限定受信システム、メッセージ配信装置、メッセージ受信装置、メッセージ配信プログラムおよびメッセージ受信プログラム
【課題】本発明は、放送局の鍵管理コストを低減できると共に、各ユーザに共通メッセージおよび個別メッセージを効率的に配信できる技術を提供することを目的とする。
【解決手段】コンテンツ配信装置1は、公開鍵および秘密鍵を生成する鍵発行手段10と、公開鍵を用いて、共通メッセージ暗号鍵と個別メッセージ暗号鍵とヘッダとを生成するヘッダ・鍵生成手段20と、個別メッセージ暗号鍵を用いて、個別メッセージを暗号化する個別メッセージ暗号化手段30と、共通メッセージ暗号鍵を用いてコンテンツを暗号化し、ヘッダ付き暗号化コンテンツを配信するコンテンツ暗号化・配信手段40とを備える。
【解決手段】コンテンツ配信装置1は、公開鍵および秘密鍵を生成する鍵発行手段10と、公開鍵を用いて、共通メッセージ暗号鍵と個別メッセージ暗号鍵とヘッダとを生成するヘッダ・鍵生成手段20と、個別メッセージ暗号鍵を用いて、個別メッセージを暗号化する個別メッセージ暗号化手段30と、共通メッセージ暗号鍵を用いてコンテンツを暗号化し、ヘッダ付き暗号化コンテンツを配信するコンテンツ暗号化・配信手段40とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、放送波またはネットワークを介して、共通メッセージおよび個別メッセージを暗号化して配信する限定受信システムに関する。
【背景技術】
【0002】
近年、地上デジタル放送、衛星デジタル放送などのデジタル放送が急速に普及してきている。日本国のデジタル放送には、共通鍵暗号を用いた限定受信方式(CAS:Conditional Access System)が採用されている(例えば、非特許文献1参照)。この限定受信方式では、放送局は、各ユーザのコンテンツ受信装置に対して、番組情報などの全ユーザに共通する共通メッセージ(ECM:Entitlement Control Message)、および、契約情報などのユーザ毎に異なる個別メッセージ(EMM:Entitlement Management Message)という、2種類のメッセージを配信することができる。
【0003】
また、公開鍵を用いたブロードキャスト暗号と呼ばれる暗号化方式が提案されている(例えば、非特許文献2,3参照)。ブロードキャスト暗号化方式を用いた場合、放送局は、ユーザの集合に対して、メッセージを暗号化して送信する。この場合、放送局は、1つの公開鍵のみを用いて、複数のユーザに1対多の暗号化通信を行うことができる。そして、このユーザの集合に含まれるユーザのみが、秘密鍵を用いて、暗号化されたメッセージを復号できる。すなわち、ブロードキャスト暗号化方式では、このユーザの集合に含まれるユーザに共通するメッセージを送ることができる。このとき、ブロードキャスト暗号化方式では、ユーザの集合に含まれるユーザを1人とすることで、ユーザ毎に個別のメッセージを配信することができる。
【0004】
また、複数のユーザに対して、個別メッセージを効率的に配信する公開鍵暗号方式が提案されている(例えば、非特許文献4,5参照)。以後、非特許文献4,5に記載の公開鍵暗号方式を「複数受信者用公開鍵暗号」と呼ぶ。このとき、複数受信者用公開鍵暗号では、全ユーザへの個別メッセージを同じ内容にすることで、ユーザに共通するメッセージを送信することができる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】ARIB STD-B25, “デジタル放送におけるアクセス制御方式”.
【非特許文献2】M. Naor and B. Pinkas, “Efficient trace and revoke schemes,” Proc. of Financial cryptography 2000, pp. 1-20. 2000.
【非特許文献3】D. Boneh, C. Gentry, and B. Waters, “Collusion Resistant Broadcast Encryption With Short Ciphertexts and Private Keys,” Proc. of Crypto’05, pp. 258-275, 2005.
【非特許文献4】K. Kurosawa, “Multi-recipient Public-Key Encryption with Shortened Ciphertext,” Proc. of PKC’02, pp. 48-63, 2002.
【非特許文献5】M. Bellare, A. Boldyreva, and J. Staddon, “Randomness re-use in multi-recipient encryption schemes”, Proc. of PKC’03, pp. 85-99, 2003.
