暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム
【課題】不正者追跡の機能を、双線形写像をベースとした暗号化手法に実現したコンテンツ配信システムを提供する。
【解決手段】コンテンツ配信システム1は、暗号化の際に使用する暗号化情報を生成する暗号化情報生成装置10と、その暗号化情報によりユーザ秘密鍵を生成する秘密鍵生成装置20と、暗号化情報に基づいて生成したヘッダ情報をコンテンツに付加して配信用コンテンツを生成する配信用コンテンツ生成装置30とを備え、暗号化情報生成装置10が、2つの多項式の係数と双線形写像を用いた公開鍵とを暗号化情報として生成し、秘密鍵生成装置20が、2つの多項式の係数に基づいてユーザ秘密鍵を生成し、配信用コンテンツ生成装置30が、公開鍵に基づいてヘッダ情報を生成することを特徴とする。
【解決手段】コンテンツ配信システム1は、暗号化の際に使用する暗号化情報を生成する暗号化情報生成装置10と、その暗号化情報によりユーザ秘密鍵を生成する秘密鍵生成装置20と、暗号化情報に基づいて生成したヘッダ情報をコンテンツに付加して配信用コンテンツを生成する配信用コンテンツ生成装置30とを備え、暗号化情報生成装置10が、2つの多項式の係数と双線形写像を用いた公開鍵とを暗号化情報として生成し、秘密鍵生成装置20が、2つの多項式の係数に基づいてユーザ秘密鍵を生成し、配信用コンテンツ生成装置30が、公開鍵に基づいてヘッダ情報を生成することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンテンツを暗号化して配信するコンテンツ配信システムに用いられる暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラムに関する。
【背景技術】
【0002】
近年、インターネット(ネットワーク)上で、映像、音声等の種々のコンテンツが流通するようになってきた。
しかし、インターネット上でコンテンツの売買を行う場合、正規の利用者が不正によりコンテンツを流通させてしまうことがあり、コンテンツ提供者に被害を与えるケースが増えている。このような問題に対して、不正に流通したコンテンツがどの利用者から配信されたものかを特定する方法として、「不正者追跡(Traitor Tracing)方式」と呼ばれる暗号化技術を用いる手法がある(以下、「KD98法」という。非特許文献1参照)。
【0003】
このKD98法では、暗号化されたコンテンツを復号する鍵となる秘密鍵を、利用者固有の識別子と多項式とを用いて生成している。すなわち、多項式をf(x)としたとき、変数xに利用者固有の識別子IDを代入したf(ID)が利用者の秘密鍵となる。このため、利用者が不正に秘密鍵の複製を作成した場合には、その秘密鍵f(ID)を作成するために使用した識別子IDを求めることで、どの利用者が不正を行ったかを特定することができる。なお、このKD98法では、当該不正者追跡方式を用いたシステムに対して、結託してk人の不正者が不正(攻撃)を行った場合でも耐性を持たせるために、多項式f(x)の次数をk次としている。
【0004】
さらに、KD98法の安全性を高めるため、多項式f(x)の次数を(2k−1)次に高めた方式も提案されている(以下、「KY02法」という。非特許文献2参照)。このように次数を高めることで、線形攻撃(Linear Attack)と呼ばれる攻撃に対して耐性を持たせることができる。
また、前記したKD98法やKY02法は、攻撃者が、ある定められた鍵のみ漏洩を受けることができる非適応的(Non−Adaptive)な攻撃に対して安全性が証明されている。
【0005】
これに対し、攻撃者が、いかなる鍵であっても、鍵漏洩を受けることができる適応的(Adaptive)な攻撃に対しても安全性が証明された手法が提案されている(以下、「DF03法」という。非特許文献3参照)。
このDF03法では、次数が(2k−1)次の多項式を2つ(f1(x),f2(x))用いて、利用者の秘密鍵を生成している。すなわち、多項式を(f1(x),f2(x))としたとき、変数xに利用者固有の識別子IDを代入した(f1(ID),f2(ID))が利用者の秘密鍵となる。
なお、多項式の係数によって、任意の利用者の秘密鍵を生成することが可能である。そこで、コンテンツ提供者(プロバイダ)は、多項式の係数を厳重に管理・保管している。
【0006】
一方、暗号化装置の安全性を高めるには、手法の異なる複数の暗号を用いて、1つの暗号が破られたとしても、他の暗号を用いることができるように構成することが望ましい。例えば、前記したKD98法、KY02法、DF03法は、基本的にエルガマル(ElGamal)暗号をベースにした暗号化手法であるが、同じ不正者追跡の機能を、他の手法である双線形写像(Paring)をベースにして実現した暗号化手法が存在する(以下、「TSZ03法」という。非特許文献4参照)。
【0007】
しかし、この双線形写像をベースにしたTSZ03法には、有効な攻撃方法が見つかり、安全性の保証がなくなっているのが現状である(非特許文献5参照)。
そこで、現在、双線形写像をベースとした手法として、「c−セキュア符号」と呼ばれる符合を組み合わせることで、安全性を高めた暗号化手法が提案されている(非特許文献5参照)。
【非特許文献1】Kaisa Nyberg著“Advances in Cryptology−EUROCRYPT’98”,Lecture Notes in Computer Science,vol1403,pp.145−157
【非特許文献2】David Naccache and Pascal Paillier著“Public Key Cryptography−PKC’02”,Lecture Notes in Computer Science,vol2274,pp.172−187
【非特許文献3】Yvo.G.Desmedt著“Public Key Cryptography−PKC’03”,Lecture Notes in Computer Science,vol2567,pp.100−115
【非特許文献4】M.Yung著“ACM workshop on Digital rights management 2003”,pp.67−76
【非特許文献5】R.Cramer著“Advances in Cryptology−EUROCRYPT 2005”,Lecture Notes in Computer Science,vol3494,pp.542−558
【発明の開示】
【発明が解決しようとする課題】
【0008】
前記したように、安全性を高めた暗号化手法として、双線形写像をベースとした暗号化手法が提案されているが、当該手法で用いられている「c−セキュア符号」は、安全性を高めるため符号長を長くすればするほど暗号文が長くなってしまうため、効率的ではないという問題がある。このように、KY02法、DF03法と同じ不正者追跡の機能を有し、双線形写像をベースとした効率的な暗号化手法が存在していないのが現状である。
【0009】
本発明は、以上のような問題点に鑑みてなされたものであり、DF03法と同程度の高い安全性を保持しつつ、KY02法、DF03法と同じ不正者追跡の機能を、双線形写像をベースとして実現し、かつ、従来の双線形写像をベースとした暗号化手法に比べて効率的な暗号化手法によりコンテンツを配信することが可能な暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明は、前記目的を達成するために創案されたものであり、まず、請求項1に記載の暗号化情報生成装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成する暗号化情報生成装置であって、多項式係数生成手段と、公開鍵生成手段と、を備える構成とした。
【0011】
かかる構成において、暗号化情報生成装置は、生成元選択手段によって、素数を位数とし、かつ、双線形写像となる群から生成元を選択する。なお、生成元選択手段は、群の中からランダムに1つの生成元を選択することとしてもよいし、群の数列順に選択することとしてもよい。そして、暗号化情報生成装置は、多項式係数生成手段によって、不正者の予め定めた最大結託者数をkとしたとき、群の位数である素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、多項式係数として生成する。この段階で、秘密鍵を生成するための2つの多項式が特定されることになる。
【0012】
そして、暗号化情報生成装置は、公開鍵生成手段によって、素数をp、生成元選択手段で選択された生成元をQ、当該生成元Qに素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、双線形写像をeとしたとき、公開鍵PKを、
【数11】
として生成する。この段階で、2つの多項式で生成される秘密鍵に対応した公開鍵が生成されることになる。このように、ユーザの秘密鍵を生成するための多項式の係数を公開鍵に含ませることで、不正者追跡(Traitor Tracing)方式によるコンテンツの暗号化を行うことが可能になる。さらに、暗号化情報生成装置は、多項式の係数を、双線形写像を用いて公開鍵に組み込むため、双線形写像の計算の困難性により暗号系の安全性を確保することができる。
【0013】
さらに、請求項2に記載の暗号化情報生成プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成するために、コンピュータを、多項式係数生成手段、公開鍵生成手段、として機能させる構成とした。
【0014】
かかる構成において、暗号化情報生成プログラムは、生成元選択手段によって、素数を位数とし、かつ、双線形写像となる群から生成元を選択する。そして、暗号化情報生成プログラムは、多項式係数生成手段によって、不正者の予め定めた最大結託者数をkとしたとき、群の位数である素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、多項式係数として生成する。
【0015】
そして、暗号化情報生成プログラムは、公開鍵生成手段によって、素数をp、生成元選択手段で選択された生成元をQ、当該生成元Qに素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、双線形写像をeとしたとき、公開鍵PKを、
【数12】
として生成する。
【0016】
また、請求項3に記載の配信用コンテンツ生成装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成する配信用コンテンツ生成装置であって、暗号化鍵生成手段と、コンテンツ暗号化手段と、ヘッダ生成手段と、ヘッダ合成手段と、を備える構成とした。
【0017】
かかる構成において、配信用コンテンツ生成装置は、暗号化鍵生成手段によって、コンテンツを暗号化する暗号化鍵を生成する。そして、配信用コンテンツ生成装置は、コンテンツ暗号化手段によって、暗号化鍵生成手段で生成された暗号化鍵に基づいて、コンテンツを暗号化して暗号化コンテンツを生成する。
【0018】
また、配信用コンテンツ生成装置は、ヘッダ生成手段によって、暗号化鍵生成手段で生成された暗号化鍵Ksと、公開鍵PKと、予め選択した乱数rとに基づいて、
【数13】
により、暗号化コンテンツに合成するヘッダ情報Headを生成する。
【0019】
そして、配信用コンテンツ生成装置は、ヘッダ合成手段によって、ヘッダ生成手段で生成されたヘッダ情報と、暗号化コンテンツを合成することで配信用コンテンツを生成する。これによって、配信用コンテンツは、暗号化コンテンツとヘッダ情報とが一体となったファイルあるいはストリームとして形成されることになる。
【0020】
さらに、請求項4に記載の配信用コンテンツ生成プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成するために、コンピュータを、暗号化鍵生成手段と、コンテンツ暗号化手段と、ヘッダ生成手段と、ヘッダ合成手段として機能させる構成とした。
【0021】
かかる構成において、配信用コンテンツ生成プログラムは、暗号化鍵生成手段によって、コンテンツを暗号化する暗号化鍵を生成する。そして、配信用コンテンツ生成プログラムは、コンテンツ暗号化手段によって、暗号化鍵生成手段で生成された暗号化鍵に基づいて、コンテンツを暗号化して暗号化コンテンツを生成する。
【0022】
また、配信用コンテンツ生成プログラムは、ヘッダ生成手段によって、暗号化鍵生成手段で生成された暗号化鍵Ksと、公開鍵PKと、予め選択した乱数rとに基づいて、
【数14】
により、暗号化コンテンツに合成するヘッダ情報Headを生成する。
そして、配信用コンテンツ生成プログラムは、ヘッダ合成手段によって、ヘッダ生成手段で生成されたヘッダ情報と、暗号化コンテンツを合成することで配信用コンテンツを生成する。
【0023】
また、請求項5に記載のコンテンツ復号装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数15】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数16】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するコンテンツ復号装置であって、分離手段と、暗号化鍵復号手段と、コンテンツ復号手段と、を備える構成とした。
【0024】
かかる構成において、コンテンツ復号装置は、分離手段によって、配信用コンテンツを、ヘッダ情報と暗号化コンテンツとに分離する。
そして、コンテンツ復号装置は、暗号化鍵復号手段によって、分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、秘密鍵である第1多項式の演算結果SKID1、及び、第2多項式の演算結果SKID2と、ユーザ固有の値IDとに基づいて、
【数17】
により、コンテンツを暗号化した暗号化鍵Ksを復号する。
【0025】
そして、コンテンツ復号装置は、コンテンツ復号手段によって、暗号化鍵復号手段で復号された暗号化鍵に基づいて、暗号化コンテンツを復号する。
【0026】
さらに、請求項6に記載のコンテンツ復号プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数18】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数19】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するために、コンピュータを、分離手段、暗号化鍵復号手段、コンテンツ復号手段、として機能させる構成とした。
