説明

放送通信連携受信装置及び放送通信連携システム

【課題】放送と通信を連携した放送通信連携サービスにおいて、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止する。
【解決手段】受信機80は、通信送受信手段805を介して、アプリケーションサーバに記憶されたアプリケーションを取得するアプリケーション取得手段811と、検証用情報を記憶、管理する検証用情報管理手段817aと、検証用情報管理手段817aに記憶された証明書が有効であるか否かを確認する証明書確認手段817bと、検証用情報管理手段817aに記憶された署名が正当であるか否かを検証する署名検証手段817cと、リソースアクセス制御テーブルに基づいて、リソースアクセス制御を行うリソースアクセス制御手段818とを備える。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、放送と、インターネット、専用IP(Internet Protocol)回線等の通信ネットワークとを利用した放送通信連携システムにおいて、一般アプリケーションに対するリソースアクセス制御の技術に関する。
【背景技術】
【0002】
近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信を連携した様々なサービス(以降、「放送通信連携サービス」)が検討されている(例えば、非特許文献1,2参照)。この放送通信連携サービスでは、放送番組に関連する多様な情報を通信ネットワーク経由で取得し、放送と組み合わせて提示することが想定されている。また、受信機では、放送通信連携サービスを享受するため、この放送通信連携サービスに適応したアプリケーションを用いることが想定されている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】「技研における放送通信連携技術研究の概要」、NHK技研R&D、No.124、2010.11、P4−P9
【非特許文献2】「HybridcastTMの概要と技術」、NHK技研R&D、No.124、2010.11、P10−P17
【発明の概要】
【発明が解決しようとする課題】
【0004】
この放送通信連携サービスにおいて、視聴者にとってより魅力的なサービスを実現するためには、放送局等が制作したアプリケーションだけでなく、様々なサービス事業者や個人等の提供元が正当でない(提供元が信頼できない)アプリケーションも視聴者に提供できる環境が望まれている。しかし、提供元が正当でないアプリケーションは、放送通信連携システムで期待する動作が保証されているか定かでなく、安全性や放送の公共性の観点から、無制限に受信機のリソースへアクセスすることが認められない。
【0005】
そこで、本発明は、放送と通信を連携した放送通信連携サービスにおいて、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる放送通信連携受信装置及び放送通信連携システムを提供することを課題とする。
【課題を解決するための手段】
【0006】
前記した課題に鑑みて、本願第1発明に係る放送通信連携受信装置は、放送番組を送信する放送送信装置と、放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、検証鍵が含まれる証明書を発行する認証局と、アプリケーションの提供元を検証するための検証用情報をアプリケーションに付加するアプリケーション登録装置と、検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバとを含む放送通信連携システムに備えられる放送通信連携受信装置であって、アプリケーション取得手段と、アプリケーション判定手段と、リソースアクセス制御手段と、を備えることを特徴とする。
【0007】
かかる構成によれば、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、アプリケーションサーバに記憶されたアプリケーションを取得する。
このアプリケーション取得手段が取得したアプリケーションには、その提供元が正当な場合には検証用情報が付加されおり、その提供元が正当でない場合には検証用情報が付加されないことになる。
【0008】
また、放送通信連携受信装置は、アプリケーション判定手段によって、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを判定する。
この検証用情報は、例えば、署名、証明書が含まれており、失効リスト、アプリケーションを一意に識別するアプリケーションID、サービス事業者を一意に識別する事業者ID等の情報がさらに含まれてもよい。
また、検証用情報は、アプリケーション登録装置により、アプリケーションの提供元が検証された検証結果であってもよい。
【0009】
そして、放送通信連携受信装置は、リソースアクセス制御手段によって、アプリケーション判定手段の判定結果に基づいて、取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。例えば、アプリケーションの提供元が正当でない場合、リソースアクセス制御手段は、このアプリケーションが、後記する放送リソースにアクセスすることを禁止する。一方、アプリケーションの提供元が正当な場合、リソースアクセス制御手段は、このアプリケーションが放送リソースにアクセスすることを禁止せずともよい。これによって、リソースアクセス制御手段は、提供元が正当でないアプリケーションが、無制限にリソースへアクセスすることを禁止できる。
【0010】
また、本願第2発明に係る放送通信連携受信装置は、アプリケーション取得手段が、署名鍵により生成された署名及び証明書が検証用情報として付加されたアプリケーションを取得し、アプリケーション判定手段が、証明書が有効であるか否かを認証局に確認し、証明書が有効な場合、証明書の検証鍵により署名が正当であるか否かを検証し、署名が正当な場合にアプリケーションの提供元が正当と判定し、証明書が有効でない又は署名が正当でない場合にアプリケーションの提供元が正当でないと判定することを特徴とする。
【0011】
かかる構成によれば、放送通信連携受信装置は、不正が困難な署名及び証明書を用いるため、例えば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。
【0012】
また、本願第3発明に係る放送通信連携受信装置は、証明書が予め記憶された記憶手段をさらに備え、アプリケーション取得手段が、署名鍵により生成された署名が検証用情報として付加されたアプリケーションを取得し、アプリケーション判定手段が、失効した証明書の一覧である失効リストに基づいて記憶手段から抽出された証明書が有効であるか否かを確認し、証明書が有効な場合、証明書の検証鍵により署名が正当であるか否かを検証し、署名が正当な場合にアプリケーションの提供元が正当と判定し、証明書が有効でない又は署名が正当でない場合にアプリケーションの提供元が正当でないと判定することを特徴とする。
【0013】
かかる構成によれば、放送通信連携受信装置は、不正が困難な署名及び証明書を用いるため、例えば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。
【0014】
また、本願第4発明に係る放送通信連携受信装置は、署名鍵により生成された署名と証明書とに基づいて、アプリケーションの提供元が正当であるか否かを検証するアプリケーション登録装置が含まれる放送通信連携システムに備えられ、アプリケーション取得手段が、検証用情報として、アプリケーションの提供元の検証結果がアプリケーション登録装置によって付加されたアプリケーションを取得し、アプリケーション判定手段が、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、証明書の有効性の確認及び署名の正当性の検証を行う必要がない。
【0015】
また、本願第5発明に係る放送通信連携受信装置は、署名鍵により生成された署名と証明書と失効リストとに基づいて、アプリケーションの提供元が正当であるか否かを検証するアプリケーション登録装置が含まれる放送通信連携システムに備えられ、アプリケーション取得手段が、検証用情報として、アプリケーションの提供元の検証結果がアプリケーション登録装置によって付加されたアプリケーションを取得し、アプリケーション判定手段が、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、証明書の有効性の確認及び署名の正当性の検証を行う必要がない。
【0016】
また、前記した課題に鑑みて、本願第6発明に係る放送通信連携システムは、本願第1発明に係る放送通信連携受信装置と、放送送信装置と、署名鍵発行装置と、認証局と、アプリケーション登録装置と、アプリケーションサーバと、を備えることを特徴とする。
【0017】
かかる構成によれば、放送通信連携システムは、放送通信連携受信装置によって、検証用情報に基づいて、アプリケーションサーバから取得したアプリケーションの提供元が正当であるか否かを判定する。そして、放送通信連携システムは、放送通信連携受信装置によって、アプリケーションの提供元を正当でないと判定した場合、このアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。すなわち、放送通信連携受信装置は、提供元が正当でないアプリケーションが、無制限にリソースへアクセスすることを禁止できる。
【発明の効果】
【0018】
本発明によれば、以下のような優れた効果を奏する。
本願第1,6発明によれば、放送局等の提供元が正当なアプリケーションだけでなく、サービス事業者等の提供元が正当でないアプリケーションも取得できると共に、提供元が正当でないアプリケーションが無制限にリソースへアクセスすることを禁止できる。これによって、本願第1,6発明によれば、提供元が正当でないアプリケーションも視聴者に安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
【0019】
本願第2,3発明によれば、不正が困難な署名及び証明書を用いるため、提供元が正当であるか否かを正しく検証できるため、安全性をより向上させることができる。例えば、本願第2,3発明によれば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。
【0020】
本願第4,5発明によれば、放送通信連携受信装置が、証明書の有効性の確認及び署名の正当性の検証を行う必要がないため、放送通信連携受信装置の処理負荷を低減して、放送通信連携受信装置を簡易な構成にすることができる。
【図面の簡単な説明】
【0021】
【図1】本発明の第1実施形態に係る放送通信連携システムの全体構成を示す概略図である。
【図2】図1の署名鍵発行装置の構成を示すブロック図である。
【図3】図1のアプリケーションサーバの構成を示すブロック図である。
【図4】図1のアプリID・事業者ID生成装置の構成を示すブロック図である。
【図5】図1のアプリケーション登録装置の構成を示すブロック図である。
【図6】図1の受信機の構成を示すブロック図である。
【図7】図1の受信機に予め設定されたリソースアクセス制御テーブルのデータ構造を示す図である。
【図8】図1の放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図9】図1の放送通信連携システムにおいて、一般アプリケーションを起動する動作を示すシーケンス図である。
【図10】本発明の変形例1に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図11】本発明の第2実施形態に係るアプリケーション登録装置の構成を示すブロック図である。
【図12】本発明の第2実施形態に係る受信機の構成を示すブロック図である。
【図13】本発明の第2実施形態に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図14】本発明の変形例2に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図15】本発明の第3実施形態に係る放送通信連携システムの全体構成を示す概略図である。
【図16】本発明の第3実施形態に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図17】本発明の変形例3に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図18】本発明の変形例4に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【図19】本発明の変形例5に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。
