暗号キー配信装置及びそのプログラム
【課題】認証済みのクライアントが受信中のマルチキャストパケットを、他の未認証クライアントが視聴することを防止する。
【解決手段】 暗号キー配信装置において、認証されたクライアントのアドレスを保持しておき、所定のマルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記マルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信し、認証されたクライアントからの要求に基づき、そのクライアントに前記キー暗号キーを送信し、前記コンテンツ配信装置とクライアントのそれぞれに前記コンテンツ暗号キーを前記キー暗号キーで暗号化したコンテンツ暗号キーをマルチキャスト配信する。
【解決手段】 暗号キー配信装置において、認証されたクライアントのアドレスを保持しておき、所定のマルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記マルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信し、認証されたクライアントからの要求に基づき、そのクライアントに前記キー暗号キーを送信し、前記コンテンツ配信装置とクライアントのそれぞれに前記コンテンツ暗号キーを前記キー暗号キーで暗号化したコンテンツ暗号キーをマルチキャスト配信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はマルチキャスト配信技術に関し、特に、認証されたクライアントだけにマルチキャストコンテンツを提供する技術に関する。
【背景技術】
【0002】
図1に、従来技術を用いたマルチキャスト配信システムを示す。図1に示すマルチキャスト配信システムは、コンテンツを配信するコンテンツ配信サーバ、マルチキャスト対応ルータ、及びマルチキャスト配信されたコンテンツを受信するクライアントを有している。図1の例では、各クライアントは無線アクセスポイントを介してインターネットと通信可能である。無線アクセスポイントはレイヤ2スイッチを介してマルチキャスト対応ルータ1、3に接続されている。
【0003】
各クライアントはIGMP等のマルチキャストに係る機能を有している。マルチキャスト対応ルータ1、3配下にあるクライアントが特定のマルチキャストアドレスに対応するコンテンツのマルチキャスト配信を受けるには、まず、いずれかのクライアント(例えばクライアント5)がコンテンツ配信サーバに対してマルチキャストアドレスを含む配信要求を送信する。配信要求を受信したコンテンツ配信サーバはコンテンツを送信し、コンテンツはマルチキャスト対応ルータ1に伝送され、マルチキャスト対応ルータ1はクライアント5が存在するネットワークエリアにある全クライアントに対してコンテンツをマルチキャスト配信し、当該コンテンツに対応するマルチキャストグループへの参加をしているクライアントのみがコンテンツを受信する。
【0004】
なお、マルチキャストに関連する従来技術として、例えば特許文献1に開示された技術がある。また、マルチキャストに関連する参考文献として非特許文献1〜5がある。
【特許文献1】特開2002−026903号公報
【非特許文献1】Internet STD5, RFC1112「Internet Group Management Protocol (IGMP)」IETF Network Working Group, August, 1989
【非特許文献2】Internet RFC2876「Multicast Listener Discovery (MLD) for IPv6」IETF Network Working Group, October, 1999
【非特許文献3】Internet Draft「Explicit Multicast (Xcast) Basic Specification」R. Boivie (IBM) et al., January, 2003
【非特許文献4】Internet RFC3547「The Group Domain of Interpretation」M. Baugher (Cisco) et al., July, 2003
【非特許文献5】Internet RFC3775「Mobility Support in IPv6」D. Johnson (Rice University)et al., June, 2004
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の従来技術では、あるクライアントが要求したコンテンツを、そのクライアントと同じエリアに存在する参加した全てのクライアントが受信可能である。従って、認証されたクライアントのみにマルチキャストコンテンツを視聴させ、未認証クライアントがそのマルチキャストコンテンツを視聴することを防止するといった制御を行うことができないという問題がある。
【0006】
本発明は上記の点に鑑みてなされたものであり、認証済みのクライアントが受信中のマルチキャストパケットを、他の未認証クライアントが視聴することを防止する技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の課題は、所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置であって、認証されたクライアントのアドレスを保持する保持手段と、前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段と、あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段と、前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段とを有することを特徴とする暗号キー配信装置により解決できる。
【0008】
また、前記暗号キー配信装置は、前記コンテンツ暗号キーを更新する手段を更に備え、前記マルチキャスト配信手段は、前記コンテンツ暗号キーのマルチキャスト配信要求を受信した場合に、マルチキャスト配信要求送信元の装置のエリアに対応する送信先の情報と、前記コンテンツ暗号キーをマルチキャスト配信するためのマルチキャストアドレスとを対応付けたセッション情報を保持し、前記コンテンツ暗号キーの更新が行われた場合に、更新後のコンテンツ暗号キーを当該セッション情報に基づきマルチキャスト配信するようにしてもよい。
【0009】
また、前記暗号キー配信装置は、マルチキャストコンテンツ毎に、コンテンツ暗号キーを配布可能なクライアントの属性値のリストを保持し、前記暗号キー配信装置は、クライアントの認証を行う認証装置から、前記認証されたクライアントのアドレスと当該クライアントに対応する属性値とを受信し、前記保持手段は、当該アドレスと属性値とを対応付けて保持し、前記対クライアント暗号キー送信手段は、前記キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の送信元のアドレスが、前記認証されたクライアントのアドレスであり、かつ当該アドレスに対応する属性値が、前記マルチキャストコンテンツに対応する属性値として前記属性値のリストに含まれている場合に、前記クライアントに前記キー暗号キーを送信するようにしてもよい。
【発明の効果】
【0010】
本発明によれば、コンテンツ配信装置に対し、所定のマルチキャストコンテンツに対応するコンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信し、認証されたクライアントからの要求に基づき、そのクライアントに前記キー暗号キーを送信し、コンテンツ配信装置とクライアントの各々に、前記コンテンツ暗号キーを前記キー暗号キーで暗号化したコンテンツ暗号キーをマルチキャスト配信することとしたので、所定のマルチキャストコンテンツは、前記キー暗号キーを持つ認証されたクライアントだけが復号して視聴できる。従って、認証済みのクライアントが受信中のマルチキャストパケットを、他の未認証クライアントが視聴することを防止することが可能となる。
【発明を実施するための最良の形態】
【0011】
以下、図面を参照して本発明の実施の形態を説明する。
【0012】
本発明の実施の形態におけるマルチキャスト配信システムを図2に示す。図2に示すように、このマルチキャスト配信システムは、モバイルIPv6のノード機能を有するコンテンツ配信サーバ(CDS:Contents Delivery Server)、アドレスマッピングサーバ(AMS:Address Mapping Server)、マルチキャスト制御ゲートウェイ(MCG:Multicast Gateway Server)、スプリッタ(SP: Splitter)、ホームエージェント(HA)、マルチキャスト暗号キーサーバ(KS)がIPネットワークに接続された構成を有している。
また、各マルチキャスト制御ゲートウェイ(MCG)には、レイヤ2スイッチを介して無線アクセスポイント(AP)が接続され、その配下にクライアント、もしくはコンテンツ配信サーバ(CDS)が存在する。
【0013】
コンテンツ配信サーバ(CDS)は、本システムを利用してコンテンツをストリーム配信するサーバであり、各クライアントは、ストリーム配信されたコンテンツを利用するユーザの端末である。クライアントは、無線アクセスポイント(AP)を経由してマルチキャスト制御ゲートウェイ(MCG)に接続し、マルチキャスト制御ゲートウェイ(MCG)からマルチキャストされるコンテンツを受信する。以下、本実施の形態のマルチキャスト配信システムを構成する各装置の機能を説明する。
【0014】
アドレスマッピングサーバ(AMS)は、コンテンツ毎に、コンテンツに対応するマルチキャストアドレス(これを、マルチキャストチャネル、マルチキャストグループと称する場合もある)と、当該コンテンツの属性(コンテンツの配信元サーバのホームアドレス、コンテンツの配信可能エリア、ストリーム帯域、暗号化方法等)を保持している。例えばコンテンツ提供者がこれらの属性の値を設定する。
【0015】
なお、本実施の形態における“エリア”は、IPアドレスのネットワーク部で識別されるネットワークエリアであるが、これに限定されるものではなく、種々の定義が可能である。ネットワークエリアを“ホテル”、“飲食店”、“学校”等と対応付けることにより、“エリア”としてこれらを用いることもできる。また、本実施の形態における“マルチキャスト”はIETF RFC1112やRFC2710等にて定義されているIPマルチキャストであるが、本発明が適用されるマルチキャストはこれに限定されるものではない。
【0016】
マルチキャスト制御ゲートウェイ(MCG)は、クライアントからのコンテンツ配信要求を受信し、アドレスマッピングサーバ(AMS)からコンテンツ属性を取得して、要求されたコンテンツが、コンテンツ要求元クライアントの存在するエリアに対して配信可能であれば、スプリッタ(SP)及びコンテンツ配信サーバ(CDS)に対してコンテンツ配信ツリーの作成とコンテンツ配信を要求する。その後、コンテンツ配信ツリーに沿って配信されたユニキャストカプセル化されたコンテンツをマルチキャストに復元し、コンテンツ要求元クライアントのエリアに対してマルチキャスト配信する。また、MCGは、VLAN単位(VLANのネットワークアドレス単位)でマルチキャスト配信可否を制御することが可能である。また、マルチキャスト制御ゲートウェイ(MCG)は、更に認証ゲートウェイの機能も有している。
【0017】
スプリッタ(SP)は、コンテンツ配信サーバ(CDS)から各MCGにコンテンツを効率的に配送するための配信ツリーを構成し、コンテンツ配信サーバ(CDS)から各マルチキャスト制御ゲートウェイ(MCG)に向けて、コンテンツストリームを中継して分岐配送する。
【0018】
マルチキャスト暗号キーサーバ(KS)は、マルチキャストチャネル毎のパケットの暗号キーを作成し、コンテンツ配信サーバ及びマルチキャスト受信クライアントに配布する機能を有している。
【0019】
ホームエージェント(HA)は、モバイルIPv6のホームエージェント機能(draft-ietf-mobileip-ipv6にて定義されている)を有する装置(例えばルータ)であり、ホームアドレスと気付けアドレスとを対にして管理する。また、本実施の形態のホームエージェント(HA)は、バインディングアップデート時等にコンテンツ配信サーバ(CDS)を認証した際に、認証結果を、コンテンツ配信サーバ(CDS)を配下に持つマルチキャスト制御ゲートウェイ(MCG)に通知する機能を有している。
【0020】
図2に示す例では、各マルチキャスト制御ゲートウェイ(MCG)配下では、レイヤ2スイッチを用いることによりVLAN(バーチャルLAN)が構築され、VLANで形成される1つのエリアが1つの無線アクセスポイント(AP)に対応付けられている。マルチキャスト制御ゲートウェイ(MCG)にはアドレスマッピングサーバ(AMS)の所在(アドレスや通信ポート)が予め設定されており、アドレスマッピングサーバ(AMS)と各マルチキャスト制御ゲートウェイ(MCG)間は直接通信可能である。
【0021】
また、マルチキャスト制御ゲートウェイ(MCG)配下は、IPマルチキャストを利用可能であるが、マルチキャスト制御ゲートウェイ(MCG)より上流の広域ネットワークでは、ユニキャスト配信のみ可能であるように構成されている。ただし、コンテンツ配信サーバ(CDS)からのコンテンツ配信は、IPマルチキャストパケットをユニキャストパケットにカプセル化し、ユニキャストとして行う。すなわち、コンテンツ配信サーバ(CDS)から各マルチキャスト制御ゲートウェイ(MCG)までのコンテンツストリーム転送においては、IPマルチキャストパケットをユニキャストパケットにカプセル化して配信する。このように構成されたシステムの動作概要は次の通りである。
【0022】
あるクライアントがコンテンツ配信要求をマルチキャスト制御ゲートウェイ(MCG)に対して送信すると、マルチキャスト制御ゲートウェイ(MCG)は、当該クライアントが属しているエリア識別情報と要求するコンテンツ識別情報(マルチキャストアドレス)とをアドレスマッピングサーバ(AMS)に送信し、AMSは、受信した情報から当該エリアで当該コンテンツを受信可能か否かを判断し、可能であればコンテンツ配信サーバ(CDS)のホームアドレスを含む情報をマルチキャスト制御ゲートウェイ(MCG)に返し、MCGはそのアドレスのコンテンツ配信サーバ(CDS)あてにスプリッタ(SP)を介してコンテンツの配信要求を送信する。配信要求を受信したコンテンツ配信サーバ(CDS)は、要求されたコンテンツを送信する。コンテンツは、配信要求が通過した経路に沿って要求送信元のマルチキャスト制御ゲートウェイ(MCG)まで転送され、MCGから、要求に係るエリアのクライアントにマルチキャスト配信される。
【0023】
次に、各装置の構成を説明する。まず、図3にマルチキャスト制御ゲートウェイ(MCG)の機能ブロック図を示す。
【0024】
マルチキャスト制御ゲートウェイ(MCG)は、認証チェック部17、パケットフィルタ部18、ストリーム配信部11、ストリーム受信部12、ストリーム配信要求部14、コンテンツ属性要求部13、コンテンツ受信クライアント検出部16、マルチキャスト復元部19、HA通信部10、KS通信部9、クライアント認証部20、及び制御部15を有している。また、制御部15は、認証状態管理部151、セション管理部152、エリア情報管理部153を有している。
【0025】
コンテンツ受信クライアント検出部16は、クライアントから、コンテンツのマルチキャスト配信を要求するためのコンテンツ配信要求メッセージを受信する。このメッセージは、IGMP Report又はMLD Report等である。
【0026】
ストリーム配信部11は、クライアントに対して、要求されたコンテンツをマルチキャスト配信する。ストリーム配信要求部14は、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)に対して、コンテンツ配信要求メッセージを送信する。ストリーム受信部12は、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)からストリーム配信されるコンテンツを受信する。コンテンツ属性要求部13は、アドレスマッピングサーバ(AMS)に対して、コンテンツの属性を要求するメッセージを送信し、その応答を受信する。
【0027】
HA通信部10は、ホームエージェント(HA)と、モバイルIPクライアント(本実施の形態ではコンテンツ配信サーバ(CDS))のバインディング情報を送受信する等の機能を有している。KS通信部9は、マルチキャスト暗号キーサーバ(KS)に対してクライアントの認証状態を通知する。
【0028】
認証チェック部17は、受信したIPパケットのヘッダ情報から、そのパケットが認証済のクライアントから発信された情報であるかどうかチェックする機能を有している。また、パケットフィルタ部18は、クライアントからIPパケットを受信したとき、認証済クライアントから発信されたものであれば、パケットをその宛先へ転送する。それ以外の場合は例外(HAへのバインディング情報通知など)を除いて破棄する。また、クライアント認証部20は、クライアントを認証するための機能を有している。
【0029】
マルチキャスト復元部19は、クライアント群にコンテンツをマルチキャスト配信するために、CDSもしくはSPから受信したユニキャストストリームをマルチキャストに復元する機能を有している。
【0030】
また、制御部15の認証状態管理部151は、認証済クライアントのIPアドレス(グローバルアドレス)及びMACアドレスを記憶装置に保持し管理する。制御部15のセション管理部152は、クライアントとのセション及び、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)とのストリーム送受信セションを管理する。また、制御部15のエリア情報管理部153は、ゲートウェイ配下のVLAN毎のエリア情報を管理する機能を有する。
【0031】
図4にスプリッタ(SP)の機能ブロック図を示す。同図に示すように、スプリッタ(SP)は、コンテンツ要求受信部21、ストリーム配信部22、ストリーム配信要求部23、ストリーム受信部24、及び制御部25を有している。また、制御部25は、セション管理部251を有している。
【0032】
コンテンツ要求受信部21は、下流のマルチキャスト制御ゲートウェイ(MCG)やスプリッタ(SP)から、コンテンツ配信要求メッセージを受信し、ストリーム配信部22は、下流のマルチキャスト制御ゲートウェイ(MCG)やスプリッタ(SP)に対して、要求されたコンテンツをストリーム配信する機能を有している。また、ストリーム配信要求部23は、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)に対して、コンテンツ配信要求メッセージを送信し、ストリーム受信部24は、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)からストリーム配信されるコンテンツを受信する機能を有している。