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、従来の限定受信方式では、共通鍵暗号のみを用いて、ユーザに固有の秘密鍵を用いて個別情報を暗号化するため、各ユーザと秘密鍵とを紐付けてデータベース管理するなど、放送局が全ユーザ分の秘密鍵を管理しなければならず、放送局の鍵管理コストが非常に大きくなるという問題がある。また、従来の限定受信方式において、複数の放送局が同じ秘密鍵を用いる場合、全放送局で秘密鍵を厳重に管理しなければならず、限定受信システム全体における鍵管理コストが非常に大きくなる。
【0007】
また、従来のブロードキャスト暗号では、個別メッセージを各ユーザに送信する場合、ユーザの集合として1名のユーザを指定して、ユーザ数と同じ回数だけ個別メッセージの送信を繰り返す必要があり、効率的に個別メッセージを送信できないという問題があった。
【0008】
さらに、従来の複数受信者用公開鍵暗号では、コンテンツのような共通メッセージであっても、各ユーザに対して個別メッセージとして配信しなければならず、効率的ではない。仮に、従来の複数受信者用公開鍵暗号において、共通メッセージを単純に追加した場合を考える。この場合、従来の複数受信者用公開鍵暗号では、共通メッセージおよび個別メッセージの復号に必要な暗号文のデータ量が多くなるために大きな帯域が必要になり、共通メッセージおよび個別メッセージを効率的に配信することができない。
【0009】
以上をまとめると、従来技術では、放送局の鍵管理コストが非常に大きく、共通メッセージおよび個別メッセージを効率的に配信できないという問題がある。しかし、これら問題を全て解決した発明は、未だ提案されていない。
【0010】
本発明は、前記問題に鑑みてなされたものであり、放送局の鍵管理コストを低減できると共に、各ユーザに共通メッセージおよび個別メッセージを効率的に配信できる技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
前記した課題を解決するため、本願第1発明に係る限定受信システムは、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化して配信するメッセージ配信装置と、前記メッセージ配信装置によって暗号化された前記共通メッセージと前記個別メッセージとを受信して復号するメッセージ受信装置と、を備える限定受信システムであって、前記メッセージ配信装置が、メッセージ暗号鍵生成部と、鍵復元情報生成部と、共通メッセージ暗号化部と、個別メッセージ暗号化部と、鍵復元情報付き暗号化メッセージ生成部と、鍵復元情報付き暗号化メッセージ配信部と、を備え、前記メッセージ受信装置が、公開鍵・秘密鍵記憶部と、鍵復元情報付き暗号化メッセージ受信部と、鍵復元情報付き暗号化メッセージ分離部と、復号判定部と、メッセージ暗号鍵復元部と、共通メッセージ復号部と、個別メッセージ復号部と、を備えることを特徴とする。
【0012】
かかる構成によれば、メッセージ配信装置は、メッセージ暗号鍵生成部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通鍵である共通メッセージ暗号鍵と、前記個別メッセージを暗号化する共通鍵である個別メッセージ暗号鍵とを生成する。つまり、メッセージ暗号鍵生成部は、秘密鍵を用いることなく、共通メッセージ暗号鍵および個別メッセージ暗号鍵を生成できる。
【0013】
また、メッセージ配信装置は、鍵復元情報生成部によって、前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する。つまり、鍵復元情報生成部は、秘密鍵を用いることなく、鍵復元情報を生成できる。この鍵復元情報は、従来のブロードキャスト暗号のヘッダと同じデータ量であるにもかかわらず、個別メッセージ暗号鍵の復元が可能となっている。
【0014】
また、メッセージ配信装置は、共通メッセージ暗号化部によって、前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する。そして、メッセージ配信装置は、個別メッセージ暗号化部によって、前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する。
【0015】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ生成部によって、前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する。
【0016】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ配信部によって、鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージをメッセージ受信装置に配信する。つまり、鍵復元情報付き暗号化メッセージ配信部は、鍵復元情報付き暗号化メッセージにユーザ識別子の集合が含まれているため、特定の1ユーザを指定して、そのユーザに鍵復元情報付き暗号化メッセージを配信することを繰り返す必要がない。
【0017】
メッセージ受信装置は、公開鍵・秘密鍵記憶部によって、前記公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する。そして、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ受信部によって、前記メッセージ配信装置から前記鍵復元情報付き暗号化メッセージを受信する。
【0018】
また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ分離部によって、前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する。
【0019】
また、メッセージ受信装置は、復号判定部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する。つまり、復号判定部は、当該メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについては復号可能と判定し、当該メッセージ受信装置のユーザ以外を対象とする鍵復元情報付き暗号化メッセージについては、復号不可能と判定する。
【0020】