【発明を実施するための形態】
【0022】
以下、本発明の各実施形態について、適宜図面を参照しながら詳細に説明する。なお、各実施形態において、同一の機能を有する手段及び同一のステップ(処理)には同一の符号を付し、説明を省略した。
【0023】
(第1実施形態)
[放送通信連携システムの構成]
図1を参照して、本発明の第1実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波Wを介して、放送番組を放送通信連携受信装置(以後、「受信機」)80に送信すると共に、ネットワークNを介して、様々なサービスに適応したアプリケーションを受信機80に送信する。そして、放送通信連携システム1は、受信機80において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機80において、安全性(セキュリティ)や放送の公共性の観点から、提供元が正当でないアプリケーションについては、後記するリソースへのアクセスを禁止する。
【0024】
「アプリケーション」とは、受信機90を実行環境として動作するソフトウェアである。
このアプリケーションには、後記する検証用情報が付加されたものと、検証用情報が付加されていないものがある。
なお、アプリケーションを「アプリ」と略記することがある。
【0025】
提供元が正当なアプリケーション(すなわち、放送局や信頼できるサービス事業者によって制作されたアプリケーション)は、「A(Authorized)アプリケーション」と呼ばれる。本実施形態では、サービス事業者Bが制作したアプリケーションが「Aアプリケーション」であるとする。このAアプリケーションは、放送通信連携システム1で期待される動作が保証されたものであり、後記するアプリケーション登録装置70で検証用情報が付加された後、後記するアプリケーションサーバ50Bに記憶される。
【0026】
また、提供元が正当でないアプリケーション(すなわち、信頼できないサービス事業者や個人によって制作されたアプリケーション)は、「一般アプリケーション」と呼ばれる。本実施形態では、サービス事業者Aが制作したアプリケーションが「一般アプリケーション」であるとする。この一般アプリケーションは、放送通信連携システム1で期待される動作が保障されたものでなく、検証用情報が付加されない状態で、後記するアプリケーションサーバ50Aに記憶される。
【0027】
「放送局」とは、編成を伴う番組を送出しているものであり、放送波W又はネットワークNにより放送番組をユーザ(視聴者)に配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
【0028】
図1に示すように、放送通信連携システム1は、放送送信装置10と、署名鍵発行装置20と、CA局(認証局)30と、コンテンツ配信サーバ40A,40Bと、アプリケーションサーバ50A,50Bと、アプリID・事業者ID生成装置60と、アプリケーション登録装置70と、受信機80とを備える。
この放送通信連携システム1では、ネットワークNを介して、CA局30と、コンテンツ配信サーバ40A,40Bと、アプリケーションサーバ50A,50Bと、受信機80とが接続されている。
なお、以後の図面において、一点鎖線は、オフライン又はオンラインでの送信を示す。
【0029】
放送送信装置10は、放送局に設置され、図示を省略した番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備であり、放送波Wを介して、放送番組を受信機80に送信するものである。
なお、放送送信装置10は、放送番組を放送波Wとして送信する形態で説明するが、ケーブル(図示せず)や、ネットワークNを介して送信してもよい。
また、放送送信装置10は、一般的な構成のため、詳細な説明を省略する。
【0030】
署名鍵発行装置20は、放送局に設置され、署名を生成する署名鍵(秘密鍵)と、この署名の検証に必要となる検証鍵(公開鍵)とを発行するものである。この署名鍵発行装置20は、例えば、信頼できるサービス事業者ごとに署名鍵及び検証鍵を生成する。この署名鍵発行装置20が生成した署名鍵は、放送局によって、サービス事業者B(具体的には、アプリケーション登録装置70)に配布される。また、署名鍵発行装置20が生成した検証鍵は、放送局によって、CA局30に配布される。
なお、署名鍵及び検証鍵は、例えば、ネットワークN等のオンラインで送信し、又は、それぞれが格納された記録媒体を郵送等のオフラインで送信してもよい。
【0031】
CA局(認証局)30は、署名鍵発行装置20から配布された検証鍵が含まれる証明書を発行するものである。このCA局30は、例えば、ITU(International Telecommunication Union)のX.509で規定された手法で、事業者IDに対応付けた証明書を生成する。そして、CA局30は、生成した証明書を、オンライン又はオフラインでアプリケーション登録装置70に配布する。また、CA局30は、受信機80から、証明書が有効又は無効であるかの問い合わせ(証明書問合)が入力されると、証明書が有効又は無効であるかを問合結果として受信機80に出力する。
【0032】
ここで、信頼できないサービス事業者等がCA局30を任意に設置可能とした場合、一般アプリケーションを含めた全アプリケーションが、Aアプリケーションとして配布可能になってしまう。このような事態を防止すべく、CA局30は、放送局又は放送通信連携システム1のシステム管理者(不図示)によって、証明書の発行を認められたものに限る必要がある。
なお、CA局30は、一般的な構成のため、詳細な説明を省略する。
また、図1には、失効リスト(CRL1、CLR2)を図示したが、本実施形態には直接関係しないので説明を後記する(変形例1参照)。
【0033】
コンテンツ配信サーバ40は、受信機80のアプリケーションからの要求により、ネットワークNを介して、コンテンツを受信機80に提供するものである。このコンテンツ配信サーバ40としては、例えば、VOD(ビデオオンデマンド)配信サーバ、字幕配信サーバ、マルチビュー配信サーバ等があげられる。
【0034】
本実施形態では、コンテンツ配信サーバ40Aがサービス事業者Aによって管理され、コンテンツ配信サーバ40Bがサービス事業者Bによって管理されることとする。
なお、コンテンツ配信サーバ40は、一般的な構成のため、詳細な説明省略する。
【0035】
アプリケーションサーバ50は、各サービス事業者が制作したアプリケーションを記憶、管理するサーバである。このアプリケーションサーバ50は、例えば、受信機80からの要求に応じて、ネットワークNを介して、アプリケーションを受信機80に送信する。
本実施形態では、アプリケーションサーバ50Aがサービス事業者Aによって管理され、アプリケーションサーバ50Bがサービス事業者Bによって管理されることとする。
【0036】
アプリID・事業者ID生成装置60は、サービス事業者Bによって管理され、アプリケーションを一意に識別するアプリケーションIDと、サービス事業者Bを一意に識別する事業者IDとを生成するものである。そして、アプリID・事業者ID生成装置60は、生成したアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力する。
【0037】
アプリケーション登録装置70は、サービス事業者Bが制作したアプリケーションに検証用情報を付加して、このアプリケーションをAアプリケーションとして登録するものである。具体的には、アプリケーション登録装置70は、署名鍵発行装置20からの署名鍵により署名を生成する。そして、アプリケーション登録装置70は、生成した署名と、CA局30からの証明書と、アプリID・事業者ID生成装置60からのアプリケーションID及び事業者IDとを、アプリケーションに検証用情報として付加する。その後、アプリケーション登録装置70は、検証用情報が付加されたアプリケーションをアプリケーションサーバ50Bに出力する。
なお、アプリケーション登録装置70は、システム管理者によって管理される。
【0038】
受信機(放送通信連携受信装置)80は、各ユーザの自宅等に設置され、地上デジタル放送、BSデジタル放送、データ放送等の放送番組が視聴可能であると共に、ネットワークNを介して、アプリケーションを受信可能な受信装置である。そして、受信機80は、前記した検証用情報を用いて、アプリケーションの提供元が正当であるか否かを検証する。さらに、受信機80は、アプリケーションの提供元が正当でない場合、このアプリケーションに対して、受信機80の一部リソースへのアクセスを禁止する。
【0039】
この受信機80では、アプリケーション起動情報に基づいて、アプリケーションの取得、起動、終了等の制御が行われるため、アプリケーション起動情報について説明する。
この「アプリケーション起動情報」とは、アプリケーションの識別子(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションを制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
【0040】
ここで、アプリケーション起動情報は、従来技術のAITと同様、エレメンタリストリーム(ES:Elementary Stream)として放送TS(Transport Stream)に多重化して、受信機80に伝送することができる。この手法は、参考文献「(社)電波産業会、“デジタル放送におけるアプリケーション実行環境 標準規格 ARIB STD−B23 1.2版”、平成21年7月29日、p.39〜54」に記載されている。
また、アプリケーション起動情報は、SI(番組配列情報)の一つであるEIT(p/f)に追加して、受信機80に伝送してもよい。
さらに、アプリケーション起動情報は、DSM−CC(Digital Storage Media-Command and Control)データカルーセルにより、受信機80に伝送してもよい。
このようにして、放送通信連携システム1では、放送波Wを介して、アプリケーション起動情報を受信機80に伝送することができる。
【0041】
この他、放送通信連携システム1では、ネットワークNを介してアプリケーション起動情報を受信機80に送信するアプリケーション起動情報サーバ(不図示)を備えてもよい。このアプリケーション起動情報サーバは、例えば、システム管理者又は各サービス事業者に設置され、各アプリケーションに対応したアプリケーション起動情報を記憶、管理する。
【0042】
なお、アプリケーション起動情報の送信方法は、例えば、あるアプリケーションが編成チャンネルに連動するか否か等に依存するが、本発明には直接関係しないので詳細な説明を省略する。従って、本実施形態では、前記した何れの方法でアプリケーション起動情報を送信してよいこととする。
【0043】
[署名鍵発行装置の構成]
図2を参照して、署名鍵発行装置20の構成について説明する(適宜図1参照)。
図2に示すように、署名鍵発行装置20は、署名鍵・検証鍵生成手段200と、検証鍵管理手段201と、署名鍵管理手段202とを備える。
【0044】
署名鍵・検証鍵生成手段200は、署名鍵及び検証鍵を生成するものである。ここで、署名鍵・検証鍵生成手段200は、例えば、DSA署名、RSA署名、楕円曲線を用いた署名等の一般的な署名方式により、信頼できるサービス事業者ごとに署名鍵及び検証鍵を生成する。そして、署名鍵・検証鍵生成手段200は、生成した検証鍵を検証鍵管理手段201に出力し、生成した署名鍵を署名鍵管理手段202に出力する。
【0045】
検証鍵管理手段201は、署名鍵・検証鍵生成手段200が生成した検証鍵を記憶、管理するものである。例えば、検証鍵管理手段201は、署名鍵・検証鍵生成手段200から検証鍵が入力され、この検証鍵を事業者IDに対応付けて、メモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、検証鍵管理手段201は、記憶した検証鍵を出力する。
【0046】
署名鍵管理手段202は、署名鍵・検証鍵生成手段200が生成した署名鍵を記憶、管理するものである。例えば、署名鍵管理手段202は、署名鍵・検証鍵生成手段200から署名鍵が入力され、この署名鍵を事業者IDに対応付けて、メモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、署名鍵管理手段202は、記憶した署名鍵をアプリケーション登録装置70に出力する。
【0047】
なお、署名鍵発行装置20では、署名鍵及び検証鍵を生成するタイミングは任意である。例えば、サービス事業者Bが鍵生成指令を署名鍵発行装置20に手動で入力すると、署名鍵発行装置20は、この鍵生成指令に応じて、署名鍵及び検証鍵を生成、出力する。
【0048】
[アプリケーションサーバの構成]
図3を参照して、アプリケーションサーバ50の構成について説明する(適宜図1参照)。
