置にディスクを挿入した後、サーバ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証及びディスク認証を行う場合の他の例について、図8に示すフローチャートを参照して説明する。なお、図8において、図2及び図7と同一部分には同一符号を付し、異なる部分についてのみ説明する。すなわち、図8では、図2と同様に、ディスクのコンテンツ再生装置への挿入を検出したことを契機に(ステップS2)、ディスク読み出し部12は、当該ディスク上の予め定められた特定領域から、接続先のドメイン名を読み出す(ステップS3)。そして、読み出されたドメイン名は、接続先管理部21内のメモリに記憶されている図10に示すような接続先管理テーブルに記録される(ステップS4)。ここまでは、図2と同様である。
【0103】
図8において、図2と異なるのは、サーバ認証部23のステップS5〜ステップS11までの処理と、サーバポリシー管理部25のステップS14〜ステップS17,およびステップS4の処理は、図8ではステップS41〜ステップS43までの処理を行った後であるという点である。すなわち、ディスク検出部11で、ディスクがコンテンツ再生装置へのディスクの挿入が検出され、当該ディスクの特定領域から読み出されたドメイン名が接続先管理テーブルに記録される(図8のステップS1〜ステップS4)。その後、コンテンツ再生装置に挿入されたディスクに記録されているプログラムを実行することにより、サーバ(ネットワーク)への接続要求が(最初)に発生すると、すなわち、接続要求が再生・実行制御部3から出力されると(図8のステップS41)、当該接続要求が、ネットワークアクセス制御部2の接続先検証部22により検出される。接続先検証部22は、当該プログラムにより指定されている接続先のドメイン名を取得する(ステップS42)。
【0104】
ディスクに記録されているプログラムを実行することにより再生・実行制御部3で発生する接続要求には、当該プログラムに含まれる接続先のドメイン名が含まれている。接続先検証部22は、この接続要求に含まれる接続先のドメイン名を取得する。
【0105】
次に、接続先検証部22は、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とを比較し(ステップS43)、両者が一致した場合に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。その後、サーバポリシー管理部25が、ステップS12〜ステップS17、およびステップS4´に示すようなサーバポリシーの取得処理を行う。
【0106】
なお、ステップS4´では、取得したサーバポリシーに、リダイレクトを指示するポリシーが含まれている場合に、当該サーバポリシーからリダイレクト先のサーバのドメイン名を接続先管理テーブルに記憶する。
【0107】
ステップS43において、取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが異なる場合には、ここで処理を中止し、サーバ認証部23でのサーバ認証処理(ステップS5〜ステップS11)、サーバポリシー管理部25でのサーバポリシー取得処理(ステップS12〜ステップS17,ステップS4´)を行わない。その結果、コンテンツ再生装置100は、ネットワークへの接続は行わない。
【0108】
取得したドメイン名と接続先管理テーブルに記録されているドメイン名とが一致した場合には、図2と同様に、サーバ認証部23が、接続管理テーブルに記録されているドメイン名に対応するサーバの認証処理(ステップS5〜ステップS11)を開始する。すなわち、サーバ認証部23は、接続管理テーブルに記録されているドメイン名に対応するサーバから証明書を取得し(ステップS5〜ステップS7)、この取得した証明書と、サーバ認証部23に予め記憶されている証明書が一致し、サーバの認証が成功した場合には、サーバ認証フラグ「1」を接続管理テーブルに記憶する(ステップS8〜ステップS10)。また、取得した証明書と、サーバ認証部23に予め記憶されている証明書が異なる場合には、サーバ認証フラグ「0」を接続管理テーブルに記憶する(ステップS8、ステップS9,ステップS11)。
【0109】
その後、サーバポリシー管理部25が、サーバからサーバポリシーを取得し(ステップS12〜ステップS15)、サーバポリシーテーブルに記憶する(ステップS16)。取得したポリシーに、リダイレクトを指示するサーバポリシーが含まれている場合には(ステップS17)、当該ポリシーに含まれているリダイレクト先のサーバのドメイン名を接続先管理テーブルに記憶し(ステップS4´)する。そして、サーバ認証部23は、ステップS4´で記憶した最新のドメイン名に対応するサーバに対して、サーバ認証処理を行う(ステップS5〜ステップS11)。
【0110】
図8のサーバ認証処理を行った後に、取得したサーバポリシーに、ディスク認証が要求されている場合には、図5あるいは図6に示したようなディスク認証を行う。
【0111】
なお、図8の処理動作に、リダイレクト回数を制限するための図4に示す処理動作を組み合わせてもよい。
【0112】
本実施形態では、(1)コンテンツ再生装置にディスクが挿入されたとき、または、(2)サーバへ(ネットワーク)へのアクセス要求が発生したときに、サーバ認証、サーバポリシーを取得し、取得したサーバポリシーに、ディスク認証が必要である旨のサーバポリシーが含まれている場合に、ディスク認証処理を行う方式を説明した。このとき、コンテンツ再生装置の不具合等で、ディスクの差し替えが検出できない場合、ディスク認証処理後に他のディスクへ差し替えられる危険性がある。
【0113】
この場合、接続先管理テーブルのドメイン名、サーバ認識フラグおよびディスク認識フラグは消去されないため、差し替えられたディスクに記憶されているプログラムが、接続先管理テーブルに保存されているドメイン名のサーバへアクセスすることが可能となる。
【0114】
上記危険性を回避するため、前記ディスク認証処理完了後、ネットワークアクセス制御部のディスク認証部24は、あらかじめ定められた方式に基づくあるタイミング(例えば、一定周期や乱数に基づいた不定期)で、前記ディスク認証処理をくりかえし実行してもよい。
【0115】
(4)サーバへの接続方法を制限するためのアクセス制御