また、メッセージ受信装置は、メッセージ暗号鍵復元部によって、前記復号判定部で復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元する。そして、メッセージ受信装置は、共通メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する。さらに、メッセージ受信装置は、個別メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する。このように、メッセージ受信装置は、このメッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージから、共通メッセージと個別メッセージとを復号する。
【0021】
また、前記した課題を解決するため、本願第2発明に係るメッセージ配信装置は、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、メッセージ暗号鍵生成部と、鍵復元情報を生成する鍵復元情報生成部と、共通メッセージ暗号化部と、個別メッセージ暗号化部と、鍵復元情報付き暗号化メッセージ生成部と、鍵復元情報付き暗号化メッセージ配信部とを備えることを特徴とする。
【0022】
かかる構成によれば、メッセージ配信装置は、メッセージ暗号鍵生成部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通鍵である共通メッセージ暗号鍵と、前記個別メッセージを暗号化する共通鍵である個別メッセージ暗号鍵とを生成する。つまり、メッセージ暗号鍵生成部は、秘密鍵を用いることなく、共通メッセージ暗号鍵および個別メッセージ暗号鍵を生成できる。
【0023】
また、メッセージ配信装置は、鍵復元情報生成部によって、前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する。つまり、鍵復元情報生成部は、秘密鍵を用いることなく、鍵復元情報を生成できる。この鍵復元情報は、従来のブロードキャスト暗号のヘッダと同じデータ量であるにもかかわらず、個別メッセージ暗号鍵の復元が可能となっている。
【0024】
また、メッセージ配信装置は、共通メッセージ暗号化部によって、前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する。そして、メッセージ配信装置は、個別メッセージ暗号化部によって、前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する。
【0025】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ生成部によって、前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する。
【0026】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ配信部によって、鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージをメッセージ受信装置に配信する。つまり、鍵復元情報付き暗号化メッセージ配信部は、鍵復元情報付き暗号化メッセージにユーザ識別子の集合が含まれているため、特定の1ユーザを指定して、そのユーザに鍵復元情報付き暗号化メッセージを配信することを繰り返す必要がない。
【0027】
また、本願第3発明に係るメッセージ配信装置は、ユーザ数nと、素数位数pの双線形群Gと、双線形写像e:G×G→GTと、双線形群Gからランダムに選択した生成元gと、0からp−1までの整数の集合Zpからランダムに選択した乱数α,β1,・・・,βn,γ1,γ2とを用いて、式(1)で表されるgh,ν1,ν2を算出して、式(2)で表される前記公開鍵PKと、式(3)で表される前記ユーザごとに個別の秘密鍵SKiとを生成する公開鍵・秘密鍵生成部をさらに備えることを特徴とする。
【0028】
また、本願第4発明に係るメッセージ配信装置は、前記メッセージ暗号鍵生成部が、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記集合Zpからランダムに選択した乱数tとを用いて、式(4)で表される前記共通メッセージ暗号鍵Kと、式(5)で表される前記個別メッセージ暗号鍵K’iとを生成することを特徴とする。
【0029】
また、本願第5発明に係るメッセージ配信装置は、前記鍵復元情報生成部が、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記乱数tとを用いて、式(6)で表される鍵復元情報Hdrを生成することを特徴とする。
【0030】
また、本願第6発明に係るメッセージ受信装置は、本願第2発明に係るメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを受信して復号するメッセージ受信装置であって、公開鍵・秘密鍵記憶部と、鍵復元情報付き暗号化メッセージ受信部と、鍵復元情報付き暗号化メッセージ分離部と、復号判定部と、メッセージ暗号鍵復元部と、共通メッセージ復号部と、個別メッセージ復号部と、を備えることを特徴とする。
【0031】
かかる構成によれば、メッセージ受信装置は、公開鍵・秘密鍵記憶部によって、前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する。また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ受信部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する。
【0032】
また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ分離部によって、前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する。
【0033】
また、メッセージ受信装置は、復号判定部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する。つまり、復号判定部は、当該メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについては復号可能と判定し、当該メッセージ受信装置のユーザ以外を対象とする鍵復元情報付き暗号化メッセージについては、復号不可能と判定する。
【0034】
また、メッセージ受信装置は、メッセージ暗号鍵復元部によって、前記復号判定部で復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元する。そして、メッセージ受信装置は、共通メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する。さらに、メッセージ受信装置は、個別メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する。このように、メッセージ受信装置は、このメッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージから、共通メッセージと個別メッセージとを復号する。