図3に示すように、アプリケーションサーバ50は、アプリケーション入力手段(アプリ入力手段)500と、アプリケーション記憶手段(アプリ記憶手段)501と、アプリケーション送信手段(アプリ送信手段)502とを備える。
なお、図1のアプリケーションサーバ50A,50Bは、入力されるアプリケーションに検証用情報が付加されているか否かが相違するたけで、その構成が同一である。
【0049】
アプリケーション入力手段500は、各サービス事業者が制作したアプリケーションが入力されるものである。そして、アプリケーション入力手段500は、入力されたAアプリケーションを、アプリケーション記憶手段501に書き込む。
【0050】
アプリケーション記憶手段501は、Aアプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。ここで、アプリケーション記憶手段501におけるAアプリケーションの所在位置が、アプリケーション起動情報に記述される。
【0051】
アプリケーション送信手段502は、受信機80からの要求に応じて、各アプリケーションを受信機80に送信するものである。具体的には、アプリケーション送信手段502は、ネットワークNを介して、受信機80から要求を受信すると、この要求に応じたアプリケーションをアプリケーション記憶手段501から読み出す。そして、アプリケーション送信手段502は、ネットワークNを介して、読み出したアプリケーションを受信機80に送信する。
【0052】
[アプリID・事業者ID生成装置の構成]
図4を参照して、アプリID・事業者ID生成装置60の構成について説明する(適宜図1参照)。
図4に示すように、アプリID・事業者ID生成装置60は、アプリケーションID生成手段(アプリID生成手段)600と、事業者ID生成手段601と、アプリケーションID・事業者ID出力手段(アプリID・事業者ID出力手段)602とを備える。
【0053】
アプリケーションID生成手段600は、アプリケーションを一意に識別するアプリケーションIDを生成するものである。例えば、アプリケーションID生成手段600は、予め設定した命名規約に従って、URI(Uniform Resource Identifier)形式で表現されたアプリケーションIDを生成する。この命名規約は、例えば、サービス事業者Bの事業者IDと、このサービス事業者B内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとするものがある。そして、アプリケーションID生成手段600は、生成したアプリケーションIDを、アプリケーションID・事業者ID出力手段602に出力する。
【0054】
事業者ID生成手段601は、サービス事業者Bを一意に識別する事業者IDを生成するものである。そして、事業者ID生成手段601は、生成した事業者IDを、アプリケーションID・事業者ID出力手段602に出力する。
【0055】
アプリケーションID・事業者ID出力手段602は、アプリケーションID生成手段600からアプリケーションIDが入力される共に、事業者ID生成手段601から事業者IDが入力される。そして、アプリケーションID・事業者ID出力手段602は、これらアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力するものである。
【0056】
なお、アプリID・事業者ID生成装置60では、アプリケーションID及び事業者IDを生成するタイミングは任意である。例えば、サービス事業者BがID生成指令をアプリID・事業者ID生成装置60に手動で入力すると、アプリID・事業者ID生成装置60は、このID生成指令に応じて、アプリケーションID及び事業者IDを生成、出力する。
【0057】
[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
図5に示すように、アプリケーション登録装置70は、アプリケーション入力手段(アプリ入力手段)700と、アプリケーションID・事業者ID入力手段(アプリID・事業者ID入力手段)701と、アプリケーションID・事業者ID付加手段(アプリID・事業者ID付加手段)702と、署名鍵入力手段703と、署名生成手段704と、検証用情報付加手段705と、アプリケーション出力手段(アプリ出力手段)706とを備える。
【0058】
アプリケーション入力手段700は、サービス事業者Bによって制作されたアプリケーションが入力されるものである。そして、アプリケーション入力手段700は、入力されたアプリケーションを、アプリケーションID・事業者ID付加手段702に出力する。
【0059】
アプリケーションID・事業者ID入力手段701は、アプリID・事業者ID生成装置60からアプリケーションID及び事業者IDが入力されるものである。そして、アプリケーションID・事業者ID入力手段701は、入力されたアプリケーションID及び事業者IDを、アプリケーションID・事業者ID付加手段702に出力する。
【0060】
アプリケーションID・事業者ID付加手段702は、アプリケーション入力手段700から入力されたアプリケーションに、アプリケーションID・事業者ID入力手段701から入力されたアプリケーションID及び事業者IDを付加するものである。そして、アプリケーションID・事業者ID付加手段702は、アプリケーションID及び事業者IDが付加されたアプリケーションを、検証用情報付加手段705に出力する。
【0061】
署名鍵入力手段703は、署名鍵発行装置20から、サービス事業者Bの署名鍵(秘密鍵)が入力される。また、署名鍵入力手段703は、CA局30から、サービス事業者Bの検証鍵が含まれる証明書が入力される。そして、署名鍵入力手段703は、入力された署名鍵及び証明書を、署名生成手段704に出力する。
【0062】
署名生成手段704は、署名鍵入力手段703から署名鍵及び証明書が入力され、この署名鍵を用いて、署名を生成するものである。ここで、例えば、サービス事業者を一意に識別する事業者ID及びアプリケーションID等の識別情報、乱数、または、アプリケーション本体のバイナリコード値の何れかを、署名の元となる署名元メッセージとする。そして、署名生成手段704は、この署名元メッセージに署名アルゴリズム(例えば、DSA署名)を適用して署名を生成し、この署名と、証明書を検証用情報付加手段705に出力する。
なお、この署名元メッセージは、何らかの方法で受信機80に配布する必要がある。例えば、署名元メッセージは、アプリケーションに付加することとしてもよい。
【0063】
すなわち、署名生成手段704は、以下の式(1)で表される署名を生成する。この式(1)では、Sigが署名であり、Signature_Ksが署名鍵(秘密鍵)による署名生成であり、Mesが署名元メッセージである。
Sig=Signature_Ks(Mes)・・・式(1)
【0064】
検証用情報付加手段705は、アプリケーションID・事業者ID付加手段702から入力されたアプリケーションに、署名生成手段704から入力された署名及び証明書を付加するものである。そして、検証用情報付加手段705は、このアプリケーションをアプリケーション出力手段706に出力する。すなわち、検証用情報付加手段705が出力するアプリケーションには、アプリケーションIDと、事業者IDと、署名と、証明書とが検証用情報として付加されることになる。
【0065】
アプリケーション出力手段706は、検証用情報付加手段705からアプリケーションが入力されると共に、このアプリケーションをアプリケーションサーバ50Bに出力するものである。つまり、アプリケーション出力手段706は、検証用情報が付加されたアプリケーションを、Aアプリケーションとしてアプリケーションサーバ50Bに出力する。
【0066】
[受信機の構成]
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機(放送通信連携受信装置)80は、放送受信手段801と、放送信号解析手段802と、映像・音声復号手段803と、データ放送復号手段804と、通信送受信手段805と、アプリケーション起動情報取得手段(アプリ起動情報取得手段)806と、アプリケーション起動情報記憶手段(アプリ起動情報記憶手段)807と、リスト制御手段808と、アプリケーション管理・実行制御手段(アプリ管理・実行制御手段)809と、起動アプリケーション識別情報記憶手段(起動アプリ識別情報記憶手段)810と、アプリケーション取得手段(アプリ取得手段)811と、アプリケーション記憶手段(アプリ記憶手段)812と、アプリケーション実行手段(アプリ実行手段)813と、操作制御手段814と、合成表示手段815と、セキュリティ管理手段816と、リソース管理手段819とを備える。
【0067】
放送受信手段801は、アンテナAを介して、放送波Wとして送信される放送データを受信するものである。この放送受信手段801は、放送データを受信、復調し、誤り訂正やTMCC(Transmission and Multiplexing Configuration Control)復号等の復号を行い、MPEG2のトランスポートストリーム(TS)として、放送信号解析手段802に出力する。
なお、この放送受信手段801は、アンテナAを介して、電波によって放送信号を受信するものに限定されず、ケーブルを介して、放送信号を受信するものであってもよい。
【0068】
放送信号解析手段802は、放送受信手段801で復調されたストリームデータ(トランスポートストリーム)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出するものである。なお、選局は、後記する操作制御手段814から通知されるチャンネル切替指示に基づいて行われる。
【0069】
この放送信号解析手段802は、抽出した映像、音声等のデータであるPES(Packetized Elementary Stream)形式のデータについては、映像・音声復号手段803に出力し、抽出したデータ放送等のデータであるセクション形式のデータについては、データ放送復号手段804に出力する。
【0070】
このとき、放送信号解析手段802は、放送受信手段801で復調されたストリームデータから、SI(番組配列情報)の一つであるEITの記述子(アプリケーション起動情報記述子)に含まれているアプリケーション起動情報を抽出してもよい。そして、放送信号解析手段802は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。さらに、放送信号解析手段802は、アプリケーション起動情報を抽出した場合、アプリケーション起動情報が通知された旨(起動情報通知)を、アプリケーションを識別する情報(アプリケーションID)とともに、アプリケーション管理・実行制御手段809に通知する。
なお、このEITは、例えば、放送局の放送送信装置10(図1参照)が、アプリケーション起動情報をEITの記述子領域に埋め込むことで生成される。
【0071】
<アプリケーション制御コードの具体例>
後記するアプリケーションの取得、起動、終了等の制御に関係するため、アプリケーション制御コードについて、具体的に説明する。
前記したように、アプリケーション起動情報記述子には、アプリケーション状態を制御する制御コード(アプリケーション制御コード)が含まれている。
このアプリケーション制御コードは、基本的にはARIB STD−B23で規定されているものと同様である。例えば、“AUTOSTART”は、放送通信連携受信装置80において、ユーザの操作によらず、自動で起動するアプリケーションであることを示す。また、“PRESENT”は、自動起動するアプリケーションではないことを示す。
また、“DESTROY”、“KILL”は、アプリケーションの終了を指示する制御コードであって、通常終了(例えば、ユーザの確認を行って終了)であるのか、強制終了(例えば、ユーザの確認を行わずに即時終了)であるのかを示す。
【0072】
このように、このアプリケーション制御コードは、基本的にはARIB STD−B23で規定されているものと同様であるが、ここでは、さらに、“KILLALL”を付加している。この“KILLALL”は、受信機80において、現在起動しているすべてのアプリケーションの強制終了を示すものである。
【0073】
以下、受信機80の構成について説明を続ける。
映像・音声復号手段803は、放送信号解析手段802で抽出された映像・音声(映像ストリームおよび音声ストリーム)を復号するものである。この映像・音声復号手段803は、映像・音声が例えば、MPEG2の符号化方式によって符号化されている場合、MPEG2の復号を行い表示可能な出力形式の映像・音声データとして、合成表示手段815に出力する。
【0074】
データ放送復号手段804は、放送信号解析手段802で抽出されたデータ放送のデータを復号するものである。このデータ放送復号手段804は、カルーセルを復号し、BMLを解析し、当該BMLを表示可能な出力形式に変換するBMLブラウザの機能を有し、変換した表示データ(データ放送データ)を、合成表示手段815に出力する。