図2、図8に示したように、コンテンツ再生装置100は、ディスクが挿入されると、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録される。図2の場合には、さらに、サーバ認証及びサーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行い、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録されている。
【0116】
次に、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに、ネットワーク接続要求が発生した場合について、図9に示すフローチャートを参照して説明する。
【0117】
ネットワーク接続要求は、コンテンツ再生装置にディスクが挿入された後、(a)当該ディスクに記録されているプログラムを実行することにより、また、(b)例えば当該ディスクに記録されているプログラムを実行しているときに、記憶装置6に既に記憶されているネットワーク(サーバ)からダウンロードされたデータやプログラムを再生・実行することにより、発生する。
【0118】
ネットワーク接続要求は、前述同様、ネットワークアクセス制御部2の接続先検証部22により検出される(ステップS51)。ネットワーク接続要求には、接続先のサーバのドメイン名や、当該サーバへの接続方法(ソケット、通信プロトコル・ポート番号など)が含まれている。
【0119】
接続先検証部22は、ネットワーク接続要求に含まれるドメイン名を取得する(ステップS52)。
【0120】
なお、図8に示したようなサーバ認証を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出され(図8のステップS41)、接続先のドメイン名が取得されたときに(図8のステップS42)、サーバ認証を開始し、さらに、サーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0121】
また、図7に示したようなサーバ認証処理を行う場合には、上記ステップS51及びステップS52で、ディスク挿入後、最初にネットワーク接続要求が検出されたときに(図7のステップS41)、当該ディスの特定領域に記録されているドメイン名を読み出して、接続先管理テーブルに記録する(図7のステップS3〜ステップS4)。その後、サーバ認証、サーバポリシーの取得、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証を行って、サーバ認証フラグ及びディスク認証フラグに「1」あるいは「0」が記録される。
【0122】
従って、図9のステップS51及びS52で、ネットワーク接続要求が検知され、接続先のドメイン名を取得した場合、図2、図7,図8のいずれの場合においても、接続先管理テーブルにはドメイン名が記録され、サーバ認証、ディスク認証を要求するサーバポリシーを取得した場合にはディスク認証の結果を示すサーバ認証フラグやディスク認証フラグに「1」あるいは「0」が記録されている。
【0123】
さらに、上記サーバのリダイレクトが行われた場合には、リダイレクト先サーバのドメイン名が接続先管理テーブルに記憶され、通信プロトコルやポート番号などの接続方法を指定するサーバポリシーが取得された場合には通信プロトコルやポート番号などの接続方法がサーバポリシーテーブルに記憶されている。
【0124】
ディスク認証を要求するサーバポリシーがサーバポリシーテーブルに記憶されている場合には(ステップS53a)、接続先検証部22は、(第1の条件)(リダイレクトされているときにはリダイレクト後の)サーバ認証フラグの値が「1」であること、(第2の条件)ディスク認証フラグの値が「1」であること、(第3の条件)ステップS52で、ネットワーク接続要求元から取得した(接続要求に含まれる)ドメイン名と、接続先管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の3つの条件を全て満足し、接続方法を指定するサーバポリシーを取得している場合には、さらに、(第4の条件)接続要求に含まれる接続方法(プロトコルとポート番号、ソケットなど)が、サーバポリシーテーブルに記録されている接続方法(プロトコルとポート番号、ソケットなど)に含まれていること、の4つの条件を全て満足する場合に限り、接続先管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53b)。上記第1乃至第3条件、接続方法を指定するサーバポリシーを取得している場合には第1乃至第4の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53b、ステップS55)。
【0125】
また、ディスク認証を要求しない(ディスク認証は不要の)サーバポリシーがサーバポリシーテーブルに記憶されている場合には(ステップS53a)、接続先検証部22は、(第1の条件)(リダイレクトされているときにはリダイレクト後の)サーバ認証フラグの値が「1」であること、(第2の条件)ステップS52で、ネットワーク接続要求元から取得した(接続要求に含まれる)ドメイン名と、接続先管理テーブルに記録されているドメイン名(ディスクの特定領域から読み出したドメイン名)とが一致していること、の2つの条件を全て満足し、接続方法を指定するサーバポリシーを取得している場合には、さらに、(第3の条件)接続要求に含まれる接続方法(プロトコルとポート番号)が、サーバポリシーテーブルに記録されている接続方法(プロトコルとポート番号)に含まれていること、の3つの条件を全て満足する場合に限り、接続先管理テーブルに記録されているドメイン名に対応するサーバへの接続を許可する(ステップS53c)。上記第1乃至第2条件、接続方法を指定するサーバポリシーを取得している場合には第1乃至第3の条件のうちのいずれか1つでも満足しない場合には、ネットワークへの接続を許可しない(ステップS53c、ステップS55)。
【0126】
接続先検証部22で、ネットワークへの接続が許可された場合には、通信部4は、接続管理テーブルに記録されている最新のドメイン名(リダイレクトによりドメイン名が追加されている場合には、最後に追加されたドメイン名)に対応するサーバへ接続し、ディスク上のコンテンツデータの再生・実行の際に用いるデータやプログラムなどを通信部4を介して当該サーバから受信する(ステップS54)。受信されたデータやプログラムなどは、ネットワークアクセス制御部2を介して、再生・実行制御部3へ出力される。その結果、コンテンツ再生装置100の再生・実行制御部3は、当該サーバと通信を行いながら(当該サーバからダウンロードされるデータやプログラムを用いて)、当該ディスク上のコンテンツデータの再生・実行を行う。