【0027】
かかる構成において、コンテンツ復号プログラムは、分離手段によって、配信用コンテンツを、ヘッダ情報と暗号化コンテンツとに分離する。
そして、コンテンツ復号プログラムは、暗号化鍵復号手段によって、分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、秘密鍵である第1多項式の演算結果SKID1、及び、第2多項式の演算結果SKID2と、ユーザ固有の値IDとに基づいて、
【数20】
により、コンテンツを暗号化した暗号化鍵Ksを復号する。
そして、コンテンツ復号プログラムは、コンテンツ復号手段によって、暗号化鍵復号手段で復号された暗号化鍵に基づいて、暗号化コンテンツを復号する。
【発明の効果】
【0028】
本発明は、以下に示す優れた効果を奏するものである。
請求項1又は請求項2に記載の発明によれば、2つの多項式で生成される秘密鍵に対応した公開鍵を、双線形写像をベースに生成することができる。これによって、本発明は、従来の不正者追跡(Traitor Tracing)の機能を、双線形写像をベースとして実現することができる。また、本発明によれば、従来の双線形写像をベースとした暗号化手法に比べて符号長に応じて暗号文が増加することがないため、効率的な暗号化手法を実現することができる。
【0029】
請求項3又は請求項4に記載の発明によれば、配信用コンテンツは、公開鍵を暗号化したヘッダ情報と暗号化コンテンツとが一体となったファイルあるいはストリームとして形成されるため、コンテンツ復号装置において、暗号化コンテンツに対応する公開鍵を探索するといった手間を省くことができる。また、本発明によれば、不正者追跡の機能を付加した双線形写像をベースとした暗号化手法により、暗号化コンテンツに、ヘッダ情報を付加するため、安全性の高い不正者追跡を行うことができる。
【0030】
請求項5又は請求項6に記載の発明によれば、暗号化コンテンツが、不正に流通する場合であっても、その暗号化コンテンツを復号するための情報は、そのユーザ固有の識別情報であるため、どのユーザが不正を行ったかを特定することが可能になる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の実施の形態について図面を参照して説明する。
[コンテンツ配信システムの構成]
まず、図1を参照して、コンテンツ配信システムの構成について説明する。図1は、本発明の実施の形態に係るコンテンツ配信システムの構成を示すブロック図である。コンテンツ配信システム1は、コンテンツの配信者(以下、プロバイダという)にイントラネット3で接続された暗号化情報生成サーバ10と、秘密鍵生成サーバ20と、コンテンツサーバ30と、コンテンツ配信サーバ40と、ゲートウェイ(GW)5とを備え、インターネット7を経由してコンテンツの購入者(以下、ユーザという)側の端末であるユーザ端末50にコンテンツを配信するシステムである。
【0032】
暗号化情報生成サーバ(暗号化情報生成装置)10は、コンテンツを暗号化する際に用いる暗号化情報として、秘密鍵生成サーバ20で使用する多項式の係数や、コンテンツサーバ30で使用する公開鍵を生成するものである。なお、生成された多項式の係数は、秘密鍵生成サーバ20に送信され、公開鍵は、コンテンツサーバ30に送信される。
【0033】
秘密鍵生成サーバ(秘密鍵生成装置)20は、暗号化されたコンテンツを復号する際に使用するユーザ固有の秘密鍵(ユーザ秘密鍵)を生成するものである。この生成されたユーザ秘密鍵は、ユーザ側のユーザ端末50に配布(送信)される。
【0034】
コンテンツサーバ(配信用コンテンツ生成装置)30は、コンテンツを暗号化し、暗号化情報生成サーバ10で生成される公開鍵を用いて、コンテンツの暗号化に使用した暗号化鍵を暗号化してヘッダ情報を生成し、暗号化されたコンテンツと合成することで、ユーザ側に配信するコンテンツ(配信用コンテンツ)を生成するものである。なお、コンテンツサーバ30は、図示していない記憶手段に複数の配信用コンテンツを保持し、コンテンツ配信サーバ40から要求のあった配信用コンテンツをコンテンツ配信サーバ40に送信する。
【0035】
コンテンツ配信サーバ(コンテンツ配信装置)40は、ユーザ端末50から要求のあったコンテンツ(配信用コンテンツ)を、コンテンツサーバ30から取得し、ユーザ端末50に送信するものである。
【0036】
ユーザ端末(コンテンツ復号装置)50は、ユーザが所望するコンテンツ(配信用コンテンツ)をコンテンツ配信サーバ40に対して要求し、コンテンツ配信サーバ40から取得した配信用コンテンツを復号するものである。このユーザ端末50は、予め秘密鍵生成サーバ20から、ユーザ固有のユーザ秘密鍵を取得し、配信コンテンツを復号する。なお、ここでは、1台のユーザ端末50のみを図示しているが、インターネット7を介して、複数のユーザ端末50が接続可能なことは言うまでもない。
【0037】
ゲートウェイ(GW)5は、イントラネット3とインターネット7との各ネットワークを接続するための装置である。このゲートウェイ5は、例えば、IPルータ(IP:Internet Protocol)であり、イントラネット3内への不正アクセスを防ぐファイア・ウォールの機能を有するものである。
【0038】
以下、プロバイダ側の装置である暗号化情報生成サーバ10、秘密鍵生成サーバ20、コンテンツサーバ30及びコンテンツ配信サーバ40の各構成と、ユーザ側の装置であるユーザ端末50の構成とについて順次説明を行う。
【0039】
(暗号化情報生成サーバの構成)
まず、図2を参照(適宜図1参照)して、暗号化情報生成サーバの構成について説明する。図2は、暗号化情報生成サーバの構成を示すブロック図である。ここでは、暗号化情報生成サーバ10は、基本情報生成手段11と、多項式係数生成手段12と、多項式係数送信手段13と、公開鍵生成手段14と、公開鍵送信手段15とを備えている。
【0040】
基本情報生成手段(生成元選択手段)11は、多項式係数生成手段12や公開鍵生成手段14において多項式の係数や公開鍵を生成するために用いる基本情報を生成するものである。
【0041】
ここでは、基本情報生成手段11は、基本情報として、素数pと、双線形写像となる群の生成元Qとを生成する。具体的には、基本情報生成手段11は、素数pをランダムに生成する。そして、基本情報生成手段11は、素数pを位数とする巡回群である2つの群G1及びG2と、そのG1及びG2がG1×G1→G2となる双線形写像eを生成する。さらに、基本情報生成手段11は、群G1の中から任意に1つの生成元Qを選択(Q∈G1)する。
【0042】
この基本情報生成手段11で生成される双線形写像eは、素数pを位数とする群G1の生成元をQ1及びQ2(Q1,Q2∈G1)、素数pに基づく数列{0,1,2,…,p−1}から選択した2つの要素をa及びb(a,b∈Zp)としたとき、以下の(1)式の関係が成り立つ性質を有している。
【0043】
【数21】
【0044】
また、基本情報生成手段11は、生成した基本情報のうち、素数pを多項式係数生成手段12に出力し、素数pと双線形写像eと生成元Qとを公開鍵生成手段14に出力する。
なお、基本情報生成手段11は、双線形写像eと群G1及びG2とを予め図示を省略した記憶手段に記憶しておき、ランダムに生成元を選択することとしてもよい。
【0045】
多項式係数生成手段12は、秘密鍵生成サーバ20において、ユーザ秘密鍵を生成する際に用いる多項式の係数を生成するものである。
ここでは、多項式係数生成手段12は、基本情報生成手段11で生成された素数pに基づく数列{0,1,2,…,p−1}から4k個の値をランダムに選択し、4k個の値を2k個ずつに分けることで、第1多項式の係数ai{0≦i≦2k−1}及び第2多項式の係数bi{0≦i≦2k−1}を生成する。ここで、kは、コンテンツ配信システム1に対して、不正者が結託して不正(攻撃)を行った場合でも耐性を持たせことが可能な最大結託者数を示している。なお、この最大結託者数kは、図示を省略した記憶装置に予め記憶させておいてもよいし、外部から図示を省略した入力手段を介して入力されることとしてもよい。
このように生成された係数ai及びbiは、以下の(2)式に示す2つの多項式(第1多項式f1(x)及び第2多項式f2(x))の係数を示している。
【0046】
【数22】
【0047】
なお、多項式係数生成手段12は、生成した多項式の係数を、多項式係数送信手段13と公開鍵生成手段14とに出力する。
【0048】
多項式係数送信手段13は、多項式係数生成手段12で生成された多項式の係数を、イントラネット3を介して秘密鍵生成サーバ20に送信するものである。
【0049】
公開鍵生成手段14は、コンテンツサーバ30において、配信用コンテンツに合成するヘッダ(コンテンツ配信ヘッダ)を生成するための公開鍵(Traitor Tracing用公開鍵;TT用公開鍵)を生成するものである。
ここでは、公開鍵生成手段14は、基本情報生成手段11で生成された素数pに基づく数列{0,1,2,…,p−1}から、ランダムに2つの乱数(α及びβ)を選択(α,β∈Zp)し、以下の(3)式により公開鍵PKを生成する。
【0050】
【数23】
【0051】
なお、eは基本情報生成手段11で生成された双線形写像、Qは基本情報生成手段11で生成された生成元、ai及びbiは多項式係数生成手段12で生成された係数である。
この(3)式に示すように、公開鍵PKには、双線形写像eにより得られた値(y0,y1,…,y2k−1)を含ませるため、Diffie−Hellman問題の解法が困難な双線形写像を用いたTT用公開鍵となる。
また、公開鍵生成手段14は、生成した公開鍵を公開鍵送信手段15に出力する。
【0052】
公開鍵送信手段15は、公開鍵生成手段14で生成された公開鍵を、イントラネット3を介してコンテンツサーバ30に送信するものである。なお、ここでは、公開鍵送信手段15は、ユーザ端末50から公開鍵の要求があった場合にも、公開鍵をユーザ端末50に送信することとする。
【0053】
このように暗号化情報生成サーバ10を構成することで、暗号化情報生成サーバ10は、ユーザの秘密鍵を生成するための多項式の係数と、公開鍵とを生成することができる。
なお、暗号化情報生成サーバ10は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、暗号化情報生成サーバ10は、コンピュータを、前記した各手段として機能させる暗号化情報生成プログラムによって動作する。
【0054】
(秘密鍵生成サーバの構成)
次に、図3を参照(適宜図1参照)して、秘密鍵生成サーバの構成について説明する。図3は、秘密鍵生成サーバの構成を示すブロック図である。ここでは、秘密鍵生成サーバ20は、多項式係数受信手段21と、多項式係数記憶手段22と、秘密鍵生成手段23と、秘密鍵出力手段24とを備えている。
【0055】
多項式係数受信手段21は、暗号化情報生成サーバ10で生成される暗号化情報の中で、多項式の係数(ai{0≦i≦2k−1}及びbi{0≦i≦2k−1})を、イントラネット3を介して受信するものである。ここで受信された多項式の係数は、多項式係数記憶手段22に記憶される。
【0056】
多項式係数記憶手段22は、多項式係数受信手段21で受信した多項式の係数を記憶するもので、ハードディスク等の一般的な記憶装置である。なお、多項式係数記憶手段22には、多項式の各項の次数が予め記憶されているものとする。この多項式係数記憶手段22に記憶されている係数と、各項の次数とによって、多項式が特定されることになる。
この多項式係数記憶手段22に記憶されている係数及び次数は、秘密鍵生成手段23によって読み出される。
【0057】
秘密鍵生成手段23は、ユーザを識別するための値(例えば、ユーザ固有の識別子〔ID〕)から、ユーザ固有の秘密鍵(ユーザ秘密鍵)を生成するものである。なお、秘密鍵生成手段23は、図示を省略した第1多項式演算手段と第2多項式演算手段とを備え、それぞれの多項式の演算を行う。
ここでは、秘密鍵生成手段23は、ユーザIDと、多項式係数記憶手段22に記憶されている係数や次数で特定される多項式、すなわち、前記(2)式で示した多項式f1(x)、f2(x)に、ユーザIDを代入した値とに基づいて、ユーザ秘密鍵SKuを生成する(以下の(4)式参照)。なお、ユーザIDは、図示を省略した入力手段を介して入力されるものとする。
【0058】
【数24】
【0059】
この秘密鍵生成手段23で生成されたユーザ秘密鍵は、秘密鍵出力手段24に出力される。
【0060】
秘密鍵出力手段24は、秘密鍵生成手段23で生成されたユーザ秘密鍵を外部に出力するものである。なお、秘密鍵出力手段24は、耐タンパ性を有するICカードやフレキシブルディスク等の汎用の記憶媒体(外部記憶媒体)に書き込むものとしてもよいし、ネットワーク(イントラネット3、インターネット7)を介してユーザ端末50に送信するものとしてもよい。ただし、記憶媒体にユーザ秘密鍵が書き込まれた場合、当該記憶媒体は、郵送等によって、ユーザ側に配送されることになる。
このように秘密鍵生成サーバ20を構成することで、秘密鍵生成サーバ20は、ユーザ秘密鍵を生成するための多項式の係数と、公開鍵とを生成することができる。
【0061】
なお、秘密鍵生成サーバ20は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、秘密鍵生成サーバ20は、コンピュータを、前記した各手段として機能させる秘密鍵生成プログラムによって動作する。
【0062】
(コンテンツサーバの構成)
次に、図4を参照(適宜図1参照)して、コンテンツサーバの構成について説明する。図4は、コンテンツサーバの構成を示すブロック図である。ここでは、コンテンツサーバ30は、暗号化鍵生成手段31と、公開鍵受信手段32と、ヘッダ生成手段33と、コンテンツ受信手段34と、コンテンツ暗号化手段35と、ヘッダ合成手段36と、配信用コンテンツ記憶手段37と、コンテンツ要求受信手段38と、配信用コンテンツ送信手段39とを備えている。
【0063】
暗号化鍵生成手段31は、コンテンツを暗号化するための暗号化鍵を生成するものである。ここで生成された暗号化鍵は、ヘッダ生成手段33及びコンテンツ暗号化手段35に出力される。なお、この暗号化鍵は、コンテンツ暗号化手段35で使用される暗号化鍵であり、図示していない擬似乱数発生手段、ハッシュ(Hash)関数等を用いて乱数化され、鍵長を揃えたものである。
【0064】