【0033】
制御部25のセション管理部251は、下流のスプリッタ(SP)やマルチキャスト制御ゲートウェイ(MCG)、及び、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)とのストリーム送受信セションを管理する。
【0034】
図5にアドレスマッピングサーバ(AMS)の機能ブロック図を示す。同図に示すように、アドレスマッピングサーバ(AMS)は、コンテンツ属性要求受信部31、コンテンツ属性送信部32、コンテンツ属性管理データベース33、属性操作用ユーザインタフェース部34、及び制御部35を有する。また、制御部35は、データベースアクセス部351とコンテンツ配信可否制御部352を有している。
【0035】
コンテンツ属性要求受信部31は、マルチキャスト制御ゲートウェイ(MCG)から、コンテンツ属性要求メッセージを受信する。コンテンツ属性送信部32は、コンテンツ属性要求元MCGに対して、コンテンツ属性要求に対する応答メッセージを送信する。配信可能なエリアのMCGに対しては、応答メッセージとしてコンテンツ属性を含む情報を送信する。コンテンツ属性管理データベース33は、コンテンツ毎に、マルチキャストアドレス、配信元サーバアドレス、配信可能エリア情報等が対応付けられた属性情報を管理する。属性操作用ユーザインタフェース部34は、コンテンツ属性を操作するための画面を表示し、ユーザからの属性操作入力を受信する。
【0036】
制御部35のデータベースアクセス部351は、マルチキャスト制御ゲートウェイ(MCG)からのコンテンツ属性要求受信時、及び、ユーザからの属性操作時、データベース33にアクセスし、属性値の読み出し/書き込みを行う。コンテンツ配信可否制御部352は、データベース33の情報とコンテンツ属性要求元のエリア情報とを照合し、その照合結果に基づいて、要求に係るコンテンツを当該エリアに配信許可するか否かを決定する。
【0037】
図6にマルチキャスト暗号キーサーバ(KS)の機能ブロック図を示す。同図に示すように、マルチキャスト暗号キーサーバ(KS)は、認証情報取得部41、制御部42、暗号キー要求受信部43、認証チェック部44、暗号キー作成部45、マルチキャスト暗号キー配布部46、ユニキャストカプセル部47、制御部42は、認証情報管理部421と
キー管理部422を有している。
【0038】
認証情報取得部41は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)等から、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)が認証したクライアントのIPアドレス(MobileIPクライアントのホームアドレス等)を受信する。また、ログアウトしたクライアントのIPアドレス情報を受信する。
【0039】
暗号キー要求受信部43は、マルチキャスト視聴クライアントから、マルチキャスト暗号キーの配布要求を受信する。また、認証チェック部44は、暗号キーを要求するクライアントからのパケットのヘッダ情報から、認証済クライアントであるかどうかチェックする。
【0040】
暗号キー作成部45は、マルチキャスト暗号キー(TEK:Traffic Encryption Key)、及びKEK(Key Encryption Key)を作成する。また、一定時間おきにTEKを新しく作り直す。マルチキャスト暗号キー配布部46は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)において認証済のクライアントに対してのみ、TEKを配布する。また、ユニキャストカプセル部47は、マルチキャストパケットをユニキャストパケットにカプセル化する。
【0041】
制御部42の認証情報管理部421は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)等から取得した認証済クライアントのIPアドレスを管理する。また、キー管理部422は、マルチキャストチャネル毎に、対応するマルチキャスト暗号キー、KEK、及び、これらのキーを配布したクライアントのリストを管理する。
【0042】
上記の各装置における機能部、及び本発明の各手段は、コンピュータに、本実施の形態において説明した処理内容を記述したプログラムを実行させることにより実現されるものである。また、上記の各装置は、通信処理機能を有するコンピュータにより実現できる。また、マルチキャスト制御ゲートウェイ(MCG)及びスプリッタ(SP)はルータにより実現することもできる。
【0043】
次に、図7のシーケンス図を参照して本実施の形態のシステムの基本的な動作を説明する。このシーケンスは、モバイルIPクライアントであるコンテンツ配信サーバ(CDS)を認証し、マルチキャストストリームを要求するクライアント群に向けて、コンテンツマルチキャスト配信ツリーを自動生成し、コンテンツ配信サーバ(CDS)からユニキャストカプセル化されたマルチキャストストリームを受信し、コンテンツをマルチキャスト配信開始するまでのシーケンスの一例である。
【0044】
本実施の形態におけるマルチキャスト配信システムにおける処理シーケンスは、(1)AMSへのマルチキャストコンテンツ登録、(2)コンテンツ配信サーバの認証、(3)コンテンツ受信要求処理、(4)コンテンツ配信ツリー作成の段階、及び、(5)コンテンツ中継とマルチキャスト配信、の5つの段階に大きく分けることができる。
【0045】
(1) AMSへのマルチキャストコンテンツ登録
事前にマルチキャストアドレスと、そのコンテンツ配信サーバ(CDS)のユニキャストアドレス(ここではモバイルIPv6のホームアドレス)等のコンテンツ属性情報をアドレスマッピングサーバ(AMS)に登録しておく。
【0046】
(2) コンテンツ配信サーバの認証
マルチキャストコンテンツを発信するコンテンツ配信サーバ(CDS)は、ホームエージェント(HA)に対して認証を要求する(バインディングアップデート時等)(ステップ11)。なお、ホームエージェント(HA)には、コンテンツ配信サーバ(CDS)を認証するための情報が事前に登録されているものとする。ホームエージェント(HA)はこの認証が成功の場合、コンテンツ配信サーバ(CDS)のホームアドレスと気付けアドレスの対応を保持し、気付けアドレスに対応するマルチキャスト制御ゲートウェイ(MCG1とする)に対して、ホームアドレスと気付けアドレス、認証結果を通知する(ステップ12)。マルチキャスト制御ゲートウェイ(MCG1)は、この通知に基づき、コンテンツ配信サーバ(CDS)のホームアドレスと気付けアドレスを、認証されたコンテンツ配信サーバ(CDS)のアドレスとして登録しておく。
【0047】
そして、コンテンツ配信サーバ(CDS)から発信されるユニキャストパケットや、コンテンツ配信サーバ(CDS)宛に送信されるユニキャストパケットを受信した場合には、上記の登録内容に基づき、認証されたコンテンツ配信サーバ(CDS)から発信されたパケットもしくは認証されたコンテンツ配信サーバ(CDS)宛のパケットであると判断し、転送を行う。
(3)コンテンツ受信要求処理
視聴者側のマルチキャスト制御ゲートウェイ(MCG2とする)は、無線アクセスエリアのゲートウェイであり、配下のLAN(VLAN)に関するエリア情報を管理している。ここではまず、コンテンツを要求するクライアントの認証を行うが、この処理については後に詳述する。
【0048】
また、認証処理を完了したクライアントが、あるマルチキャストコンテンツの配信要求を発信すると(ステップ13)、その配信要求が、認証されたクライアントから発信されたものかどうかをチェックするが、この処理についても後に詳述する。
【0049】
ステップ13においてマルチキャスト配信要求が発信されると、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16が前記配信要求を受信する。この配信要求は上記コンテンツの識別情報(マルチキャストアドレス)とエリア情報とを含む。
【0050】
マルチキャスト制御ゲートウェイ(MCG2)は、次に、コンテンツ配信サーバ(CDS)に対して配信要求されたマルチキャストコンテンツの属性を要求するため、コンテンツ属性要求部13からアドレスマッピングサーバ(AMS)に対して、要求に係るコンテンツに関するコンテンツ属性要求メッセージを発信する(ステップ14)。なお、マルチキャスト制御ゲートウェイ(MCG2)には、アドレスマッピングサーバ(AMS)のアドレス及びポート番号等がコンフィグファイル等に予め設定してあるものとする。前記コンテンツ属性要求メッセージには、配信先(クライアントの存在する場所)のエリア情報(ネットワークプレフィクス、MCG2配下のVLAN ID等を含む)が含まれる。
【0051】
アドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、前記コンテンツ属性要求メッセージを受信すると、そのメッセージの内容を制御部35へ通知する。アドレスマッピングサーバ(AMS)の制御部35は、アドレスマッピングサーバ(AMS)のコンテンツ属性データベース33を参照し、要求されたコンテンツに対する配信可能エリア情報と、前記メッセージに含まれる配信先エリア情報とを照合する。この照合の結果、クライアントの存在するエリアに対してコンテンツ配信が可能であるならば、アドレスマッピングサーバ(AMS)は、コンテンツ属性送信部32から、MCG2に対してコンテンツ属性を通知する(ステップ15)。コンテンツ属性は、コンテンツ配信サーバ(CDS)のホームアドレスを含む。
【0052】
マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ属性要求部13は、前記コンテンツ属性を受信すると、制御部15に通知し、制御部15は、配信先エリアとマルチキャストアドレスのペアをセッション情報として管理する。そして、マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14から、コンテンツ配信サーバ(CDS)のホームアドレスに向けてコンテンツ配信要求メッセージを発信する(ステップ16)。このコンテンツ配信要求メッセージは、前記ホームアドレス、要求するコンテンツに対応するマルチキャストアドレス、要求元MCG2のアドレスを含む。
(4) コンテンツ配信ツリー作成
マルチキャスト制御ゲートウェイ(MCG2)から前記ホームアドレス宛に発信されるパケットは、ホームエージェント(HA)に送信され、ホームエージェント(HA)から前記ホームアドレスを有するコンテンツ配信サーバ(CDS)の気付けアドレスに転送されることになる。
【0053】
本実施の形態では、マルチキャスト制御ゲートウェイ(MCG2)とホームエージェント(HA)間の通信経路途中、又は、ホームエージェント(HA)とコンテンツ配信サーバ(CDS)間の通信経路途中に、いくつかのSPとなるノードが存在する。図6の例では、SP1という1つのスプリッタ(SP)となるノードが存在し、SP1がマルチキャスト制御ゲートウェイ(MCG2)とホームエージェント(HA)間の通信経路途中にあるものとする。このとき、マルチキャスト制御ゲートウェイ(MCG2)からコンテンツ配信サーバ(CDS)のホームアドレスに向けて発信されたコンテンツ配信要求メッセージは、まずスプリッタ(SP1)のコンテンツ要求受信部21により受信される。スプリッタ(SP1)のコンテンツ要求受信部21は、前記コンテンツ配信要求メッセージを受信すると、そのメッセージをセッション管理部251へ通知する。スプリッタ(SP1)のセッション管理部251は、この要求メッセージを以下のように処理する。
【0054】
(4.1) 発信元MCG2のアドレスと、要求するコンテンツのチャネル(識別情報(マルチキャストアドレス)とのペアをセッション情報として記憶装置に管理する(ステップ17)。
【0055】
(4.2) 前記コンテンツ配信要求メッセージの要求元アドレスを、元のMCG2ではなく、自身(SP1)のアドレスに変更する。それから、書き換えたコンテンツ配信要求メッセージを、前記ホームアドレスに向けて発信する(ステップ18)。
【0056】
このコンテンツ配信要求メッセージは、次にホームエージェント(HA)に配信され、ホームエージェント(HA)から、この要求メッセージがコンテンツ配信サーバ(CDS)へ転送される(ステップ19)。この要求メッセージはMCG1を経由するが、MCG1は、当該コンテンツ配信サーバ(CDS)が認証済であると判断し、転送を許可する。コンテンツ配信サーバ(CDS)は、この配信要求メッセージを受信すると、ホームエージェント(HA)ではなく、ホームエージェント(HA)の直前の発信元装置(ここではSP1)のアドレスと、要求されたコンテンツのマルチキャストアドレスとのペアをセッション情報(配信先テーブル)として管理する。なお、“ツリーが作成された”とは、上記の各ノードにおいて特定のコンテンツに対応したセッション情報が保持されたことをいう。
【0057】
(5)コンテンツ中継とマルチキャスト配信の段階
モバイルIPクライアントであるコンテンツ配信サーバ(CDS)は、保持しているセッション情報を元に、要求されたコンテンツを配信する。上記過程では、要求されたコンテンツ配信先としてSP1が登録されているため、当該コンテンツをユニキャストでSP1宛にユニキャストカプセル化してストリーム配信する(ステップ20、21)。マルチキャスト制御ゲートウェイ(MCG1)は、コンテンツ配信サーバ(CDS)が認証済であると判断し、ユニキャストリームの転送を行う。また、このストリームは、ホームエージェント(HA)を経由してスプリッタ(SP1)へ転送される(ステップ22)。
【0058】
スプリッタ(SP1)のストリーム受信部24は、ユニキャストカプセル化されたコンテンツストリームを受信すると、セッション管理部25において管理しているセッション情報に基づき転送を行う。ここではマルチキャスト制御ゲートウェイ(MCG2)に対するセッションが管理されているため、ストリーム配信部22から、マルチキャスト制御ゲートウェイ(MCG2)に対してコンテンツをストリーム配信する(ステップ23)。
【0059】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム受信部12は、スプリッタ(SP1)からコンテンツを受信する。そして、マルチキャスト復元部19は、コンテンツストリームをマルチキャストに復元し(ステップ24)、ストリーム配信部11はセッション管理部152において管理しているセッション情報に基づきコンテンツを配信する(ステップ25)。ここでは、クライアントが存在するエリアに対するセッションが管理されているため、ストリーム配信部11から、当該エリアに対して、コンテンツストリームをマルチキャストチャネルで配信する。
【0060】
以上のシーケンス例では、SPが1台であったが、SPは無くても良く、また2台以上存在していても良い。
【0061】
また、コンテンツ配信サーバ(CDS)がモバイルIP機能を持たない構成としてもよい。この場合、AMSにはコンテンツ配信サーバ(CDS)のIPアドレスが登録され、コンテンツ配信サーバ(CDS)から送信されるパケット、コンテンツ配信サーバ(CDS)宛のパケットはHAを経由しない。それ以外の処理はモバイルIP機能を持つ場合と同じである。
【0062】
(クライアントの認証)
以下、(3)コンテンツ受信要求処理におけるコンテンツ受信クライアントの認証チェック処理について図8のシーケンスチャートを参照して詳細に説明する。ここでの処理により、認証されたクライアントのみがマルチキャストを配信要求できるようになる。
【0063】
(3.1) コンテンツ受信クライアントのログイン
まず、コンテンツの配信要求を行おうとするクライアントの認証を行う。認証方法は特定の方法に限定されない。例えば、クライアントがモバイルIPv6機能を持つ場合には、ホームエージェント(HA)がモバイルIPの機能によってクライアントを認証し、認証OKであればホームエージェント(HA)がクライアントのグローバルなIPアドレス(ホームアドレス)をマルチキャスト制御ゲートウェイ(MCG2)のHA通信部10に通知し、HA通信部10はそれを認証状態管理部151に通知し、認証状態管理部151はそのアドレスを認証されたクライアントのアドレスとして記憶装置に格納し、管理する。また、クライアントがモバイルIPの機能を持たない場合でも、ホームエージェント(HA)にモバイルIPの機能を持たないクライアントの認証を行う機能を備えることにより、クライアントがホームエージェント(HA)にアクセスして、ホームエージェント(HA)が認証を行うことができる。
【0064】
また、クライアントとマルチキャスト制御ゲートウェイ(MCG2)間でIPsecネゴシエーションを行うことにより認証を行い、マルチキャスト制御ゲートウェイ(MCG2)が認証済みクライアントのアドレスを取得してもよい。また、マルチキャスト制御ゲートウェイ(MCG2)が認証用WWWページをクライアントに提供し、クライアントからIDとパスワードの入力を受けて、予め登録したID、パスワードと比較することによりクライアントを認証してもよい。
【0065】
図8に示す例では、ホームエージェント(HA)がクライアントの認証を行い(ステップ31)、認証に成功したクライアントのグローバルなIPアドレスをマルチキャスト制御ゲートウェイ(MCG2)に通知し(ステップ32)、それを認証状態管理部151に通知している(ステップ33)。
【0066】
そして、マルチキャスト制御ゲートウェイ(MCG2)は、取得したIPアドレスを用いてクライアントにアクセスすることにより(ステップ34)、クライアントのMACアドレスを取得し、認証状態管理部151は取得したMACアドレスをIPアドレスに対応付けて管理する(ステップ35、36)。
(3.2) コンテンツ受信要求(マルチキャストJoin)
マルチキャストの配信要求するため、クライアントはJoin(IPv4マルチキャストであればIGMP Report、IPv6マルチキャストであればMLD Report)を発信するが、図8はIPv6マルチキャストの場合を示している。
【0067】
IPv4マルチキャストの場合であれば、マルチキャスト制御ゲートウェイ(MCG2)の認証チェック部17は、IGMP Reportの発信元IPアドレスとMACアドレスの組が、前記(3.1)の処理により保持されているIPアドレスとMACアドレスの組のいずれかと一致しているかどうかチェックする。一致しているものが無ければ当該Joinを破棄する。一致している場合、図7におけるステップ16からの処理を行ってマルチキャスト配信を行う。なお、コンテンツ属性要求をし、要求エリアに配信可能である場合の応答を受けた場合に、パケットフィルタ部18は、そのコンテンツの当該エリアに対する配信のフィルタをオープンしておく。
【0068】