また、データ放送復号手段804は、DSM−CCデータカルーセルで送信されたアプリケーション起動情報を抽出してもよい。そして、データ放送復号手段804は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。
なお、本実施形態では、データ放送復号手段804がCRL抽出手段804aを備える必要はない。このCRL抽出手段804aについては、説明を後記する(変形例1参照)。
【0075】
通信送受信手段805は、ネットワークNを介して、アプリケーション、アプリケーション起動情報等のデータを受信するものである。
アプリケーション起動情報取得手段806は、通信送受信手段805を介して、Aアプリケーション及び一般アプリケーションに対応する起動情報を取得するものである。
【0076】
例えば、アプリケーション起動情報取得手段806は、起動時(電源ON時)に予め定めたサーバ(アプリケーション起動情報サーバ)からアプリケーション起動情報を取得し、取得したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。あるいは、アプリケーション起動情報取得手段806は、ユーザによって、後記する操作制御手段814を介して、アプリケーションのリストを表示させる指示(リスト表示指示)が通知された段階で、アプリケーション起動情報を取得することとしてもよい。
【0077】
アプリケーション起動情報記憶手段807は、アプリケーション起動情報を記憶するものであって、メモリ、ハードディスク等の記憶媒体である。ここでは、アプリケーション起動情報記憶手段807には、放送信号解析手段802によって、抽出されたアプリケーション起動情報が書き込まれる。また、アプリケーション起動情報記憶手段807には、アプリケーション起動情報取得手段806によって、取得されたアプリケーション起動情報が書き込まれる。
【0078】
リスト制御手段808は、起動可能なアプリケーションのリストの表示およびアプリケーションの選択の制御を行うローンチャー(Launcher)である。
このリスト制御手段808は、起動可能なアプリケーションのリストを表示する。つまり、リスト制御手段808は、ユーザから操作制御手段814を介してリスト表示を指示されることで、アプリケーション起動情報記憶手段807に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段815に出力する。
【0079】
また、リスト制御手段808は、表示したアプリケーションのリストにおいて、操作制御手段814を介して指示される、ユーザからのリスト選択指示に基づいて、アプリケーションを選択するものである。例えば、リスト制御手段808は、操作制御手段814を介して、リスト選択指示として、リモコン装置Riの方向(矢印)ボタン(不図示)の押下信号が通知されることで、複数のアプリケーションのうちで、どのアプリケーションが起動候補として選択されているのかを認識し、決定ボタン(不図示)の押下信号が通知されることで、実際に起動指示が選択されたアプリケーションを認識する。そして、リスト制御手段808は、選択されたアプリケーションを識別する番号(アプリケーションID)を含んだ選択アプリケーション通知をアプリケーション管理・実行制御手段809に出力する。
【0080】
アプリケーション管理・実行制御手段809は、アプリケーションのライフサイクル(アプリケーションがロード、実行されて終了するまでの過程)を制御するものである。
具体的には、アプリケーション管理・実行制御手段809は、後記するアプリケーション実行手段813からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段819に出力(転送)する。
【0081】
また、アプリケーション管理・実行制御手段809は、リソース管理手段819からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリケーション管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリケーション管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
【0082】
また、アプリケーション管理・実行制御手段809は、後記するアプリケーション認証手段817から認証結果が入力される。この認証結果は、署名を検証したアプリケーションのIDと、Aアプリケーションまたは一般アプリケーションを示すフラグ等の情報が含まれる。そして、アプリケーション管理・実行制御手段809は、入力された認証結果を、起動中のアプリケーションIDに対応づけてセキュリティ情報テーブルに書き込む。
これによって、アプリケーション管理・実行制御手段809は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、および、認証結果を記憶、管理することができる。
【0083】
ここで、アプリケーション管理・実行制御手段809は、起動制御手段809aと、終了制御手段809bと、蓄積管理手段809cとを備えている。
起動制御手段809aは、アプリケーション取得手段811が取得したアプリケーションの起動を制御するものである。
具体的には、起動制御手段809aは、放送信号解析手段802から起動情報通知が通知された際、アプリケーション起動情報記憶手段807に記憶されている、起動情報通知とともに通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードが“AUTOSTART”の場合、アプリケーションを起動させる。
すなわち、起動制御手段809aは、アプリケーション制御コードが“AUTOSTART”の場合、アプリケーション実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。この起動制御指示には、アプリケーション起動情報に記述されているアプリケーションを特定する情報(アプリケーションID、所在位置等)が含まれる。これによって、アプリケーションがユーザの操作によらず、自動起動されることになる。
【0084】
また、起動制御手段809aは、リスト制御手段808から、選択アプリケーション通知が通知された際には、アプリケーション制御コードの値によらず、アプリケーション実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、ユーザがリストから選択したアプリケーションが起動されることになる。
【0085】
なお、起動制御手段809aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリケーション識別情報記憶手段810に起動中のアプリケーションIDを書き込むこととする。
【0086】
終了制御手段809bは、起動中のアプリケーションの終了制御を行うものである。
具体的には、終了制御手段809bは、放送信号解析手段802から起動情報通知が通知された際、アプリケーション起動情報記憶手段807に記憶されている、起動情報通知とともに通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードが“DESTROY”、“KILL”または“KILLALL”の場合にアプリケーションを終了させる。
【0087】
このアプリケーション制御コードが“DESTROY”の場合、終了制御手段809bは、通知されたアプリケーションIDに対応するアプリケーションを通常終了させる旨、アプリケーション実行手段813に指示する。また、アプリケーション制御コードが“KILL”の場合、終了制御手段809bは、通知されたアプリケーションIDに対応するアプリケーションを強制終了させる旨、アプリケーション実行手段813に指示する。
【0088】
また、アプリケーション制御コードが“KILLALL”の場合、終了制御手段809bは、起動アプリケーション識別情報記憶手段810を参照し、現在起動しているすべてのアプリケーションを強制終了させる。
これによって、例えば、緊急警報放送や緊急地震速報といった緊急に視聴者に通知したい内容を放送したい場合、放送事業者は、“KILLALL”をアプリケーション制御に記述したアプリケーション起動情報を、受信機80に通知することで、緊急時において、表示画面等のリソースを優先的に使用することができる。
【0089】
蓄積管理手段809cは、受信機80内(具体的には、アプリケーション記憶手段812)にアプリケーションを予め蓄積(インストール)する制御を行うものである。
具体的には、蓄積管理手段809cは、リスト制御手段808から、起動可能なアプリケーションのリストの中で、ユーザが選択した選択アプリケーションを特定する情報(アプリケーションID)とともに、アプリケーション記憶手段812にアプリケーションを蓄積させる旨を通知された場合に、アプリケーション起動情報に記述されているアプリケーションの所在からそのアプリケーションを取得し、アプリケーション記憶手段812に書き込む旨(アプリケーション取得指示)を、アプリケーション取得手段811に通知する。
これによって、アプリケーション記憶手段812には、ユーザが選択したアプリケーションが蓄積される。
【0090】
なお、蓄積管理手段809cは、アプリケーションをアプリケーション記憶手段812に蓄積(インストール)した場合、アプリケーション起動情報記憶手段807に記憶されている当該アプリケーションに対応するアプリケーション起動情報において、アプリケーションの所在(アドレス)を、アプリケーション記憶手段812のアドレスを参照するように更新する。
例えば、蓄積管理手段809cは、アプリケーション起動情報の“http://〜”と記載してあるアプリケーションのアドレス表記を、アプリケーション記憶手段812内のローカルなアドレス(アプリケーション記憶手段812内のアドレス)を示すように“file:///〜”等に変換する。もちろん、アプリケーション起動情報を直接変更せずに、当該アプリケーション起動情報のアドレスを読み替えて参照するような変換規則を、アプリケーション起動情報に対応付けて別途記述しておくこととしてもよい。
【0091】
また、蓄積管理手段809cは、アプリケーションをアプリケーション記憶手段812に蓄積(インストール)した場合、アプリケーション起動情報記憶手段807にアプリケーションが蓄積されている旨の状態を書き込み管理することとする。
一方、蓄積管理手段809cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。すなわち、アプリケーション記憶手段812に記憶されているアプリケーションは、蓄積管理手段809c内の蓄積アプリケーションリスト表示手段(不図示)によってリスト表示され、アプリケーション選択削除手段(不図示)によって、ユーザからの選択により、アプリケーション記憶手段812から削除される。このとき、アプリケーション選択削除手段(不図示)は、アプリケーション起動情報記憶手段807において、対応するアプリケーション蓄積状態を“未蓄積”とする。
【0092】
起動アプリケーション識別情報記憶手段810は、起動中のアプリケーションの識別情報(アプリケーションID)を記憶するものであって、半導体メモリ等の記憶媒体である。この起動アプリケーション識別情報記憶手段810は、起動制御手段809aによって、アプリケーションが起動された際にアプリケーションIDが書き込まれ、終了制御手段809bによって、アプリケーションが終了する際に削除される。
【0093】
アプリケーション取得手段811は、通信送受信手段805を介して、アプリケーションサーバ50に記憶されたアプリケーションを取得するものである。
このアプリケーション取得手段811は、起動制御手段809aからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションをアプリケーション実行手段813に出力する。
また、アプリケーション取得手段811は、蓄積管理手段809cからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションを蓄積管理手段809cに書き込み蓄積する。
【0094】
また、アプリケーション取得手段811は、アプリケーションを取得したとき、Aアプリケーションまたは一般アプリケーションの何れであるかの認証(判定)を指示する認証指示を、アプリケーション認証手段817に出力する。
これによって、受信機80は、アプリケーション認証の回数を低減でき、受信機80の処理負荷を軽減することができる。
アプリケーション取得手段811が出力した認証指示は、図6には「認証指示1」と図示した。なお、「認証指示2」については、説明を後記する。
【0095】