【0035】
また、本願第7発明に係るメッセージ受信装置は、前記メッセージ暗号鍵復元部が、式(2)で表される公開鍵と、式(3)で表される秘密鍵と、式(6)で表される鍵復元情報とを用いて、式(7)で表される共通メッセージ暗号鍵Kと、式(8)で表される個別メッセージ暗号鍵K’iとを復元することを特徴とする。
【0036】
また、前記した課題を解決するため、本願第8発明に係るメッセージ配信装置は、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、前記ユーザに共通する1個の公開鍵および前記ユーザごとに個別の秘密鍵を生成し、前記公開鍵を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵と、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とを生成し、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記鍵復元情報と、前記共通メッセージ暗号鍵を用いて暗号化した前記共通メッセージと、前記個別メッセージ暗号鍵を用いて暗号化した前記個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信することを特徴とする。
【0037】
ここで、本願第1発明に係るメッセージ配信装置は、コンピュータを、メッセージ暗号鍵生成部、鍵復元情報生成部、共通メッセージ暗号化部、個別メッセージ暗号化部、鍵復元情報付き暗号化メッセージ生成部、鍵復元情報付き暗号化メッセージ配信部として機能させるメッセージ配信プログラムによって実現することもできる。
【0038】
ここで、本願第6発明に係るメッセージ受信装置は、公開鍵・秘密鍵記憶部を備えるコンピュータを、鍵復元情報付き暗号化メッセージ受信部、鍵復元情報付き暗号化メッセージ分離部、復号判定部、メッセージ暗号鍵復元部、共通メッセージ復号部、個別メッセージ復号部として機能させるメッセージ受信プログラムによって実現することもできる。
【発明の効果】
【0039】
本発明によれば、以下のような優れた効果を奏する。
本願第1,2,8発明によれば、各ユーザに固有の秘密鍵を用いることなく、共通メッセージ暗号鍵と、個別メッセージ暗号鍵と鍵復元情報とを生成できるため、放送局が各ユーザと秘密鍵とを紐付けて管理する必要がなくなり、放送局の鍵管理コストを低減できる。また、本願第1,2,8発明によれば、鍵復元情報のデータ量が少ないので、少ない帯域で鍵復元情報付き暗号化メッセージを配信できると共に、特定の1ユーザを指定して鍵復元情報付き暗号化メッセージを繰り返し配信する必要がないため、各ユーザに共通メッセージおよび個別メッセージを効率的に配信することができる。
【0040】
本願第3発明によれば、式(2)で表されるように公開鍵のデータ量を多くした代わりに鍵復元情報のデータ量を少なくできるため、鍵復元情報付き暗号化メッセージの配信帯域をより少なくして、共通メッセージおよび個別メッセージを効率的に配信することができる。
【0041】
本願第5発明によれば、鍵復元情報を二項の数式で表すことができるため、鍵復元情報のデータ量がさらに少なくなり、鍵復元情報付き暗号化メッセージの配信帯域をより少なくして、共通メッセージおよび個別メッセージを効率的に配信することができる。
【0042】
本願第6発明によれば、秘密鍵を用いることなく生成された鍵復元情報から共通メッセージ暗号鍵および個別メッセージ暗号鍵を復元できるため、放送局が各ユーザと秘密鍵とを紐付けて管理する必要がなくなり、放送局の鍵管理コストを低減できる。また、本願第6発明によれば、メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについてのみ復号するため、放送局において特定の1ユーザを指定して鍵復元情報付き暗号化メッセージを繰り返し配信する必要がなく、放送局において各ユーザに共通メッセージおよび個別メッセージを効率的に配信することができる。
【図面の簡単な説明】
【0043】
【図1】本発明の第1実施形態に係る限定受信システムの概略図である。
【図2】図1のコンテンツ配信装置の構成を示すブロック図である。
【図3】図1のコンテンツ受信装置の構成を示すブロック図である。
【図4】図2のコンテンツ配信装置の全体動作を示すフローチャートである。
【図5】図4のステップS2の動作を示すフローチャートである。
【図6】図4のステップS6の動作を示すフローチャートである。
【図7】図3のコンテンツ受信装置の全体動作を示すフローチャートである。
【図8】図7のステップS103の動作を示すフローチャートである。
【図9】本発明の第2実施形態に係る限定受信システムの概略図である。
【図10】図9の鍵発行装置の構成を示すブロック図である。
【図11】図9のコンテンツ配信装置の構成を示すブロック図である。
【発明を実施するための形態】
【0044】
以下、本発明の各実施形態について、適宜図面を参照しながら詳細に説明する。なお、各実施形態において、同一の機能を有する手段には同一の符号を付し、説明を省略した。
【0045】
(第1実施形態)
[限定受信システムの概略]
以下、図1を参照して、本発明の第1実施形態に係る限定受信システム100の概略について説明する。
図1に示すように、限定受信システム100は、コンテンツ配信装置(メッセージ配信装置)1と、コンテンツ受信装置(メッセージ受信装置)7とを備える。そして、限定受信システム100では、コンテンツ配信装置1とコンテンツ受信装置7とが、インターネット、専用IP回線などのネットワーク、または、放送波によって接続されている。なお、図1では、説明を簡易にするため、コンテンツ受信装置7を1台のみ図示したが、2台以上であってもよい。
【0046】
共通メッセージは、例えば、コンテンツ、番組情報などの全ユーザに共通するメッセージである。本実施形態では、共通メッセージがコンテンツであるとして説明する。
個別メッセージは、例えば、契約情報などの各ユーザに個別のメッセージである。
【0047】
コンテンツ配信装置1は、コンテンツと個別メッセージとを暗号化すると共に、暗号化コンテンツと、暗号化個別メッセージと、後記するユーザの集合と、後記するヘッダとが含まれるヘッダ付き暗号化コンテンツを生成して、コンテンツ受信装置7に配信する。このコンテンツ配信装置1は、例えば、放送局に配置される。なお、コンテンツ配信装置1の構成については、後記する。
【0048】