一方、IPv6マルチキャストの場合は、MLD Reportの発信元IPアドレスがリンクローカルアドレスであるため、IPv4マルチキャストの場合にようにグローバルIPアドレスとの一致をチェックすることができない。そこで、本実施の形態では以下のようにしてMLD Reportが認証されたクライアントからのパケットであるかどうかをチェックする。
【0069】
図8に示すように、まず、マルチキャスト制御ゲートウェイ(MCG2)の認証チェック部17は、クライアントから受信したMLD Reportパケットからの発信元MACアドレス(MAC1とする)を取得し(ステップ37、38)、MAC1が、前記(3.1)のステップ36により取得し、管理していた情報のどれかと一致しているかチェックする。一致しているものが無ければ当該配信要求を破棄する。
【0070】
MAC1と一致するMACアドレスが存在する場合、認証チェック部17は、MAC1に対応するグローバルなIPアドレスを認証状態管理部151から取得する(ステップ39、40)。そして、IPv6のNeighbor Solicitation(近隣要請)パケットに目的アドレスとして認証状態管理部151から取得したIPアドレスを設定し、そのNeighbor Solicitationパケットをクライアント側のエリアに発信する(ステップ41)。
このパケットを受信した上記IPアドレスを持つクライアントから応答パケット(Neighbor Advertisement(近隣広告))が通知されると(ステップ42)、そのパケットのMACアドレス(MAC2とする)をチェックし、MAC2がMAC1と一致するかどうかチェックする(ステップ43)。MAC2がMAC1と一致する場合は、応答パケットを送信したクライアントは、MAC1に対応付けて保持されるIPアドレスを有するクライアント、すなわち認証されたクライアントであると判定できる。従って、MAC2がMAC1と一致する場合は、ステップ37でMLD Reportを送信したクライアントは認証済みのクライアントであると判定する(ステップ44)。
(3.3)コンテンツ配信エリアチェック
(3.2)における認証チェックで受理されたマルチキャスト配信要求に対して、マルチキャスト制御ゲートウェイ(MCG2)は、図7のステップ14、15と同じ処理を行って、コンテンツ配信エリアチェックを行う(ステップ45〜49)。ここで、配信可の応答を受けた場合は、パケットフィルタ部18のフィルタをオープンしておく(図8のステップ50)。その後、図6に示したステップ16からの処理を行って、コンテンツ配信サーバ(CDS)にコンテンツを要求し、MCG2はユニキャストで受信したストリームを要求エリアに対してマルチキャスト配信する(ステップ51)。
【0071】
(認証済クライアントのみがマルチキャストコンテンツを受信する機構)
次に、認証済クライアントのみがマルチキャストコンテンツを受信するためのしくみについて説明する。ここでは、認証済みのクライアント及びマルチキャスト配信サーバ(CDS)に対してコンテンツを暗号化及び復号化するための暗号キー(TEK)を配信することにより、コンテンツストリームを暗号化し、認証済クライアントのみがマルチキャストコンテンツを受信できるようにしている。また、TEKを安全に配布するための暗号キー(KEK)を配布する。以下、図9のシーケンスチャートを参照して暗号キー配布の処理について説明する。
【0072】
図9に示す例では、コンテンツを配信するマルチキャストアドレスをM1とし、TEKをマルチキャスト配信するマルチキャストアドレスをM2とする。マルチキャストM1の暗号キーサーバ(KS)は、認証済クライアントに対してIPsecネゴシエーションにより安全にKEKをユニキャストで配布しておく。次にマルチキャストM1に対する暗号キー(TEK)をKEKで暗号化してユニキャストで配布する。以後、一定時間おきに、TEKを更新し、それをKEKで暗号化してマルチキャストM2で視聴中クライアント全員とマルチキャストM1の配信元(マルチキャストM1配信コンテンツ配信サーバ)に配布する。また暗号キーサーバ(KS)は、暗号キー(TEK)のマルチキャストパケットをユニキャストカプセル化してクライアント群へ配布する。
【0073】
以下、図9のシーケンスに沿って処理を詳細に説明する。本実施の形態におけるコンテンツ暗号キー配信シナリオは、(1)コンテンツ属性の登録、(2)コンテンツ配信元へのTEK配布、(3)コンテンツ受信クライアント認証、(4)クライアント認証情報通知、(5)クライアントからのマルチキャストM1の暗号キー要求、(6)TEK配信経路作成、(7)TEKマルチキャスト配信、(8)TEK更新、の8つの段階に大きく分けることが出来る。以下、各段階について説明する。
(1) コンテンツ属性の登録
まず、アドレスマッピングサーバ(AMS)にマルチキャストコンテンツの配信元IPアドレスと、マルチキャストアドレスM1を登録する。また、当該マルチキャストコンテンツのTEK及びKEKを配布するマルチキャスト暗号キーサーバ(KS)に関する情報も登録する。すなわち、アドレスマッピングサーバ(AMS)に、マルチキャスト暗号キーサーバ(KS)のIPアドレスと、マルチキャスト暗号キーサーバ(KS)が、更新したTEKを配信するためのマルチキャストアドレスM2を登録する。(M2の配信元はKSである。)
マルチキャスト暗号キーサーバ(KS)には、マルチキャストアドレスM1のコンテンツ配信元となるコンテンツ配信サーバ(CDS)のIPアドレスを登録しておく。すなわち、AMSに登録した配信元IPアドレスと同じ配信元IPアドレスを登録する。
【0074】
また、コンテンツ配信サーバ(CDS)はMCG1に対して認証済であり、このMCG1を経由して他のNW装置と通信可能であるものとする。
(2)コンテンツ配信元へのTEK配布
コンテンツ配信サーバ(CDS)は、マルチキャスト暗号キーサーバ(KS)に対してマルチキャストM1用の暗号キー(TEK)を要求する(ステップ61)。マルチキャスト暗号キーサーバ(KS)はTEKを安全に配布するため、コンテンツ配信サーバ(CDS)とIPSECネゴシエーションを行う。このとき、コンテンツ配信サーバ(CDS)のIPアドレスをチェックし、マルチキャストM1配信元のIPアドレスであればISAKMP SAを確立する。コンテンツ配信サーバ(CDS)は更に要求するコンテンツのマルチキャストアドレスM1をマルチキャスト暗号キーサーバ(KS)に通知する。マルチキャスト暗号キーサーバ(KS)は、当該マルチキャストアドレスM1に対応するKEK及びTEKをISAKMP SAを用いて配布する(ステップ62)。
(3) コンテンツ受信クライアント認証
図8を用いて説明した通りの方法を用いて、コンテンツを受信するクライアントの認証を行う(ステップ63)。認証処理の結果、マルチキャスト制御ゲートウェイ(MCG2)は、認証済クライアントのIPアドレスとMACアドレスを取得し、認証状態管理部151においてIPアドレスとMACアドレスをペアにして管理する(ステップ64)。
(4) クライアント認証情報通知
マルチキャスト制御ゲートウェイ(MCG2)のKS通信部9から、マルチキャスト暗号キーサーバ(KS)の認証情報取得部41に対して認証済クライアントのIPアドレスを通知する(ステップ65)。マルチキャスト暗号キーサーバ(KS)の認証情報管理部421はこれを管理する。
(5) クライアントからのマルチキャストM1の暗号キー要求
認証済クライアントは、マルチキャスト暗号キーサーバ(KS)に対してマルチキャストM1の暗号キー(TEK)を要求する(ステップ66)。マルチキャスト暗号キーサーバ(KS)はTEKを安全に配布するため、認証済クライアントとIPSECネゴシエーションを行う。このとき、当該クライアントのIPアドレスをチェックし、MCG2において認証済クライアントであればISAKMP SAを確立する(ステップ67)。前記クライアントは更に要求するコンテンツのマルチキャストアドレスM1をマルチキャスト暗号キーサーバ(KS)に通知する。マルチキャスト暗号キーサーバ(KS)は、当該マルチキャストアドレスM1に対応するTEK及びKEKをISAKMP SAを用いてクライアントに配布する(ステップ68)。
(6) TEK配信経路作成
認証済みのクライアントはマルチキャストM1に対するTEKとKEKを受信すると、マルチキャストアドレスM2に対してもJoinする(ステップ69)。一方マルチキャストM1配信元の配信サーバ(CDS)もマルチキャストM2に対してJoinしておく(ステップ72)。これらのJoinに対して、図7、図8を用いて説明した手順に従って、KSにおけるセッション情報(配信先情報)が更新され、M2の配信元であるマルチキャスト暗号キーサーバ(KS)からの、ユニキャストカプセル化ストリーム配信経路が作成される(ステップ70、71、73、74、75)。
【0075】
その後、クライアントはMCG2に対してコンテンツ配信要求メッセージを送信し(ステップ76)、図7、図8を用いて説明した手順に従って、コンテンツ配信サーバ(CDS)からコンテンツが送信される(ステップ77〜84)。ここでは、コンテンツはTEKにより暗号化され、クライアントはTEKを用いて復号化する(ステップ85)。これにより、TEKを保持している認証済みクライアントのみがマルチキャストコンテンツを受信することが可能となる。なお、ステップ69〜ステップ75は、ステップ76〜ステップ85の後でもよい。
(7) TEKマルチキャスト配信
マルチキャスト暗号キーサーバ(KS)の暗号キー作成部45は一定時間おきにTEKを更新する(ステップ86)。マルチキャスト暗号キーサーバ(KS)のマルチキャスト暗号キー配信部46は、更新したTEKを、KEKを用い、3DES等のアルゴリズムにより暗号化し、この暗号化したデータをマルチキャストアドレスM2で発信するためのマルチキャストパケットを作成する。マルチキャスト暗号キーサーバ(KS)のユニキャストカプセル部47は、前記マルチキャストパケットをユニキャストカプセル化し、前記TEK配信経路でユニキャスト配信する(ステップ87、88,91)。
(8) TEK更新
前記ユニキャストパケットは、マルチキャスト制御ゲートウェイ(MCG2)によりマルチキャストM2に復元され(ステップ89)、前記クライアントに配布されるとともに(ステップ90)、マルチキャスト制御ゲートウェイ(MCG1)によりマルチキャストM2に復元され、コンテンツ配信サーバ(CDS)に配布される(ステップ92、93)。以後、M1配信元のコンテンツ配信サーバ(CDS)は、前記の新TEKを用いてコンテンツをマルチキャストM1で配布することが可能となる(ステップ94〜99)。もし、旧TEKが、悪意あるクライアントにより解読されていたとしても、新TEKを用いてコンテンツを配信することにより、前記認証済クライアントのみが復号し、視聴可能である。また、マルチキャスト暗号キーサーバ(KS)は、マルチキャストコンテンツを視聴している全認証済クライアント、及び配信サーバに対して、一回の送信でTEKを配布することが可能であり、TEK管理の負荷が軽減される。
【0076】
上記の処理において、認証済クライアントに対して属性を付与し、マルチキャスト暗号キーサーバ(KS)が、マルチキャストチャネル毎に当該属性値に応じて、マルチキャストストリームを暗号化及び復号化するための暗号キーを配布するかどうか判断することも可能である。
【0077】
この場合、マルチキャスト制御ゲートウェイ(MCG)のクライアント認証部20は、クライアントIDに対応する属性値をデータベースとして有する。例えば認証時のクライアントIDが“User1”のクライアントは、クライアント属性値が“1”であるとする。一方、マルチキャスト暗号キーサーバ(KS)の認証チェック部44は、マルチキャストチャネル毎に、暗号キー配布を許可するクライアント属性値リストを有する。
【0078】
上記の(3)コンテンツ受信クライアント認証の段階において、マルチキャスト制御ゲートウェイ(MCG2)は、クライアントを認証すると、当該クライアントのIPアドレスとMACアドレスに加えて、クライアント属性をまとめて管理する。そして、(4)の段階において、MCG2からKSへのクライアント認証情報通知時に、IPアドレスとそのクライアント属性値を通知し、(5)の段階において、クライアントがマルチキャスト暗号キーサーバ(KS)に対して、要求するコンテンツのマルチキャストアドレスM1を通知したとき、マルチキャスト暗号キーサーバ(KS)の認証チェック部44は、当該クライアントの属性値が、M1に対する暗号キー配布を許可するクライアント属性値リストに含まれるかどうかをチェックし、リストに含まれていればM1のTEKとKEKを配布する。そうでなければ、当該クライアントからの要求を棄却する。
【0079】
(具体例)
次に、図10に示すネットワーク構成を用いて、基本的な処理内容をより具体的に説明する。図10に示すネットワークにおいて、各ネットワーク装置(ネットワークにおいてパケットを中継する装置)はIPv6を用いて通信するものとし、図10に示す通りのIPv6アドレスが付与されているものとする。
【0080】
すなわち、クライアントの無線アクセス可能なエリアとして、プレフィクス2001:0:1:1::/64に対応するエリア1と、2001:0:1:2::/64に対応するエリア2、及び2001:2:1:1::/64に対応するエリア3が存在する。2001:0:1:1::/64及び2001:0:1:2::/64はマルチキャスト制御ゲートウェイ(MCG1)の配下であり、2001:2:1:1::/64はマルチキャスト制御ゲートウェイ(MCG2)の配下にある。
【0081】
マルチキャスト制御ゲートウェイ(MCG1)のユニキャスト網側(インターネット側)のアドレスは2001:1:1:1::2である。一方、マルチキャスト制御ゲートウェイ(MCG2)のユニキャスト網側(インターネット側)のアドレスは2001:2:2:1::2である。
【0082】
ホームエージェント(HA)のアドレスは2001:9:9:9::2である。コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであり、そのホームアドレスは2001:9:9:9::10である。また、図10に示す状態においてコンテンツ配信サーバ1(CDS1)は2001:0:1:1::/64に対応するエリア1に存在するため、その気付けアドレスは2001:0:1:1::abcdであるものとし、この気付けアドレスをモバイルIPv6の仕組みを用いてホームエージェント(HA)に通知している。
【0083】
また、アドレスマッピングサーバ(AMS)のアドレスは2001:8:8:8::2であり、図11に示すコンテンツ属性情報を保持している。このコンテンツ属性情報は、コンテンツ配信サーバ1(CDS1)が、マルチキャストアドレスff08::1:1に対してコンテンツを配信し、マルチキャストアドレスff08::1:1に対応するコンテンツは、マルチキャスト制御ゲートウェイ(MCG2)配下であるプレフィクス2001:2:1:1::/64のネットワークを含むいくつかのエリアへの配信が許可されていることを示している。また、コンテンツ配信を要求するクライアントが認証されていることを要するか否か設定されている。「要」の場合、コンテンツ属性要求メッセージに、コンテンツ配信要求をしたクライアントが認証されている旨の情報が含まれている場合に、コンテンツ属性を提供する。
【0084】
マルチキャスト制御ゲートウェイ(MCG1及びMCG2)は、このようなマルチキャストコンテンツ属性を管理するアドレスマッピングサーバ(AMS)が2001:8:8:8::2に存在することを、コンフィグファイルより読み取り、認知しているとする。
【0085】
次に図10の構成におけるコンテンツ要求開始からマルチキャスト配信開始までの動作について説明する。
【0086】
ここで、マルチキャスト配信サーバ1(CDS1とする)は、マルチキャスト制御ゲートウェイ(MCG1)配下の2001:0:1:1::/64に存在し、認証済であるものとする。また、コンテンツを要求するクライアント1も認証済みであるものとする。まず、クライアント1が、マルチキャストアドレスff08::1:1に対応するコンテンツを要求すると、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16がこのクライアントからの要求メッセージ(MLD Report)を受信する。そして、図8を用いて説明した手順で、要求メッセージが認証されたクライアントから送られたものであることをチェックすると、マルチキャスト制御ゲートウェイ(MCG2)は、要求されたマルチキャストコンテンツの属性を取得するため、コンテンツ属性要求部13からアドレスマッピングサーバ(AMS)に対してコンテンツ属性要求メッセージを発信する。
【0087】
図12にコンテンツ属性要求メッセージの内容の一例を示す。図12に示すように、コンテンツ属性要求メッセージは、配信を要求するコンテンツのマルチキャストアドレスと配信先のネットワークプレフィクス(この場合は、2001:2:1:1::/64)に加えて、配信を要求するクライアントの認証チェック結果を含む。
【0088】
これを受信したアドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部35はデータベース(図11に示すコンテンツ属性)を参照し、要求されたマルチキャストアドレスに対応するコンテンツが、要求元のエリア3に配信可能であり、なおかつ、配信要求を行ったクライアントが認証済みであることを判定する。この結果、アドレスマッピングサーバ(AMS)のコンテンツ属性送信部32は、図13に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG2)へ通知する。
【0089】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14は、前記コンテンツ属性を用いて、コンテンツ配信サーバ1(CDS1)(2001:9:9:9::10)に向けて、図14に示す、マルチキャストアドレス(ff08::1:1)のコンテンツを要求するメッセージを発信する。
【0090】
コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであるため、前記要求メッセージは、ホームエージェント(HA)が受信する。ホームエージェント(HA)はこのメッセージをコンテンツ配信サーバ1(CDS1)(気付けアドレスである2001:0:1:1::abcd)に転送する。
【0091】
図15に、コンテンツ配信要求メッセージの転送経路を示す。コンテンツ配信サーバ1(CDS1)は、ホームエージェント(HA)から転送されたマルチキャスト制御ゲートウェイ(MCG2)からのコンテンツ配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG2)に対するコンテンツ配信セッションを作成する。
【0092】