【0127】
なお、コンテンツ再生装置100が、挿入されたディスク上のコンテンツデータを再生しているときに発生するネットワーク接続要求には、ストレージ制御部5が、記憶装置6にデータを書き込む場合や記憶装置6からデータを読み出す場合にも発生することがある。
【0128】
例えば、ストレージ制御部5が記憶装置6に書き込むデータに対する証明書の生成や当該データの暗号化をサーバに依頼する場合や、ストレージ制御部5が記憶装置6から読み出すデータに対する証明書の検証や記憶装置6から読み出すデータの復号を依頼する場合などにネットワーク接続要求が発生する。
【0129】
ストレージ制御部5が、記憶装置6にデータを書き込む場合や記憶装置6からデータを読み出す場合に、サーバへのアクセスが必要か否かについても、当該サーバのサーバポリシーとして取得するようにしてもよい。
【0130】
(5)サーバからの配信データをコンテンツ再生装置から通知される日時を基に選択する
なお、図2や図4のステップS14において、サーバポリシーを要求する際に、ディスクをコンテンツ再生装置へ挿入した日時(挿入日時)または、コンテンツ再生装置へ挿入されたディスクの再生開始日時を通知し(例えば、サーバポリシーの要求とともに、上記日時を送信し)、サーバはこの日時に応じて動作を変えるようにしてもよい。この場合、挿入日時あるいは再生開始日時といった日時データを受信したサーバは、受信した日時とサーバが保持しているコンテンツの更新日時とを比較して、コンテンツの更新日時よりもサーバへ送られてきた日時データが古い場合には、更新前のコンテンツを提供する。このように、サーバにおけるコンテンツ更新のタイミングに応じて、適切なコンテンツをコンテンツ再生装置へ提供し、表示させることが可能となる。
【0131】
すなわち、コンテンツ再生装置でディスク上のプログラムを実行することにより、ネットワークへの接続要求が発生し、図9に示したようにしてサーバへの接続を行い、当該サーバからコンテンツデータやプログラムなどをダウンロードしてもらう場合には、当該サーバでは、上記ステップS14でコンテンツ再生装置から送信されてきた日時データを基に、ダウンロードするコンテンツデータやプログラムを選択して、コンテンツ再生装置へ送信する。
【0132】
視聴者がディスク上のコンテンツデータを再生し、鑑賞している最中に、サーバ上のコンテンツが更新されると、ストーリーに矛盾が生じる可能性がある。そのため、コンテンツ再生装置及びサーバを上記のような構成にすることで、サーバ側では、ディスク挿入日時または再生日時に応じて配信データを決定することで矛盾を回避することができる。
【0133】
(6) 以上説明したように、コンテンツ再生装置では、サーバ認証やサーバポリシーを取得し、取得したサーバポリシーにディスク認証が要求されている場合にはディスク認証を行い、さらに、図9に示したようなアクセス制御を行って、ネットワーク接続要求発生時に接続先のサーバを、コンテンツ再生装置に挿入されたディスクの特定領域に記録されたドメイン名に対応するサーバ(リダイレクトがあった場合には、最終のリダイレクト先のサーバ)のみに制限し、また、当該サーバへの接続方法を当該サーバから指定されている接続方法のみに限定し、さらに、当該サーバのポリシーによっては、当該サーバへ接続できるディスクをその正当性が検証されたディスクのみに限定することで、コンテンツ再生装置がDDoS攻撃などの踏み台となることを防いでいる。
【0134】
なお、本実施形態では、ディスクとサーバは1対1に対応し、ディスク上の特定領域に記憶されているサーバのドメイン名は1つであるとしたが、ディスク上の特定領域に複数のサーバのドメイン名からなるドメイン名リストが記憶されている場合には、上述の特定領域にドメイン名が1つ記憶されている場合と同様に、ディスク読み出し部12が特定領域から当該ドメイン名リストを読み込んで接続先管理部21の接続先管理テーブルに保持する。この場合、ドメイン名リストに記述されている各サーバの識別子に関して、上述のサーバ認証処理、サーバポリシー取得、ディスク認証処理、アクセス制御処理を行う。
【0135】
例えば、ディスク挿入時や、ネットワークへの接続要求が発生したときなどに、ディスク読み出し部12がディスクの特定領域から当該ドメイン名リストを読み込んで、接続先管理テーブルに記憶しておく(ステップS4)。
【0136】
上記サーバ認証(ステップS5〜ステップS11)は、読み出した直後に、ドメイン名リスト上の各ドメイン名について行うようにしてもよい。また、コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合に、当該ドメイン名に対応するサーバについて、上記サーバ認証を行うようにしてもよい。サーバ認証の結果、当該サーバの正当性が検証された場合には、さらにサーバポリシーを取得する。
【0137】
コンテンツ再生中にプログラムを実行することにより、ネットワークへの接続要求が発生したときに、当該プログラムに含まれる接続先のドメイン名が、上記ドメイン名リスト上に含まれている場合、当該ドメイン名に対応するサーバのサーバ認証フラグが「1」で、且つ当該サーバから取得した、ディスク認証を要求するサーバポリシーがサーバポリシーテーブルに記憶されているとき、当該ドメイン名に対応するサーバ(リダイレクトがなされているときには最終のリダイレクト先のサーバ)へディスク認証を要求し、ディスク認証を行う(ステップS23〜ステップS34)。
【0138】
接続先管理部21は、ディスク検出部11でディスクの挿入が検出されたときに、当該ディスクの特定領域からドメイン名を読み出し、接続先管理テーブルに当該ドメイン名を記憶するが、その後、ディスク検出部11が当該ディスクの取り出しを検出したら、接続先管理部21は、接続先管理テーブルから、当該ドメイン名およびリダイレクトがなされている場合には、リダイレクト先の全てのドメイン名を削除する。また、当該ディスクがコンテンツ再生装置100に挿入されている間に、ネットワーク接続要求が検知されて、接続先管理テーブルに記憶されているドメイン名に対応するサーバおよびリダイレクトがなされている場合にはリダイレクト先のサーバへ接続した後、何らかの理由で、当該サーバとの間の通信が切断した場合には、接続先管理テーブルから、全てのドメイン名を削除する。さらに、接続先管理テーブルに記憶されているサーバ認証フラグ及びディスク認証フラグが「1」であるときには、それらを「0」に書き換えてもよい。