コンテンツ受信装置7は、コンテンツ配信装置1からヘッダ付き暗号化コンテンツを受信すると共に、受信したヘッダ付き暗号化コンテンツがそのコンテンツ受信装置7のユーザを対象としたものか否かを判定する。そして、コンテンツ受信装置7は、受信したヘッダ付き暗号化コンテンツがそのユーザを対象としている場合、ヘッダ付き暗号化コンテンツに含まれる暗号化コンテンツおよび暗号化個別メッセージをそれぞれ復号して、コンテンツの再生や個別メッセージの表示を行う。
ここで、コンテンツ受信装置7は、例えば、ユーザの自宅に配置されたパーソナルコンピュータまたはテレビジョン受信機である。また、コンテンツ受信装置7は、ユーザが所持する携帯電話としてもよい。なお、コンテンツ受信装置7の構成については、後記する。
【0049】
[コンテンツ配信装置の構成]
以下、図2を参照して、コンテンツ配信装置1の構成について説明する。
図2に示すように、コンテンツ配信装置1は、鍵発行手段10と、ヘッダ・鍵生成手段20と、個別メッセージ暗号化手段30と、コンテンツ暗号化・配信手段40とを備える。
【0050】
鍵発行手段10は、パラメータ入力部11と、鍵生成部(公開鍵・秘密鍵生成部)13と、公開鍵記憶部15と、秘密鍵記憶部17とを備える。
パラメータ入力部11は、鍵長などのセキュリティパラメータ、および、限定受信システム100のユーザ数nが入力される。例えば、パラメータ入力部11は、限定受信システム100の初期化が行われる際、セキュリティパラメータおよびユーザ数nが入力される。そして、パラメータ入力部11は、入力されたセキュリティパラメータおよびユーザ数nを鍵生成部13に出力する。
【0051】
鍵生成部13は、パラメータ入力部11からセキュリティパラメータおよびユーザ数nが入力されると共に、入力されたセキュリティパラメータおよびユーザ数nを用いて、全ユーザに共通する公開鍵PKと、各ユーザに固有の秘密鍵SKiを生成する。
【0052】
ここで、鍵生成部13による公開鍵PKおよび秘密鍵SKiの生成について、具体的に説明する。
まず、鍵生成部13は、セキュリティパラメータおよびユーザ数nを基に、素数位数pの双線形群G、および、双線形写像e:G×G→GTを選択する。また、鍵生成部13は、生成元gを双線形群Gからランダムに選択し、0からp−1までの整数の集合Zp(以下、単に「Zp」)から乱数α,β1,・・・,βn,γ1,γ2をそれぞれランダムに選択する。そして、鍵生成部13は、双線形群Gと、双線形写像e:G×G→GTと、生成元gと、α,β1,・・・,βn,γ1,γ2とを用いて、下記の式(1)で表されるgh,ν1,ν2を算出する。
【0053】
【数1】
【0054】
ここで、Gが双線形群であるとは、G上の群演算が効率的に求められ、群GT、および、効率的に計算可能な双線形写像e:G×G→GTが存在する群のことをいう。
【0055】
そして、鍵生成部13は、下記の式(2)で表される公開鍵PKを生成する。この公開鍵PKは、限定受信システム100で1つだけ生成される。
【0056】
【数2】
【0057】
さらに、鍵生成部13は、下記の式(3)で表される秘密鍵SKiを生成する。その後、鍵生成部13は、生成した公開鍵PKを公開鍵記憶部15に記憶し、生成した秘密鍵SKiを秘密鍵記憶部17に記憶する。なお、式(3)において、iは、各ユーザの識別子を示す。
【0058】
【数3】
【0059】
以下、コンテンツ配信装置1の構成について説明を続ける。
公開鍵記憶部15は、鍵生成部13が生成した公開鍵PKを記憶するメモリ、ハードディスクなどの記憶装置である。
秘密鍵記憶部17は、鍵生成部13が生成した秘密鍵SKiを記憶するメモリ、ハードディスクなどの記憶装置である。
【0060】
なお、公開鍵記憶部15に記憶した公開鍵PK、および、秘密鍵記憶部17に記憶した秘密鍵SKiは、様々な方法でユーザ(コンテンツ受信装置7)に配布される。例えば、この公開鍵PKおよび秘密鍵SKiは、オフライン(例えば、郵送)で配布される。また、公開鍵PKおよび秘密鍵SKiは、ネットワークまたは放送波を介して、オンラインで配布してもよい。このとき、秘密鍵SKiは、安全な方法で配布されることが好ましい。
【0061】
ヘッダ・鍵生成手段20は、ユーザ識別子入力部21と、ヘッダ・鍵生成部23とを備える。
ユーザ識別子入力部21は、ユーザ識別子の集合Sが入力されると共に、入力されたユーザ識別子の集合Sをヘッダ・鍵生成部23に出力する。このユーザ識別子の集合Sは、コンテンツおよび個別メッセージを復号可能なユーザを識別するユーザ識別子が1以上含まれるものである。言い換えるなら、このユーザ識別子の集合Sにユーザ識別子が含まれないユーザは、ヘッダ付き暗号化コンテンツから、コンテンツおよび個別メッセージを復号できない。
なお、ユーザ識別子とは、各ユーザを一意に識別できるユーザIDなどの識別情報である。また、ユーザ識別子として、ユーザIDの代わりに、コンテンツ受信装置7に固有の製造番号を用いることもできる。
【0062】
ヘッダ・鍵生成部23は、メッセージ暗号鍵生成部25と、ヘッダ生成部(鍵復元情報生成部)27とを備える。
【0063】
メッセージ暗号鍵生成部25は、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iとを生成する。具体的には、メッセージ暗号鍵生成部25は、ユーザ識別子入力部21からユーザ識別子の集合Sが入力され、公開鍵記憶部15から公開鍵PKを読み出し、Zpから乱数tをランダムに選択する。そして、メッセージ暗号鍵生成部25は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(4)で表される共通メッセージ暗号鍵Kを生成する。この共通メッセージ暗号鍵Kは、コンテンツを暗号化する共通鍵である。
【0064】
【数4】
【0065】
また、メッセージ暗号鍵生成部25は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(5)で表される個別メッセージ暗号鍵K’iを生成する。この個別メッセージ暗号鍵K’iは、個別メッセージを暗号化する共通鍵である。
【0066】
【数5】
【0067】
そして、メッセージ暗号鍵生成部25は、生成した共通メッセージ暗号鍵Kを後記するコンテンツ暗号化部43に出力し、生成した個別メッセージ暗号鍵K’iを後記する個別メッセージ暗号化部33に出力する。
【0068】
ヘッダ生成部27は、コンテンツ受信装置7においてコンテンツおよび個別メッセージ暗号鍵を復元するためのヘッダ(鍵復元情報)Hdrを生成する。具体的には、ヘッダ生成部27は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(6)で表されるヘッダHdrを生成する。そして、ヘッダ生成部27は、生成したヘッダHdrとユーザ識別子の集合Sとを後記するコンテンツ結合部45に出力する。