そして、コンテンツ配信サーバ1(CDS1)はマルチキャスト制御ゲートウェイ(MCG2)へ配信するff08::1:1に対応するマルチキャストコンテンツをユニキャストカプセル化し、これをマルチキャスト制御ゲートウェイ(MCG2)に向けて送信する。コンテンツ配信サーバ1(CDS1)は、モバイルIPv6クライアントであるため、コンテンツ配信サーバ1(CDS1)からマルチキャスト制御ゲートウェイ(MCG2)へのストリームはホームエージェント(HA)を経由して転送される。図16に、ストリーム配信経路を示す。
【0093】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム受信部12は、当該コンテンツを受信すると、MCG2のマルチキャスト復元部19が、ff08::1:1に対応するコンテンツをユニキャストパケットからマルチキャストパケットに復元し、MCG2のストリーム配信部11が、セッション情報に基づき、当該コンテンツをクライアント1の存在するエリア3に向けてマルチキャスト配信する。
【0094】
ここで、コンテンツ配信サーバ1(CDS1)が、2001:0:1:1::/64に対応するネットワークエリア1から、2001:0:1:2::/64に対応するネットワークエリアに移動したとする。コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであり、ホームアドレスは2001:9:9:9::10のまま変わらないが、2001:0:1:2::/64に対応するエリア2に存在するため、気付けアドレスは例えば2001:0:1:2::abcdに変化する。このとき、コンテンツ配信サーバ1(CDS1)は、この気付けアドレスをモバイルIPv6の仕組みを用いてホームエージェント(HA)に通知する。また、ホームエージェント(HA)によりコンテンツ配信サーバ1(CDS1)の認証がなされる。なお、AMSは、コンテンツ配信サーバ1(CDS1)のホームアドレスを管理しているので、AMSが管理するコンテンツ配信サーバ1(CDS1)のアドレスは全く変更を要しない。
【0095】
このとき、クライアント1からのマルチキャストff08::1:1の要求に対して、MCG2が発信するストリーム要求メッセージは、図17に示すように、正しいコンテンツ配信サーバ1(CDS1)の所在地に、ホームエージェント(HA)により転送される。また、コンテンツ配信サーバ1(CDS1)からのストリーム配信経路は、図18に示す経路になる。これにより、マルチキャスト制御ゲートウェイ(MCG2)及びその配下のマルチキャストクライアントは、コンテンツ配信サーバ1(CDS1)の移動を意識せず、マルチキャストコンテンツ(ff08::1:1)を受信し続けることができる。
【0096】
(マルチキャストストリームを暗号化する場合)
次に、図19に示すネットワーク構成を用いて、図9で説明した暗号キーの配布処理の具体例を説明する。
【0097】
本ネットワークでは、上記の具体例と同様、各ネットワーク装置がIPv6を用いて通信するとし、図10の場合と同様のネットワーク構成であり、図19に示す通りのIPv6アドレスが付与されているものとする。ただし、図19の構成では、図10の構成に加えて、マルチキャスト暗号キーを作成し、配布する暗号キーサーバ(KS)が存在し、そのアドレスは2001:8:8:8::3であるとする。
【0098】
コンテンツ配信サーバ(CDS1)は、ff08::1:1(図9でのM1に対応)のマルチキャストコンテンツを配信するものとし、マルチキャスト暗号キーサーバ(KS)は、このマルチキャスト暗号キー(TEK及びKEK)を管理し、配布する。また、このTEKを更新した際にコンテンツ配信サーバ(CDS1)及び全受信クライアントにマルチキャスト配布するためのマルチキャストアドレスをff08::3:1:1(図9でのM2に対応)とする。この場合、アドレスマッピングサーバには、図20に示すように、各マルチキャストチャネルの配信元サーバを登録しておく。以下、コンテンツ配信サーバ(CDS1)とクライアント1はそれぞれマルチキャスト制御ゲートウェイ(MCG1)及びマルチキャスト制御ゲートウェイ(MCG2)に対して認証済であり、マルチキャスト制御ゲートウェイ(MCG1)及びマルチキャスト制御ゲートウェイ(MCG2)のKS通信部9からKSの認証情報取得部41に対して認証済であり、そのIPアドレスを通知しているとする。また、コンテンツ配信サーバ(CDS1)がff08::1:1の配信元サーバであることもKSの認証情報管理部421に登録してあるとする。
【0099】
まず、コンテンツ配信サーバ(CDS1)は、ff08::1:1のTEKを受信するため、マルチキャスト暗号キーサーバ(KS)にff08::1:1のTEKとKEKを要求する。マルチキャスト暗号キーサーバ(KS)は、この要求メッセージの発信元IPアドレスが、既にマルチキャスト暗号キーサーバ(KS)の認証情報管理部421において管理されているため、TEKとKEKを配布する。
【0100】
更に、コンテンツ配信サーバ(CDS1)は以後更新されるTEKを受信するためのマルチキャストチャネルff08::3:1:1へのJoinを行うと、マルチキャスト制御ゲートウェイ(MCG1)のコンテンツ受信クライアント検出部16がこのクライアントからのJoinメッセージ(MLD Report)を受信する。マルチキャスト制御ゲートウェイ(MCG1)は、要求されたマルチキャストチャネルの属性を取得するため、コンテンツ属性要求部13からAMSに対してコンテンツ属性要求メッセージを発信する。コンテンツ属性要求メッセージは図21のように配信先のネットワークプレフィクス(この場合は、2001:0:1:1::/64)を含む。これを受信したアドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部はデータベース(図20に示すコンテンツ属性)を参照し、要求されたマルチキャストチャネルが、要求元のエリアに配信可能であることを判定する。この結果、AMSのコンテンツ属性送信部32は、図22に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG1)へ通知する。MCG1のストリーム配信要求部14は、前記コンテンツ属性を用いて、マルチキャスト暗号キーサーバKS(2001:8:8:8::3)に向けて、図23のようなマルチキャストアドレス(ff08::3:1:1)のストリームを要求するメッセージを発信する。マルチキャスト暗号キーサーバ(KS)は、マルチキャスト制御ゲートウェイ(MCG1)からのストリーム配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG1)に対するストリーム配信セションを作成する。
【0101】
同様に、クライアント1は、ff08::1:1のTEKを受信するため、マルチキャスト暗号キーサーバ(KS)にff08::1:1のTEKとKEKを要求する。マルチキャスト暗号キーサーバ(KS)は、この要求メッセージの発信元IPアドレスが、既にマルチキャスト暗号キーサーバ(KS)の認証情報管理部421において管理されているため、TEKとKEKを配布する。更に、クライアント1は以後更新されるTEKを受信するためのマルチキャストチャネルff08::3:1:1へのJoinを行うと、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16がこのクライアントからのJoinメッセージ(MLD Report)を受信する。マルチキャスト制御ゲートウェイ(MCG2)は、要求されたマルチキャストチャネルの属性を取得するため、コンテンツ要求部13からAMSに対してコンテンツ属性要求メッセージを発信する。コンテンツ属性要求メッセージは図24のように配信先のネットワークプレフィクス(この場合は、2001:2:1:1::/64)を含む。
【0102】
これを受信したAMSのコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部35はデータベース(図20のコンテンツ属性)を参照し、要求されたマルチキャストチャネルが、要求元のエリアに配信可能であることを判定する。この結果、AMSのコンテンツ属性送信部32は、図25に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG2)へ通知する。マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14は、前記コンテンツ属性を用いて、KS(2001:8:8:8::3)に向けて、図26に示すマルチキャストアドレス(ff08::3:1:1)のストリームを要求するメッセージを発信する。マルチキャスト暗号キーサーバ(KS)は、マルチキャスト制御ゲートウェイ(MCG2)からのストリーム配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG2)に対するストリーム配信セションを作成する。図27に以上説明したストリーム配信要求メッセージの転送経路を示す。また、配信要求の結果、図28に示すような経路でTEKが配布される。
【0103】
クライアント1がマルチキャストアドレスff08::1:1のコンテンツを要求し、コンテンツ配信サーバ(CDS1)からそれを配信する手順は既に図10の構成を用いて説明した手順と同様であるが、TEKを取得したコンテンツ配信サーバ(CDS1)は、このTEKを用いて当該コンテンツを暗号化し、ff08::1:1のマルチキャストアドレスでマルチキャスト配信する。一方TEKを取得したクライアントは、TEKで暗号化されたマルチキャストコンテンツを受信すると、同じTEKで復号化できる。
【0104】
次に、認証済クライアントに対して属性を付与する場合の例について説明する。この場合、マルチキャスト制御ゲートウェイ(MCG2)のクライアント認証部20が、図29に示すようなクライアントIDに対応する属性値をデータベースとして有しているとする。また、図29に示す通り、クライアント1は、認証時のクライアントIDが“User1”であるものとし、クライアント1のクライアント属性値は“1”であるとする。
【0105】
一方、マルチキャスト暗号キーサーバ(KS)の認証チェック部17は、マルチキャストアドレス毎に、暗号キー配布を許可するクライアント属性値リストとして、図30に示すリストを有しているとする。
【0106】
このとき、クライアント1がマルチキャスト暗号キーサーバ(KS)に対して、マルチキャストアドレスff08::1:1の暗号キーを要求する。マルチキャスト暗号キーサーバ(KS)は、クライアント1の属性値が“1”であり、ff08::1:1の暗号キー配布許可リストに“1”が含まれているため、TEK及びKEKを配布可能と判断する。同様に、クライアント2がクライアントIDとして“User4”で認証したとすると、属性値が“2”であり、これは前記リストに含まれていないため、認証済クライアント2がff08::1:1の暗号キーを要求しても、マルチキャスト暗号キーサーバ(KS)はこれを棄却する。
【0107】
上記のように本実施の形態で説明したマルチキャスト配信システムによれば、アドレスマッピングサーバにおけるデータベースを設定することにより、コンテンツ毎にコンテンツ配信サーバとコンテンツ配信先エリアを指定することができ、指定したエリアにおけるクライアントに対してのみ、コンテンツをマルチキャスト配信されるといったポリシをネットワークに反映でき、このポリシに従って動的にコンテンツ配信ツリーを構築することが可能となる。
【0108】
また、TEKとKEKを認証済クライアントと、コンテンツ配信サーバ(CDS)に配布することにより、認証済クライアントのみが特定のコンテンツを受信することが可能となる。
【0109】
本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
【図面の簡単な説明】
【0110】
【図1】従来技術におけるマルチキャスト配信システムの一例を示す図である。
【図2】本発明の実施の形態におけるマルチキャスト配信システムを示す図である。
【図3】本発明の実施の形態におけるマルチキャスト制御ゲートウェイの機能ブロック図である。
【図4】本発明の実施の形態におけるスプリッタの機能ブロック図である。
【図5】本発明の実施の形態におけるアドレスマッピングサーバの機能ブロック図である。
【図6】本発明の実施の形態におけるマルチキャスト暗号キーサーバの機能ブロック図である。
【図7】本発明の実施の形態における、クライアント及びコンテンツ配信サーバの認証から、コンテンツのマルチキャスト配信開始までのシーケンスを示す図である。
【図8】コンテンツ受信クライアントの認証チェック処理を説明するためのシーケンスチャートである。
【図9】暗号キー配布の処理を示すシーケンスチャートである。
【図10】本発明の実施の形態におけるマルチキャスト配信システムを詳細に示す図である。
【図11】本発明の実施の形態におけるアドレスマッピングサーバが保持するコンテンツ属性情報の例である。
【図12】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図13】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図14】本発明の実施の形態におけるストリーム配信要求メッセージの内容の一例を示す図である。
【図15】マルチキャストアドレス(ff08::1:1)に対応するストリーム配信要求メッセージの転送経路を示す図である。
【図16】マルチキャストアドレス(ff08::1:1)に対応するストリーム配信経路を示す図である。
【図17】コンテンツ配信サーバが移動した後のストリーム配信要求メッセージの転送経路を示す図である。
【図18】コンテンツ配信サーバが移動した後のストリーム配信経路を示す図である。
【図19】暗号キーの配布処理を説明するためのマルチキャスト配信システムを詳細に示す図である。
【図20】本発明の実施の形態におけるアドレスマッピングサーバが保持するコンテンツ属性情報の例である。
【図21】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図22】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図23】本発明の実施の形態におけるTEKマルチキャスト配信要求メッセージの内容の一例を示す図である。
【図24】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図25】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図26】本発明の実施の形態におけるTEKマルチキャスト配信要求メッセージの内容の一例を示す図である。
【図27】マルチキャストアドレス(ff08::3:1:1)に対応するTEKマルチキャスト配信要求メッセージの転送経路を示す図である。
【図28】マルチキャストアドレス(ff08::3:1:1)に対応するTEKマルチキャスト配信経路を示す図である。
【図29】マルチキャスト制御ゲートウェイ(MCG2)が管理するクライアント属性値の例である。
【図30】マルチキャスト暗号キーサーバ(KS)が管理する暗号キー配布許可リストの例である。
【符号の説明】
【0111】
1、3 マルチキャスト対応ルータ
5 クライアント
AMS アドレスマッピングサーバ
HA ホームエージェント
CDS コンテンツ配信サーバ
SP スプリッタ
MCG マルチキャスト制御ゲートウェイ
KS マルチキャスト暗号キーサーバ
9 KS通信部
10 HA通信部
11 ストリーム配信部
12 ストリーム受信部
13 ストリーム配信要求部
14 コンテンツ属性要求部
15 制御部
16 コンテンツ受信クライアント検出部
17 認証チェック部
18 パケットフィルタ部
19 マルチキャスト復元部
20 クライアント認証部
21 コンテンツ要求受信部
22 ストリーム配信部
23 ストリーム配信要求部
24 ストリーム受信部
25 制御部
31 コンテンツ属性要求受信部
32 コンテンツ属性送信部
33 コンテンツ属性管理データベース
34 属性操作用ユーザインタフェース部
35 制御部
41 認証情報取得部
42 制御部
43 暗号キー要求受信部
44 認証チェック部
45 暗号キー作成部
46 マルチキャスト暗号キー配布部
47 ユニキャストカプセル部
【技術分野】
【0001】
本発明はマルチキャスト配信技術に関し、特に、認証されたクライアントだけにマルチキャストコンテンツを提供する技術に関する。
【背景技術】
【0002】
図1に、従来技術を用いたマルチキャスト配信システムを示す。図1に示すマルチキャスト配信システムは、コンテンツを配信するコンテンツ配信サーバ、マルチキャスト対応ルータ、及びマルチキャスト配信されたコンテンツを受信するクライアントを有している。図1の例では、各クライアントは無線アクセスポイントを介してインターネットと通信可能である。無線アクセスポイントはレイヤ2スイッチを介してマルチキャスト対応ルータ1、3に接続されている。
【0003】
各クライアントはIGMP等のマルチキャストに係る機能を有している。マルチキャスト対応ルータ1、3配下にあるクライアントが特定のマルチキャストアドレスに対応するコンテンツのマルチキャスト配信を受けるには、まず、いずれかのクライアント(例えばクライアント5)がコンテンツ配信サーバに対してマルチキャストアドレスを含む配信要求を送信する。配信要求を受信したコンテンツ配信サーバはコンテンツを送信し、コンテンツはマルチキャスト対応ルータ1に伝送され、マルチキャスト対応ルータ1はクライアント5が存在するネットワークエリアにある全クライアントに対してコンテンツをマルチキャスト配信し、当該コンテンツに対応するマルチキャストグループへの参加をしているクライアントのみがコンテンツを受信する。
【0004】
なお、マルチキャストに関連する従来技術として、例えば特許文献1に開示された技術がある。また、マルチキャストに関連する参考文献として非特許文献1〜5がある。
【特許文献1】特開2002−026903号公報
【非特許文献1】Internet STD5, RFC1112「Internet Group Management Protocol (IGMP)」IETF Network Working Group, August, 1989
【非特許文献2】Internet RFC2876「Multicast Listener Discovery (MLD) for IPv6」IETF Network Working Group, October, 1999
【非特許文献3】Internet Draft「Explicit Multicast (Xcast) Basic Specification」R. Boivie (IBM) et al., January, 2003