【0139】
上記実施形態に係るコンテンツ再生装置によれば、プログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から、アクセスを許可するサーバを示す識別子を読み出して、当該識別子に対応するサーバの正当性を検証する。正当性の検証されたサーバからは、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシー、記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つを受信し、記録媒体の再生、実行中に接続要求が検知された場合には、受信されたサーバポリシーに従って、サーバへのアクセス制御を行うことにより、ディスクの再生・実行中に接続するサーバをディスク上の特定領域に記憶されたドメイン名に対応するサーバ(リダイレクトがなされた場合には最終のリダイレクト先のサーバ)に限定すること、当該サーバへの接続方法を限定すること、サーバへ接続できるディスクを正当性の検証されたディスクに限定することなどが容易に制御でき、もって、ディスク上の改竄されたプログラムを実行した場合の不正なネットワークへのアクセスを回避することができる。
【0140】
ネットワーク上のサーバおよびディスクの正当性を検証するため、ディスク上のコンテンツに関連した映像情報を、インターネットを介して安心して取得、再生することが可能となる。また、接続できるサーバを限定することで、悪意を持って作成された危険なコンテンツが不特定多数のサーバへ接続することができなくなるため、DDoS攻撃の踏み台となることを避けることができる。このため、危険なコンテンツを再生することによる被害を回避するだけでなく、他のサーバへの攻撃の加害者となることも回避できる。
【0141】
本発明の実施の形態に記載した本発明の手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フレキシブルディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、半導体メモリなどの記録媒体に格納して頒布することもできる。
【0142】
例えば、映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、予め定められた特定の記憶領域に、ネットワーク上のサーバを示す識別子を記憶する記録媒体に記憶されたコンテンツデータを再生・実行する再生・実行手段(ディスク制御部1、再生・実行制御部3)、記憶手段、通信部4を備えたコンピュータに、ネットワークアクセス制御部2、ストレージ制御部6の機能を実現させるためのプログラムを、当該コンピュータが実行することにより、図1のコンテンツ再生装置が実現可能である。
【0143】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0144】
【図1】本発明の実施形態に係るコンテンツ再生装置の構成例を示した図。
【図2】サーバ認証処理動作(ディスク挿入時に行うサーバ認証)を説明するためのフローチャート。
【図3】サーバ認証に用いられる認証手順の一例を示した図。
【図4】リダイレクト回数の制限方法について説明するためのフローチャート。
【図5】ディスク認証処理動作を説明するためのフローチャート。
【図6】他のディスク認証処理動作を説明するためのフローチャート。
【図7】他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図8】さらに他のサーバ認証処理動作(ネットワーク接続要求が発生したときに行うサーバ認証)を説明するためのフローチャート。
【図9】ディスク再生時にネットワーク接続要求が発生したときのコンテンツ再生装置の処理動作を説明するためのフローチャート。
【図10】接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【図11】サーバポリシーを記憶するテーブルの一例を示した図。
【図12】リダイレクト処理について説明するための図。
【図13】2回リダイレクトした後の接続先管理部に記憶されている接続先管理テーブルの一例を示した図。
【図14】2回目にリダイレクト先のサーバから取得したサーバポリシーの記憶例を示した図。
【符号の説明】
【0145】
1…ディスク制御部、2ネットワークアクセス制御部、3…再生・実行制御部、4…通信部、5…ストレージ制御部、6…記憶装置、11…ディスク検出部、12…ディスク読み出し部、21…接続先管理部、22…接続先検証部、23…サーバ認証部、24…ディスク認証部、25…サーバポリシー管理部、100…コンテンツ再生装置、101…サーバ。
【特許請求の範囲】
【請求項1】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバ、及びネットワーク上のアクセス許可する他のサーバへのアクセスを指示するサーバポリシーにより指定された当該他のサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記サーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記サーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記サーバポリシーに含まれる識別子に対応するサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項2】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する受信手段と、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項3】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する接続方法検証手段と、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項4】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバ、及びネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシーにより指定された当該他のサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記第1のサーバポリシー、前記記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つのサーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