公開鍵受信手段32は、暗号化情報生成サーバ10で生成された公開鍵(TT用公開鍵PK〔前記(3)式参照〕)を、イントラネット3を介して受信するものである。ここで受信された公開鍵は、ヘッダ生成手段33に出力される。
【0065】
ヘッダ生成手段33は、暗号化鍵生成手段31で生成された暗号化鍵Ksを、公開鍵受信手段32で受信した公開鍵で暗号化(TT用公開鍵暗号化)することで、コンテンツに合成するヘッダ(コンテンツ配信ヘッダ)を生成するものである。
ここでは、ヘッダ生成手段33は、乱数rをZp*の中から選択し(図示を省略した擬似乱数発生手段により乱数rを発生させ)、以下の(5)式に示すコンテンツ配信ヘッダ(ヘッダ情報)Headを生成する。
【0066】
【数25】
【0067】
なお、ヘッダ生成手段33は、生成したコンテンツ配信ヘッダをヘッダ合成手段36に出力する。
【0068】
コンテンツ受信手段34は、配信用のコンテンツを受信するものである。ここで受信されたコンテンツはコンテンツ暗号化手段35に出力される。このコンテンツ受信手段34は、例えば、図示していない記録媒体からコンテンツを読み出すものであってもよいし、ネットワーク(インターネット7等)を介して、通信データとしてコンテンツを取得するものであってもよい。
【0069】
コンテンツ暗号化手段35は、コンテンツ受信手段34で受信した配信用のコンテンツを、暗号化鍵生成手段31で生成された暗号化鍵で暗号化し、暗号化コンテンツを生成するものである。ここで生成された暗号化コンテンツは、ヘッダ合成手段36に出力される。なお、コンテンツ暗号化手段35は、暗号化鍵を用いて、共通鍵暗号化方式によりコンテンツを暗号化する。また、暗号化対象となるコンテンツには、映像等のデータ量の多い情報を想定しているため、ここでは、公開鍵暗号化方式に比べて暗号化処理の速い共通鍵暗号化方式を使用することとする。例えば、AES(Advanced Encryption Standard)等の一般的な共通鍵暗号化方式でよい。
【0070】
ヘッダ合成手段36は、コンテンツ暗号化手段35で生成された暗号化コンテンツと、ヘッダ生成手段33で生成されたコンテンツ配信ヘッダ(前記(5)式参照)とを合成して、配信用コンテンツを生成するものである。ここで生成された配信用コンテンツは、固有のコンテンツ識別情報(例えばファイル名等)を付して、配信用コンテンツ記憶手段37に記憶される。
【0071】
なお、ヘッダ合成手段36における暗号化コンテンツと暗号化コンテンツヘッダとの合成は、1つのデータ(ファイル、ストリーム)として合成することのみを意味しない。すなわち、暗号化コンテンツと暗号化コンテンツヘッダとは、少なくとも関連付けられていればよく、個別のデータとして管理することも可能である。ただし、管理を簡易化するために、暗号化コンテンツと暗号化コンテンツヘッダとを合成して1つのデータとすることが好ましい。
【0072】
配信用コンテンツ記憶手段37は、ヘッダ合成手段36で生成された配信用コンテンツを記憶するもので、ハードディスク等の一般的な記憶装置である。この配信用コンテンツ記憶手段37に記憶されている配信用コンテンツは、配信用コンテンツ送信手段39によって読み出される。
【0073】
コンテンツ要求受信手段38は、コンテンツ配信サーバ40から送信される、配信用コンテンツを特定するコンテンツ識別情報を含んだコンテンツの要求(コンテンツ要求)を、イントラネット3を介して受信するものである。このコンテンツ要求受信手段38は、コンテンツ要求に含まれる識別情報を配信用コンテンツ送信手段39に出力する。
【0074】
配信用コンテンツ送信手段39は、コンテンツ要求受信手段38から出力されるコンテンツ識別情報に対応する配信用コンテンツを、配信用コンテンツ記憶手段37から読み出して、要求のあったコンテンツ配信サーバ40に送信するものである。
このようにコンテンツサーバ30を構成することで、コンテンツサーバ30は、コンテンツを暗号化鍵で暗号化し、その暗号化された暗号化コンテンツと、コンテンツ配信ヘッダとを関連付けて配信用コンテンツを生成することができる。
【0075】
なお、コンテンツサーバ30は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、コンテンツサーバ30は、コンピュータを、前記した各手段として機能させる配信用コンテンツ生成プログラムによって動作する。
【0076】
(コンテンツ配信サーバの構成)
次に、図5を参照(適宜図1参照)して、コンテンツ配信サーバの構成について説明する。図5は、コンテンツ配信サーバの構成を示すブロック図である。ここでは、コンテンツ配信サーバ40は、ユーザ要求受信手段41と、コンテンツ要求送信手段42と、配信用コンテンツ受信手段43と、配信用コンテンツ送信手段44とを備えている。
【0077】
ユーザ要求受信手段41は、ユーザ端末50から送信される、ユーザが所望するコンテンツを示す要求(コンテンツ要求書)を、ネットワークを介して受信するものである。このコンテンツ要求書には、少なくともコンテンツを特定するためのコンテンツ識別情報と、どのユーザ端末50からの要求かを示す端末識別情報(例えば、IPアドレス等)とが含まれている。このユーザ要求受信手段41は、コンテンツ識別情報をコンテンツ要求送信手段42に出力し、端末識別情報を配信用コンテンツ送信手段44に出力する。
【0078】
コンテンツ要求送信手段42は、ユーザ要求受信手段41から出力されるコンテンツ識別情報を含んだコンテンツの要求(コンテンツ要求)を、イントラネット3を介してコンテンツサーバ30に送信するものである。
【0079】
配信用コンテンツ受信手段43は、コンテンツ要求送信手段42から送信されたコンテンツ識別情報に対応した配信用コンテンツを、イントラネット3を介してコンテンツサーバ30から受信するものである。この配信用コンテンツ受信手段43は、受信した配信用コンテンツを、配信用コンテンツ送信手段44に出力する。
【0080】
配信用コンテンツ送信手段44は、配信用コンテンツ受信手段43で受信した配信用コンテンツを、ユーザ要求受信手段41から出力される端末識別情報に対応するユーザ端末50に送信するものである。
このようにコンテンツ配信サーバ40を構成することで、コンテンツ配信サーバ40は、ユーザ端末50から要求のあった配信用コンテンツをコンテンツサーバ30から取得し、要求のあったユーザ端末50に配信することができる。
【0081】
なお、コンテンツ配信サーバ40は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、コンテンツ配信サーバ40は、コンピュータを、前記した各手段として機能させるコンテンツ配信プログラムによって動作する。
【0082】
以上、コンテンツ配信システム1におけるプロバイダ側の各装置の構成について説明したが、本発明はこれに限定されるものではない。例えば、暗号化情報生成サーバ10をコンテンツサーバ30内に組み込んで、新たにコンテンツサーバ30B(図示せず)として構成してもよい。あるいは、前記コンテンツサーバ30B(図示せず)をコンテンツ配信サーバ40内に組み込んで、新たにコンテンツ配信サーバ40B(図示せず)として構成してもよい。
【0083】
また、例えば、コンテンツ配信システム1における負荷を分散させるため、コンテンツサーバ30を、コンテンツの種類等によって複数(コンテンツサーバ30B、30C…等:図示せず)備えることとしてもよい。この場合、コンテンツ配信サーバ40は、コンテンツの種類等によって、コンテンツを要求するコンテンツサーバを切り替えて、コンテンツ要求を送信する。
【0084】
(ユーザ端末の構成)
次に、図6を参照(適宜図1参照)して、ユーザ端末の構成について説明する。図6は、ユーザ端末の構成を示すブロック図である。ここでは、ユーザ端末50は、配信用コンテンツ要求手段51と、配信用コンテンツ受信手段52と、分離手段53と、公開鍵受信手段54と、秘密鍵記憶手段55と、暗号化鍵復号手段56と、コンテンツ復号手段57とを備えている。
【0085】
配信用コンテンツ要求手段51は、ユーザが所望するコンテンツ(配信用コンテンツ)を示す要求(コンテンツ要求書)を、インターネット7を介してプロバイダ側のコンテンツ配信サーバ40に送信するものである。例えば、配信用コンテンツ要求手段51は、図示していない入力手段によって、利用者が所望するコンテンツを特定するコンテンツ識別情報(例えばファイル名等)を入力されることで、このコンテンツ識別情報を含んだコンテンツ要求書を生成し、コンテンツ配信サーバ40に送信する。
【0086】
配信用コンテンツ受信手段52は、プロバイダ側のコンテンツ配信サーバ40から、ユーザが要求した配信用コンテンツを、インターネット7を介して受信するものである。ここで受信した配信用コンテンツは、分離手段53に出力される。なお、ここで受信した配信用コンテンツには、暗号化されたコンテンツ(暗号化コンテンツ)に、コンテンツ配信ヘッダHead(前記(5)式参照)が合成されている。
【0087】
分離手段53は、配信用コンテンツ受信手段52で受信した配信用コンテンツを、コンテンツ配信ヘッダと暗号化コンテンツとに分離するものである。ここで分離されたコンテンツ配信ヘッダは、暗号化鍵復号手段56に出力され、暗号化コンテンツは、コンテンツ復号手段57に出力される。
【0088】
公開鍵受信手段54は、暗号化情報生成サーバ10で生成された公開鍵(TT用公開鍵PK〔前記(3)式参照〕)を、インターネット7を介して受信するものである。ここで受信された公開鍵は、暗号化鍵復号手段56に出力される。
【0089】
秘密鍵記憶手段55は、対タンパ性を有するICカードやフレキシブルディスク等の汎用の記憶媒体(外部記憶媒体)であって、予めプロバイダ側でユーザ秘密鍵が書き込まれ、ユーザに配布されるものである。
【0090】
暗号化鍵復号手段56は、公開鍵受信手段54で受信した公開鍵と、秘密鍵記憶手段55に記憶されているユーザ秘密鍵とに基づいて、分離手段53で分離されたコンテンツ配信ヘッダから暗号化鍵を復号して抽出するものである。ここで復号された暗号化鍵は、コンテンツ復号手段57に出力される。
この暗号化鍵復号手段56は、秘密鍵記憶手段55に記憶されている秘密鍵が、SKID=(ID,SKID1,SKID2)、分離手段53で分離されたコンテンツ配信ヘッダが、Head=(Qr,z0,z1,…,z2k−1)であった場合、公開鍵受信手段54で受信した公開鍵(ここでは、e,p,Q,Qα)を用いて、暗号化鍵Ksを以下の(6)式により復号する。ここで、IDは、ユーザ固有の情報(ユーザID)である。なお、(6)式における暗号化鍵Ksの復号の正当性については、後で証明を行うこととする。
【0091】
【数26】
【0092】
コンテンツ復号手段57は、暗号化鍵復号手段56で復号された暗号化鍵を用いて、暗号化コンテンツを復号するものである。このコンテンツ復号手段57は、分離手段53でコンテンツ配信ヘッダを分離された後の暗号化コンテンツを、暗号化鍵を用いて復号する。これによって、暗号化コンテンツは、視聴等が可能なコンテンツに復号されたことになる。
【0093】
このようにユーザ端末50を構成することで、ユーザ端末50は、暗号化鍵Ksを復号する際に、ユーザ固有の情報(ユーザID)を使用しなければならならない。これによって、あるユーザが、自分が所有する秘密鍵を用いて、不正なユーザ端末を作成した場合であっても、その不正ユーザ端末には、所有者のIDと秘密鍵とを含まなければならないため、不正ユーザ端末を作成したユーザを容易に特定することができる。
【0094】
なお、ユーザ端末50は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、ユーザ端末50は、コンピュータを、前記した各手段として機能させるコンテンツ復号プログラムによって動作する。
【0095】
<ユーザ端末における暗号化鍵の復号について>
ここで、ユーザ端末50が、暗号化鍵復号手段56によって、前記(6)式で暗号化鍵を復号することが可能であることを証明しておく。
まず、分離手段53で分離されたコンテンツ配信ヘッダHead=(Qr,z0,z1,…,z2k−1)は、前記(5)式のコンテンツ配信ヘッダHead=(rQβ,Ksy0r,y1r,…,y2k−1r)と等しいことから、前記(6)式の右辺(以下、KS′)は、以下の(7)式の関係を満たす。
【0096】
【数27】
【0097】
また、この(7)式のQα、Qβ、y0,y1,…,y2k−1が、前記(3)式に示した条件であることから、前記(7)式は、以下の(8)式に変形することができる。
【0098】
【数28】
【0099】
さらに、前記(8)式は、前記(1)式、(2)式及び(4)式により、以下の(9)式に変形することできる。これによって、前記(6)式によって、暗号化鍵Ksが復号されることが証明されたことになる。
【0100】
【数29】
【0101】
[コンテンツ配信システムの動作]
次に、図7乃至図10を参照して、本発明の実施の形態に係るコンテンツ配信システムの動作について説明する。
【0102】
(公開鍵・ユーザ秘密鍵生成動作)
最初に、図7を参照(適宜図1、図2及び図3参照)して、コンテンツ配信システム1において、公開鍵とユーザ秘密鍵とを生成する動作について説明する。図7は、コンテンツ配信システムにおいて、公開鍵とユーザ秘密鍵とを生成する動作を示すフローチャートである。
【0103】
まず、暗号化情報生成サーバ10は、基本情報生成手段11によって、素数pを生成(選択)する(ステップS10)。さらに、暗号化情報生成サーバ10は、基本情報生成手段11によって、素数pを位数とする2つの群G1及びG2と、G1×G1→G2となる双線形写像eとを生成するとともに、群G1の中から任意に1つの生成元Qを選択(Q∈G1)する(ステップS11)。
【0104】
そして、暗号化情報生成サーバ10は、多項式係数生成手段12によって、ステップS10で生成された素数pに基づく数列{0,1,2,…,p−1}から4k個の値をランダムに選択し、4k個の値を2k個ずつに分けることで、係数ai{0≦i≦2k−1}及びbi{0≦i≦2k−1}を生成する(ステップS12)。なお、kは、コンテンツ配信システム1に対して、不正者が結託して不正(攻撃)を行った場合でも耐性を持たせことが可能な最大結託者数を示す。
そして、暗号化情報生成サーバ10は、多項式係数送信手段13によって、ステップS12で生成された多項式の係数を、イントラネット3を介して秘密鍵生成サーバ20に送信する(ステップS13)。
【0105】