【0069】
【数6】
【0070】
個別メッセージ暗号化手段30は、個別メッセージ入力部31と、個別メッセージ暗号化部33とを備える。
個別メッセージ入力部31は、個別メッセージMiが入力されると共に、入力された個別メッセージMiを個別メッセージ暗号化部33に出力する。
【0071】
個別メッセージ暗号化部33は、個別メッセージ入力部31から個別メッセージMiが入力され、メッセージ暗号鍵生成部25から個別メッセージ暗号鍵K’iが入力される。そして、個別メッセージ暗号化部33は、この個別メッセージMiを個別メッセージ暗号鍵K’iによって暗号化することで、暗号化個別メッセージC(Mi)を生成する。例えば、個別メッセージ暗号化部33は、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)などの高速処理が可能な共通鍵暗号方式を用いて暗号化を行う。その後、個別メッセージ暗号化部33は、生成した暗号化個別メッセージC(Mi)をコンテンツ結合部45に出力する。
【0072】
コンテンツ暗号化・配信手段40は、コンテンツ入力部41と、コンテンツ暗号化部(共通メッセージ暗号化部)43と、コンテンツ結合部(鍵復元情報付き暗号化メッセージ生成部)45と、コンテンツ配信部(鍵復元情報付き暗号化メッセージ配信部)47とを備える。
コンテンツ入力部41は、コンテンツMが入力されると共に、入力されたコンテンツMをコンテンツ暗号化部43に出力する。
【0073】
コンテンツ暗号化部43は、メッセージ暗号鍵生成部25から共通メッセージ暗号鍵Kが入力され、コンテンツ入力部41からコンテンツMが入力される。そして、コンテンツ暗号化部43は、このコンテンツMを共通メッセージ暗号鍵Kによって暗号化することで、暗号化コンテンツC(M)を生成する。例えば、コンテンツ暗号化部43は、DES、AESなどの高速処理が可能な共通鍵暗号方式を用いて暗号化を行う。その後、コンテンツ暗号化部43は、生成した暗号化コンテンツC(M)をコンテンツ結合部45に出力する。
【0074】
コンテンツ結合部45は、ヘッダ生成部27からヘッダHdrとユーザ識別子の集合Sとが入力され、個別メッセージ暗号化部33から暗号化個別メッセージC(Mi)が入力され、コンテンツ暗号化部43から暗号化コンテンツC(M)が入力される。そして、コンテンツ結合部45は、このヘッダHdrと、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)とを結合させて、ヘッダ付き暗号化コンテンツ<S,Hdr,C(M),{C(Mi)}i∈S>を生成する。その後、コンテンツ結合部45は、生成したヘッダ付き暗号化コンテンツ(鍵復元情報付き暗号化メッセージ)をコンテンツ配信部47に出力する。
【0075】
コンテンツ配信部47は、コンテンツ結合部45からヘッダ付き暗号化コンテンツが入力されると共に、入力されたヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する。例えば、コンテンツ配信部47は、ネットワークまたは放送波を介して、ヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する。
【0076】
[コンテンツ受信装置の構成]
以下、図3を参照して、コンテンツ受信装置7の構成について説明する(適宜図2参照)。
図3に示すように、コンテンツ受信装置7は、ユーザ識別子記憶部71と、鍵記憶部(公開鍵・秘密鍵記憶部)72と、コンテンツ受信部(鍵復元情報付き暗号化メッセージ受信部)73と、コンテンツ分離部(鍵復元情報付き暗号化メッセージ分離部)74と、復号判定部75と、鍵復元部(メッセージ暗号鍵復元部)76と、コンテンツ復号部(共通メッセージ復号部)77と、コンテンツ再生部78と、個別メッセージ復号部79と、個別メッセージ表示部80とを備える。
【0077】
ユーザ識別子記憶部71は、コンテンツ受信装置7のユーザを示すユーザ識別子iを予め記憶するメモリ、ハードディスクなどの記憶装置である。例えば、ユーザが、図示を省略した設定画面を用いて、自らのユーザIDをユーザ識別子記憶部71に予め記憶させておく。
【0078】
鍵記憶部72は、公開鍵記憶部72aと、秘密鍵記憶部72bとを備える。
公開鍵記憶部72aは、放送局(コンテンツ配信装置1)から配布された公開鍵PKを予め記憶するメモリ、ハードディスクなどの記憶装置である。
秘密鍵記憶部72bは、放送局(コンテンツ配信装置1)から配布された秘密鍵SKi、すなわち、コンテンツ受信装置7のユーザに固有の秘密鍵SKiを予め記憶するメモリ、ハードディスクなどの記憶装置である。
【0079】
コンテンツ受信部73は、放送局(コンテンツ配信装置1)から、ヘッダ付き暗号化コンテンツを受信する。そして、コンテンツ受信部73は、受信したヘッダ付き暗号化コンテンツをコンテンツ分離部74に出力する。
【0080】
コンテンツ分離部74は、コンテンツ受信部73からヘッダ付き暗号化コンテンツが入力される。そして、コンテンツ分離部74は、入力されたヘッダ付き暗号化コンテンツから、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを分離する。さらに、コンテンツ分離部74は、分離したユーザ識別子の集合Sを復号判定部75に出力し、分離したヘッダHdrを鍵復元部76に出力する。また、コンテンツ分離部74は、分離した暗号化コンテンツC(M)をコンテンツ復号部77に出力し、分離した暗号化個別メッセージC(Mi)を個別メッセージ復号部79に出力する。
【0081】
復号判定部75は、コンテンツ分離部74から入力されたユーザ識別子の集合Sに、ユーザ識別子記憶部71に記憶されたユーザ識別子iが含まれるか否かによって、受信したヘッダ付き暗号化コンテンツがコンテンツ受信装置7のユーザを対象としたものであるか否かを判定する。すなわち、復号判定部75は、ユーザ識別子の集合Sにユーザ識別子iが含まれる場合には、ヘッダ付き暗号化コンテンツを復号可能と判定する。一方、復号判定部75は、ユーザ識別子の集合Sにユーザ識別子iが含まれない場合には、ヘッダ付き暗号化コンテンツを復号不可能と判定する。そして、復号判定部75は、復号可能または復号不可能を示す判定結果を鍵復元部76に出力する。
【0082】
鍵復元部76は、復号判定部75から入力された判定結果が復号可能である場合、公開鍵記憶部72aに記憶した公開鍵PKと、秘密鍵記憶部72bに記憶した秘密鍵SKiと、コンテンツ分離部74からのヘッダHdrとを用いて、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを復元する。具体的には、鍵復元部76は、公開鍵PKと、秘密鍵SKiと、ヘッダHdrに含まれるC0,C1を用いて、下記の式(7)で表される共通メッセージ暗号鍵Kを復元する。