少なくとも、前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項5】
前記第1のサーバポリシーが受信された場合には、前記接続手段は、さらに前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーにより指定されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項6】
前記サーバ検証手段で正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段をさらに具備し、
前記第2のサーバポリシーが受信された場合には、前記接続手段は、さらに前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項7】
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証する接続方法検証手段をさらに具備し、
前記第3のサーバポリシーが受信された場合には、前記接続手段は、さらに、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項8】
前記受信手段で前記正当性の検証された各サーバから受信した前記サーバポリシーの数をカウントするカウンタをさらに具備し、
前記カウンタの値が予め定められた閾値以内のとき、前記サーバ検証手段は前記受信手段で受信されたサーバポリシーにより指定されたサーバの正当性を検証することを特徴とする請求項1記載のコンテンツ再生装置。
【請求項9】
前記受信手段で前記正当性の検証された各サーバから受信した前記第1のサーバポリシーの数をカウントするカウンタをさらに具備し、
前記カウンタの値が予め定められた閾値以内のとき、前記サーバ検証手段は前記受信手段で受信された第1のサーバポリシーにより指定されたサーバの正当性を検証することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項10】
前記正当性の検証されたサーバに対し、前記記録媒体が前記再生・実行手段に挿入された日時あるいは前記再生・実行手段で前記記録媒体の再生を開始した日時を通知する手段と、
前記接続手段で接続されたサーバから、前記日時に基づき選択されたデータを受信する手段と、
をさらに具備したことを特徴とする請求項1乃至4のいずれか1つに記載のコンテンツ再生装置。
【請求項11】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシーを受信する第4のステップと、
前記第4のステップで受信された第1のサーバポリシーにより指定されたサーバの正当性を検証する第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する検証ステップと、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続する接続ステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項12】
前記第5のステップで正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求する第2のサーバポリシーを受信するステップと、
前記第5のステップで正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うステップと、
をさらに有し、
前記接続ステップは、さらに前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続することを特徴とする請求項11記載のコンテンツ再生方法。
【請求項13】
前記第5のステップで正当性の検証されたサーバから、当該サーバへの接続方法を指定する第3のサーバポリシーを受信するステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証するステップと、
をさらに有し、
前記接続ステップは、さらに、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続することを特徴とする請求項11記載のコンテンツ再生方法。
【請求項14】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する第4のステップと、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する第7のステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項15】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する第4のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第5のステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する第7のステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項16】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を前記記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示するサーバポリシーを受信する第4のステップと、