【非特許文献4】Internet RFC3547「The Group Domain of Interpretation」M. Baugher (Cisco) et al., July, 2003
【非特許文献5】Internet RFC3775「Mobility Support in IPv6」D. Johnson (Rice University)et al., June, 2004
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の従来技術では、あるクライアントが要求したコンテンツを、そのクライアントと同じエリアに存在する参加した全てのクライアントが受信可能である。従って、認証されたクライアントのみにマルチキャストコンテンツを視聴させ、未認証クライアントがそのマルチキャストコンテンツを視聴することを防止するといった制御を行うことができないという問題がある。
【0006】
本発明は上記の点に鑑みてなされたものであり、認証済みのクライアントが受信中のマルチキャストパケットを、他の未認証クライアントが視聴することを防止する技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の課題は、所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置であって、認証されたクライアントのアドレスを保持する保持手段と、前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段と、あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段と、前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段とを有することを特徴とする暗号キー配信装置により解決できる。
【0008】
また、前記暗号キー配信装置は、前記コンテンツ暗号キーを更新する手段を更に備え、前記マルチキャスト配信手段は、前記コンテンツ暗号キーのマルチキャスト配信要求を受信した場合に、マルチキャスト配信要求送信元の装置のエリアに対応する送信先の情報と、前記コンテンツ暗号キーをマルチキャスト配信するためのマルチキャストアドレスとを対応付けたセッション情報を保持し、前記コンテンツ暗号キーの更新が行われた場合に、更新後のコンテンツ暗号キーを当該セッション情報に基づきマルチキャスト配信するようにしてもよい。
【0009】
また、前記暗号キー配信装置は、マルチキャストコンテンツ毎に、コンテンツ暗号キーを配布可能なクライアントの属性値のリストを保持し、前記暗号キー配信装置は、クライアントの認証を行う認証装置から、前記認証されたクライアントのアドレスと当該クライアントに対応する属性値とを受信し、前記保持手段は、当該アドレスと属性値とを対応付けて保持し、前記対クライアント暗号キー送信手段は、前記キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の送信元のアドレスが、前記認証されたクライアントのアドレスであり、かつ当該アドレスに対応する属性値が、前記マルチキャストコンテンツに対応する属性値として前記属性値のリストに含まれている場合に、前記クライアントに前記キー暗号キーを送信するようにしてもよい。
【発明の効果】
【0010】
本発明によれば、コンテンツ配信装置に対し、所定のマルチキャストコンテンツに対応するコンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信し、認証されたクライアントからの要求に基づき、そのクライアントに前記キー暗号キーを送信し、コンテンツ配信装置とクライアントの各々に、前記コンテンツ暗号キーを前記キー暗号キーで暗号化したコンテンツ暗号キーをマルチキャスト配信することとしたので、所定のマルチキャストコンテンツは、前記キー暗号キーを持つ認証されたクライアントだけが復号して視聴できる。従って、認証済みのクライアントが受信中のマルチキャストパケットを、他の未認証クライアントが視聴することを防止することが可能となる。
【発明を実施するための最良の形態】
【0011】
以下、図面を参照して本発明の実施の形態を説明する。
【0012】
本発明の実施の形態におけるマルチキャスト配信システムを図2に示す。図2に示すように、このマルチキャスト配信システムは、モバイルIPv6のノード機能を有するコンテンツ配信サーバ(CDS:Contents Delivery Server)、アドレスマッピングサーバ(AMS:Address Mapping Server)、マルチキャスト制御ゲートウェイ(MCG:Multicast Gateway Server)、スプリッタ(SP: Splitter)、ホームエージェント(HA)、マルチキャスト暗号キーサーバ(KS)がIPネットワークに接続された構成を有している。
また、各マルチキャスト制御ゲートウェイ(MCG)には、レイヤ2スイッチを介して無線アクセスポイント(AP)が接続され、その配下にクライアント、もしくはコンテンツ配信サーバ(CDS)が存在する。
【0013】
コンテンツ配信サーバ(CDS)は、本システムを利用してコンテンツをストリーム配信するサーバであり、各クライアントは、ストリーム配信されたコンテンツを利用するユーザの端末である。クライアントは、無線アクセスポイント(AP)を経由してマルチキャスト制御ゲートウェイ(MCG)に接続し、マルチキャスト制御ゲートウェイ(MCG)からマルチキャストされるコンテンツを受信する。以下、本実施の形態のマルチキャスト配信システムを構成する各装置の機能を説明する。
【0014】
アドレスマッピングサーバ(AMS)は、コンテンツ毎に、コンテンツに対応するマルチキャストアドレス(これを、マルチキャストチャネル、マルチキャストグループと称する場合もある)と、当該コンテンツの属性(コンテンツの配信元サーバのホームアドレス、コンテンツの配信可能エリア、ストリーム帯域、暗号化方法等)を保持している。例えばコンテンツ提供者がこれらの属性の値を設定する。
【0015】
なお、本実施の形態における“エリア”は、IPアドレスのネットワーク部で識別されるネットワークエリアであるが、これに限定されるものではなく、種々の定義が可能である。ネットワークエリアを“ホテル”、“飲食店”、“学校”等と対応付けることにより、“エリア”としてこれらを用いることもできる。また、本実施の形態における“マルチキャスト”はIETF RFC1112やRFC2710等にて定義されているIPマルチキャストであるが、本発明が適用されるマルチキャストはこれに限定されるものではない。
【0016】
マルチキャスト制御ゲートウェイ(MCG)は、クライアントからのコンテンツ配信要求を受信し、アドレスマッピングサーバ(AMS)からコンテンツ属性を取得して、要求されたコンテンツが、コンテンツ要求元クライアントの存在するエリアに対して配信可能であれば、スプリッタ(SP)及びコンテンツ配信サーバ(CDS)に対してコンテンツ配信ツリーの作成とコンテンツ配信を要求する。その後、コンテンツ配信ツリーに沿って配信されたユニキャストカプセル化されたコンテンツをマルチキャストに復元し、コンテンツ要求元クライアントのエリアに対してマルチキャスト配信する。また、MCGは、VLAN単位(VLANのネットワークアドレス単位)でマルチキャスト配信可否を制御することが可能である。また、マルチキャスト制御ゲートウェイ(MCG)は、更に認証ゲートウェイの機能も有している。
【0017】
スプリッタ(SP)は、コンテンツ配信サーバ(CDS)から各MCGにコンテンツを効率的に配送するための配信ツリーを構成し、コンテンツ配信サーバ(CDS)から各マルチキャスト制御ゲートウェイ(MCG)に向けて、コンテンツストリームを中継して分岐配送する。
【0018】
マルチキャスト暗号キーサーバ(KS)は、マルチキャストチャネル毎のパケットの暗号キーを作成し、コンテンツ配信サーバ及びマルチキャスト受信クライアントに配布する機能を有している。
【0019】
ホームエージェント(HA)は、モバイルIPv6のホームエージェント機能(draft-ietf-mobileip-ipv6にて定義されている)を有する装置(例えばルータ)であり、ホームアドレスと気付けアドレスとを対にして管理する。また、本実施の形態のホームエージェント(HA)は、バインディングアップデート時等にコンテンツ配信サーバ(CDS)を認証した際に、認証結果を、コンテンツ配信サーバ(CDS)を配下に持つマルチキャスト制御ゲートウェイ(MCG)に通知する機能を有している。
【0020】
図2に示す例では、各マルチキャスト制御ゲートウェイ(MCG)配下では、レイヤ2スイッチを用いることによりVLAN(バーチャルLAN)が構築され、VLANで形成される1つのエリアが1つの無線アクセスポイント(AP)に対応付けられている。マルチキャスト制御ゲートウェイ(MCG)にはアドレスマッピングサーバ(AMS)の所在(アドレスや通信ポート)が予め設定されており、アドレスマッピングサーバ(AMS)と各マルチキャスト制御ゲートウェイ(MCG)間は直接通信可能である。
【0021】
また、マルチキャスト制御ゲートウェイ(MCG)配下は、IPマルチキャストを利用可能であるが、マルチキャスト制御ゲートウェイ(MCG)より上流の広域ネットワークでは、ユニキャスト配信のみ可能であるように構成されている。ただし、コンテンツ配信サーバ(CDS)からのコンテンツ配信は、IPマルチキャストパケットをユニキャストパケットにカプセル化し、ユニキャストとして行う。すなわち、コンテンツ配信サーバ(CDS)から各マルチキャスト制御ゲートウェイ(MCG)までのコンテンツストリーム転送においては、IPマルチキャストパケットをユニキャストパケットにカプセル化して配信する。このように構成されたシステムの動作概要は次の通りである。
【0022】
あるクライアントがコンテンツ配信要求をマルチキャスト制御ゲートウェイ(MCG)に対して送信すると、マルチキャスト制御ゲートウェイ(MCG)は、当該クライアントが属しているエリア識別情報と要求するコンテンツ識別情報(マルチキャストアドレス)とをアドレスマッピングサーバ(AMS)に送信し、AMSは、受信した情報から当該エリアで当該コンテンツを受信可能か否かを判断し、可能であればコンテンツ配信サーバ(CDS)のホームアドレスを含む情報をマルチキャスト制御ゲートウェイ(MCG)に返し、MCGはそのアドレスのコンテンツ配信サーバ(CDS)あてにスプリッタ(SP)を介してコンテンツの配信要求を送信する。配信要求を受信したコンテンツ配信サーバ(CDS)は、要求されたコンテンツを送信する。コンテンツは、配信要求が通過した経路に沿って要求送信元のマルチキャスト制御ゲートウェイ(MCG)まで転送され、MCGから、要求に係るエリアのクライアントにマルチキャスト配信される。
【0023】
次に、各装置の構成を説明する。まず、図3にマルチキャスト制御ゲートウェイ(MCG)の機能ブロック図を示す。
【0024】
マルチキャスト制御ゲートウェイ(MCG)は、認証チェック部17、パケットフィルタ部18、ストリーム配信部11、ストリーム受信部12、ストリーム配信要求部14、コンテンツ属性要求部13、コンテンツ受信クライアント検出部16、マルチキャスト復元部19、HA通信部10、KS通信部9、クライアント認証部20、及び制御部15を有している。また、制御部15は、認証状態管理部151、セション管理部152、エリア情報管理部153を有している。
【0025】
コンテンツ受信クライアント検出部16は、クライアントから、コンテンツのマルチキャスト配信を要求するためのコンテンツ配信要求メッセージを受信する。このメッセージは、IGMP Report又はMLD Report等である。
【0026】
ストリーム配信部11は、クライアントに対して、要求されたコンテンツをマルチキャスト配信する。ストリーム配信要求部14は、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)に対して、コンテンツ配信要求メッセージを送信する。ストリーム受信部12は、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)からストリーム配信されるコンテンツを受信する。コンテンツ属性要求部13は、アドレスマッピングサーバ(AMS)に対して、コンテンツの属性を要求するメッセージを送信し、その応答を受信する。
【0027】
HA通信部10は、ホームエージェント(HA)と、モバイルIPクライアント(本実施の形態ではコンテンツ配信サーバ(CDS))のバインディング情報を送受信する等の機能を有している。KS通信部9は、マルチキャスト暗号キーサーバ(KS)に対してクライアントの認証状態を通知する。
【0028】
認証チェック部17は、受信したIPパケットのヘッダ情報から、そのパケットが認証済のクライアントから発信された情報であるかどうかチェックする機能を有している。また、パケットフィルタ部18は、クライアントからIPパケットを受信したとき、認証済クライアントから発信されたものであれば、パケットをその宛先へ転送する。それ以外の場合は例外(HAへのバインディング情報通知など)を除いて破棄する。また、クライアント認証部20は、クライアントを認証するための機能を有している。
【0029】
マルチキャスト復元部19は、クライアント群にコンテンツをマルチキャスト配信するために、CDSもしくはSPから受信したユニキャストストリームをマルチキャストに復元する機能を有している。
【0030】
また、制御部15の認証状態管理部151は、認証済クライアントのIPアドレス(グローバルアドレス)及びMACアドレスを記憶装置に保持し管理する。制御部15のセション管理部152は、クライアントとのセション及び、コンテンツ配信サーバ(CDS)又はスプリッタ(SP)とのストリーム送受信セションを管理する。また、制御部15のエリア情報管理部153は、ゲートウェイ配下のVLAN毎のエリア情報を管理する機能を有する。
【0031】
図4にスプリッタ(SP)の機能ブロック図を示す。同図に示すように、スプリッタ(SP)は、コンテンツ要求受信部21、ストリーム配信部22、ストリーム配信要求部23、ストリーム受信部24、及び制御部25を有している。また、制御部25は、セション管理部251を有している。
【0032】
コンテンツ要求受信部21は、下流のマルチキャスト制御ゲートウェイ(MCG)やスプリッタ(SP)から、コンテンツ配信要求メッセージを受信し、ストリーム配信部22は、下流のマルチキャスト制御ゲートウェイ(MCG)やスプリッタ(SP)に対して、要求されたコンテンツをストリーム配信する機能を有している。また、ストリーム配信要求部23は、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)に対して、コンテンツ配信要求メッセージを送信し、ストリーム受信部24は、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)からストリーム配信されるコンテンツを受信する機能を有している。
【0033】
制御部25のセション管理部251は、下流のスプリッタ(SP)やマルチキャスト制御ゲートウェイ(MCG)、及び、上流のスプリッタ(SP)やコンテンツ配信サーバ(CDS)とのストリーム送受信セションを管理する。
【0034】
図5にアドレスマッピングサーバ(AMS)の機能ブロック図を示す。同図に示すように、アドレスマッピングサーバ(AMS)は、コンテンツ属性要求受信部31、コンテンツ属性送信部32、コンテンツ属性管理データベース33、属性操作用ユーザインタフェース部34、及び制御部35を有する。また、制御部35は、データベースアクセス部351とコンテンツ配信可否制御部352を有している。
【0035】
コンテンツ属性要求受信部31は、マルチキャスト制御ゲートウェイ(MCG)から、コンテンツ属性要求メッセージを受信する。コンテンツ属性送信部32は、コンテンツ属性要求元MCGに対して、コンテンツ属性要求に対する応答メッセージを送信する。配信可能なエリアのMCGに対しては、応答メッセージとしてコンテンツ属性を含む情報を送信する。コンテンツ属性管理データベース33は、コンテンツ毎に、マルチキャストアドレス、配信元サーバアドレス、配信可能エリア情報等が対応付けられた属性情報を管理する。属性操作用ユーザインタフェース部34は、コンテンツ属性を操作するための画面を表示し、ユーザからの属性操作入力を受信する。
【0036】
制御部35のデータベースアクセス部351は、マルチキャスト制御ゲートウェイ(MCG)からのコンテンツ属性要求受信時、及び、ユーザからの属性操作時、データベース33にアクセスし、属性値の読み出し/書き込みを行う。コンテンツ配信可否制御部352は、データベース33の情報とコンテンツ属性要求元のエリア情報とを照合し、その照合結果に基づいて、要求に係るコンテンツを当該エリアに配信許可するか否かを決定する。
【0037】
図6にマルチキャスト暗号キーサーバ(KS)の機能ブロック図を示す。同図に示すように、マルチキャスト暗号キーサーバ(KS)は、認証情報取得部41、制御部42、暗号キー要求受信部43、認証チェック部44、暗号キー作成部45、マルチキャスト暗号キー配布部46、ユニキャストカプセル部47、制御部42は、認証情報管理部421と
キー管理部422を有している。
【0038】
認証情報取得部41は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)等から、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)が認証したクライアントのIPアドレス(MobileIPクライアントのホームアドレス等)を受信する。また、ログアウトしたクライアントのIPアドレス情報を受信する。
【0039】
暗号キー要求受信部43は、マルチキャスト視聴クライアントから、マルチキャスト暗号キーの配布要求を受信する。また、認証チェック部44は、暗号キーを要求するクライアントからのパケットのヘッダ情報から、認証済クライアントであるかどうかチェックする。
【0040】
暗号キー作成部45は、マルチキャスト暗号キー(TEK:Traffic Encryption Key)、及びKEK(Key Encryption Key)を作成する。また、一定時間おきにTEKを新しく作り直す。マルチキャスト暗号キー配布部46は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)において認証済のクライアントに対してのみ、TEKを配布する。また、ユニキャストカプセル部47は、マルチキャストパケットをユニキャストパケットにカプセル化する。
【0041】
制御部42の認証情報管理部421は、マルチキャスト制御ゲートウェイ(MCG)やホームエージェント(HA)等から取得した認証済クライアントのIPアドレスを管理する。また、キー管理部422は、マルチキャストチャネル毎に、対応するマルチキャスト暗号キー、KEK、及び、これらのキーを配布したクライアントのリストを管理する。