さらに、暗号化情報生成サーバ10は、公開鍵生成手段14によって、ステップS10で生成された素数pと、ステップS11で生成された生成元Qと、ステップS12で生成された係数ai及びbiとを用いて、前記(3)式により、公開鍵PKを生成する(ステップS14)。
その後、暗号化情報生成サーバ10は、公開鍵送信手段15によって、ステップS14で生成した公開鍵を公開する(ステップS15)。なお、ここでは、公開鍵送信手段15、イントラネット3を介してコンテンツサーバ30に公開鍵を送信する。また、暗号化情報生成サーバ10は、公開鍵を保持しておき、要求のあったユーザ端末50に公開鍵を送信することとする。
【0106】
そして、秘密鍵生成サーバ20は、多項式係数受信手段21によって、ステップS13で暗号化情報生成サーバ10から送信された多項式の係数を受信する(ステップS16)。そして、秘密鍵生成サーバ20は、秘密鍵生成手段23によって、ステップS16で受信した係数で特定される多項式(前記(2)式で示した多項式f1(x)、f2(x))に、ユーザIDを代入することで、前記(4)式に示すユーザ秘密鍵SKuを生成する(ステップS17)。
【0107】
その後、秘密鍵生成サーバ20は、秘密鍵出力手段24によって、ステップS17で生成されたユーザ秘密鍵SKuを記憶媒体に書き込む。そして、プロバイダが当該記憶媒体をユーザに配布する(ステップS18)。なお、秘密鍵出力手段24は、ユーザ秘密鍵SKuを、ネットワーク(イントラネット3、インターネット7)を介してユーザ端末50に送信することとしてもよい。
以上の動作によって、暗号化情報生成サーバ10は、公開鍵を生成し、コンテンツサーバ30に送信することができる。また、秘密鍵生成サーバ20は、ユーザ秘密鍵を生成し、ユーザに配布することができる。
【0108】
(配信用コンテンツ生成動作)
次に、図8を参照(適宜図1及び図4参照)して、コンテンツ配信システム1において、配信用コンテンツを生成する動作について説明する。図8は、コンテンツ配信システムにおいて、配信用コンテンツを生成する動作を示すフローチャートである。
【0109】
まず、コンテンツサーバ30は、暗号化鍵生成手段31によって、コンテンツを暗号化するための暗号化鍵Ksを生成する(ステップS20)。
そして、コンテンツサーバ30は、公開鍵受信手段32によって、暗号化情報生成サーバ10で生成された公開鍵PK(前記(3)式参照)を、イントラネット3を介して受信する(ステップS21)。
【0110】
その後、コンテンツサーバ30は、ヘッダ生成手段33によって、ステップS20で生成した暗号化鍵Ksを、ステップS21で受信した公開鍵PKで暗号化することで、コンテンツに合成するヘッダ(コンテンツ配信ヘッダHead;前記(5)式参照)を生成する(ステップS22)。
また、コンテンツサーバ30は、コンテンツ受信手段34によって、配信用のコンテンツを外部から受信する(ステップS23)。そして、コンテンツサーバ30は、コンテンツ暗号化手段35によって、ステップS23で受信したコンテンツを、ステップS20で生成した暗号化鍵Ksを用いて、AES等の共通鍵暗号化方式により暗号化する(ステップS24)。
【0111】
その後、コンテンツサーバ30は、ヘッダ合成手段36によって、ステップS24で暗号化されたコンテンツ(暗号化コンテンツ)と、ステップS22で生成されたコンテンツ配信ヘッダHeadとを合成することで、配信用コンテンツを生成する(ステップS25)。なお、配信用コンテンツは配信用コンテンツ記憶手段37に記憶される。
以上の動作によって、コンテンツサーバ30は、暗号化コンテンツに、ユーザ秘密鍵を用いなければ復号することができないコンテンツ配信ヘッダを合成した配信用コンテンツを生成することができる。
【0112】
(配信用コンテンツ配信動作)
次に、図9を参照(適宜図1、図4乃至図6参照)して、コンテンツ配信システム1において、コンテンツ(配信用コンテンツ)を配信する動作について説明する。図9は、コンテンツ配信システムにおいて、配信用コンテンツを配信する動作を示すフローチャートである。
【0113】
まず、ユーザ端末50が、配信用コンテンツ要求手段51によって、ユーザが所望するコンテンツを示すコンテンツ識別情報を含んだコンテンツ要求書を生成し(ステップS30)、コンテンツ配信サーバ40に送信する(ステップS31)。
また、コンテンツ配信サーバ40が、ユーザ要求受信手段41によって、ユーザ端末50からコンテンツ要求書を受信し(ステップS32)、コンテンツ要求送信手段42によって、そのコンテンツ要求書に記載されているコンテンツの識別情報(ファイル名等のコンテンツ識別情報)をコンテンツ要求として、コンテンツサーバ30に送信する(ステップS33)。
【0114】
そして、コンテンツサーバ30が、コンテンツ要求受信手段38によって、コンテンツ配信サーバ40からコンテンツ要求を受信し(ステップS34)、配信用コンテンツ送信手段39によって、該当するコンテンツ(配信用コンテンツ)を配信用コンテンツ記憶手段37から読み出して(ステップS35)、コンテンツ配信サーバ40に送信する(ステップS36)。
【0115】
そして、コンテンツ配信サーバ40が、配信用コンテンツ受信手段43によって、コンテンツサーバ30から配信用コンテンツを受信し(ステップS37)、配信用コンテンツ送信手段44によって、その配信用コンテンツを、要求のあったユーザ端末50に送信する(ステップS38)。
そして、ユーザ端末50が、配信用コンテンツ受信手段52によって、配信用コンテンツを受信する(ステップS39)。
以上の動作によって、コンテンツ配信サーバ40が、要求のあったユーザ端末50に配信用コンテンツを送信(配信)することができる。
【0116】
(配信用コンテンツ復号動作)
次に、図10を参照(適宜図1及び図6参照)して、コンテンツ配信システム1において、コンテンツ(配信用コンテンツ)を復号する動作について説明する。図10は、ユーザ端末が配信用コンテンツを復号する動作を示すフローチャートである。
【0117】
まず、ユーザ端末50は、配信用コンテンツ受信手段52によって、コンテンツ配信サーバ40から配信用コンテンツを受信する(ステップS40)。そして、ユーザ端末50は、分離手段53によって、配信用コンテンツを、コンテンツ配信ヘッダと暗号化コンテンツとに分離する(ステップS41)。
そして、ユーザ端末50は、暗号化鍵復号手段56によって、秘密鍵記憶手段55に記憶されているユーザ秘密鍵を読み出し(ステップS42)、そのユーザ秘密鍵に基づいて、ステップS41で分離されたコンテンツ配信ヘッダから暗号化鍵を前記(6)式により復号して抽出する(ステップS43)。なお、ユーザ端末50は、暗号化鍵を復号する際に使用する公開鍵は、事前に公開鍵受信手段54を介して、取得しておくものとする。
【0118】
そして、ユーザ端末50は、コンテンツ復号手段57によって、ステップS43で復号された暗号化鍵を用いて、暗号化コンテンツを復号する(ステップS44)。この段階で、ユーザは、復号されたコンテンツを視聴することが可能になる。
以上の動作によって、ユーザ端末50は、ユーザ固有のユーザ秘密鍵によって、暗号化鍵を復号し、その暗号化鍵によって、暗号化コンテンツを復号することができる。
【図面の簡単な説明】
【0119】
【図1】本発明の実施の形態に係るコンテンツ配信システムの構成を示すブロック図である。
【図2】暗号化情報生成サーバの構成を示すブロック図である。
【図3】秘密鍵生成サーバの構成を示すブロック図である。
【図4】コンテンツサーバの構成を示すブロック図である。
【図5】コンテンツ配信サーバの構成を示すブロック図である。
【図6】ユーザ端末の構成を示すブロック図である。
【図7】コンテンツ配信システムにおいて、公開鍵とユーザ秘密鍵とを生成する動作を示すフローチャートである。
【図8】コンテンツ配信システムにおいて、配信用コンテンツを生成する動作を示すフローチャートである。
【図9】コンテンツ配信システムにおいて、配信用コンテンツを配信する動作を示すフローチャートである。
【図10】ユーザ端末が配信用コンテンツを復号する動作を示すフローチャートである。
【符号の説明】
【0120】
1 コンテンツ配信システム
10 暗号化情報生成サーバ(暗号化情報生成装置)
11 基本情報生成手段(生成元選択手段)
12 多項式係数生成手段
13 多項式係数送信手段
14 公開鍵生成手段
15 公開鍵送信手段
20 秘密鍵生成サーバ(秘密鍵生成装置)
21 多項式係数受信手段
22 多項式係数記憶手段
23 秘密鍵生成手段
24 秘密鍵出力手段
30 コンテンツサーバ(配信用コンテンツ生成装置)
31 暗号化鍵生成手段
32 公開鍵受信手段
33 ヘッダ生成手段
34 コンテンツ受信手段
35 コンテンツ暗号化手段
36 ヘッダ合成手段
37 配信用コンテンツ記憶手段
38 コンテンツ要求受信手段
39 配信用コンテンツ送信手段
40 コンテンツ配信サーバ(コンテンツ配信装置)
41 ユーザ要求受信手段
42 コンテンツ要求送信手段
43 配信用コンテンツ受信手段
44 配信用コンテンツ送信手段
50 ユーザ端末(コンテンツ復号装置)
51 配信用コンテンツ要求手段
52 配信用コンテンツ受信手段
53 分離手段
54 公開鍵受信手段
55 秘密鍵記憶手段
56 暗号化鍵復号手段
57 コンテンツ復号手段
【技術分野】
【0001】
本発明は、コンテンツを暗号化して配信するコンテンツ配信システムに用いられる暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラムに関する。
【背景技術】
【0002】
近年、インターネット(ネットワーク)上で、映像、音声等の種々のコンテンツが流通するようになってきた。
しかし、インターネット上でコンテンツの売買を行う場合、正規の利用者が不正によりコンテンツを流通させてしまうことがあり、コンテンツ提供者に被害を与えるケースが増えている。このような問題に対して、不正に流通したコンテンツがどの利用者から配信されたものかを特定する方法として、「不正者追跡(Traitor Tracing)方式」と呼ばれる暗号化技術を用いる手法がある(以下、「KD98法」という。非特許文献1参照)。
【0003】
このKD98法では、暗号化されたコンテンツを復号する鍵となる秘密鍵を、利用者固有の識別子と多項式とを用いて生成している。すなわち、多項式をf(x)としたとき、変数xに利用者固有の識別子IDを代入したf(ID)が利用者の秘密鍵となる。このため、利用者が不正に秘密鍵の複製を作成した場合には、その秘密鍵f(ID)を作成するために使用した識別子IDを求めることで、どの利用者が不正を行ったかを特定することができる。なお、このKD98法では、当該不正者追跡方式を用いたシステムに対して、結託してk人の不正者が不正(攻撃)を行った場合でも耐性を持たせるために、多項式f(x)の次数をk次としている。
【0004】
さらに、KD98法の安全性を高めるため、多項式f(x)の次数を(2k−1)次に高めた方式も提案されている(以下、「KY02法」という。非特許文献2参照)。このように次数を高めることで、線形攻撃(Linear Attack)と呼ばれる攻撃に対して耐性を持たせることができる。
また、前記したKD98法やKY02法は、攻撃者が、ある定められた鍵のみ漏洩を受けることができる非適応的(Non−Adaptive)な攻撃に対して安全性が証明されている。
【0005】
これに対し、攻撃者が、いかなる鍵であっても、鍵漏洩を受けることができる適応的(Adaptive)な攻撃に対しても安全性が証明された手法が提案されている(以下、「DF03法」という。非特許文献3参照)。
このDF03法では、次数が(2k−1)次の多項式を2つ(f1(x),f2(x))用いて、利用者の秘密鍵を生成している。すなわち、多項式を(f1(x),f2(x))としたとき、変数xに利用者固有の識別子IDを代入した(f1(ID),f2(ID))が利用者の秘密鍵となる。
なお、多項式の係数によって、任意の利用者の秘密鍵を生成することが可能である。そこで、コンテンツ提供者(プロバイダ)は、多項式の係数を厳重に管理・保管している。
【0006】
一方、暗号化装置の安全性を高めるには、手法の異なる複数の暗号を用いて、1つの暗号が破られたとしても、他の暗号を用いることができるように構成することが望ましい。例えば、前記したKD98法、KY02法、DF03法は、基本的にエルガマル(ElGamal)暗号をベースにした暗号化手法であるが、同じ不正者追跡の機能を、他の手法である双線形写像(Paring)をベースにして実現した暗号化手法が存在する(以下、「TSZ03法」という。非特許文献4参照)。
【0007】
しかし、この双線形写像をベースにしたTSZ03法には、有効な攻撃方法が見つかり、安全性の保証がなくなっているのが現状である(非特許文献5参照)。
そこで、現在、双線形写像をベースとした手法として、「c−セキュア符号」と呼ばれる符合を組み合わせることで、安全性を高めた暗号化手法が提案されている(非特許文献5参照)。
【非特許文献1】Kaisa Nyberg著“Advances in Cryptology−EUROCRYPT’98”,Lecture Notes in Computer Science,vol1403,pp.145−157
【非特許文献2】David Naccache and Pascal Paillier著“Public Key Cryptography−PKC’02”,Lecture Notes in Computer Science,vol2274,pp.172−187
【非特許文献3】Yvo.G.Desmedt著“Public Key Cryptography−PKC’03”,Lecture Notes in Computer Science,vol2567,pp.100−115
【非特許文献4】M.Yung著“ACM workshop on Digital rights management 2003”,pp.67−76
【非特許文献5】R.Cramer著“Advances in Cryptology−EUROCRYPT 2005”,Lecture Notes in Computer Science,vol3494,pp.542−558
【発明の開示】
【発明が解決しようとする課題】
【0008】
前記したように、安全性を高めた暗号化手法として、双線形写像をベースとした暗号化手法が提案されているが、当該手法で用いられている「c−セキュア符号」は、安全性を高めるため符号長を長くすればするほど暗号文が長くなってしまうため、効率的ではないという問題がある。このように、KY02法、DF03法と同じ不正者追跡の機能を有し、双線形写像をベースとした効率的な暗号化手法が存在していないのが現状である。