前記第4のステップで受信されたサーバポリシーにより指定されたサーバの正当性を検証する第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記サーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記サーバポリシーに含まれる識別子に対応するサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【請求項17】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する第4のステップと、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【請求項18】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する第4のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第5のステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【請求項1】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバ、及びネットワーク上のアクセス許可する他のサーバへのアクセスを指示するサーバポリシーにより指定された当該他のサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記サーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記サーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記サーバポリシーに含まれる識別子に対応するサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項2】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する受信手段と、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項3】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する接続方法検証手段と、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項4】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す読出手段と、
前記読出手段で読み出された識別子を含むネットワーク上のアクセス許可するサーバの識別子を記憶する記憶手段と、
前記記録媒体から読み出された識別子に対応するサーバ、及びネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシーにより指定された当該他のサーバの正当性を検証するサーバ検証手段と、
前記サーバ検証手段で正当性の検証されたサーバから、前記第1のサーバポリシー、前記記録媒体の正当性の検証を要求する第2のサーバポリシー及び当該サーバへの接続方法を指定する第3のサーバポリシーのうちの少なくとも1つのサーバポリシーを受信する受信手段と、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する識別子検証手段と、
少なくとも、前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する接続手段と、
を具備したこと特徴とするコンテンツ再生装置。
【請求項5】
前記第1のサーバポリシーが受信された場合には、前記接続手段は、さらに前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーにより指定されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項6】
前記サーバ検証手段で正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う通信手段をさらに具備し、
前記第2のサーバポリシーが受信された場合には、前記接続手段は、さらに前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項7】
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証する接続方法検証手段をさらに具備し、
前記第3のサーバポリシーが受信された場合には、前記接続手段は、さらに、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項8】
前記受信手段で前記正当性の検証された各サーバから受信した前記サーバポリシーの数をカウントするカウンタをさらに具備し、
前記カウンタの値が予め定められた閾値以内のとき、前記サーバ検証手段は前記受信手段で受信されたサーバポリシーにより指定されたサーバの正当性を検証することを特徴とする請求項1記載のコンテンツ再生装置。
【請求項9】
前記受信手段で前記正当性の検証された各サーバから受信した前記第1のサーバポリシーの数をカウントするカウンタをさらに具備し、
前記カウンタの値が予め定められた閾値以内のとき、前記サーバ検証手段は前記受信手段で受信された第1のサーバポリシーにより指定されたサーバの正当性を検証することを特徴とする請求項4記載のコンテンツ再生装置。
【請求項10】
前記正当性の検証されたサーバに対し、前記記録媒体が前記再生・実行手段に挿入された日時あるいは前記再生・実行手段で前記記録媒体の再生を開始した日時を通知する手段と、
前記接続手段で接続されたサーバから、前記日時に基づき選択されたデータを受信する手段と、
をさらに具備したことを特徴とする請求項1乃至4のいずれか1つに記載のコンテンツ再生装置。
【請求項11】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示する第1のサーバポリシーを受信する第4のステップと、
前記第4のステップで受信された第1のサーバポリシーにより指定されたサーバの正当性を検証する第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する検証ステップと、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記第1のサーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続する接続ステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項12】