【0083】
【数7】
【0084】
さらに、鍵復元部76は、公開鍵PKと、秘密鍵SKiと、ヘッダHdrに含まれるgt(つまり、C0)とを用いて、下記の式(8)で表される個別メッセージ暗号鍵K’iとを復元する。その後、鍵復元部76は、復元した共通メッセージ暗号鍵Kをコンテンツ復号部77に出力し、復元した個別メッセージ暗号鍵K’iを個別メッセージ復号部79に出力する。
【0085】
【数8】
【0086】
なお、鍵復元部76は、復号判定部75から入力された判定結果が復号不可能である場合、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを復元しないことは言うまでもない。
【0087】
コンテンツ復号部77は、コンテンツ分離部74から暗号化コンテンツC(M)が入力され、鍵復元部76から共通メッセージ暗号鍵Kが入力される。そして、コンテンツ復号部77は、入力された暗号化コンテンツC(M)を共通メッセージ暗号鍵Kによって復号することで、コンテンツMを生成する。さらに、コンテンツ復号部77は、生成したコンテンツMをコンテンツ再生部78に出力する。
【0088】
コンテンツ再生部78は、コンテンツ復号部77からコンテンツMが入力されると共に、入力されたコンテンツMを再生する。
【0089】
個別メッセージ復号部79は、コンテンツ分離部74から暗号化個別メッセージC(Mi)が入力され、鍵復元部76から個別メッセージ暗号鍵K’iが入力される。そして、個別メッセージ復号部79は、入力された暗号化個別メッセージC(Mi)を個別メッセージ暗号鍵K’iによって復号することで、個別メッセージMiを生成する。さらに、個別メッセージ復号部79は、生成した個別メッセージMiを個別メッセージ表示部80に出力する。
【0090】
個別メッセージ表示部80は、個別メッセージ復号部79から個別メッセージMiが入力されると共に、入力された個別メッセージMiを表示する。
【0091】
なお、コンテンツ受信装置7は、放送波によってコンテンツ配信装置1と接続する場合、テジタル放送を受信するチューナ(不図示)を備えてもよい。
【0092】
[コンテンツ配信装置の動作]
<全体動作>
以下、図4を参照して、コンテンツ配信装置1の全体動作について説明する(適宜図2参照)。
コンテンツ配信装置1は、パラメータ入力部11によって、セキュリティパラメータ、および、限定受信システム100のユーザ数nが入力される(ステップS1)。
【0093】
コンテンツ配信装置1は、セキュリティパラメータおよびユーザ数nを用いて、公開鍵PKと、秘密鍵SKiを生成する(ステップS2)。なお、このステップS2の詳細は、後記する。
【0094】
コンテンツ配信装置1は、ユーザ識別子入力部21によって、ユーザ識別子の集合Sが入力される(ステップS3)。また、コンテンツ配信装置1は、コンテンツ入力部41によって、コンテンツMが入力される(ステップS4)。そして、コンテンツ配信装置1は、個別メッセージ入力部31によって、個別メッセージMiが入力される(ステップS5)。
【0095】
コンテンツ配信装置1は、ヘッダ付き暗号化コンテンツを生成する(ステップS6)。なお、このステップS6の詳細は、後記する。そして、コンテンツ配信装置1は、コンテンツ配信部47によって、生成したヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する(ステップS7)。
【0096】
<ステップS2の詳細:公開鍵・秘密鍵の生成>
以下、図5を参照して、図4のステップS2を詳細に説明する(適宜図2,図4参照)。
コンテンツ配信装置1は、鍵生成部13によって、セキュリティパラメータおよびユーザ数nを基に、素数位数pの双線形群Gを選択する(ステップS21)。また、コンテンツ配信装置1は、鍵生成部13によって、双線形写像e、すなわち、ペアリングe:G×G→GTを選択する(ステップS22)。
【0097】
コンテンツ配信装置1は、鍵生成部13によって、生成元gを双線形群Gからランダムに選択する(ステップS23)。また、コンテンツ配信装置1は、鍵生成部13によって、乱数α,β1,・・・,βn,γ1,γ2をZpからランダムに選択する(ステップS24)。
【0098】
コンテンツ配信装置1は、鍵生成部13によって、双線形群Gと、双線形写像e:G×G→GTと、生成元gと、乱数α,β1,・・・,βn,γ1,γ2とを用いて、式(1)で表されるgh,ν1,ν2を算出する(ステップS25)。
【0099】
コンテンツ配信装置1は、鍵生成部13によって、式(2)で表される公開鍵PKを生成し(ステップS26)、式(3)で表される秘密鍵SKiを生成する(ステップS27)。その後、コンテンツ配信装置1は、鍵生成部13によって、生成した公開鍵PKを公開鍵記憶部15に記憶し、生成した秘密鍵SKiを秘密鍵記憶部17に記憶する。
【0100】
<ステップS6の詳細:ヘッダ付き暗号化コンテンツを生成>
以下、図6を参照して、図4のステップS6を詳細に説明する(適宜図2,図4参照)。
コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、Zpから乱数tをランダムに選択する(ステップS61)。
【0101】
コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(4)で表される共通メッセージ暗号鍵Kを生成する。また、コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(5)で表される個別メッセージ暗号鍵K’iを生成する(ステップS62)。
【0102】
コンテンツ配信装置1は、個別メッセージ暗号化部33によって、個別メッセージMiを個別メッセージ暗号鍵K’iにより暗号化することで、暗号化個別メッセージC(Mi)を生成する(ステップS63)。
【0103】
コンテンツ配信装置1は、ヘッダ生成部27によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(6)で表されるヘッダHdrを生成する(ステップS64)。
【0104】
コンテンツ配信装置1は、コンテンツ暗号化部43によって、コンテンツMを共通メッセージ暗号鍵Kにより暗号化することで、暗号化コンテンツC(M)を生成する(ステップS65)。
【0105】
コンテンツ配信装置1は、コンテンツ結合部45によって、このヘッダHdrと、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)とを結合させて、ヘッダ付き暗号化コンテンツを生成する(ステップS66)。