【0009】
本発明は、以上のような問題点に鑑みてなされたものであり、DF03法と同程度の高い安全性を保持しつつ、KY02法、DF03法と同じ不正者追跡の機能を、双線形写像をベースとして実現し、かつ、従来の双線形写像をベースとした暗号化手法に比べて効率的な暗号化手法によりコンテンツを配信することが可能な暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明は、前記目的を達成するために創案されたものであり、まず、請求項1に記載の暗号化情報生成装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成する暗号化情報生成装置であって、多項式係数生成手段と、公開鍵生成手段と、を備える構成とした。
【0011】
かかる構成において、暗号化情報生成装置は、生成元選択手段によって、素数を位数とし、かつ、双線形写像となる群から生成元を選択する。なお、生成元選択手段は、群の中からランダムに1つの生成元を選択することとしてもよいし、群の数列順に選択することとしてもよい。そして、暗号化情報生成装置は、多項式係数生成手段によって、不正者の予め定めた最大結託者数をkとしたとき、群の位数である素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、多項式係数として生成する。この段階で、秘密鍵を生成するための2つの多項式が特定されることになる。
【0012】
そして、暗号化情報生成装置は、公開鍵生成手段によって、素数をp、生成元選択手段で選択された生成元をQ、当該生成元Qに素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、双線形写像をeとしたとき、公開鍵PKを、
【数11】
として生成する。この段階で、2つの多項式で生成される秘密鍵に対応した公開鍵が生成されることになる。このように、ユーザの秘密鍵を生成するための多項式の係数を公開鍵に含ませることで、不正者追跡(Traitor Tracing)方式によるコンテンツの暗号化を行うことが可能になる。さらに、暗号化情報生成装置は、多項式の係数を、双線形写像を用いて公開鍵に組み込むため、双線形写像の計算の困難性により暗号系の安全性を確保することができる。
【0013】
さらに、請求項2に記載の暗号化情報生成プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成するために、コンピュータを、多項式係数生成手段、公開鍵生成手段、として機能させる構成とした。
【0014】
かかる構成において、暗号化情報生成プログラムは、生成元選択手段によって、素数を位数とし、かつ、双線形写像となる群から生成元を選択する。そして、暗号化情報生成プログラムは、多項式係数生成手段によって、不正者の予め定めた最大結託者数をkとしたとき、群の位数である素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、多項式係数として生成する。
【0015】
そして、暗号化情報生成プログラムは、公開鍵生成手段によって、素数をp、生成元選択手段で選択された生成元をQ、当該生成元Qに素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、双線形写像をeとしたとき、公開鍵PKを、
【数12】
として生成する。
【0016】
また、請求項3に記載の配信用コンテンツ生成装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成する配信用コンテンツ生成装置であって、暗号化鍵生成手段と、コンテンツ暗号化手段と、ヘッダ生成手段と、ヘッダ合成手段と、を備える構成とした。
【0017】
かかる構成において、配信用コンテンツ生成装置は、暗号化鍵生成手段によって、コンテンツを暗号化する暗号化鍵を生成する。そして、配信用コンテンツ生成装置は、コンテンツ暗号化手段によって、暗号化鍵生成手段で生成された暗号化鍵に基づいて、コンテンツを暗号化して暗号化コンテンツを生成する。
【0018】
また、配信用コンテンツ生成装置は、ヘッダ生成手段によって、暗号化鍵生成手段で生成された暗号化鍵Ksと、公開鍵PKと、予め選択した乱数rとに基づいて、
【数13】
により、暗号化コンテンツに合成するヘッダ情報Headを生成する。
【0019】
そして、配信用コンテンツ生成装置は、ヘッダ合成手段によって、ヘッダ生成手段で生成されたヘッダ情報と、暗号化コンテンツを合成することで配信用コンテンツを生成する。これによって、配信用コンテンツは、暗号化コンテンツとヘッダ情報とが一体となったファイルあるいはストリームとして形成されることになる。
【0020】
さらに、請求項4に記載の配信用コンテンツ生成プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成するために、コンピュータを、暗号化鍵生成手段と、コンテンツ暗号化手段と、ヘッダ生成手段と、ヘッダ合成手段として機能させる構成とした。
【0021】
かかる構成において、配信用コンテンツ生成プログラムは、暗号化鍵生成手段によって、コンテンツを暗号化する暗号化鍵を生成する。そして、配信用コンテンツ生成プログラムは、コンテンツ暗号化手段によって、暗号化鍵生成手段で生成された暗号化鍵に基づいて、コンテンツを暗号化して暗号化コンテンツを生成する。
【0022】
また、配信用コンテンツ生成プログラムは、ヘッダ生成手段によって、暗号化鍵生成手段で生成された暗号化鍵Ksと、公開鍵PKと、予め選択した乱数rとに基づいて、
【数14】
により、暗号化コンテンツに合成するヘッダ情報Headを生成する。
そして、配信用コンテンツ生成プログラムは、ヘッダ合成手段によって、ヘッダ生成手段で生成されたヘッダ情報と、暗号化コンテンツを合成することで配信用コンテンツを生成する。
【0023】
また、請求項5に記載のコンテンツ復号装置は、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数15】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数16】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するコンテンツ復号装置であって、分離手段と、暗号化鍵復号手段と、コンテンツ復号手段と、を備える構成とした。
【0024】
かかる構成において、コンテンツ復号装置は、分離手段によって、配信用コンテンツを、ヘッダ情報と暗号化コンテンツとに分離する。
そして、コンテンツ復号装置は、暗号化鍵復号手段によって、分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、秘密鍵である第1多項式の演算結果SKID1、及び、第2多項式の演算結果SKID2と、ユーザ固有の値IDとに基づいて、
【数17】
により、コンテンツを暗号化した暗号化鍵Ksを復号する。
【0025】
そして、コンテンツ復号装置は、コンテンツ復号手段によって、暗号化鍵復号手段で復号された暗号化鍵に基づいて、暗号化コンテンツを復号する。
【0026】
さらに、請求項6に記載のコンテンツ復号プログラムは、コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数18】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数19】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するために、コンピュータを、分離手段、暗号化鍵復号手段、コンテンツ復号手段、として機能させる構成とした。
【0027】
かかる構成において、コンテンツ復号プログラムは、分離手段によって、配信用コンテンツを、ヘッダ情報と暗号化コンテンツとに分離する。
そして、コンテンツ復号プログラムは、暗号化鍵復号手段によって、分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、秘密鍵である第1多項式の演算結果SKID1、及び、第2多項式の演算結果SKID2と、ユーザ固有の値IDとに基づいて、
【数20】
により、コンテンツを暗号化した暗号化鍵Ksを復号する。
そして、コンテンツ復号プログラムは、コンテンツ復号手段によって、暗号化鍵復号手段で復号された暗号化鍵に基づいて、暗号化コンテンツを復号する。
【発明の効果】
【0028】
本発明は、以下に示す優れた効果を奏するものである。
請求項1又は請求項2に記載の発明によれば、2つの多項式で生成される秘密鍵に対応した公開鍵を、双線形写像をベースに生成することができる。これによって、本発明は、従来の不正者追跡(Traitor Tracing)の機能を、双線形写像をベースとして実現することができる。また、本発明によれば、従来の双線形写像をベースとした暗号化手法に比べて符号長に応じて暗号文が増加することがないため、効率的な暗号化手法を実現することができる。
【0029】
請求項3又は請求項4に記載の発明によれば、配信用コンテンツは、公開鍵を暗号化したヘッダ情報と暗号化コンテンツとが一体となったファイルあるいはストリームとして形成されるため、コンテンツ復号装置において、暗号化コンテンツに対応する公開鍵を探索するといった手間を省くことができる。また、本発明によれば、不正者追跡の機能を付加した双線形写像をベースとした暗号化手法により、暗号化コンテンツに、ヘッダ情報を付加するため、安全性の高い不正者追跡を行うことができる。
【0030】
請求項5又は請求項6に記載の発明によれば、暗号化コンテンツが、不正に流通する場合であっても、その暗号化コンテンツを復号するための情報は、そのユーザ固有の識別情報であるため、どのユーザが不正を行ったかを特定することが可能になる。
【発明を実施するための最良の形態】
【0031】
以下、本発明の実施の形態について図面を参照して説明する。
[コンテンツ配信システムの構成]
まず、図1を参照して、コンテンツ配信システムの構成について説明する。図1は、本発明の実施の形態に係るコンテンツ配信システムの構成を示すブロック図である。コンテンツ配信システム1は、コンテンツの配信者(以下、プロバイダという)にイントラネット3で接続された暗号化情報生成サーバ10と、秘密鍵生成サーバ20と、コンテンツサーバ30と、コンテンツ配信サーバ40と、ゲートウェイ(GW)5とを備え、インターネット7を経由してコンテンツの購入者(以下、ユーザという)側の端末であるユーザ端末50にコンテンツを配信するシステムである。
【0032】
暗号化情報生成サーバ(暗号化情報生成装置)10は、コンテンツを暗号化する際に用いる暗号化情報として、秘密鍵生成サーバ20で使用する多項式の係数や、コンテンツサーバ30で使用する公開鍵を生成するものである。なお、生成された多項式の係数は、秘密鍵生成サーバ20に送信され、公開鍵は、コンテンツサーバ30に送信される。
【0033】
秘密鍵生成サーバ(秘密鍵生成装置)20は、暗号化されたコンテンツを復号する際に使用するユーザ固有の秘密鍵(ユーザ秘密鍵)を生成するものである。この生成されたユーザ秘密鍵は、ユーザ側のユーザ端末50に配布(送信)される。
【0034】
コンテンツサーバ(配信用コンテンツ生成装置)30は、コンテンツを暗号化し、暗号化情報生成サーバ10で生成される公開鍵を用いて、コンテンツの暗号化に使用した暗号化鍵を暗号化してヘッダ情報を生成し、暗号化されたコンテンツと合成することで、ユーザ側に配信するコンテンツ(配信用コンテンツ)を生成するものである。なお、コンテンツサーバ30は、図示していない記憶手段に複数の配信用コンテンツを保持し、コンテンツ配信サーバ40から要求のあった配信用コンテンツをコンテンツ配信サーバ40に送信する。
【0035】
コンテンツ配信サーバ(コンテンツ配信装置)40は、ユーザ端末50から要求のあったコンテンツ(配信用コンテンツ)を、コンテンツサーバ30から取得し、ユーザ端末50に送信するものである。
【0036】
ユーザ端末(コンテンツ復号装置)50は、ユーザが所望するコンテンツ(配信用コンテンツ)をコンテンツ配信サーバ40に対して要求し、コンテンツ配信サーバ40から取得した配信用コンテンツを復号するものである。このユーザ端末50は、予め秘密鍵生成サーバ20から、ユーザ固有のユーザ秘密鍵を取得し、配信コンテンツを復号する。なお、ここでは、1台のユーザ端末50のみを図示しているが、インターネット7を介して、複数のユーザ端末50が接続可能なことは言うまでもない。
【0037】
ゲートウェイ(GW)5は、イントラネット3とインターネット7との各ネットワークを接続するための装置である。このゲートウェイ5は、例えば、IPルータ(IP:Internet Protocol)であり、イントラネット3内への不正アクセスを防ぐファイア・ウォールの機能を有するものである。
【0038】
以下、プロバイダ側の装置である暗号化情報生成サーバ10、秘密鍵生成サーバ20、コンテンツサーバ30及びコンテンツ配信サーバ40の各構成と、ユーザ側の装置であるユーザ端末50の構成とについて順次説明を行う。
【0039】
(暗号化情報生成サーバの構成)
まず、図2を参照(適宜図1参照)して、暗号化情報生成サーバの構成について説明する。図2は、暗号化情報生成サーバの構成を示すブロック図である。ここでは、暗号化情報生成サーバ10は、基本情報生成手段11と、多項式係数生成手段12と、多項式係数送信手段13と、公開鍵生成手段14と、公開鍵送信手段15とを備えている。
【0040】
基本情報生成手段(生成元選択手段)11は、多項式係数生成手段12や公開鍵生成手段14において多項式の係数や公開鍵を生成するために用いる基本情報を生成するものである。
【0041】
ここでは、基本情報生成手段11は、基本情報として、素数pと、双線形写像となる群の生成元Qとを生成する。具体的には、基本情報生成手段11は、素数pをランダムに生成する。そして、基本情報生成手段11は、素数pを位数とする巡回群である2つの群G1及びG2と、そのG1及びG2がG1×G1→G2となる双線形写像eを生成する。さらに、基本情報生成手段11は、群G1の中から任意に1つの生成元Qを選択(Q∈G1)する。
【0042】