アプリケーション記憶手段812は、アプリケーション取得手段811で取得されたアプリケーションを記憶するもので、ハードディスク等の記憶媒体である。このアプリケーション記憶手段812に記憶されているアプリケーションは、アプリケーション実行手段813によって読み出され、実行される。
なお、アプリケーション記憶手段812に記憶されているアプリケーションは、検証用情報(例えば、アプリケーションID、事業者ID、署名、証明書)と、署名元メッセージとが付加されている。
【0096】
アプリケーション実行手段813は、アプリケーション管理・実行制御手段809からの指示(起動制御指示)に基づいて、アプリケーションの起動および終了を行うものである。
このアプリケーション実行手段813は、起動制御手段809aから通知されるアプリケーションを実行する旨が指示された場合、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーションおよびアプリケーションを実行する際に必要となるデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。
そして、アプリケーション実行手段813は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーションを実行させる。
なお、アプリケーション実行手段813は、起動制御指示に含まれるアプリケーションの取得元が、“file:///〜”のようにローカルディスク(アプリケーション記憶手段812)のアドレスである場合、アプリケーション記憶手段812からアプリケーションを読み出し実行する。また、アプリケーション実行手段813は、起動制御指示に含まれるアプリケーションの取得元が、“http://〜”のようにネットワーク上のアドレスである場合、アプリケーション取得手段811に当該アプリケーションの取得を指示(アプリケーション取得指示)し、アプリケーションを取得して実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段815に出力される。
また、アプリケーション実行手段813は、終了制御手段809bから通知されるアプリケーションを終了する旨が指示された場合、指示されたアプリケーションを終了させる。
【0097】
ここで、アプリケーション実行手段813は、起動中のアプリケーションがリソースにアクセスするAPI(Application Program Interface)を呼び出した場合、アプリケーション管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力する。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
【0098】
また、アプリケーション実行手段813は、リソース管理手段819からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリケーション実行手段813は、APIを呼び出して、リソース管理手段819によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリケーション実行手段813は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
【0099】
ここで、アプリケーション実行手段813は、終了制御手段809bから通常終了あるいは強制終了であるかを、例えば、割り込み信号等によって起動中のアプリケーションに通知し、アプリケーションを終了させる。
【0100】
なお、アプリケーション実行手段813は、アプリケーション管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力することとして説明したが、これに限定されない。具体的には、アプリケーション実行手段813は、リソース割当要求をリソース管理手段819に直接出力してもよい(不図示)。
【0101】
操作制御手段814は、外部のリモコン装置Ri等の入力手段を介して、受信機80に対するユーザの操作(例えば、チャンネル変更等)を制御するものである。
この操作制御手段814は、リモコン装置Riを介してユーザからチャンネルの変更が指示された場合、選択されたチャンネルのチャンネル番号を含んだチャンネル切替指示を放送信号解析手段802に通知する。これによって、現在視聴中のチャンネルが選局されることになる。
【0102】
合成表示手段815は、映像・音声を合成して表示するものである。この合成表示手段815は、映像・音声復号手段803で復号された映像データ・音声データ、データ放送復号手段804で復号されたデータ放送の表示データ、リスト制御手段808で生成されたリストの表示データおよびアプリケーション実行手段813で生成されたアプリケーションの表示データをそれぞれ合成して表示する。
なお、合成表示手段815は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
【0103】
セキュリティ管理手段816は、受信機80のセキュリティを管理するものであり、アプリケーション認証手段(アプリケーション判定手段)817と、リソースアクセス制御手段818とを備える。
【0104】
アプリケーション認証手段(アプリケーション判定手段)817は、アプリケーション取得手段811から入力された認証指示に応じて、アプリケーション取得手段811が取得したアプリケーションの提供元が正当であるか否かを、検証用情報に基づいて認証(判定)ものである。そして、アプリケーション認証手段817は、アプリケーションの提供元が正当な場合、このアプリケーションをAアプリケーションと認証(判定)し、アプリケーション提供元が正当でない場合、このアプリケーションを一般アプリケーションと認証(判定)する(アプリケーション認証)。
【0105】
<アプリケーション認証の具体例>
以下、アプリケーション認証の具体例について説明する。
図6に示すように、アプリケーション認証手段817は、検証用情報管理手段(記憶手段)817aと、証明書確認手段817bと、署名検証手段817cとを備える。
【0106】
アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から検証用情報及び署名元メッセージを抽出して、検証用情報管理手段817aに書き込む。
検証用情報管理手段817aは、検証用情報(例えば、アプリケーションID、事業者ID、署名、証明書)と、署名元メッセージとを記憶、管理するものである。
【0107】
証明書確認手段817bは、検証用情報管理手段817aに記憶された証明書が有効であるか否かを確認するものである。具体的には、証明書確認手段817bは、通信送受信手段805を介して、検証用情報の事業者IDが含まれる証明書問合をCA局30に出力する。すると、証明書確認手段817bは、この証明書問合に応じて、CA局30から、証明書が有効又は無効であるかを示す問合結果が入力される。
【0108】
ここで、問合結果が有効の場合、証明書確認手段817bは、署名検証手段817cに署名の検証を指示(署名検証指示)する。
一方、問合結果が無効の場合、証明書確認手段817bは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。そして、証明書確認手段817bは、その認証結果を、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
なお、証明書確認手段817bは、アプリケーションに証明書が添付されていない場合も同様の処理を行う。
【0109】
署名検証手段817cは、検証用情報管理手段817aに記憶された署名が正当であるか否かを検証するものである。ここで、署名検証手段817cは、証明書確認手段817bから署名検証指示が入力されると、証明書の検証鍵を用いて、署名が正当であるか否かを検証する。
【0110】
すなわち、署名検証手段817cは、署名元メッセージに署名検証アルゴリズムを適用して、アプリケーションに付加された署名を検証する(式(2)参照)。この式(2)では、Verify_Kpが検証鍵(公開鍵)を使用した署名検証である。
Verify_Kp(Mes,Sig)<=>1・・・式(2)
【0111】
ここで、Verifyの結果が1である場合、署名が正当なので、署名検証手段817cは、アプリケーションの提供元が正当(Aアプリケーション)と認証(判定)する。
一方、Verifyの結果が1でない場合、署名が正当でないので、署名検証手段817cは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。
【0112】
そして、アプリケーション認証手段817は、署名を検証したアプリケーションのIDと、アプリケーションの提供元が正当であるか否かを示す情報を認証結果として、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
この認証結果は、例えば、0:提供元が正当なアプリケーション(Aアプリケーション)を示し、1:提供元が正当でないアプリケーション(一般アプリケーション)を示すフラグである。
【0113】
リソースアクセス制御手段818は、アプリケーション取得手段811が取得したアプリケーションの提供元が正当でない(一般アプリケーション)場合、このアプリケーションに対して、リソースアクセス制御を行うものである。本実施形態では、リソースアクセス制御手段818は、予め設定されたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。
【0114】
<リソースアクセス制御>
図7を参照して、リソースアクセス制御手段818によるリソースアクセス制御を具体的に説明する(適宜図6参照)。
このリソースアクセス制御テーブルは、Aアプリケーション及び一般アプリケーションのそれぞれが、アクセスできるリソースとアクセスできないリソースとを予め設定したテーブルである。また、リソースアクセス制御テーブルは、図7に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
【0115】
API識別子は、リソースにアクセスするAPIを一意に識別する識別子である。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、Aアプリケーション及び一般アプリケーションのそれぞれが、そのリソースにアクセスできるか否かを示す。
【0116】
このリソースは、アプリケーションの動作に必要となるコンテンツ要素及び受信機資源であり、例えば、放送リソース、通信リソース、受信機リソースがある。
この放送リソースは、放送波Wで扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークNで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機80のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
【0117】
図7のリソースアクセス制御テーブルでは、リソースごとに、そのリソースにアクセスする専用のAPIが規定されている。この例では、リソース「映像」にアクセスするAPIが「subA()」であり、リソース「音声」にアクセスするAPIが「subB()」であり、リソース「字幕」にアクセスするAPIが「subC()」であり、リソース「メモリ」にアクセスするAPIが「subD()」である。
【0118】
また、このリソースアクセス制御テーブルでは、Aアプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限(Aアプリのアクセス権限)が「○」であるため、これらリソースにアクセスできることを示す。さらに、このリソースアクセス制御テーブルでは、Aアプリケーションが、放送リソースと同様、「メモリ」等の受信機リソースにもアクセスできることを示す。
【0119】
さらに、このリソースアクセス制御テーブルでは、一般アプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限(一般アプリのアクセス権限)が「×」であるため、これらリソースにアクセスできないことを示す。一方、このリソースアクセス制御テーブルでは、一般アプリケーションであっても、「メモリ」等の受信機リソースにアクセスできることを示す。
【0120】
つまり、図7のリソースアクセス制御テーブルは、Aアプリケーションが、一般アプリケーションに比べて、幅広いリソースにアクセスできるように設定されている。言い換えるなら、このリソースアクセス制御テーブルでは、一般アプリケーションが、安全性や放送の公共性の観点から、放送リソース等のリソースにアクセスできないように設定されている。
【0121】