【0042】
上記の各装置における機能部、及び本発明の各手段は、コンピュータに、本実施の形態において説明した処理内容を記述したプログラムを実行させることにより実現されるものである。また、上記の各装置は、通信処理機能を有するコンピュータにより実現できる。また、マルチキャスト制御ゲートウェイ(MCG)及びスプリッタ(SP)はルータにより実現することもできる。
【0043】
次に、図7のシーケンス図を参照して本実施の形態のシステムの基本的な動作を説明する。このシーケンスは、モバイルIPクライアントであるコンテンツ配信サーバ(CDS)を認証し、マルチキャストストリームを要求するクライアント群に向けて、コンテンツマルチキャスト配信ツリーを自動生成し、コンテンツ配信サーバ(CDS)からユニキャストカプセル化されたマルチキャストストリームを受信し、コンテンツをマルチキャスト配信開始するまでのシーケンスの一例である。
【0044】
本実施の形態におけるマルチキャスト配信システムにおける処理シーケンスは、(1)AMSへのマルチキャストコンテンツ登録、(2)コンテンツ配信サーバの認証、(3)コンテンツ受信要求処理、(4)コンテンツ配信ツリー作成の段階、及び、(5)コンテンツ中継とマルチキャスト配信、の5つの段階に大きく分けることができる。
【0045】
(1) AMSへのマルチキャストコンテンツ登録
事前にマルチキャストアドレスと、そのコンテンツ配信サーバ(CDS)のユニキャストアドレス(ここではモバイルIPv6のホームアドレス)等のコンテンツ属性情報をアドレスマッピングサーバ(AMS)に登録しておく。
【0046】
(2) コンテンツ配信サーバの認証
マルチキャストコンテンツを発信するコンテンツ配信サーバ(CDS)は、ホームエージェント(HA)に対して認証を要求する(バインディングアップデート時等)(ステップ11)。なお、ホームエージェント(HA)には、コンテンツ配信サーバ(CDS)を認証するための情報が事前に登録されているものとする。ホームエージェント(HA)はこの認証が成功の場合、コンテンツ配信サーバ(CDS)のホームアドレスと気付けアドレスの対応を保持し、気付けアドレスに対応するマルチキャスト制御ゲートウェイ(MCG1とする)に対して、ホームアドレスと気付けアドレス、認証結果を通知する(ステップ12)。マルチキャスト制御ゲートウェイ(MCG1)は、この通知に基づき、コンテンツ配信サーバ(CDS)のホームアドレスと気付けアドレスを、認証されたコンテンツ配信サーバ(CDS)のアドレスとして登録しておく。
【0047】
そして、コンテンツ配信サーバ(CDS)から発信されるユニキャストパケットや、コンテンツ配信サーバ(CDS)宛に送信されるユニキャストパケットを受信した場合には、上記の登録内容に基づき、認証されたコンテンツ配信サーバ(CDS)から発信されたパケットもしくは認証されたコンテンツ配信サーバ(CDS)宛のパケットであると判断し、転送を行う。
(3)コンテンツ受信要求処理
視聴者側のマルチキャスト制御ゲートウェイ(MCG2とする)は、無線アクセスエリアのゲートウェイであり、配下のLAN(VLAN)に関するエリア情報を管理している。ここではまず、コンテンツを要求するクライアントの認証を行うが、この処理については後に詳述する。
【0048】
また、認証処理を完了したクライアントが、あるマルチキャストコンテンツの配信要求を発信すると(ステップ13)、その配信要求が、認証されたクライアントから発信されたものかどうかをチェックするが、この処理についても後に詳述する。
【0049】
ステップ13においてマルチキャスト配信要求が発信されると、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16が前記配信要求を受信する。この配信要求は上記コンテンツの識別情報(マルチキャストアドレス)とエリア情報とを含む。
【0050】
マルチキャスト制御ゲートウェイ(MCG2)は、次に、コンテンツ配信サーバ(CDS)に対して配信要求されたマルチキャストコンテンツの属性を要求するため、コンテンツ属性要求部13からアドレスマッピングサーバ(AMS)に対して、要求に係るコンテンツに関するコンテンツ属性要求メッセージを発信する(ステップ14)。なお、マルチキャスト制御ゲートウェイ(MCG2)には、アドレスマッピングサーバ(AMS)のアドレス及びポート番号等がコンフィグファイル等に予め設定してあるものとする。前記コンテンツ属性要求メッセージには、配信先(クライアントの存在する場所)のエリア情報(ネットワークプレフィクス、MCG2配下のVLAN ID等を含む)が含まれる。
【0051】
アドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、前記コンテンツ属性要求メッセージを受信すると、そのメッセージの内容を制御部35へ通知する。アドレスマッピングサーバ(AMS)の制御部35は、アドレスマッピングサーバ(AMS)のコンテンツ属性データベース33を参照し、要求されたコンテンツに対する配信可能エリア情報と、前記メッセージに含まれる配信先エリア情報とを照合する。この照合の結果、クライアントの存在するエリアに対してコンテンツ配信が可能であるならば、アドレスマッピングサーバ(AMS)は、コンテンツ属性送信部32から、MCG2に対してコンテンツ属性を通知する(ステップ15)。コンテンツ属性は、コンテンツ配信サーバ(CDS)のホームアドレスを含む。
【0052】
マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ属性要求部13は、前記コンテンツ属性を受信すると、制御部15に通知し、制御部15は、配信先エリアとマルチキャストアドレスのペアをセッション情報として管理する。そして、マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14から、コンテンツ配信サーバ(CDS)のホームアドレスに向けてコンテンツ配信要求メッセージを発信する(ステップ16)。このコンテンツ配信要求メッセージは、前記ホームアドレス、要求するコンテンツに対応するマルチキャストアドレス、要求元MCG2のアドレスを含む。
(4) コンテンツ配信ツリー作成
マルチキャスト制御ゲートウェイ(MCG2)から前記ホームアドレス宛に発信されるパケットは、ホームエージェント(HA)に送信され、ホームエージェント(HA)から前記ホームアドレスを有するコンテンツ配信サーバ(CDS)の気付けアドレスに転送されることになる。
【0053】
本実施の形態では、マルチキャスト制御ゲートウェイ(MCG2)とホームエージェント(HA)間の通信経路途中、又は、ホームエージェント(HA)とコンテンツ配信サーバ(CDS)間の通信経路途中に、いくつかのSPとなるノードが存在する。図6の例では、SP1という1つのスプリッタ(SP)となるノードが存在し、SP1がマルチキャスト制御ゲートウェイ(MCG2)とホームエージェント(HA)間の通信経路途中にあるものとする。このとき、マルチキャスト制御ゲートウェイ(MCG2)からコンテンツ配信サーバ(CDS)のホームアドレスに向けて発信されたコンテンツ配信要求メッセージは、まずスプリッタ(SP1)のコンテンツ要求受信部21により受信される。スプリッタ(SP1)のコンテンツ要求受信部21は、前記コンテンツ配信要求メッセージを受信すると、そのメッセージをセッション管理部251へ通知する。スプリッタ(SP1)のセッション管理部251は、この要求メッセージを以下のように処理する。
【0054】
(4.1) 発信元MCG2のアドレスと、要求するコンテンツのチャネル(識別情報(マルチキャストアドレス)とのペアをセッション情報として記憶装置に管理する(ステップ17)。
【0055】
(4.2) 前記コンテンツ配信要求メッセージの要求元アドレスを、元のMCG2ではなく、自身(SP1)のアドレスに変更する。それから、書き換えたコンテンツ配信要求メッセージを、前記ホームアドレスに向けて発信する(ステップ18)。
【0056】
このコンテンツ配信要求メッセージは、次にホームエージェント(HA)に配信され、ホームエージェント(HA)から、この要求メッセージがコンテンツ配信サーバ(CDS)へ転送される(ステップ19)。この要求メッセージはMCG1を経由するが、MCG1は、当該コンテンツ配信サーバ(CDS)が認証済であると判断し、転送を許可する。コンテンツ配信サーバ(CDS)は、この配信要求メッセージを受信すると、ホームエージェント(HA)ではなく、ホームエージェント(HA)の直前の発信元装置(ここではSP1)のアドレスと、要求されたコンテンツのマルチキャストアドレスとのペアをセッション情報(配信先テーブル)として管理する。なお、“ツリーが作成された”とは、上記の各ノードにおいて特定のコンテンツに対応したセッション情報が保持されたことをいう。
【0057】
(5)コンテンツ中継とマルチキャスト配信の段階
モバイルIPクライアントであるコンテンツ配信サーバ(CDS)は、保持しているセッション情報を元に、要求されたコンテンツを配信する。上記過程では、要求されたコンテンツ配信先としてSP1が登録されているため、当該コンテンツをユニキャストでSP1宛にユニキャストカプセル化してストリーム配信する(ステップ20、21)。マルチキャスト制御ゲートウェイ(MCG1)は、コンテンツ配信サーバ(CDS)が認証済であると判断し、ユニキャストリームの転送を行う。また、このストリームは、ホームエージェント(HA)を経由してスプリッタ(SP1)へ転送される(ステップ22)。
【0058】
スプリッタ(SP1)のストリーム受信部24は、ユニキャストカプセル化されたコンテンツストリームを受信すると、セッション管理部25において管理しているセッション情報に基づき転送を行う。ここではマルチキャスト制御ゲートウェイ(MCG2)に対するセッションが管理されているため、ストリーム配信部22から、マルチキャスト制御ゲートウェイ(MCG2)に対してコンテンツをストリーム配信する(ステップ23)。
【0059】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム受信部12は、スプリッタ(SP1)からコンテンツを受信する。そして、マルチキャスト復元部19は、コンテンツストリームをマルチキャストに復元し(ステップ24)、ストリーム配信部11はセッション管理部152において管理しているセッション情報に基づきコンテンツを配信する(ステップ25)。ここでは、クライアントが存在するエリアに対するセッションが管理されているため、ストリーム配信部11から、当該エリアに対して、コンテンツストリームをマルチキャストチャネルで配信する。
【0060】
以上のシーケンス例では、SPが1台であったが、SPは無くても良く、また2台以上存在していても良い。
【0061】
また、コンテンツ配信サーバ(CDS)がモバイルIP機能を持たない構成としてもよい。この場合、AMSにはコンテンツ配信サーバ(CDS)のIPアドレスが登録され、コンテンツ配信サーバ(CDS)から送信されるパケット、コンテンツ配信サーバ(CDS)宛のパケットはHAを経由しない。それ以外の処理はモバイルIP機能を持つ場合と同じである。
【0062】
(クライアントの認証)
以下、(3)コンテンツ受信要求処理におけるコンテンツ受信クライアントの認証チェック処理について図8のシーケンスチャートを参照して詳細に説明する。ここでの処理により、認証されたクライアントのみがマルチキャストを配信要求できるようになる。
【0063】
(3.1) コンテンツ受信クライアントのログイン
まず、コンテンツの配信要求を行おうとするクライアントの認証を行う。認証方法は特定の方法に限定されない。例えば、クライアントがモバイルIPv6機能を持つ場合には、ホームエージェント(HA)がモバイルIPの機能によってクライアントを認証し、認証OKであればホームエージェント(HA)がクライアントのグローバルなIPアドレス(ホームアドレス)をマルチキャスト制御ゲートウェイ(MCG2)のHA通信部10に通知し、HA通信部10はそれを認証状態管理部151に通知し、認証状態管理部151はそのアドレスを認証されたクライアントのアドレスとして記憶装置に格納し、管理する。また、クライアントがモバイルIPの機能を持たない場合でも、ホームエージェント(HA)にモバイルIPの機能を持たないクライアントの認証を行う機能を備えることにより、クライアントがホームエージェント(HA)にアクセスして、ホームエージェント(HA)が認証を行うことができる。
【0064】
また、クライアントとマルチキャスト制御ゲートウェイ(MCG2)間でIPsecネゴシエーションを行うことにより認証を行い、マルチキャスト制御ゲートウェイ(MCG2)が認証済みクライアントのアドレスを取得してもよい。また、マルチキャスト制御ゲートウェイ(MCG2)が認証用WWWページをクライアントに提供し、クライアントからIDとパスワードの入力を受けて、予め登録したID、パスワードと比較することによりクライアントを認証してもよい。
【0065】
図8に示す例では、ホームエージェント(HA)がクライアントの認証を行い(ステップ31)、認証に成功したクライアントのグローバルなIPアドレスをマルチキャスト制御ゲートウェイ(MCG2)に通知し(ステップ32)、それを認証状態管理部151に通知している(ステップ33)。
【0066】
そして、マルチキャスト制御ゲートウェイ(MCG2)は、取得したIPアドレスを用いてクライアントにアクセスすることにより(ステップ34)、クライアントのMACアドレスを取得し、認証状態管理部151は取得したMACアドレスをIPアドレスに対応付けて管理する(ステップ35、36)。
(3.2) コンテンツ受信要求(マルチキャストJoin)
マルチキャストの配信要求するため、クライアントはJoin(IPv4マルチキャストであればIGMP Report、IPv6マルチキャストであればMLD Report)を発信するが、図8はIPv6マルチキャストの場合を示している。
【0067】
IPv4マルチキャストの場合であれば、マルチキャスト制御ゲートウェイ(MCG2)の認証チェック部17は、IGMP Reportの発信元IPアドレスとMACアドレスの組が、前記(3.1)の処理により保持されているIPアドレスとMACアドレスの組のいずれかと一致しているかどうかチェックする。一致しているものが無ければ当該Joinを破棄する。一致している場合、図7におけるステップ16からの処理を行ってマルチキャスト配信を行う。なお、コンテンツ属性要求をし、要求エリアに配信可能である場合の応答を受けた場合に、パケットフィルタ部18は、そのコンテンツの当該エリアに対する配信のフィルタをオープンしておく。
【0068】
一方、IPv6マルチキャストの場合は、MLD Reportの発信元IPアドレスがリンクローカルアドレスであるため、IPv4マルチキャストの場合にようにグローバルIPアドレスとの一致をチェックすることができない。そこで、本実施の形態では以下のようにしてMLD Reportが認証されたクライアントからのパケットであるかどうかをチェックする。
【0069】
図8に示すように、まず、マルチキャスト制御ゲートウェイ(MCG2)の認証チェック部17は、クライアントから受信したMLD Reportパケットからの発信元MACアドレス(MAC1とする)を取得し(ステップ37、38)、MAC1が、前記(3.1)のステップ36により取得し、管理していた情報のどれかと一致しているかチェックする。一致しているものが無ければ当該配信要求を破棄する。
【0070】
MAC1と一致するMACアドレスが存在する場合、認証チェック部17は、MAC1に対応するグローバルなIPアドレスを認証状態管理部151から取得する(ステップ39、40)。そして、IPv6のNeighbor Solicitation(近隣要請)パケットに目的アドレスとして認証状態管理部151から取得したIPアドレスを設定し、そのNeighbor Solicitationパケットをクライアント側のエリアに発信する(ステップ41)。
このパケットを受信した上記IPアドレスを持つクライアントから応答パケット(Neighbor Advertisement(近隣広告))が通知されると(ステップ42)、そのパケットのMACアドレス(MAC2とする)をチェックし、MAC2がMAC1と一致するかどうかチェックする(ステップ43)。MAC2がMAC1と一致する場合は、応答パケットを送信したクライアントは、MAC1に対応付けて保持されるIPアドレスを有するクライアント、すなわち認証されたクライアントであると判定できる。従って、MAC2がMAC1と一致する場合は、ステップ37でMLD Reportを送信したクライアントは認証済みのクライアントであると判定する(ステップ44)。
(3.3)コンテンツ配信エリアチェック
(3.2)における認証チェックで受理されたマルチキャスト配信要求に対して、マルチキャスト制御ゲートウェイ(MCG2)は、図7のステップ14、15と同じ処理を行って、コンテンツ配信エリアチェックを行う(ステップ45〜49)。ここで、配信可の応答を受けた場合は、パケットフィルタ部18のフィルタをオープンしておく(図8のステップ50)。その後、図6に示したステップ16からの処理を行って、コンテンツ配信サーバ(CDS)にコンテンツを要求し、MCG2はユニキャストで受信したストリームを要求エリアに対してマルチキャスト配信する(ステップ51)。
【0071】
(認証済クライアントのみがマルチキャストコンテンツを受信する機構)
次に、認証済クライアントのみがマルチキャストコンテンツを受信するためのしくみについて説明する。ここでは、認証済みのクライアント及びマルチキャスト配信サーバ(CDS)に対してコンテンツを暗号化及び復号化するための暗号キー(TEK)を配信することにより、コンテンツストリームを暗号化し、認証済クライアントのみがマルチキャストコンテンツを受信できるようにしている。また、TEKを安全に配布するための暗号キー(KEK)を配布する。以下、図9のシーケンスチャートを参照して暗号キー配布の処理について説明する。
【0072】
図9に示す例では、コンテンツを配信するマルチキャストアドレスをM1とし、TEKをマルチキャスト配信するマルチキャストアドレスをM2とする。マルチキャストM1の暗号キーサーバ(KS)は、認証済クライアントに対してIPsecネゴシエーションにより安全にKEKをユニキャストで配布しておく。次にマルチキャストM1に対する暗号キー(TEK)をKEKで暗号化してユニキャストで配布する。以後、一定時間おきに、TEKを更新し、それをKEKで暗号化してマルチキャストM2で視聴中クライアント全員とマルチキャストM1の配信元(マルチキャストM1配信コンテンツ配信サーバ)に配布する。また暗号キーサーバ(KS)は、暗号キー(TEK)のマルチキャストパケットをユニキャストカプセル化してクライアント群へ配布する。
【0073】