この基本情報生成手段11で生成される双線形写像eは、素数pを位数とする群G1の生成元をQ1及びQ2(Q1,Q2∈G1)、素数pに基づく数列{0,1,2,…,p−1}から選択した2つの要素をa及びb(a,b∈Zp)としたとき、以下の(1)式の関係が成り立つ性質を有している。
【0043】
【数21】
【0044】
また、基本情報生成手段11は、生成した基本情報のうち、素数pを多項式係数生成手段12に出力し、素数pと双線形写像eと生成元Qとを公開鍵生成手段14に出力する。
なお、基本情報生成手段11は、双線形写像eと群G1及びG2とを予め図示を省略した記憶手段に記憶しておき、ランダムに生成元を選択することとしてもよい。
【0045】
多項式係数生成手段12は、秘密鍵生成サーバ20において、ユーザ秘密鍵を生成する際に用いる多項式の係数を生成するものである。
ここでは、多項式係数生成手段12は、基本情報生成手段11で生成された素数pに基づく数列{0,1,2,…,p−1}から4k個の値をランダムに選択し、4k個の値を2k個ずつに分けることで、第1多項式の係数ai{0≦i≦2k−1}及び第2多項式の係数bi{0≦i≦2k−1}を生成する。ここで、kは、コンテンツ配信システム1に対して、不正者が結託して不正(攻撃)を行った場合でも耐性を持たせことが可能な最大結託者数を示している。なお、この最大結託者数kは、図示を省略した記憶装置に予め記憶させておいてもよいし、外部から図示を省略した入力手段を介して入力されることとしてもよい。
このように生成された係数ai及びbiは、以下の(2)式に示す2つの多項式(第1多項式f1(x)及び第2多項式f2(x))の係数を示している。
【0046】
【数22】
【0047】
なお、多項式係数生成手段12は、生成した多項式の係数を、多項式係数送信手段13と公開鍵生成手段14とに出力する。
【0048】
多項式係数送信手段13は、多項式係数生成手段12で生成された多項式の係数を、イントラネット3を介して秘密鍵生成サーバ20に送信するものである。
【0049】
公開鍵生成手段14は、コンテンツサーバ30において、配信用コンテンツに合成するヘッダ(コンテンツ配信ヘッダ)を生成するための公開鍵(Traitor Tracing用公開鍵;TT用公開鍵)を生成するものである。
ここでは、公開鍵生成手段14は、基本情報生成手段11で生成された素数pに基づく数列{0,1,2,…,p−1}から、ランダムに2つの乱数(α及びβ)を選択(α,β∈Zp)し、以下の(3)式により公開鍵PKを生成する。
【0050】
【数23】
【0051】
なお、eは基本情報生成手段11で生成された双線形写像、Qは基本情報生成手段11で生成された生成元、ai及びbiは多項式係数生成手段12で生成された係数である。
この(3)式に示すように、公開鍵PKには、双線形写像eにより得られた値(y0,y1,…,y2k−1)を含ませるため、Diffie−Hellman問題の解法が困難な双線形写像を用いたTT用公開鍵となる。
また、公開鍵生成手段14は、生成した公開鍵を公開鍵送信手段15に出力する。
【0052】
公開鍵送信手段15は、公開鍵生成手段14で生成された公開鍵を、イントラネット3を介してコンテンツサーバ30に送信するものである。なお、ここでは、公開鍵送信手段15は、ユーザ端末50から公開鍵の要求があった場合にも、公開鍵をユーザ端末50に送信することとする。
【0053】
このように暗号化情報生成サーバ10を構成することで、暗号化情報生成サーバ10は、ユーザの秘密鍵を生成するための多項式の係数と、公開鍵とを生成することができる。
なお、暗号化情報生成サーバ10は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、暗号化情報生成サーバ10は、コンピュータを、前記した各手段として機能させる暗号化情報生成プログラムによって動作する。
【0054】
(秘密鍵生成サーバの構成)
次に、図3を参照(適宜図1参照)して、秘密鍵生成サーバの構成について説明する。図3は、秘密鍵生成サーバの構成を示すブロック図である。ここでは、秘密鍵生成サーバ20は、多項式係数受信手段21と、多項式係数記憶手段22と、秘密鍵生成手段23と、秘密鍵出力手段24とを備えている。
【0055】
多項式係数受信手段21は、暗号化情報生成サーバ10で生成される暗号化情報の中で、多項式の係数(ai{0≦i≦2k−1}及びbi{0≦i≦2k−1})を、イントラネット3を介して受信するものである。ここで受信された多項式の係数は、多項式係数記憶手段22に記憶される。
【0056】
多項式係数記憶手段22は、多項式係数受信手段21で受信した多項式の係数を記憶するもので、ハードディスク等の一般的な記憶装置である。なお、多項式係数記憶手段22には、多項式の各項の次数が予め記憶されているものとする。この多項式係数記憶手段22に記憶されている係数と、各項の次数とによって、多項式が特定されることになる。
この多項式係数記憶手段22に記憶されている係数及び次数は、秘密鍵生成手段23によって読み出される。
【0057】
秘密鍵生成手段23は、ユーザを識別するための値(例えば、ユーザ固有の識別子〔ID〕)から、ユーザ固有の秘密鍵(ユーザ秘密鍵)を生成するものである。なお、秘密鍵生成手段23は、図示を省略した第1多項式演算手段と第2多項式演算手段とを備え、それぞれの多項式の演算を行う。
ここでは、秘密鍵生成手段23は、ユーザIDと、多項式係数記憶手段22に記憶されている係数や次数で特定される多項式、すなわち、前記(2)式で示した多項式f1(x)、f2(x)に、ユーザIDを代入した値とに基づいて、ユーザ秘密鍵SKuを生成する(以下の(4)式参照)。なお、ユーザIDは、図示を省略した入力手段を介して入力されるものとする。
【0058】
【数24】
【0059】
この秘密鍵生成手段23で生成されたユーザ秘密鍵は、秘密鍵出力手段24に出力される。
【0060】
秘密鍵出力手段24は、秘密鍵生成手段23で生成されたユーザ秘密鍵を外部に出力するものである。なお、秘密鍵出力手段24は、耐タンパ性を有するICカードやフレキシブルディスク等の汎用の記憶媒体(外部記憶媒体)に書き込むものとしてもよいし、ネットワーク(イントラネット3、インターネット7)を介してユーザ端末50に送信するものとしてもよい。ただし、記憶媒体にユーザ秘密鍵が書き込まれた場合、当該記憶媒体は、郵送等によって、ユーザ側に配送されることになる。
このように秘密鍵生成サーバ20を構成することで、秘密鍵生成サーバ20は、ユーザ秘密鍵を生成するための多項式の係数と、公開鍵とを生成することができる。
【0061】
なお、秘密鍵生成サーバ20は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、秘密鍵生成サーバ20は、コンピュータを、前記した各手段として機能させる秘密鍵生成プログラムによって動作する。
【0062】
(コンテンツサーバの構成)
次に、図4を参照(適宜図1参照)して、コンテンツサーバの構成について説明する。図4は、コンテンツサーバの構成を示すブロック図である。ここでは、コンテンツサーバ30は、暗号化鍵生成手段31と、公開鍵受信手段32と、ヘッダ生成手段33と、コンテンツ受信手段34と、コンテンツ暗号化手段35と、ヘッダ合成手段36と、配信用コンテンツ記憶手段37と、コンテンツ要求受信手段38と、配信用コンテンツ送信手段39とを備えている。
【0063】
暗号化鍵生成手段31は、コンテンツを暗号化するための暗号化鍵を生成するものである。ここで生成された暗号化鍵は、ヘッダ生成手段33及びコンテンツ暗号化手段35に出力される。なお、この暗号化鍵は、コンテンツ暗号化手段35で使用される暗号化鍵であり、図示していない擬似乱数発生手段、ハッシュ(Hash)関数等を用いて乱数化され、鍵長を揃えたものである。
【0064】
公開鍵受信手段32は、暗号化情報生成サーバ10で生成された公開鍵(TT用公開鍵PK〔前記(3)式参照〕)を、イントラネット3を介して受信するものである。ここで受信された公開鍵は、ヘッダ生成手段33に出力される。
【0065】
ヘッダ生成手段33は、暗号化鍵生成手段31で生成された暗号化鍵Ksを、公開鍵受信手段32で受信した公開鍵で暗号化(TT用公開鍵暗号化)することで、コンテンツに合成するヘッダ(コンテンツ配信ヘッダ)を生成するものである。
ここでは、ヘッダ生成手段33は、乱数rをZp*の中から選択し(図示を省略した擬似乱数発生手段により乱数rを発生させ)、以下の(5)式に示すコンテンツ配信ヘッダ(ヘッダ情報)Headを生成する。
【0066】
【数25】
【0067】
なお、ヘッダ生成手段33は、生成したコンテンツ配信ヘッダをヘッダ合成手段36に出力する。
【0068】
コンテンツ受信手段34は、配信用のコンテンツを受信するものである。ここで受信されたコンテンツはコンテンツ暗号化手段35に出力される。このコンテンツ受信手段34は、例えば、図示していない記録媒体からコンテンツを読み出すものであってもよいし、ネットワーク(インターネット7等)を介して、通信データとしてコンテンツを取得するものであってもよい。
【0069】
コンテンツ暗号化手段35は、コンテンツ受信手段34で受信した配信用のコンテンツを、暗号化鍵生成手段31で生成された暗号化鍵で暗号化し、暗号化コンテンツを生成するものである。ここで生成された暗号化コンテンツは、ヘッダ合成手段36に出力される。なお、コンテンツ暗号化手段35は、暗号化鍵を用いて、共通鍵暗号化方式によりコンテンツを暗号化する。また、暗号化対象となるコンテンツには、映像等のデータ量の多い情報を想定しているため、ここでは、公開鍵暗号化方式に比べて暗号化処理の速い共通鍵暗号化方式を使用することとする。例えば、AES(Advanced Encryption Standard)等の一般的な共通鍵暗号化方式でよい。
【0070】
ヘッダ合成手段36は、コンテンツ暗号化手段35で生成された暗号化コンテンツと、ヘッダ生成手段33で生成されたコンテンツ配信ヘッダ(前記(5)式参照)とを合成して、配信用コンテンツを生成するものである。ここで生成された配信用コンテンツは、固有のコンテンツ識別情報(例えばファイル名等)を付して、配信用コンテンツ記憶手段37に記憶される。
【0071】
なお、ヘッダ合成手段36における暗号化コンテンツと暗号化コンテンツヘッダとの合成は、1つのデータ(ファイル、ストリーム)として合成することのみを意味しない。すなわち、暗号化コンテンツと暗号化コンテンツヘッダとは、少なくとも関連付けられていればよく、個別のデータとして管理することも可能である。ただし、管理を簡易化するために、暗号化コンテンツと暗号化コンテンツヘッダとを合成して1つのデータとすることが好ましい。
【0072】
配信用コンテンツ記憶手段37は、ヘッダ合成手段36で生成された配信用コンテンツを記憶するもので、ハードディスク等の一般的な記憶装置である。この配信用コンテンツ記憶手段37に記憶されている配信用コンテンツは、配信用コンテンツ送信手段39によって読み出される。
【0073】
コンテンツ要求受信手段38は、コンテンツ配信サーバ40から送信される、配信用コンテンツを特定するコンテンツ識別情報を含んだコンテンツの要求(コンテンツ要求)を、イントラネット3を介して受信するものである。このコンテンツ要求受信手段38は、コンテンツ要求に含まれる識別情報を配信用コンテンツ送信手段39に出力する。
【0074】
配信用コンテンツ送信手段39は、コンテンツ要求受信手段38から出力されるコンテンツ識別情報に対応する配信用コンテンツを、配信用コンテンツ記憶手段37から読み出して、要求のあったコンテンツ配信サーバ40に送信するものである。
このようにコンテンツサーバ30を構成することで、コンテンツサーバ30は、コンテンツを暗号化鍵で暗号化し、その暗号化された暗号化コンテンツと、コンテンツ配信ヘッダとを関連付けて配信用コンテンツを生成することができる。
【0075】
なお、コンテンツサーバ30は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、コンテンツサーバ30は、コンピュータを、前記した各手段として機能させる配信用コンテンツ生成プログラムによって動作する。
【0076】
(コンテンツ配信サーバの構成)
次に、図5を参照(適宜図1参照)して、コンテンツ配信サーバの構成について説明する。図5は、コンテンツ配信サーバの構成を示すブロック図である。ここでは、コンテンツ配信サーバ40は、ユーザ要求受信手段41と、コンテンツ要求送信手段42と、配信用コンテンツ受信手段43と、配信用コンテンツ送信手段44とを備えている。
【0077】
ユーザ要求受信手段41は、ユーザ端末50から送信される、ユーザが所望するコンテンツを示す要求(コンテンツ要求書)を、ネットワークを介して受信するものである。このコンテンツ要求書には、少なくともコンテンツを特定するためのコンテンツ識別情報と、どのユーザ端末50からの要求かを示す端末識別情報(例えば、IPアドレス等)とが含まれている。このユーザ要求受信手段41は、コンテンツ識別情報をコンテンツ要求送信手段42に出力し、端末識別情報を配信用コンテンツ送信手段44に出力する。
【0078】
コンテンツ要求送信手段42は、ユーザ要求受信手段41から出力されるコンテンツ識別情報を含んだコンテンツの要求(コンテンツ要求)を、イントラネット3を介してコンテンツサーバ30に送信するものである。
【0079】
配信用コンテンツ受信手段43は、コンテンツ要求送信手段42から送信されたコンテンツ識別情報に対応した配信用コンテンツを、イントラネット3を介してコンテンツサーバ30から受信するものである。この配信用コンテンツ受信手段43は、受信した配信用コンテンツを、配信用コンテンツ送信手段44に出力する。
【0080】
配信用コンテンツ送信手段44は、配信用コンテンツ受信手段43で受信した配信用コンテンツを、ユーザ要求受信手段41から出力される端末識別情報に対応するユーザ端末50に送信するものである。
このようにコンテンツ配信サーバ40を構成することで、コンテンツ配信サーバ40は、ユーザ端末50から要求のあった配信用コンテンツをコンテンツサーバ30から取得し、要求のあったユーザ端末50に配信することができる。
【0081】
なお、コンテンツ配信サーバ40は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、コンテンツ配信サーバ40は、コンピュータを、前記した各手段として機能させるコンテンツ配信プログラムによって動作する。
【0082】