ここで、放送局等の権限を有する者が、このリソースアクセス制御テーブルを作成して、放送波W又はネットワークNを介して受信機80に送信して、受信機80に記憶されることとしてもよい。これによって、受信機80では、放送局により、一般アプリケーションがアクセスできるリソースを管理でき、メンテナンス性が向上する。
【0122】
なお、リソースアクセス制御テーブルは、図7の例に限定されない。例えば、リソースアクセス制御テーブルには、放送リソースや受信機リソース以外のリソース(例えば、「TCP」等の通信リソース)を設定することもできる。
【0123】
リソースアクセス制御手段818は、アプリケーション認証手段817から認証結果が入力される。そして、リソースアクセス制御手段818は、リソース管理手段819からリソース割当可否問合が入力されると、このリソース割当可否問合に応じて、リソースの割り当てが可能であるか否かを判定する。
【0124】
具体的には、認証結果(判定結果)がAアプリケーションの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、Aアプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、Aアプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。そして、リソースアクセス制御手段818は、リソースの割り当てが可能であることを示すリソース割当可能を、リソース管理手段819に出力する。
なお、Aアプリケーションのアクセス権限が「×」の場合、リソースアクセス制御手段818は、Aアプリケーションであっても、そのリソースにアクセスすることを禁止する。
【0125】
一方、認証結果(判定結果)が一般アプリケーションの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、一般アプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、一般アプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「×」のため、リソースの割り当てが不可と判定する。また、一般アプリケーションが「subD()」を呼び出した場合、リソースアクセス制御手段818は、リソース「メモリ」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。その後、リソースアクセス制御手段818は、この判定結果に基づいて、リソースの割り当てが不可であることを示すリソース割当不可、または、リソース割当可能の何れかを、リソース管理手段819に出力する。
【0126】
図6に戻り、受信機80の構成について説明を続ける。
リソース管理手段819は、各種リソースを管理するものである。ここで、リソース管理手段819は、アプリケーション実行手段813からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段818に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段818に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
【0127】
また、リソース管理手段819は、リソースアクセス制御手段818からリソース割当可否問合の応答が入力される。
ここで、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段819は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリケーション管理・実行制御手段809及びアプリケーション実行手段813に出力する。
一方、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリケーション管理・実行制御手段809及びアプリケーション実行手段813に出力する。
【0128】
[放送通信連携システムの動作:Aアプリケーション]
受信機80がAアプリケーションを起動するケース(図8)、及び、受信機80が一般アプリケーションを起動するケース(図9)を、図1の放送通信連携システム1の動作として説明する。
【0129】
図8に示すように、放送通信連携システム1は、署名鍵発行装置20によって、署名鍵(秘密鍵)と、この署名鍵に対応する検証鍵(公開鍵)とを発行する。ここで、署名鍵発行装置20は、例えば、DSA署名、RSA署名、楕円曲線を用いた署名等の一般的な署名方式により、署名鍵及び検証鍵を生成し、発行する(ステップS1)。
【0130】
放送通信連携システム1は、署名鍵発行装置20によって、生成した検証鍵をCA局30に配布すると共に(ステップS2)、生成した署名鍵をアプリケーション登録装置70に配布する(ステップS3)。
【0131】
放送通信連携システム1は、アプリID・事業者ID生成装置60によって、アプリケーションID及び事業者IDを生成する(ステップS4)。そして、放送通信連携システム1は、アプリID・事業者ID生成装置60によって、生成したアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力する(ステップS5)。
【0132】
放送通信連携システム1は、CA局30によって、署名鍵発行装置20からの検証鍵が含まれる証明書を生成する(ステップS6)。そして、放送通信連携システム1は、CA局30によって、この証明書をアプリケーション登録装置70に出力する(ステップS7)。
【0133】
放送通信連携システム1は、アプリケーション登録装置70によって、署名鍵発行装置20から入力された署名鍵を用いて、署名を生成する。ここで、アプリケーション登録装置70は、この署名鍵を用いて、署名元メッセージに署名アルゴリズム(例えば、DSA署名)を適用して署名を生成する(ステップS8)。
【0134】
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションIDと、事業者IDと、署名と、証明書とを、検証用情報としてアプリケーションに付加する(ステップS9)。そして、放送通信連携システム1は、アプリケーション登録装置70によって、検証用情報が付加されたAアプリケーションをアプリケーションサーバ50Bに出力し、アプリケーションサーバ50Bによって、Aアプリケーションとして、記憶、管理される(ステップS10)。
【0135】
放送通信連携システム1は、受信機80によって、アプリケーションサーバ50BにAアプリケーションを要求する(ステップS11)。そして、放送通信連携システム1は、受信機80によって、要求したAアプリケーションをアプリケーションサーバ50Bから取得する(ステップS12)。
【0136】
放送通信連携システム1は、受信機80によって、証明書が有効であるか否かをCA局30に問い合わせる(ステップS13)。そして、放送通信連携システム1は、CA局30によって、その問合結果を受信機80に出力する(ステップS14)。
【0137】
放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、受信機80は、CA局30からの問合結果に基づいて証明書の有効性を確認する共に、署名の正当性を検証する(ステップS15)。
ここでは、証明書が有効で、かつ、署名が正当のため、放送通信連携システム1は、受信機80によって、取得したアプリケーションをAアプリケーションとして起動する(ステップS16)。
【0138】
[放送通信連携システムの動作:一般アプリケーション]
図9に示すように、放送通信連携システム1は、一般アプリケーションをアプリケーションサーバ50Aに要求する(ステップS11´)。そして、放送通信連携システム1は、受信機80によって、要求した一般アプリケーションをアプリケーションサーバ50Aから取得する(ステップS12´)。
【0139】
放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する(ステップS15´)。ここでは、アプリケーションに証明書が付加されていないため、放送通信連携システム1は、受信機80によって、取得したアプリケーションを一般アプリケーションとして起動する(ステップS16´)。
なお、以後の実施形態では、アプリケーションの提供元が正当でない場合、図9と同様の動作となるため、詳細な説明を省略する。
【0140】
以上のように、本発明の第1実施形態に係る受信機80は、放送局等の提供元が正当なアプリケーションだけでなく、サービス事業者等の提供元が正当でないアプリケーションも取得できると共に、提供元が正当でないアプリケーションに対して、予め定められたリソースへのアクセスを禁止する。つまり、受信機80は、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。
【0141】
また、受信機80は、不正が困難な署名及び証明書を用いるため、安全性をより向上させることができる。これによって、受信機80では、例えば、サービス事業者Aが制作したアプリケーション(一般アプリケーション)が、サービス事業者Bが制作したアプリケーション(Aアプリケーション)になりすまして、リソースにアクセスすることを防止できる。
【0142】
なお、本実施形態では、アプリケーション取得時にアプリケーション認証を行うこととして説明したが、本発明は、アプリケーション起動時にアプリケーション認証を行うこともできる。この場合、起動制御手段809aがアプリケーションを起動する都度、認証指示がアプリケーション認証手段817に出力されて(図7の「認証指示2」)、アプリケーション認証が行われることになり、安全性がより向上する。
このように、アプリケーション取得時またはアプリケーション起動時の何れかのタイミングで署名を検証すればよいので、受信機80の設計自由度を向上させることができる。
【0143】
なお、本実施形態では、Aアプリケーション及び一般アプリケーションを制作するサービス事業者をそれぞれ1つとして説明したが、複数であってもよい。また、同一のサービス事業者がAアプリケーション及び一般アプリケーションの両方を制作してもよい。さらに、放送局がサービス事業者として、アプリケーションを制作してもよい。
【0144】
(変形例1)
[放送通信連携システムの構成]
図1に戻り、本発明の変形例1に係る放送通信連携システム1について、第1実施形態と異なる点を説明する。
この放送通信連携システム1では、CA局30が失効リスト(CRL:Certificate Revocation List)を発行すると共に、受信機80が証明書の有効性を失効リストに基づいて確認する点が、第1実施形態と異なる。
【0145】
CA局30は、サービス事業者ごとの証明書(事業者IDに対応付けた証明書を生成する。そして、CA局30は、生成した証明書を、オンライン又はオフラインで受信機80に送信する。
【0146】
また、CA局30は、失効した証明書の一覧である失効リストを生成する。例えば、サービス事業者Bが信頼できなくなった場合、放送局は、サービス事業者Bの証明書を失効させたい旨、CA局30に指示する。すると、CA局30は、サービス事業者Bの事業者IDが格納された失効リストを生成する。
【0147】
この失効リストは、放送波W又はネットワークNを介して、受信機80に送信することができる。なお、放送波W又はネットワークNの何れで失効リストを送信するかは、例えば、放送局等によって予め決定される。
【0148】
ここで、放送波Wで失効リストを送信する場合、CA局30は、この失効リストを放送送信装置10に出力する。この場合、放送送信装置10は、例えば、CA局30から入力された失効リストを、DSM−CCデータカルーセルにより受信機80に送信する(図1の「CRL1」)。
【0149】
一方、ネットワークNで失効リストを送信する場合、CA局30は、この失効リストをアプリケーション登録装置70に出力する。この場合、アプリケーション登録装置70は、CA局30から入力された失効リストをアプリケーションに付加して、アプリケーションサーバ50Bに出力する。そして、受信機80は、アプリケーションサーバ50Bから、このアプリケーションと共に失効リストを取得する(図1の「CRL2」)。
【0150】
[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
【0151】
署名鍵入力手段703は、署名鍵発行装置20から、サービス事業者Bの署名鍵が入力される。また、署名鍵入力手段703は、CA局30から、サービス事業者Bの検証鍵が含まれる証明書と、失効リストとが入力される。そして、署名鍵入力手段703は、入力された署名鍵、証明書及び失効リストを、署名生成手段704に出力する。
【0152】
署名生成手段704は、署名鍵入力手段703から署名鍵、証明書及び失効リストが入力され、この署名鍵を用いて、署名を生成するものである。そして、署名生成手段704は、生成した署名と、証明書と、失効リストとを検証用情報付加手段705に出力する。