以下、図9のシーケンスに沿って処理を詳細に説明する。本実施の形態におけるコンテンツ暗号キー配信シナリオは、(1)コンテンツ属性の登録、(2)コンテンツ配信元へのTEK配布、(3)コンテンツ受信クライアント認証、(4)クライアント認証情報通知、(5)クライアントからのマルチキャストM1の暗号キー要求、(6)TEK配信経路作成、(7)TEKマルチキャスト配信、(8)TEK更新、の8つの段階に大きく分けることが出来る。以下、各段階について説明する。
(1) コンテンツ属性の登録
まず、アドレスマッピングサーバ(AMS)にマルチキャストコンテンツの配信元IPアドレスと、マルチキャストアドレスM1を登録する。また、当該マルチキャストコンテンツのTEK及びKEKを配布するマルチキャスト暗号キーサーバ(KS)に関する情報も登録する。すなわち、アドレスマッピングサーバ(AMS)に、マルチキャスト暗号キーサーバ(KS)のIPアドレスと、マルチキャスト暗号キーサーバ(KS)が、更新したTEKを配信するためのマルチキャストアドレスM2を登録する。(M2の配信元はKSである。)
マルチキャスト暗号キーサーバ(KS)には、マルチキャストアドレスM1のコンテンツ配信元となるコンテンツ配信サーバ(CDS)のIPアドレスを登録しておく。すなわち、AMSに登録した配信元IPアドレスと同じ配信元IPアドレスを登録する。
【0074】
また、コンテンツ配信サーバ(CDS)はMCG1に対して認証済であり、このMCG1を経由して他のNW装置と通信可能であるものとする。
(2)コンテンツ配信元へのTEK配布
コンテンツ配信サーバ(CDS)は、マルチキャスト暗号キーサーバ(KS)に対してマルチキャストM1用の暗号キー(TEK)を要求する(ステップ61)。マルチキャスト暗号キーサーバ(KS)はTEKを安全に配布するため、コンテンツ配信サーバ(CDS)とIPSECネゴシエーションを行う。このとき、コンテンツ配信サーバ(CDS)のIPアドレスをチェックし、マルチキャストM1配信元のIPアドレスであればISAKMP SAを確立する。コンテンツ配信サーバ(CDS)は更に要求するコンテンツのマルチキャストアドレスM1をマルチキャスト暗号キーサーバ(KS)に通知する。マルチキャスト暗号キーサーバ(KS)は、当該マルチキャストアドレスM1に対応するKEK及びTEKをISAKMP SAを用いて配布する(ステップ62)。
(3) コンテンツ受信クライアント認証
図8を用いて説明した通りの方法を用いて、コンテンツを受信するクライアントの認証を行う(ステップ63)。認証処理の結果、マルチキャスト制御ゲートウェイ(MCG2)は、認証済クライアントのIPアドレスとMACアドレスを取得し、認証状態管理部151においてIPアドレスとMACアドレスをペアにして管理する(ステップ64)。
(4) クライアント認証情報通知
マルチキャスト制御ゲートウェイ(MCG2)のKS通信部9から、マルチキャスト暗号キーサーバ(KS)の認証情報取得部41に対して認証済クライアントのIPアドレスを通知する(ステップ65)。マルチキャスト暗号キーサーバ(KS)の認証情報管理部421はこれを管理する。
(5) クライアントからのマルチキャストM1の暗号キー要求
認証済クライアントは、マルチキャスト暗号キーサーバ(KS)に対してマルチキャストM1の暗号キー(TEK)を要求する(ステップ66)。マルチキャスト暗号キーサーバ(KS)はTEKを安全に配布するため、認証済クライアントとIPSECネゴシエーションを行う。このとき、当該クライアントのIPアドレスをチェックし、MCG2において認証済クライアントであればISAKMP SAを確立する(ステップ67)。前記クライアントは更に要求するコンテンツのマルチキャストアドレスM1をマルチキャスト暗号キーサーバ(KS)に通知する。マルチキャスト暗号キーサーバ(KS)は、当該マルチキャストアドレスM1に対応するTEK及びKEKをISAKMP SAを用いてクライアントに配布する(ステップ68)。
(6) TEK配信経路作成
認証済みのクライアントはマルチキャストM1に対するTEKとKEKを受信すると、マルチキャストアドレスM2に対してもJoinする(ステップ69)。一方マルチキャストM1配信元の配信サーバ(CDS)もマルチキャストM2に対してJoinしておく(ステップ72)。これらのJoinに対して、図7、図8を用いて説明した手順に従って、KSにおけるセッション情報(配信先情報)が更新され、M2の配信元であるマルチキャスト暗号キーサーバ(KS)からの、ユニキャストカプセル化ストリーム配信経路が作成される(ステップ70、71、73、74、75)。
【0075】
その後、クライアントはMCG2に対してコンテンツ配信要求メッセージを送信し(ステップ76)、図7、図8を用いて説明した手順に従って、コンテンツ配信サーバ(CDS)からコンテンツが送信される(ステップ77〜84)。ここでは、コンテンツはTEKにより暗号化され、クライアントはTEKを用いて復号化する(ステップ85)。これにより、TEKを保持している認証済みクライアントのみがマルチキャストコンテンツを受信することが可能となる。なお、ステップ69〜ステップ75は、ステップ76〜ステップ85の後でもよい。
(7) TEKマルチキャスト配信
マルチキャスト暗号キーサーバ(KS)の暗号キー作成部45は一定時間おきにTEKを更新する(ステップ86)。マルチキャスト暗号キーサーバ(KS)のマルチキャスト暗号キー配信部46は、更新したTEKを、KEKを用い、3DES等のアルゴリズムにより暗号化し、この暗号化したデータをマルチキャストアドレスM2で発信するためのマルチキャストパケットを作成する。マルチキャスト暗号キーサーバ(KS)のユニキャストカプセル部47は、前記マルチキャストパケットをユニキャストカプセル化し、前記TEK配信経路でユニキャスト配信する(ステップ87、88,91)。
(8) TEK更新
前記ユニキャストパケットは、マルチキャスト制御ゲートウェイ(MCG2)によりマルチキャストM2に復元され(ステップ89)、前記クライアントに配布されるとともに(ステップ90)、マルチキャスト制御ゲートウェイ(MCG1)によりマルチキャストM2に復元され、コンテンツ配信サーバ(CDS)に配布される(ステップ92、93)。以後、M1配信元のコンテンツ配信サーバ(CDS)は、前記の新TEKを用いてコンテンツをマルチキャストM1で配布することが可能となる(ステップ94〜99)。もし、旧TEKが、悪意あるクライアントにより解読されていたとしても、新TEKを用いてコンテンツを配信することにより、前記認証済クライアントのみが復号し、視聴可能である。また、マルチキャスト暗号キーサーバ(KS)は、マルチキャストコンテンツを視聴している全認証済クライアント、及び配信サーバに対して、一回の送信でTEKを配布することが可能であり、TEK管理の負荷が軽減される。
【0076】
上記の処理において、認証済クライアントに対して属性を付与し、マルチキャスト暗号キーサーバ(KS)が、マルチキャストチャネル毎に当該属性値に応じて、マルチキャストストリームを暗号化及び復号化するための暗号キーを配布するかどうか判断することも可能である。
【0077】
この場合、マルチキャスト制御ゲートウェイ(MCG)のクライアント認証部20は、クライアントIDに対応する属性値をデータベースとして有する。例えば認証時のクライアントIDが“User1”のクライアントは、クライアント属性値が“1”であるとする。一方、マルチキャスト暗号キーサーバ(KS)の認証チェック部44は、マルチキャストチャネル毎に、暗号キー配布を許可するクライアント属性値リストを有する。
【0078】
上記の(3)コンテンツ受信クライアント認証の段階において、マルチキャスト制御ゲートウェイ(MCG2)は、クライアントを認証すると、当該クライアントのIPアドレスとMACアドレスに加えて、クライアント属性をまとめて管理する。そして、(4)の段階において、MCG2からKSへのクライアント認証情報通知時に、IPアドレスとそのクライアント属性値を通知し、(5)の段階において、クライアントがマルチキャスト暗号キーサーバ(KS)に対して、要求するコンテンツのマルチキャストアドレスM1を通知したとき、マルチキャスト暗号キーサーバ(KS)の認証チェック部44は、当該クライアントの属性値が、M1に対する暗号キー配布を許可するクライアント属性値リストに含まれるかどうかをチェックし、リストに含まれていればM1のTEKとKEKを配布する。そうでなければ、当該クライアントからの要求を棄却する。
【0079】
(具体例)
次に、図10に示すネットワーク構成を用いて、基本的な処理内容をより具体的に説明する。図10に示すネットワークにおいて、各ネットワーク装置(ネットワークにおいてパケットを中継する装置)はIPv6を用いて通信するものとし、図10に示す通りのIPv6アドレスが付与されているものとする。
【0080】
すなわち、クライアントの無線アクセス可能なエリアとして、プレフィクス2001:0:1:1::/64に対応するエリア1と、2001:0:1:2::/64に対応するエリア2、及び2001:2:1:1::/64に対応するエリア3が存在する。2001:0:1:1::/64及び2001:0:1:2::/64はマルチキャスト制御ゲートウェイ(MCG1)の配下であり、2001:2:1:1::/64はマルチキャスト制御ゲートウェイ(MCG2)の配下にある。
【0081】
マルチキャスト制御ゲートウェイ(MCG1)のユニキャスト網側(インターネット側)のアドレスは2001:1:1:1::2である。一方、マルチキャスト制御ゲートウェイ(MCG2)のユニキャスト網側(インターネット側)のアドレスは2001:2:2:1::2である。
【0082】
ホームエージェント(HA)のアドレスは2001:9:9:9::2である。コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであり、そのホームアドレスは2001:9:9:9::10である。また、図10に示す状態においてコンテンツ配信サーバ1(CDS1)は2001:0:1:1::/64に対応するエリア1に存在するため、その気付けアドレスは2001:0:1:1::abcdであるものとし、この気付けアドレスをモバイルIPv6の仕組みを用いてホームエージェント(HA)に通知している。
【0083】
また、アドレスマッピングサーバ(AMS)のアドレスは2001:8:8:8::2であり、図11に示すコンテンツ属性情報を保持している。このコンテンツ属性情報は、コンテンツ配信サーバ1(CDS1)が、マルチキャストアドレスff08::1:1に対してコンテンツを配信し、マルチキャストアドレスff08::1:1に対応するコンテンツは、マルチキャスト制御ゲートウェイ(MCG2)配下であるプレフィクス2001:2:1:1::/64のネットワークを含むいくつかのエリアへの配信が許可されていることを示している。また、コンテンツ配信を要求するクライアントが認証されていることを要するか否か設定されている。「要」の場合、コンテンツ属性要求メッセージに、コンテンツ配信要求をしたクライアントが認証されている旨の情報が含まれている場合に、コンテンツ属性を提供する。
【0084】
マルチキャスト制御ゲートウェイ(MCG1及びMCG2)は、このようなマルチキャストコンテンツ属性を管理するアドレスマッピングサーバ(AMS)が2001:8:8:8::2に存在することを、コンフィグファイルより読み取り、認知しているとする。
【0085】
次に図10の構成におけるコンテンツ要求開始からマルチキャスト配信開始までの動作について説明する。
【0086】
ここで、マルチキャスト配信サーバ1(CDS1とする)は、マルチキャスト制御ゲートウェイ(MCG1)配下の2001:0:1:1::/64に存在し、認証済であるものとする。また、コンテンツを要求するクライアント1も認証済みであるものとする。まず、クライアント1が、マルチキャストアドレスff08::1:1に対応するコンテンツを要求すると、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16がこのクライアントからの要求メッセージ(MLD Report)を受信する。そして、図8を用いて説明した手順で、要求メッセージが認証されたクライアントから送られたものであることをチェックすると、マルチキャスト制御ゲートウェイ(MCG2)は、要求されたマルチキャストコンテンツの属性を取得するため、コンテンツ属性要求部13からアドレスマッピングサーバ(AMS)に対してコンテンツ属性要求メッセージを発信する。
【0087】
図12にコンテンツ属性要求メッセージの内容の一例を示す。図12に示すように、コンテンツ属性要求メッセージは、配信を要求するコンテンツのマルチキャストアドレスと配信先のネットワークプレフィクス(この場合は、2001:2:1:1::/64)に加えて、配信を要求するクライアントの認証チェック結果を含む。
【0088】
これを受信したアドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部35はデータベース(図11に示すコンテンツ属性)を参照し、要求されたマルチキャストアドレスに対応するコンテンツが、要求元のエリア3に配信可能であり、なおかつ、配信要求を行ったクライアントが認証済みであることを判定する。この結果、アドレスマッピングサーバ(AMS)のコンテンツ属性送信部32は、図13に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG2)へ通知する。
【0089】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14は、前記コンテンツ属性を用いて、コンテンツ配信サーバ1(CDS1)(2001:9:9:9::10)に向けて、図14に示す、マルチキャストアドレス(ff08::1:1)のコンテンツを要求するメッセージを発信する。
【0090】
コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであるため、前記要求メッセージは、ホームエージェント(HA)が受信する。ホームエージェント(HA)はこのメッセージをコンテンツ配信サーバ1(CDS1)(気付けアドレスである2001:0:1:1::abcd)に転送する。
【0091】
図15に、コンテンツ配信要求メッセージの転送経路を示す。コンテンツ配信サーバ1(CDS1)は、ホームエージェント(HA)から転送されたマルチキャスト制御ゲートウェイ(MCG2)からのコンテンツ配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG2)に対するコンテンツ配信セッションを作成する。
【0092】
そして、コンテンツ配信サーバ1(CDS1)はマルチキャスト制御ゲートウェイ(MCG2)へ配信するff08::1:1に対応するマルチキャストコンテンツをユニキャストカプセル化し、これをマルチキャスト制御ゲートウェイ(MCG2)に向けて送信する。コンテンツ配信サーバ1(CDS1)は、モバイルIPv6クライアントであるため、コンテンツ配信サーバ1(CDS1)からマルチキャスト制御ゲートウェイ(MCG2)へのストリームはホームエージェント(HA)を経由して転送される。図16に、ストリーム配信経路を示す。
【0093】
マルチキャスト制御ゲートウェイ(MCG2)のストリーム受信部12は、当該コンテンツを受信すると、MCG2のマルチキャスト復元部19が、ff08::1:1に対応するコンテンツをユニキャストパケットからマルチキャストパケットに復元し、MCG2のストリーム配信部11が、セッション情報に基づき、当該コンテンツをクライアント1の存在するエリア3に向けてマルチキャスト配信する。
【0094】
ここで、コンテンツ配信サーバ1(CDS1)が、2001:0:1:1::/64に対応するネットワークエリア1から、2001:0:1:2::/64に対応するネットワークエリアに移動したとする。コンテンツ配信サーバ1(CDS1)はモバイルIPv6クライアントであり、ホームアドレスは2001:9:9:9::10のまま変わらないが、2001:0:1:2::/64に対応するエリア2に存在するため、気付けアドレスは例えば2001:0:1:2::abcdに変化する。このとき、コンテンツ配信サーバ1(CDS1)は、この気付けアドレスをモバイルIPv6の仕組みを用いてホームエージェント(HA)に通知する。また、ホームエージェント(HA)によりコンテンツ配信サーバ1(CDS1)の認証がなされる。なお、AMSは、コンテンツ配信サーバ1(CDS1)のホームアドレスを管理しているので、AMSが管理するコンテンツ配信サーバ1(CDS1)のアドレスは全く変更を要しない。
【0095】
このとき、クライアント1からのマルチキャストff08::1:1の要求に対して、MCG2が発信するストリーム要求メッセージは、図17に示すように、正しいコンテンツ配信サーバ1(CDS1)の所在地に、ホームエージェント(HA)により転送される。また、コンテンツ配信サーバ1(CDS1)からのストリーム配信経路は、図18に示す経路になる。これにより、マルチキャスト制御ゲートウェイ(MCG2)及びその配下のマルチキャストクライアントは、コンテンツ配信サーバ1(CDS1)の移動を意識せず、マルチキャストコンテンツ(ff08::1:1)を受信し続けることができる。
【0096】
(マルチキャストストリームを暗号化する場合)
次に、図19に示すネットワーク構成を用いて、図9で説明した暗号キーの配布処理の具体例を説明する。
【0097】
本ネットワークでは、上記の具体例と同様、各ネットワーク装置がIPv6を用いて通信するとし、図10の場合と同様のネットワーク構成であり、図19に示す通りのIPv6アドレスが付与されているものとする。ただし、図19の構成では、図10の構成に加えて、マルチキャスト暗号キーを作成し、配布する暗号キーサーバ(KS)が存在し、そのアドレスは2001:8:8:8::3であるとする。
【0098】
コンテンツ配信サーバ(CDS1)は、ff08::1:1(図9でのM1に対応)のマルチキャストコンテンツを配信するものとし、マルチキャスト暗号キーサーバ(KS)は、このマルチキャスト暗号キー(TEK及びKEK)を管理し、配布する。また、このTEKを更新した際にコンテンツ配信サーバ(CDS1)及び全受信クライアントにマルチキャスト配布するためのマルチキャストアドレスをff08::3:1:1(図9でのM2に対応)とする。この場合、アドレスマッピングサーバには、図20に示すように、各マルチキャストチャネルの配信元サーバを登録しておく。以下、コンテンツ配信サーバ(CDS1)とクライアント1はそれぞれマルチキャスト制御ゲートウェイ(MCG1)及びマルチキャスト制御ゲートウェイ(MCG2)に対して認証済であり、マルチキャスト制御ゲートウェイ(MCG1)及びマルチキャスト制御ゲートウェイ(MCG2)のKS通信部9からKSの認証情報取得部41に対して認証済であり、そのIPアドレスを通知しているとする。また、コンテンツ配信サーバ(CDS1)がff08::1:1の配信元サーバであることもKSの認証情報管理部421に登録してあるとする。