以上、コンテンツ配信システム1におけるプロバイダ側の各装置の構成について説明したが、本発明はこれに限定されるものではない。例えば、暗号化情報生成サーバ10をコンテンツサーバ30内に組み込んで、新たにコンテンツサーバ30B(図示せず)として構成してもよい。あるいは、前記コンテンツサーバ30B(図示せず)をコンテンツ配信サーバ40内に組み込んで、新たにコンテンツ配信サーバ40B(図示せず)として構成してもよい。
【0083】
また、例えば、コンテンツ配信システム1における負荷を分散させるため、コンテンツサーバ30を、コンテンツの種類等によって複数(コンテンツサーバ30B、30C…等:図示せず)備えることとしてもよい。この場合、コンテンツ配信サーバ40は、コンテンツの種類等によって、コンテンツを要求するコンテンツサーバを切り替えて、コンテンツ要求を送信する。
【0084】
(ユーザ端末の構成)
次に、図6を参照(適宜図1参照)して、ユーザ端末の構成について説明する。図6は、ユーザ端末の構成を示すブロック図である。ここでは、ユーザ端末50は、配信用コンテンツ要求手段51と、配信用コンテンツ受信手段52と、分離手段53と、公開鍵受信手段54と、秘密鍵記憶手段55と、暗号化鍵復号手段56と、コンテンツ復号手段57とを備えている。
【0085】
配信用コンテンツ要求手段51は、ユーザが所望するコンテンツ(配信用コンテンツ)を示す要求(コンテンツ要求書)を、インターネット7を介してプロバイダ側のコンテンツ配信サーバ40に送信するものである。例えば、配信用コンテンツ要求手段51は、図示していない入力手段によって、利用者が所望するコンテンツを特定するコンテンツ識別情報(例えばファイル名等)を入力されることで、このコンテンツ識別情報を含んだコンテンツ要求書を生成し、コンテンツ配信サーバ40に送信する。
【0086】
配信用コンテンツ受信手段52は、プロバイダ側のコンテンツ配信サーバ40から、ユーザが要求した配信用コンテンツを、インターネット7を介して受信するものである。ここで受信した配信用コンテンツは、分離手段53に出力される。なお、ここで受信した配信用コンテンツには、暗号化されたコンテンツ(暗号化コンテンツ)に、コンテンツ配信ヘッダHead(前記(5)式参照)が合成されている。
【0087】
分離手段53は、配信用コンテンツ受信手段52で受信した配信用コンテンツを、コンテンツ配信ヘッダと暗号化コンテンツとに分離するものである。ここで分離されたコンテンツ配信ヘッダは、暗号化鍵復号手段56に出力され、暗号化コンテンツは、コンテンツ復号手段57に出力される。
【0088】
公開鍵受信手段54は、暗号化情報生成サーバ10で生成された公開鍵(TT用公開鍵PK〔前記(3)式参照〕)を、インターネット7を介して受信するものである。ここで受信された公開鍵は、暗号化鍵復号手段56に出力される。
【0089】
秘密鍵記憶手段55は、対タンパ性を有するICカードやフレキシブルディスク等の汎用の記憶媒体(外部記憶媒体)であって、予めプロバイダ側でユーザ秘密鍵が書き込まれ、ユーザに配布されるものである。
【0090】
暗号化鍵復号手段56は、公開鍵受信手段54で受信した公開鍵と、秘密鍵記憶手段55に記憶されているユーザ秘密鍵とに基づいて、分離手段53で分離されたコンテンツ配信ヘッダから暗号化鍵を復号して抽出するものである。ここで復号された暗号化鍵は、コンテンツ復号手段57に出力される。
この暗号化鍵復号手段56は、秘密鍵記憶手段55に記憶されている秘密鍵が、SKID=(ID,SKID1,SKID2)、分離手段53で分離されたコンテンツ配信ヘッダが、Head=(Qr,z0,z1,…,z2k−1)であった場合、公開鍵受信手段54で受信した公開鍵(ここでは、e,p,Q,Qα)を用いて、暗号化鍵Ksを以下の(6)式により復号する。ここで、IDは、ユーザ固有の情報(ユーザID)である。なお、(6)式における暗号化鍵Ksの復号の正当性については、後で証明を行うこととする。
【0091】
【数26】
【0092】
コンテンツ復号手段57は、暗号化鍵復号手段56で復号された暗号化鍵を用いて、暗号化コンテンツを復号するものである。このコンテンツ復号手段57は、分離手段53でコンテンツ配信ヘッダを分離された後の暗号化コンテンツを、暗号化鍵を用いて復号する。これによって、暗号化コンテンツは、視聴等が可能なコンテンツに復号されたことになる。
【0093】
このようにユーザ端末50を構成することで、ユーザ端末50は、暗号化鍵Ksを復号する際に、ユーザ固有の情報(ユーザID)を使用しなければならならない。これによって、あるユーザが、自分が所有する秘密鍵を用いて、不正なユーザ端末を作成した場合であっても、その不正ユーザ端末には、所有者のIDと秘密鍵とを含まなければならないため、不正ユーザ端末を作成したユーザを容易に特定することができる。
【0094】
なお、ユーザ端末50は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、ユーザ端末50は、コンピュータを、前記した各手段として機能させるコンテンツ復号プログラムによって動作する。
【0095】
<ユーザ端末における暗号化鍵の復号について>
ここで、ユーザ端末50が、暗号化鍵復号手段56によって、前記(6)式で暗号化鍵を復号することが可能であることを証明しておく。
まず、分離手段53で分離されたコンテンツ配信ヘッダHead=(Qr,z0,z1,…,z2k−1)は、前記(5)式のコンテンツ配信ヘッダHead=(rQβ,Ksy0r,y1r,…,y2k−1r)と等しいことから、前記(6)式の右辺(以下、KS′)は、以下の(7)式の関係を満たす。
【0096】
【数27】
【0097】
また、この(7)式のQα、Qβ、y0,y1,…,y2k−1が、前記(3)式に示した条件であることから、前記(7)式は、以下の(8)式に変形することができる。
【0098】
【数28】
【0099】
さらに、前記(8)式は、前記(1)式、(2)式及び(4)式により、以下の(9)式に変形することできる。これによって、前記(6)式によって、暗号化鍵Ksが復号されることが証明されたことになる。
【0100】
【数29】
【0101】
[コンテンツ配信システムの動作]
次に、図7乃至図10を参照して、本発明の実施の形態に係るコンテンツ配信システムの動作について説明する。
【0102】
(公開鍵・ユーザ秘密鍵生成動作)
最初に、図7を参照(適宜図1、図2及び図3参照)して、コンテンツ配信システム1において、公開鍵とユーザ秘密鍵とを生成する動作について説明する。図7は、コンテンツ配信システムにおいて、公開鍵とユーザ秘密鍵とを生成する動作を示すフローチャートである。
【0103】
まず、暗号化情報生成サーバ10は、基本情報生成手段11によって、素数pを生成(選択)する(ステップS10)。さらに、暗号化情報生成サーバ10は、基本情報生成手段11によって、素数pを位数とする2つの群G1及びG2と、G1×G1→G2となる双線形写像eとを生成するとともに、群G1の中から任意に1つの生成元Qを選択(Q∈G1)する(ステップS11)。
【0104】
そして、暗号化情報生成サーバ10は、多項式係数生成手段12によって、ステップS10で生成された素数pに基づく数列{0,1,2,…,p−1}から4k個の値をランダムに選択し、4k個の値を2k個ずつに分けることで、係数ai{0≦i≦2k−1}及びbi{0≦i≦2k−1}を生成する(ステップS12)。なお、kは、コンテンツ配信システム1に対して、不正者が結託して不正(攻撃)を行った場合でも耐性を持たせことが可能な最大結託者数を示す。
そして、暗号化情報生成サーバ10は、多項式係数送信手段13によって、ステップS12で生成された多項式の係数を、イントラネット3を介して秘密鍵生成サーバ20に送信する(ステップS13)。
【0105】
さらに、暗号化情報生成サーバ10は、公開鍵生成手段14によって、ステップS10で生成された素数pと、ステップS11で生成された生成元Qと、ステップS12で生成された係数ai及びbiとを用いて、前記(3)式により、公開鍵PKを生成する(ステップS14)。
その後、暗号化情報生成サーバ10は、公開鍵送信手段15によって、ステップS14で生成した公開鍵を公開する(ステップS15)。なお、ここでは、公開鍵送信手段15、イントラネット3を介してコンテンツサーバ30に公開鍵を送信する。また、暗号化情報生成サーバ10は、公開鍵を保持しておき、要求のあったユーザ端末50に公開鍵を送信することとする。
【0106】
そして、秘密鍵生成サーバ20は、多項式係数受信手段21によって、ステップS13で暗号化情報生成サーバ10から送信された多項式の係数を受信する(ステップS16)。そして、秘密鍵生成サーバ20は、秘密鍵生成手段23によって、ステップS16で受信した係数で特定される多項式(前記(2)式で示した多項式f1(x)、f2(x))に、ユーザIDを代入することで、前記(4)式に示すユーザ秘密鍵SKuを生成する(ステップS17)。
【0107】
その後、秘密鍵生成サーバ20は、秘密鍵出力手段24によって、ステップS17で生成されたユーザ秘密鍵SKuを記憶媒体に書き込む。そして、プロバイダが当該記憶媒体をユーザに配布する(ステップS18)。なお、秘密鍵出力手段24は、ユーザ秘密鍵SKuを、ネットワーク(イントラネット3、インターネット7)を介してユーザ端末50に送信することとしてもよい。
以上の動作によって、暗号化情報生成サーバ10は、公開鍵を生成し、コンテンツサーバ30に送信することができる。また、秘密鍵生成サーバ20は、ユーザ秘密鍵を生成し、ユーザに配布することができる。
【0108】
(配信用コンテンツ生成動作)
次に、図8を参照(適宜図1及び図4参照)して、コンテンツ配信システム1において、配信用コンテンツを生成する動作について説明する。図8は、コンテンツ配信システムにおいて、配信用コンテンツを生成する動作を示すフローチャートである。
【0109】
まず、コンテンツサーバ30は、暗号化鍵生成手段31によって、コンテンツを暗号化するための暗号化鍵Ksを生成する(ステップS20)。
そして、コンテンツサーバ30は、公開鍵受信手段32によって、暗号化情報生成サーバ10で生成された公開鍵PK(前記(3)式参照)を、イントラネット3を介して受信する(ステップS21)。
【0110】
その後、コンテンツサーバ30は、ヘッダ生成手段33によって、ステップS20で生成した暗号化鍵Ksを、ステップS21で受信した公開鍵PKで暗号化することで、コンテンツに合成するヘッダ(コンテンツ配信ヘッダHead;前記(5)式参照)を生成する(ステップS22)。
また、コンテンツサーバ30は、コンテンツ受信手段34によって、配信用のコンテンツを外部から受信する(ステップS23)。そして、コンテンツサーバ30は、コンテンツ暗号化手段35によって、ステップS23で受信したコンテンツを、ステップS20で生成した暗号化鍵Ksを用いて、AES等の共通鍵暗号化方式により暗号化する(ステップS24)。
【0111】
その後、コンテンツサーバ30は、ヘッダ合成手段36によって、ステップS24で暗号化されたコンテンツ(暗号化コンテンツ)と、ステップS22で生成されたコンテンツ配信ヘッダHeadとを合成することで、配信用コンテンツを生成する(ステップS25)。なお、配信用コンテンツは配信用コンテンツ記憶手段37に記憶される。
以上の動作によって、コンテンツサーバ30は、暗号化コンテンツに、ユーザ秘密鍵を用いなければ復号することができないコンテンツ配信ヘッダを合成した配信用コンテンツを生成することができる。
【0112】
(配信用コンテンツ配信動作)
次に、図9を参照(適宜図1、図4乃至図6参照)して、コンテンツ配信システム1において、コンテンツ(配信用コンテンツ)を配信する動作について説明する。図9は、コンテンツ配信システムにおいて、配信用コンテンツを配信する動作を示すフローチャートである。
【0113】
まず、ユーザ端末50が、配信用コンテンツ要求手段51によって、ユーザが所望するコンテンツを示すコンテンツ識別情報を含んだコンテンツ要求書を生成し(ステップS30)、コンテンツ配信サーバ40に送信する(ステップS31)。
また、コンテンツ配信サーバ40が、ユーザ要求受信手段41によって、ユーザ端末50からコンテンツ要求書を受信し(ステップS32)、コンテンツ要求送信手段42によって、そのコンテンツ要求書に記載されているコンテンツの識別情報(ファイル名等のコンテンツ識別情報)をコンテンツ要求として、コンテンツサーバ30に送信する(ステップS33)。
【0114】
そして、コンテンツサーバ30が、コンテンツ要求受信手段38によって、コンテンツ配信サーバ40からコンテンツ要求を受信し(ステップS34)、配信用コンテンツ送信手段39によって、該当するコンテンツ(配信用コンテンツ)を配信用コンテンツ記憶手段37から読み出して(ステップS35)、コンテンツ配信サーバ40に送信する(ステップS36)。
【0115】
そして、コンテンツ配信サーバ40が、配信用コンテンツ受信手段43によって、コンテンツサーバ30から配信用コンテンツを受信し(ステップS37)、配信用コンテンツ送信手段44によって、その配信用コンテンツを、要求のあったユーザ端末50に送信する(ステップS38)。
そして、ユーザ端末50が、配信用コンテンツ受信手段52によって、配信用コンテンツを受信する(ステップS39)。
以上の動作によって、コンテンツ配信サーバ40が、要求のあったユーザ端末50に配信用コンテンツを送信(配信)することができる。
【0116】
(配信用コンテンツ復号動作)
次に、図10を参照(適宜図1及び図6参照)して、コンテンツ配信システム1において、コンテンツ(配信用コンテンツ)を復号する動作について説明する。図10は、ユーザ端末が配信用コンテンツを復号する動作を示すフローチャートである。
【0117】
まず、ユーザ端末50は、配信用コンテンツ受信手段52によって、コンテンツ配信サーバ40から配信用コンテンツを受信する(ステップS40)。そして、ユーザ端末50は、分離手段53によって、配信用コンテンツを、コンテンツ配信ヘッダと暗号化コンテンツとに分離する(ステップS41)。
そして、ユーザ端末50は、暗号化鍵復号手段56によって、秘密鍵記憶手段55に記憶されているユーザ秘密鍵を読み出し(ステップS42)、そのユーザ秘密鍵に基づいて、ステップS41で分離されたコンテンツ配信ヘッダから暗号化鍵を前記(6)式により復号して抽出する(ステップS43)。なお、ユーザ端末50は、暗号化鍵を復号する際に使用する公開鍵は、事前に公開鍵受信手段54を介して、取得しておくものとする。
【0118】