なお、署名の生成方法は、第1実施形態と同様のため、詳細な説明を省略する。
【0153】
検証用情報付加手段705は、アプリケーションID・事業者ID付加手段702から入力されたアプリケーションに、署名生成手段704から入力された署名鍵、証明書及び失効リストを付加するものである。そして、検証用情報付加手段705は、このアプリケーションをアプリケーション出力手段706に出力する。すなわち、検証用情報付加手段705が出力するアプリケーションには、アプリケーションIDと、事業者IDと、署名と、証明書と、失効リストとが検証用情報として付加されることになる。
【0154】
[受信機の構成]
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機80は、CRL抽出手段804aをさらに備える。
ここで、受信機80は、事業者IDに対応付けられた証明書が予め配布され、この証明書を検証用情報管理手段817aが記憶、管理していることとする。
【0155】
CRL抽出手段804aは、DSM−CCデータカルーセルで送信された失効リストを抽出する。そして、CRL抽出手段804aは、抽出した失効リストを、検証用情報管理手段817aに書き込む。
アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から、アプリケーションに付加されている失効リストを抽出して、検証用情報管理手段817aに書き込む。
【0156】
証明書確認手段817bは、検証用情報管理手段817aの失効リストに基づいて、検証用情報管理手段817aの証明書が有効であるか否かを確認する。具体的には、証明書確認手段817bは、検証用情報管理手段817aに記憶された事業者IDと失効リストとを読み出す。また、証明書確認手段817bは、読み出した事業者IDに対応するサービス事業者の証明書を、検証用情報管理手段817aから読み出す。そして、証明書確認手段817bは、読み出した証明書の事業者IDが失効リストに含まれているか否かを確認する。
【0157】
ここで、事業者IDが失効リストに含まれない場合(証明書が有効の場合)、証明書確認手段817bは、その証明書に含まれる検証鍵を用いて、署名検証手段817cに署名の検証を指示(署名検証指示)する。
【0158】
一方、事業者IDが失効リストに含まれる場合(証明書が無効の場合)、証明書確認手段817bは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。そして、証明書確認手段817bは、その認証結果を、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
このようにして、受信機80は、失効リストに基づいて証明書の有効性を確認することができる。
【0159】
[放送通信連携システムの動作]
図10を参照して、本発明の変形例1に係る放送通信連携システム1の動作について説明する(適宜図1参照)。
なお、以後の説明において、ステップS1〜ステップS6の処理は、図8の各ステップと同様の処理のため、詳細な説明を省略する。
【0160】
放送通信連携システム1は、CA局30によって、生成した証明書を受信機80に配布する(ステップS21)。また、放送通信連携システム1は、CA局30によって、失効リストを生成する(ステップS22)。
【0161】
放送波Wで失効リストを送信する場合、放送通信連携システム1は、CA局30によって、この失効リストを放送送信装置10に出力する(ステップS23)。そして、放送通信連携システム1は、放送送信装置10によって、失効リストをDSM−CCデータカルーセルで受信機80に送信する(ステップS24)。
【0162】
ネットワークNで失効リストを送信する場合、放送通信連携システム1は、CA局30によって、この失効リストをアプリケーション登録装置70に出力する(ステップS23´)。
【0163】
ステップS25の処理は、図8のステップS8と同様の処理のため、詳細な説明を省略する。
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションIDと、事業者IDと、署名と、失効リストとを、検証用情報としてアプリケーションに付加する(ステップS26)。
なお、放送波Wで失効リストを送信した場合(ステップS23,S24)、ステップS9の処理では、失効リストを付加しないことは言うまでない。
【0164】
ステップS27〜S29の処理は、図8のステップS10〜S12と同様の処理ため、詳細な説明を省略する。
放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、受信機80は、失効リストに基づいて証明書が有効であるか否かを確認する共に、署名が正当であるか否かを検証する(ステップS30)。
ステップS31の処理は、図8のステップS16と同様の処理ため、詳細な説明を省略する。
【0165】
以上のように、本発明の変形例1に係る受信機80は、第1実施形態と同様の効果に加え、失効リストによって証明書を容易に失効させることができる。これによって、本発明の変形例1では、放送通信連携システム1における証明書の管理コストを低減することができる。
【0166】
なお、本発明の変形例1では、放送波W又はネットワークNの何れか一方で失効リストを送信することとしたが、両方で失効リストを送信してもよい。つまり、受信機80は、ネットワークNを介して、アプリケーションに付加された失効リストを取得すると共に、放送波Wで送信された失効リストも取得する。この場合、ネットワークNで取得した失効リストよりも、放送波Wで取得した失効リストの方が新しい。従って、受信機80は、放送波Wで取得した失効リストに基づいて、証明書の有効性を確認する。
【0167】
(第2実施形態)
図11を参照して、本発明の第2実施形態に係る放送通信連携システム1(以後、「放送通信連携システム1´」)について、第1実施形態と異なる点を説明する(適宜図1参照)。
この放送通信連携システム1´では、アプリケーション登録装置70´において、証明書の有効性の確認及び署名の正当性の検証を行う点が、第1実施形態と異なる。
【0168】
[アプリケーション登録装置の構成]
アプリケーション登録装置70´の構成について説明する(適宜図1参照)。
図11に示すように、アプリケーション登録装置70´は、証明書の有効性の確認及び署名の正当性の検証を行うため、記憶手段705aと、証明書確認手段705bと、署名検証手段705cとをさらに備える。
【0169】
記憶手段705aは、検証用情報付加手段705に入力されたアプリケーションID、事業者ID、署名、証明書等を記憶、管理するものである。この記憶手段705aが記憶する証明書等は、後記する証明書確認手段705b及び署名検証手段705cによって参照される。
【0170】
証明書確認手段705bは、記憶手段705aに記憶された証明書が有効であるか否かを確認するものである。具体的には、証明書確認手段705bは、図6の証明書確認手段817bと同様の手法で、証明書の有効性を確認する。
【0171】
ここで、証明書が有効の場合、証明書確認手段705bは、署名検証手段705cに署名の検証を指示(署名検証指示)する。
一方、証明書が無効の場合、証明書確認手段705bは、アプリケーションの提供元が正当でないことを示す検証結果をアプリケーションに検証用情報として付加する。
この検証結果は、例えば、0:提供元が正当なアプリケーション(Aアプリケーション)を示し、1:提供元が正当でないアプリケーション(一般アプリケーション)を示すフラグである。
【0172】
署名検証手段705cは、記憶手段705aに記憶された署名が正当であるか否かを検証するものである。具体的には、署名検証手段705cは、図6の署名検証手段817cと同様の手法で、署名の正当性を検証する。
【0173】
ここで、署名が正当な場合、署名検証手段705cは、アプリケーションの提供元が正当であることを示す検証結果をアプリケーションに検証用情報として付加する。
一方、署名が正当でない場合、署名検証手段705cは、アプリケーションの提供元が正当でないことを示す検証結果をアプリケーションに検証用情報として付加する。
【0174】
このようにして、アプリケーション登録装置70´は、証明書の有効性の確認と、署名の正当性の検証とを行って、その検証結果をアプリケーションに付加することができる。
【0175】
[受信機の構成]
図12を参照して、受信機80´の構成について説明する(適宜図1参照)。
図12に示すように、受信機(放送通信連携受信装置)80´は、証明書確認手段817b及び署名検証手段817cの代わりに、検証結果判定手段817dを備える。
【0176】
アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から検証結果(検証用情報)を抽出して、検証用情報管理手段817aに書き込む。
すなわち、検証用情報管理手段817aは、アプリケーションに付加されている検証結果を記憶、管理する。
【0177】
検証結果判定手段817dは、検証用情報管理手段817aに記憶された検証結果(検証用情報)に基づいて、アプリケーション取得手段811が取得したアプリケーションの提供元が正当であるか否かを検証するものである。
【0178】
ここで、検証結果=0の場合、検証結果判定手段817dは、アプリケーションの提供元が正当(Aアプリケーション)と認証(判定)する。
一方、検証結果=1の場合、検証結果判定手段817dは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。
【0179】
そして、検証結果判定手段817dは、提供元の正当性を検証したアプリケーションのIDと、提供元が正当であるか否かを示すフラグ等の情報とを認証結果として、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
【0180】
[放送通信連携システムの動作]
図13を参照して、本発明の第2実施形態に係る放送通信連携システム1´の動作について説明する(適宜図1参照)。
【0181】
放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、アプリケーション登録装置70´は、CA局30からの問合結果に基づいて証明書の有効性を確認する共に、署名の正当性を検証する(ステップS51)。
以下、アプリケーションの提供元が正当であることとして説明する。
【0182】
放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションIDと、検証結果(検証用情報)とをアプリケーションに付加する(ステップS52)。
ステップS53〜S55の処理は、図8のステップS10〜S12と同様の処理ため、詳細な説明を省略する。
【0183】
放送通信連携システム1´は、受信機80´によって、検証結果により、アプリケーションの提供元が正当であるか否かを判定する。ここで、検証結果=0の場合、受信機80´は、アプリケーションの提供元が正当であると判定する。一方、検証結果=1の場合、受信機80´は、アプリケーションの提供元が正当でないと判定する(ステップS56)。
ステップS57の処理は、図8のステップS16と同様の処理ため、詳細な説明を省略する。
【0184】
以上のように、本発明の第2実施形態に係る受信機80´は、第1実施形態と同様、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。さらに、受信機80´は、証明書の有効性の確認及び署名の正当性の検証を行う必要がなく、受信機80´の処理負荷を低減することができる。従って、受信機80´は、その構成を簡易にすることができ、CPU、メモリ等のリソースが限られるセットトップボックスに容易に適用することができる。
【0185】
(変形例2)
図11に戻り、本発明の変形例2に係る放送通信連携システム1´について、第2実施形態と異なる点を説明する(適宜図1参照)。
この放送通信連携システム1´では、CA局30が失効リストをアプリケーション登録装置70に出力する。そして、放送通信連携システム1´では、アプリケーション登録装置70´が、変形例1と同様、証明書の有効性を失効リストに基づいて確認する点が、第2実施形態と異なる。
【0186】
[アプリケーション登録装置の構成]
アプリケーション登録装置70´の構成について説明する(適宜図1参照)。
記憶手段705aは、検証用情報付加手段705に入力されたアプリケーションID、事業者ID、署名、証明書、失効リスト等を記憶、管理するものである。この記憶手段705aが記憶する失効リスト等は、後記する証明書確認手段705bによって参照される。
【0187】