【0099】
まず、コンテンツ配信サーバ(CDS1)は、ff08::1:1のTEKを受信するため、マルチキャスト暗号キーサーバ(KS)にff08::1:1のTEKとKEKを要求する。マルチキャスト暗号キーサーバ(KS)は、この要求メッセージの発信元IPアドレスが、既にマルチキャスト暗号キーサーバ(KS)の認証情報管理部421において管理されているため、TEKとKEKを配布する。
【0100】
更に、コンテンツ配信サーバ(CDS1)は以後更新されるTEKを受信するためのマルチキャストチャネルff08::3:1:1へのJoinを行うと、マルチキャスト制御ゲートウェイ(MCG1)のコンテンツ受信クライアント検出部16がこのクライアントからのJoinメッセージ(MLD Report)を受信する。マルチキャスト制御ゲートウェイ(MCG1)は、要求されたマルチキャストチャネルの属性を取得するため、コンテンツ属性要求部13からAMSに対してコンテンツ属性要求メッセージを発信する。コンテンツ属性要求メッセージは図21のように配信先のネットワークプレフィクス(この場合は、2001:0:1:1::/64)を含む。これを受信したアドレスマッピングサーバ(AMS)のコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部はデータベース(図20に示すコンテンツ属性)を参照し、要求されたマルチキャストチャネルが、要求元のエリアに配信可能であることを判定する。この結果、AMSのコンテンツ属性送信部32は、図22に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG1)へ通知する。MCG1のストリーム配信要求部14は、前記コンテンツ属性を用いて、マルチキャスト暗号キーサーバKS(2001:8:8:8::3)に向けて、図23のようなマルチキャストアドレス(ff08::3:1:1)のストリームを要求するメッセージを発信する。マルチキャスト暗号キーサーバ(KS)は、マルチキャスト制御ゲートウェイ(MCG1)からのストリーム配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG1)に対するストリーム配信セションを作成する。
【0101】
同様に、クライアント1は、ff08::1:1のTEKを受信するため、マルチキャスト暗号キーサーバ(KS)にff08::1:1のTEKとKEKを要求する。マルチキャスト暗号キーサーバ(KS)は、この要求メッセージの発信元IPアドレスが、既にマルチキャスト暗号キーサーバ(KS)の認証情報管理部421において管理されているため、TEKとKEKを配布する。更に、クライアント1は以後更新されるTEKを受信するためのマルチキャストチャネルff08::3:1:1へのJoinを行うと、マルチキャスト制御ゲートウェイ(MCG2)のコンテンツ受信クライアント検出部16がこのクライアントからのJoinメッセージ(MLD Report)を受信する。マルチキャスト制御ゲートウェイ(MCG2)は、要求されたマルチキャストチャネルの属性を取得するため、コンテンツ要求部13からAMSに対してコンテンツ属性要求メッセージを発信する。コンテンツ属性要求メッセージは図24のように配信先のネットワークプレフィクス(この場合は、2001:2:1:1::/64)を含む。
【0102】
これを受信したAMSのコンテンツ属性要求受信部31は、これをAMSの制御部35へ通知する。制御部35はデータベース(図20のコンテンツ属性)を参照し、要求されたマルチキャストチャネルが、要求元のエリアに配信可能であることを判定する。この結果、AMSのコンテンツ属性送信部32は、図25に示す内容のコンテンツ属性をマルチキャスト制御ゲートウェイ(MCG2)へ通知する。マルチキャスト制御ゲートウェイ(MCG2)のストリーム配信要求部14は、前記コンテンツ属性を用いて、KS(2001:8:8:8::3)に向けて、図26に示すマルチキャストアドレス(ff08::3:1:1)のストリームを要求するメッセージを発信する。マルチキャスト暗号キーサーバ(KS)は、マルチキャスト制御ゲートウェイ(MCG2)からのストリーム配信要求メッセージを受信すると、マルチキャスト制御ゲートウェイ(MCG2)に対するストリーム配信セションを作成する。図27に以上説明したストリーム配信要求メッセージの転送経路を示す。また、配信要求の結果、図28に示すような経路でTEKが配布される。
【0103】
クライアント1がマルチキャストアドレスff08::1:1のコンテンツを要求し、コンテンツ配信サーバ(CDS1)からそれを配信する手順は既に図10の構成を用いて説明した手順と同様であるが、TEKを取得したコンテンツ配信サーバ(CDS1)は、このTEKを用いて当該コンテンツを暗号化し、ff08::1:1のマルチキャストアドレスでマルチキャスト配信する。一方TEKを取得したクライアントは、TEKで暗号化されたマルチキャストコンテンツを受信すると、同じTEKで復号化できる。
【0104】
次に、認証済クライアントに対して属性を付与する場合の例について説明する。この場合、マルチキャスト制御ゲートウェイ(MCG2)のクライアント認証部20が、図29に示すようなクライアントIDに対応する属性値をデータベースとして有しているとする。また、図29に示す通り、クライアント1は、認証時のクライアントIDが“User1”であるものとし、クライアント1のクライアント属性値は“1”であるとする。
【0105】
一方、マルチキャスト暗号キーサーバ(KS)の認証チェック部17は、マルチキャストアドレス毎に、暗号キー配布を許可するクライアント属性値リストとして、図30に示すリストを有しているとする。
【0106】
このとき、クライアント1がマルチキャスト暗号キーサーバ(KS)に対して、マルチキャストアドレスff08::1:1の暗号キーを要求する。マルチキャスト暗号キーサーバ(KS)は、クライアント1の属性値が“1”であり、ff08::1:1の暗号キー配布許可リストに“1”が含まれているため、TEK及びKEKを配布可能と判断する。同様に、クライアント2がクライアントIDとして“User4”で認証したとすると、属性値が“2”であり、これは前記リストに含まれていないため、認証済クライアント2がff08::1:1の暗号キーを要求しても、マルチキャスト暗号キーサーバ(KS)はこれを棄却する。
【0107】
上記のように本実施の形態で説明したマルチキャスト配信システムによれば、アドレスマッピングサーバにおけるデータベースを設定することにより、コンテンツ毎にコンテンツ配信サーバとコンテンツ配信先エリアを指定することができ、指定したエリアにおけるクライアントに対してのみ、コンテンツをマルチキャスト配信されるといったポリシをネットワークに反映でき、このポリシに従って動的にコンテンツ配信ツリーを構築することが可能となる。
【0108】
また、TEKとKEKを認証済クライアントと、コンテンツ配信サーバ(CDS)に配布することにより、認証済クライアントのみが特定のコンテンツを受信することが可能となる。
【0109】
本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
【図面の簡単な説明】
【0110】
【図1】従来技術におけるマルチキャスト配信システムの一例を示す図である。
【図2】本発明の実施の形態におけるマルチキャスト配信システムを示す図である。
【図3】本発明の実施の形態におけるマルチキャスト制御ゲートウェイの機能ブロック図である。
【図4】本発明の実施の形態におけるスプリッタの機能ブロック図である。
【図5】本発明の実施の形態におけるアドレスマッピングサーバの機能ブロック図である。
【図6】本発明の実施の形態におけるマルチキャスト暗号キーサーバの機能ブロック図である。
【図7】本発明の実施の形態における、クライアント及びコンテンツ配信サーバの認証から、コンテンツのマルチキャスト配信開始までのシーケンスを示す図である。
【図8】コンテンツ受信クライアントの認証チェック処理を説明するためのシーケンスチャートである。
【図9】暗号キー配布の処理を示すシーケンスチャートである。
【図10】本発明の実施の形態におけるマルチキャスト配信システムを詳細に示す図である。
【図11】本発明の実施の形態におけるアドレスマッピングサーバが保持するコンテンツ属性情報の例である。
【図12】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図13】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図14】本発明の実施の形態におけるストリーム配信要求メッセージの内容の一例を示す図である。
【図15】マルチキャストアドレス(ff08::1:1)に対応するストリーム配信要求メッセージの転送経路を示す図である。
【図16】マルチキャストアドレス(ff08::1:1)に対応するストリーム配信経路を示す図である。
【図17】コンテンツ配信サーバが移動した後のストリーム配信要求メッセージの転送経路を示す図である。
【図18】コンテンツ配信サーバが移動した後のストリーム配信経路を示す図である。
【図19】暗号キーの配布処理を説明するためのマルチキャスト配信システムを詳細に示す図である。
【図20】本発明の実施の形態におけるアドレスマッピングサーバが保持するコンテンツ属性情報の例である。
【図21】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図22】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図23】本発明の実施の形態におけるTEKマルチキャスト配信要求メッセージの内容の一例を示す図である。
【図24】本発明の実施の形態におけるコンテンツ属性要求メッセージの内容の一例を示す図である。
【図25】本発明の実施の形態におけるアドレスマッピングサーバから送信されるコンテンツ属性メッセージの内容の一例を示す図である。
【図26】本発明の実施の形態におけるTEKマルチキャスト配信要求メッセージの内容の一例を示す図である。
【図27】マルチキャストアドレス(ff08::3:1:1)に対応するTEKマルチキャスト配信要求メッセージの転送経路を示す図である。
【図28】マルチキャストアドレス(ff08::3:1:1)に対応するTEKマルチキャスト配信経路を示す図である。
【図29】マルチキャスト制御ゲートウェイ(MCG2)が管理するクライアント属性値の例である。
【図30】マルチキャスト暗号キーサーバ(KS)が管理する暗号キー配布許可リストの例である。
【符号の説明】
【0111】
1、3 マルチキャスト対応ルータ
5 クライアント
AMS アドレスマッピングサーバ
HA ホームエージェント
CDS コンテンツ配信サーバ
SP スプリッタ
MCG マルチキャスト制御ゲートウェイ
KS マルチキャスト暗号キーサーバ
9 KS通信部
10 HA通信部
11 ストリーム配信部
12 ストリーム受信部
13 ストリーム配信要求部
14 コンテンツ属性要求部
15 制御部
16 コンテンツ受信クライアント検出部
17 認証チェック部
18 パケットフィルタ部
19 マルチキャスト復元部
20 クライアント認証部
21 コンテンツ要求受信部
22 ストリーム配信部
23 ストリーム配信要求部
24 ストリーム受信部
25 制御部
31 コンテンツ属性要求受信部
32 コンテンツ属性送信部
33 コンテンツ属性管理データベース
34 属性操作用ユーザインタフェース部
35 制御部
41 認証情報取得部
42 制御部
43 暗号キー要求受信部
44 認証チェック部
45 暗号キー作成部
46 マルチキャスト暗号キー配布部
47 ユニキャストカプセル部
【特許請求の範囲】
【請求項1】
所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置であって、
認証されたクライアントのアドレスを保持する保持手段と、
前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段と、
あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段と、
前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段と
を有することを特徴とする暗号キー配信装置。
【請求項2】
前記暗号キー配信装置は、前記コンテンツ暗号キーを更新する手段を更に備え、
前記マルチキャスト配信手段は、
前記コンテンツ暗号キーのマルチキャスト配信要求を受信した場合に、マルチキャスト配信要求送信元の装置のエリアに対応する送信先の情報と、前記コンテンツ暗号キーをマルチキャスト配信するためのマルチキャストアドレスとを対応付けたセッション情報を保持し、
前記コンテンツ暗号キーの更新が行われた場合に、更新後のコンテンツ暗号キーを当該セッション情報に基づきマルチキャスト配信する請求項1に記載の暗号キー配信装置。
【請求項3】
前記暗号キー配信装置は、マルチキャストコンテンツ毎に、コンテンツ暗号キーを配布可能なクライアントの属性値のリストを保持し、
前記暗号キー配信装置は、クライアントの認証を行う認証装置から、前記認証されたクライアントのアドレスと当該クライアントに対応する属性値とを受信し、前記保持手段は、当該アドレスと属性値とを対応付けて保持し、
前記対クライアント暗号キー送信手段は、前記キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の送信元のアドレスが、前記認証されたクライアントのアドレスであり、かつ当該アドレスに対応する属性値が、前記マルチキャストコンテンツに対応する属性値として前記属性値のリストに含まれている場合に、前記クライアントに前記キー暗号キーを送信する請求項1に記載の暗号キー配信装置。
【請求項4】
所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置の機能をコンピュータに実現させるプログラムであって、コンピュータを、
認証されたクライアントのアドレスを保持する記憶装置にアクセスする手段、
前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段、
あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段、
前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段、
として機能させるプログラム。
【請求項1】
所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置であって、
認証されたクライアントのアドレスを保持する保持手段と、
前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段と、
あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段と、
前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段と
を有することを特徴とする暗号キー配信装置。
【請求項2】
前記暗号キー配信装置は、前記コンテンツ暗号キーを更新する手段を更に備え、
前記マルチキャスト配信手段は、
前記コンテンツ暗号キーのマルチキャスト配信要求を受信した場合に、マルチキャスト配信要求送信元の装置のエリアに対応する送信先の情報と、前記コンテンツ暗号キーをマルチキャスト配信するためのマルチキャストアドレスとを対応付けたセッション情報を保持し、
前記コンテンツ暗号キーの更新が行われた場合に、更新後のコンテンツ暗号キーを当該セッション情報に基づきマルチキャスト配信する請求項1に記載の暗号キー配信装置。
【請求項3】
前記暗号キー配信装置は、マルチキャストコンテンツ毎に、コンテンツ暗号キーを配布可能なクライアントの属性値のリストを保持し、
前記暗号キー配信装置は、クライアントの認証を行う認証装置から、前記認証されたクライアントのアドレスと当該クライアントに対応する属性値とを受信し、前記保持手段は、当該アドレスと属性値とを対応付けて保持し、
前記対クライアント暗号キー送信手段は、前記キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の送信元のアドレスが、前記認証されたクライアントのアドレスであり、かつ当該アドレスに対応する属性値が、前記マルチキャストコンテンツに対応する属性値として前記属性値のリストに含まれている場合に、前記クライアントに前記キー暗号キーを送信する請求項1に記載の暗号キー配信装置。
【請求項4】
所定のマルチキャストコンテンツを暗号化及び復号化するためのコンテンツ暗号キーをマルチキャスト配信するための暗号キー配信装置の機能をコンピュータに実現させるプログラムであって、コンピュータを、
認証されたクライアントのアドレスを保持する記憶装置にアクセスする手段、
前記マルチキャストコンテンツを配信するコンテンツ配信装置に対し、前記コンテンツ暗号キーを暗号化及び復号化するためのキー暗号キーを送信する対コンテンツ配信装置暗号キー送信手段、
あるクライアントから、キー要求及び前記マルチキャストコンテンツのマルチキャストアドレスを受信し、当該キー要求の発信元のアドレスが、前記認証されたクライアントのアドレスである場合に、前記クライアントに前記キー暗号キーを送信する対クライアント暗号キー送信手段、
前記コンテンツ配信装置から、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記コンテンツ暗号キーを前記キー暗号キーで暗号化し、暗号化したコンテンツ暗号キーを、前記コンテンツ配信装置が存在するエリアにマルチキャスト配信し、前記クライアントから、前記コンテンツ暗号キーのマルチキャスト配信要求を受信すると、前記暗号化したコンテンツ暗号キーを、前記クライアントが存在するエリアにマルチキャスト配信するマルチキャスト配信手段、
として機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【公開番号】特開2006−295341(P2006−295341A)
【公開日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願番号】特願2005−110229(P2005−110229)
【出願日】平成17年4月6日(2005.4.6)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願日】平成17年4月6日(2005.4.6)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]