前記第5のステップで正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求する第2のサーバポリシーを受信するステップと、
前記第5のステップで正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行うステップと、
をさらに有し、
前記接続ステップは、さらに前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続することを特徴とする請求項11記載のコンテンツ再生方法。
【請求項13】
前記第5のステップで正当性の検証されたサーバから、当該サーバへの接続方法を指定する第3のサーバポリシーを受信するステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記第3のサーバポリシーに含まれる接続方法とが一致するか否かを検証するステップと、
をさらに有し、
前記接続ステップは、さらに、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、前記第1のサーバポリシーに含まれる識別子に対応するサーバへ接続することを特徴とする請求項11記載のコンテンツ再生方法。
【請求項14】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する第4のステップと、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する第7のステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項15】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンテンツ再生装置におけるコンテンツ再生方法において、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する第4のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第5のステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する第7のステップと、
を有することを特徴とするコンテンツ再生方法。
【請求項16】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を前記記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、ネットワーク上のアクセス許可する他のサーバへのアクセスを指示するサーバポリシーを受信する第4のステップと、
前記第4のステップで受信されたサーバポリシーにより指定されたサーバの正当性を検証する第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
少なくとも前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記サーバポリシーにより指定されたサーバの正当性が検証されたとき、前記接続要求を受けて、前記サーバポリシーに含まれる識別子に対応するサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【請求項17】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、前記記録媒体の正当性の検証を要求するサーバポリシーを受信する第4のステップと、
前記正当性の検証されたサーバで、前記記録媒体上の記憶領域から読み出されたデータを用いて前記記録媒体の正当性を検証するために、当該サーバとの間で通信を行う第5のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記記録媒体から読み出された識別子に対応するサーバの正当性及び前記記録媒体の正当性が検証されたとき、前記接続要求を受けて、前記正当性の検証されたサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【請求項18】
映像・音声データ及びプログラムを含むコンテンツデータを記憶するとともに、ネットワーク上のアクセス許可するサーバを示す識別子を記憶する記録媒体から前記コンテンツデータを再生、実行する再生・実行手段と、
記憶手段と、
を備えたコンピュータに、
前記記録媒体から前記アクセスを許可するサーバを示す識別子を読み出す第1のステップと、
前記第1のステップで読み出された識別子を記憶手段で記憶する第2のステップと、
前記記録媒体から読み出された識別子に対応するサーバの正当性を検証する第3のステップと、
正当性の検証されたサーバから、当該サーバへの接続方法を指定するサーバポリシーを受信する第4のステップと、
前記再生・実行手段で再生、実行中に前記プログラムに含まれるネットワーク上のサーバの識別子への接続要求が検知されたとき、該検知された識別子と一致する識別子が前記記憶手段で記憶されているか否かを検証する第5のステップと、
前記接続要求が検知されたとき、前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するか否かを検証する第6のステップと、
前記プログラムに含まれるサーバの識別子と一致する識別子が前記記憶手段で記憶され、且つ前記プログラムに含まれる接続方法と前記サーバポリシーに含まれる接続方法とが一致するとき、前記接続要求を受けて、当該接続方法により、前記正当性の検証されたサーバへ接続する第7のステップと、
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2006−227998(P2006−227998A)
【公開日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願番号】特願2005−42282(P2005−42282)
【出願日】平成17年2月18日(2005.2.18)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願日】平成17年2月18日(2005.2.18)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]