証明書確認手段705bは、記憶手段705aの失効リストに基づいて、証明書が有効であるか否かを確認する。この証明書確認手段705bは、変形例1と同様の手法で証明書の有効性を確認するため、詳細な説明を省略する。
このようにして、アプリケーション登録装置70´は、失効リストに基づいて証明書の有効性を確認することができる。
【0188】
[放送通信連携システムの動作]
図14を参照して、本発明の変形例2に係る放送通信連携システム1´の動作について説明する(適宜図1参照)。
【0189】
放送通信連携システム1´は、CA局30によって、生成した証明書をアプリケーション登録装置70´に出力する(ステップS61)。
ステップS62の処理は、図10のステップS22と同様の処理のため、詳細な説明を省略する。
【0190】
放送通信連携システム1´は、CA局30によって、生成した失効リストをアプリケーション登録装置70´に出力する(ステップS63)。
ステップS64の処理は、図10のステップS25と同様の処理のため、詳細な説明を省略する。
【0191】
放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、アプリケーション登録装置70´は、失効リストに基づいて証明書が有効であるか否かを確認する共に、署名が正当であるか否かを検証する(ステップS65)。
ステップS66〜S71の処理は、図13のステップS52〜S57と同様の処理のため、詳細な説明を省略する。
【0192】
以上のように、本発明の変形例2に係る受信機80´は、第2実施形態と同様の効果に加え、失効リストによって証明書を容易に失効させることができる。これによって、本発明の変形例2では、放送通信連携システム1´における証明書の管理コストを低減することができる。
【0193】
(第3実施形態)
[放送通信連携システムの構成]
図15を参照して、本発明の第3実施形態に係る放送通信連携システム1´´の構成について、第1実施形態と異なる点を説明する。
この放送通信連携システム1´´では、リポジトリ50C及びアプリケーション管理装置90をさらに備えると共に、システム管理者によって、署名鍵発行装置20´´と、リポジトリ50Cと、アプリID・事業者ID生成装置60と、アプリケーション登録装置70´´とが管理されることが、第1実施形態と異なる。
【0194】
「システム管理者」とは、Aアプリケーションを承認する機関である。例えば、システム管理者は、あるサービス事業者が制作したアプリケーションをAアプリケーションとして承認する際、このアプリケーションが放送通信連携システム1´´で期待される動作を行うか否かを手動で検証する。そして、システム管理者は、Aアプリケーションを、後記するリポジトリ50Cに登録する。
【0195】
署名鍵発行装置20´´は、放送通信連携システム1´´で共通する署名鍵及び検証鍵を生成する。この署名鍵発行装置20´´が生成した署名鍵は、アプリケーション登録装置70´´に配布される。また、署名鍵発行装置20が生成した検証鍵は、システム管理者によって、CA局30に配布される。
【0196】
リポジトリ50C(50)は、Aアプリケーションを記憶、管理するものである。そして、リポジトリ50Cは、例えば、受信機80からの要求に応じて、ネットワークNを介して、記憶したAアプリケーションを受信機80に送信する。
【0197】
アプリケーション登録装置70´´は、アプリケーション管理装置90からのアプリケーションに検証用情報を付加して、このアプリケーションをAアプリケーションとして登録するものである。ここで、アプリケーション登録装置70´´は、例えば、署名鍵発行装置20´´からの署名鍵を用いて、サービス事業者及びアプリケーションごとに固有の署名を生成する。
このように、署名鍵及び検証鍵がサービス事業者で共通する場合であっても、署名がサービス事業者及びアプリケーションごとに固有のため、受信機80では、アプリケーションの提供元が正当であるか否かを検証できる。
【0198】
アプリケーション管理装置90は、サービス事業者Bによって管理され、サービス事業者Bが制作したアプリケーションを記憶、管理するものである。ここで、アプリケーション管理装置90に記憶されたアプリケーションは、例えば、ネットワークNを介して、アプリケーション登録装置70´´に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者に郵送し、システム管理者がこのアプリケーションをアプリケーション登録装置70´´に手動で入力してもよい。
【0199】
なお、図15の各装置は、図1の各装置と同様の構成のため、詳細な説明を省略する。
また、図16に示すように、放送通信連携システム1´´は、図8と同様の動作を行うため、詳細な説明を省略する。
【0200】
以上のように、本発明の第3実施形態に係る受信機80は、第1実施形態と同様、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。また、受信機80は、不正が困難な署名及び証明書を用いるため、安全性をより向上させることができる。
【0201】
(変形例3〜変形例5)
なお、図15の放送通信連携システム1´´は、第1実施形態だけでなく、第2実施形態及び変形例1,2にも同様に適用することができる(それぞれ、変形例3〜変形例5とする)。この場合、変形例3〜変形例5に係る放送通信連携システム1´´は、図17〜図19に示すように、図10,図13,図15と同様の動作になるため、詳細な説明を省略する。
【符号の説明】
【0202】
1,1´,1´´ 放送通信連携システム
10 放送送信装置
20,20´´ 署名鍵発行装置
200 署名鍵・検証鍵生成手段
201 検証鍵管理手段
202 署名鍵管理手段
30 CA局(認証局)
40,40A,40B コンテンツ配信サーバ
50,50A,50B アプリケーションサーバ
50C リポジトリ(アプリケーションサーバ)
500 アプリケーション入力手段(アプリ入力手段)
501 アプリケーション記憶手段(アプリ記憶手段)
502 アプリケーション送信手段(アプリ送信手段)
60 アプリID・事業者ID生成装置
600 アプリケーションID生成手段(アプリID生成手段)
601 事業者ID生成手段
602 アプリケーションID・事業者ID出力手段(アプリID・事業者ID出力手段)
70,70´,70´´ アプリケーション登録装置
700 アプリケーション入力手段(アプリ入力手段)
701 アプリケーションID・事業者ID入力手段(アプリID・事業者ID入力手段)
702 アプリケーションID・事業者ID付加手段(アプリID・事業者ID付加手段)
703 署名鍵入力手段
704 署名生成手段
705 検証用情報付加手段
705a 記憶手段
705b 証明書確認手段
705c 署名検証手段
706 アプリケーション出力手段(アプリ出力手段)
80 受信機(放送通信連携受信装置)
801 放送受信手段
802 放送信号解析手段
803 映像・音声復号手段
804 データ放送復号手段
804a CRL抽出手段
805 通信送受信手段
806 アプリケーション起動情報取得手段(アプリ起動情報取得手段)
807 アプリケーション起動情報記憶手段(アプリ起動情報記憶手段)
808 リスト制御手段
809a 起動制御手段
809b 終了制御手段
809c 蓄積管理手段
809 アプリケーション管理・実行制御手段(アプリ管理・実行制御手段)
810 起動アプリケーション識別情報記憶手段(起動アプリ識別情報記憶手段)
811 アプリケーション取得手段(アプリ取得手段)
812 アプリケーション記憶手段(アプリ記憶手段)
813 アプリケーション実行手段(アプリ実行手段)
814 操作制御手段
815 合成表示手段
816 セキュリティ管理手段
817 アプリケーション認証手段(アプリ認証手段、アプリケーション判定手段)
817a 検証用情報管理手段(記憶手段)
817b 証明書確認手段
817c 署名検証手段
818 リソースアクセス制御手段
819 リソース管理手段
90 アプリケーション管理装置

【特許請求の範囲】
【請求項1】
放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、秘密情報である署名鍵及び当該署名鍵に対応する公開情報である検証鍵を発行する署名鍵発行装置と、前記検証鍵が含まれる証明書を発行する認証局と、アプリケーションの提供元を検証するための検証用情報を当該アプリケーションに付加するアプリケーション登録装置と、前記検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバとを含む放送通信連携システムに備えられる前記放送通信連携受信装置であって、
ネットワークを介して、前記アプリケーションサーバに記憶されたアプリケーションを取得するアプリケーション取得手段と、
前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを判定するアプリケーション判定手段と、
前記アプリケーション判定手段の判定結果に基づいて、当該取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行うリソースアクセス制御手段と、
を備えることを特徴とする放送通信連携受信装置。
【請求項2】
前記アプリケーション取得手段は、前記署名鍵により生成された署名及び前記証明書が前記検証用情報として付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記証明書が有効であるか否かを前記認証局に確認し、前記証明書が有効な場合、当該証明書の検証鍵により前記署名が正当であるか否かを検証し、前記署名が正当な場合に前記アプリケーションの提供元が正当と判定し、前記証明書が有効でない又は前記署名が正当でない場合に前記アプリケーションの提供元が正当でないと判定することを特徴とする請求項1に記載の放送通信連携受信装置。
【請求項3】
前記放送通信連携受信装置は、前記証明書が予め記憶された記憶手段をさらに備え、
前記アプリケーション取得手段は、前記署名鍵により生成された署名が前記検証用情報として付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、失効した証明書の一覧である失効リストに基づいて前記記憶手段から抽出された前記証明書が有効であるか否かを確認し、当該証明書が有効な場合、当該証明書の検証鍵により前記署名が正当であるか否かを検証し、前記署名が正当な場合に前記アプリケーションの提供元が正当と判定し、当該証明書が有効でない又は前記署名が正当でない場合に前記アプリケーションの提供元が正当でないと判定することを特徴とする請求項1に記載の放送通信連携受信装置。
【請求項4】
前記放送通信連携受信装置は、前記署名鍵により生成された署名と前記証明書とに基づいて、前記アプリケーションの提供元が正当であるか否かを検証する前記アプリケーション登録装置が含まれる放送通信連携システムに備えられ、
前記アプリケーション取得手段は、前記検証用情報として、前記アプリケーションの提供元の検証結果が前記アプリケーション登録装置によって付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする請求項1に記載の放送通信連携受信装置。
【請求項5】
前記放送通信連携受信装置は、前記署名鍵により生成された署名と前記証明書と失効リストとに基づいて、前記アプリケーションの提供元が正当であるか否かを検証する前記アプリケーション登録装置が含まれる放送通信連携システムに備えられ、
前記アプリケーション取得手段は、前記検証用情報として、前記アプリケーションの提供元の検証結果が前記アプリケーション登録装置によって付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする請求項1に記載の放送通信連携受信装置。
【請求項6】
請求項1に記載の放送通信連携受信装置と、
前記放送番組を送信する放送送信装置と、
前記署名鍵及び前記検証鍵を発行する署名鍵発行装置と、
前記検証鍵が含まれる証明書を発行する認証局と、
前記検証用情報を当該アプリケーションに付加するアプリケーション登録装置と、
前記検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバと、
を備えることを特徴とする放送通信連携システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate


【公開番号】特開2012−256321(P2012−256321A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2012−114209(P2012−114209)
【出願日】平成24年5月18日(2012.5.18)
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】