そして、ユーザ端末50は、コンテンツ復号手段57によって、ステップS43で復号された暗号化鍵を用いて、暗号化コンテンツを復号する(ステップS44)。この段階で、ユーザは、復号されたコンテンツを視聴することが可能になる。
以上の動作によって、ユーザ端末50は、ユーザ固有のユーザ秘密鍵によって、暗号化鍵を復号し、その暗号化鍵によって、暗号化コンテンツを復号することができる。
【図面の簡単な説明】
【0119】
【図1】本発明の実施の形態に係るコンテンツ配信システムの構成を示すブロック図である。
【図2】暗号化情報生成サーバの構成を示すブロック図である。
【図3】秘密鍵生成サーバの構成を示すブロック図である。
【図4】コンテンツサーバの構成を示すブロック図である。
【図5】コンテンツ配信サーバの構成を示すブロック図である。
【図6】ユーザ端末の構成を示すブロック図である。
【図7】コンテンツ配信システムにおいて、公開鍵とユーザ秘密鍵とを生成する動作を示すフローチャートである。
【図8】コンテンツ配信システムにおいて、配信用コンテンツを生成する動作を示すフローチャートである。
【図9】コンテンツ配信システムにおいて、配信用コンテンツを配信する動作を示すフローチャートである。
【図10】ユーザ端末が配信用コンテンツを復号する動作を示すフローチャートである。
【符号の説明】
【0120】
1 コンテンツ配信システム
10 暗号化情報生成サーバ(暗号化情報生成装置)
11 基本情報生成手段(生成元選択手段)
12 多項式係数生成手段
13 多項式係数送信手段
14 公開鍵生成手段
15 公開鍵送信手段
20 秘密鍵生成サーバ(秘密鍵生成装置)
21 多項式係数受信手段
22 多項式係数記憶手段
23 秘密鍵生成手段
24 秘密鍵出力手段
30 コンテンツサーバ(配信用コンテンツ生成装置)
31 暗号化鍵生成手段
32 公開鍵受信手段
33 ヘッダ生成手段
34 コンテンツ受信手段
35 コンテンツ暗号化手段
36 ヘッダ合成手段
37 配信用コンテンツ記憶手段
38 コンテンツ要求受信手段
39 配信用コンテンツ送信手段
40 コンテンツ配信サーバ(コンテンツ配信装置)
41 ユーザ要求受信手段
42 コンテンツ要求送信手段
43 配信用コンテンツ受信手段
44 配信用コンテンツ送信手段
50 ユーザ端末(コンテンツ復号装置)
51 配信用コンテンツ要求手段
52 配信用コンテンツ受信手段
53 分離手段
54 公開鍵受信手段
55 秘密鍵記憶手段
56 暗号化鍵復号手段
57 コンテンツ復号手段
【特許請求の範囲】
【請求項1】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成する暗号化情報生成装置であって、
素数を位数とし、かつ、双線形写像となる群から生成元を選択する生成元選択手段と、
不正者の予め定めた最大結託者数をkとしたとき、前記素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、前記多項式係数として生成する多項式係数生成手段と、
前記素数をp、前記生成元選択手段で選択された生成元をQ、当該生成元Qに前記素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、前記双線形写像をeとしたとき、前記公開鍵PKを、
【数1】
として生成する公開鍵生成手段と、
を備えることを特徴とする暗号化情報生成装置。
【請求項2】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成するために、コンピュータを、
素数を位数とし、かつ、双線形写像となる群から生成元を選択する生成元選択手段、
不正者の予め定めた最大結託者数をkとしたとき、前記素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、前記多項式係数として生成する多項式係数生成手段、
前記素数をp、前記生成元選択手段で選択された生成元をQ、当該生成元Qに前記素数未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、前記双線形写像をeとしたとき、前記公開鍵PKを、
【数2】
として生成する公開鍵生成手段、
として機能させることを特徴とする暗号化情報生成プログラム。
【請求項3】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成する配信用コンテンツ生成装置であって、
前記コンテンツを暗号化する暗号化鍵を生成する暗号化鍵生成手段と、
この暗号化鍵生成手段で生成された暗号化鍵に基づいて、前記コンテンツを暗号化して暗号化コンテンツを生成するコンテンツ暗号化手段と、
前記暗号化鍵生成手段で生成された暗号化鍵Ksと、前記公開鍵PKと、予め選択した乱数rとに基づいて、
【数3】
により、前記暗号化コンテンツに合成するヘッダ情報Headを生成するヘッダ生成手段と、
このヘッダ生成手段で生成されたヘッダ情報と、前記暗号化コンテンツを合成することで前記配信用コンテンツを生成するヘッダ合成手段と、
を備えることを特徴とする配信用コンテンツ生成装置。
【請求項4】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成するために、コンピュータを、
前記コンテンツを暗号化する暗号化鍵を生成する暗号化鍵生成手段、
この暗号化鍵生成手段で生成された暗号化鍵に基づいて、前記コンテンツを暗号化して暗号化コンテンツを生成するコンテンツ暗号化手段、
前記暗号化鍵生成手段で生成された暗号化鍵Ksと、前記公開鍵PKと、予め選択した乱数rとに基づいて、
【数4】
により、前記暗号化コンテンツに合成するヘッダ情報Headを生成するヘッダ生成手段、
このヘッダ生成手段で生成されたヘッダ情報と、前記暗号化コンテンツを合成することで前記配信用コンテンツを生成するヘッダ合成手段、
として機能させることを特徴とする配信用コンテンツ生成プログラム。
【請求項5】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数5】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数6】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するコンテンツ復号装置であって、
前記配信用コンテンツを、前記ヘッダ情報と前記暗号化コンテンツとに分離する分離手段と、
この分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、前記第1多項式の演算結果SKID1、及び、前記第2多項式の演算結果SKID2と、前記ユーザ固有の値IDとに基づいて、
【数7】
により、コンテンツを暗号化した暗号化鍵Ksを復号する暗号化鍵復号手段と、
この暗号化鍵復号手段で復号された暗号化鍵に基づいて、前記暗号化コンテンツを復号するコンテンツ復号手段と、
を備えることを特徴とするコンテンツ復号装置。
【請求項6】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数8】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数9】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するために、コンピュータを、
前記配信用コンテンツを、前記ヘッダ情報と前記暗号化コンテンツとに分離する分離手段、
この分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、前記第1多項式の演算結果SKID1、及び、前記第2多項式の演算結果SKID2と、前記ユーザ固有の値IDとに基づいて、
【数10】
により、コンテンツを暗号化した暗号化鍵Ksを復号する暗号化鍵復号手段、
この暗号化鍵復号手段で復号された暗号化鍵に基づいて、前記暗号化コンテンツを復号するコンテンツ復号手段、
として機能させることを特徴とするコンテンツ復号プログラム。
【請求項1】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成する暗号化情報生成装置であって、
素数を位数とし、かつ、双線形写像となる群から生成元を選択する生成元選択手段と、
不正者の予め定めた最大結託者数をkとしたとき、前記素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、前記多項式係数として生成する多項式係数生成手段と、
前記素数をp、前記生成元選択手段で選択された生成元をQ、当該生成元Qに前記素数p未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、前記双線形写像をeとしたとき、前記公開鍵PKを、
【数1】
として生成する公開鍵生成手段と、
を備えることを特徴とする暗号化情報生成装置。
【請求項2】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、秘密鍵を生成するための多項式係数と、当該秘密鍵に対応する公開鍵とを生成するために、コンピュータを、
素数を位数とし、かつ、双線形写像となる群から生成元を選択する生成元選択手段、
不正者の予め定めた最大結託者数をkとしたとき、前記素数未満の数の中から、(2k−1)次の第1多項式の係数ai{0≦i≦2k−1}と第2多項式の係数bi{0≦i≦2k−1}とを選択して、前記多項式係数として生成する多項式係数生成手段、
前記素数をp、前記生成元選択手段で選択された生成元をQ、当該生成元Qに前記素数未満の数の中から選択した2つの乱数を乗算した2つの乗算生成元をQα及びQβ、前記双線形写像をeとしたとき、前記公開鍵PKを、
【数2】
として生成する公開鍵生成手段、
として機能させることを特徴とする暗号化情報生成プログラム。
【請求項3】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成する配信用コンテンツ生成装置であって、
前記コンテンツを暗号化する暗号化鍵を生成する暗号化鍵生成手段と、
この暗号化鍵生成手段で生成された暗号化鍵に基づいて、前記コンテンツを暗号化して暗号化コンテンツを生成するコンテンツ暗号化手段と、
前記暗号化鍵生成手段で生成された暗号化鍵Ksと、前記公開鍵PKと、予め選択した乱数rとに基づいて、
【数3】
により、前記暗号化コンテンツに合成するヘッダ情報Headを生成するヘッダ生成手段と、
このヘッダ生成手段で生成されたヘッダ情報と、前記暗号化コンテンツを合成することで前記配信用コンテンツを生成するヘッダ合成手段と、
を備えることを特徴とする配信用コンテンツ生成装置。
【請求項4】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置によって生成された公開鍵に基づいて、配信用コンテンツを生成するために、コンピュータを、
前記コンテンツを暗号化する暗号化鍵を生成する暗号化鍵生成手段、
この暗号化鍵生成手段で生成された暗号化鍵に基づいて、前記コンテンツを暗号化して暗号化コンテンツを生成するコンテンツ暗号化手段、
前記暗号化鍵生成手段で生成された暗号化鍵Ksと、前記公開鍵PKと、予め選択した乱数rとに基づいて、
【数4】
により、前記暗号化コンテンツに合成するヘッダ情報Headを生成するヘッダ生成手段、
このヘッダ生成手段で生成されたヘッダ情報と、前記暗号化コンテンツを合成することで前記配信用コンテンツを生成するヘッダ合成手段、
として機能させることを特徴とする配信用コンテンツ生成プログラム。
【請求項5】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数5】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数6】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するコンテンツ復号装置であって、
前記配信用コンテンツを、前記ヘッダ情報と前記暗号化コンテンツとに分離する分離手段と、
この分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、前記第1多項式の演算結果SKID1、及び、前記第2多項式の演算結果SKID2と、前記ユーザ固有の値IDとに基づいて、
【数7】
により、コンテンツを暗号化した暗号化鍵Ksを復号する暗号化鍵復号手段と、
この暗号化鍵復号手段で復号された暗号化鍵に基づいて、前記暗号化コンテンツを復号するコンテンツ復号手段と、
を備えることを特徴とするコンテンツ復号装置。
【請求項6】
コンテンツを暗号化して配信するコンテンツ配信システムにおいて、請求項1に記載の暗号化情報生成装置で生成された公開鍵PKを、
【数8】
としたとき、前記コンテンツを暗号化した暗号化鍵Ksと乱数rとにより生成された次式で示すヘッダ情報
【数9】
と暗号化コンテンツとで構成される配信用コンテンツを、前記暗号化情報生成装置で生成された多項式係数を有する第1多項式及び第2多項式にユーザ固有の値を代入して生成された秘密鍵に基づいて復号するために、コンピュータを、
前記配信用コンテンツを、前記ヘッダ情報と前記暗号化コンテンツとに分離する分離手段、
この分離手段で分離されたヘッダ情報を(Qr,z0,z1,…,z2k−1)としたとき、前記第1多項式の演算結果SKID1、及び、前記第2多項式の演算結果SKID2と、前記ユーザ固有の値IDとに基づいて、
【数10】
により、コンテンツを暗号化した暗号化鍵Ksを復号する暗号化鍵復号手段、
この暗号化鍵復号手段で復号された暗号化鍵に基づいて、前記暗号化コンテンツを復号するコンテンツ復号手段、
として機能させることを特徴とするコンテンツ復号プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−171016(P2009−171016A)
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願番号】特願2008−4327(P2008−4327)
【出願日】平成20年1月11日(2008.1.11)
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
【公開日】平成21年7月30日(2009.7.30)
【国際特許分類】
【出願日】平成20年1月11日(2008.1.11)
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
[ Back to top ]