【0106】
[コンテンツ受信装置の動作]
<全体動作>
以下、図7を参照して、コンテンツ受信装置7の全体動作について説明する(適宜図3参照)。ここで、コンテンツ受信装置7は、ユーザの識別子iと、公開鍵PKと、秘密鍵SKiとを予め記憶していることとして説明する。
【0107】
コンテンツ受信装置7は、コンテンツ受信部73によって、放送局(コンテンツ配信装置1)から、ヘッダ付き暗号化コンテンツを受信する(ステップS101)。
【0108】
コンテンツ受信装置7は、コンテンツ分離部74によって、ヘッダ付き暗号化コンテンツから、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを分離する(ステップS102)。
【0109】
コンテンツ受信装置7は、分離したユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを用いて、コンテンツMおよび個別メッセージMiを復号する(ステップS103)。なお、このステップS103の詳細は、後記する。
【0110】
コンテンツ受信装置7は、コンテンツ再生部78によって、コンテンツMを再生する(ステップS104)。そして、コンテンツ受信装置7は、個別メッセージ表示部80によって、個別メッセージMiを表示する(ステップS105)。
【0111】
<ステップS103の詳細:コンテンツおよび個別メッセージMiの復号>
以下、図8を参照して、図7のステップS103を詳細に説明する(適宜図3,図7参照)。
コンテンツ受信装置7は、復号判定部75によって、ユーザ識別子の集合Sにユーザ識別子iが含まれるか否を判定する(ステップS1031)。
【0112】
ユーザ識別子の集合Sにユーザ識別子iが含まれる場合(ステップS1031でYes)、コンテンツ受信装置7は、鍵復元部76によって、公開鍵PKと、秘密鍵SKiと、ヘッダHdrとを用いて、式(7)で表される共通メッセージ暗号鍵Kと、式(8)で表される個別メッセージ暗号鍵K’iとを復元する(ステップS1032)。
【0113】
コンテンツ受信装置7は、個別メッセージ復号部79によって、暗号化個別メッセージC(Mi)を個別メッセージ暗号鍵K’iにより復号することで、個別メッセージMiを生成する(ステップS1033)。
【0114】
コンテンツ受信装置7は、コンテンツ復号部77によって、暗号化コンテンツC(M)を共通メッセージ暗号鍵Kにより復号することで、コンテンツMを生成する(ステップS1034)。
【0115】
一方、ユーザ識別子の集合Sにユーザ識別子iが含まれない場合(ステップS1031でNo)、コンテンツ受信装置7は、復号処理を終了する。
【0116】
以上のように、限定受信システム100は、各ユーザに固有の秘密鍵SKiを用いることなく、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iとヘッダHdrとを生成できるため、放送局で各ユーザと秘密鍵とを紐付けて管理する必要がない。さらに、限定受信システム100は、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを放送局が秘密に管理する必要もない。これによって、限定受信システム100は、放送局の鍵管理コストを低減できる。
【0117】
また、限定受信システム100は、公開鍵PKのデータ量を多くした代わりに、式(6)のようにヘッダHdrのデータ量を少なくできるため、ヘッダ付き暗号化コンテンツの配信帯域を少なくできる。さらに、限定受信システム100は、ヘッダ付き暗号化コンテンツにユーザ識別子の集合Sが含まれているため、ユーザ識別子の集合Sに含まれるユーザつまり、放送局によって許可されたユーザのみがヘッダHdrを復元して、コンテンツMおよび個別メッセージMiを復号できる。従って、限定受信システム100は、特定の1ユーザを指定して、ヘッダ付き暗号化コンテンツを繰り返し配信する必要がない。これによって、限定受信システム100は、コンテンツMおよび個別メッセージMiを各ユーザに効率的に配信することができる。
【0118】
この限定受信システム100によれば、例えば、誰でも、ネットワークを利用してコンテンツを配信する放送局になることが可能である。そして、この限定受信システム100によれば、例えば、契約情報からユーザの嗜好を分析し、各ユーザにおすすめ番組情報などの個別メッセージMiを配信することができる。
【0119】
なお、本実施形態では、コンテンツ配信装置1が秘密鍵記憶部17に秘密鍵SKiを記憶するとして説明したが、これに限定されない。例えば、コンテンツ配信装置1は、ユーザに秘密鍵SKiを配布した後、配布済みの秘密鍵SKiを秘密鍵記憶部17から削除してもよい。
【0120】
(第2実施形態)
[限定受信システムの概略]
以下、図9を参照して、本発明の第2実施形態に係る限定受信システム100Bの概略について、第1実施形態と異なる点を主に説明する。この限定受信システム100Bでは、図2のコンテンツ配信装置1が備える鍵発行手段10を、鍵発行装置9として独立させたものである。
【0121】
図9に示すように、限定受信システム100Bは、コンテンツ配信装置1Bと、コンテンツ受信装置7と、鍵発行装置9とを備える。そして、限定受信システム100Bでは、コンテンツ配信装置1Bとコンテンツ受信装置7と鍵発行装置9とが、ネットワークまたは放送波によって接続されている。
【0122】
[鍵発行装置の構成]
以下、図10を参照して、図9の鍵発行装置9の構成について説明する。
鍵発行装置9は、公開鍵PKおよび秘密鍵SKiを生成して、公開鍵PKを放送局およびユーザに配布し、秘密鍵SKiをユーザに配布する。このため、鍵発行装置9は、パラメータ入力部11と、鍵生成部13と、公開鍵記憶部15と、秘密鍵記憶部17とを備える。なお、鍵発行装置9の各手段は、図2と同様のため、説明を省略する。
【0123】
[コンテンツ配信装置の構成]
以下、図11を参照して、図9のコンテンツ配信装置1Bの構成について、第1実施形態と異なる点を主に説明する。コンテンツ配信装置1Bは、鍵発行装置9から配布された公開鍵PKを用いて、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iと、ヘッダHdrとを生成する。このため、コンテンツ配信装置1Bは、図2の鍵発行手段10の代わりに、公開鍵記憶部29を備える。
【0124】
公開鍵記憶部29は、鍵発行装置9から配布された公開鍵PKを記憶するメモリ、ハードディスクなどの記憶装置である。なお、公開鍵記憶部29以外の各手段は、図2と同様のため、説明を省略する。
【0125】
なお、コンテンツ受信装置7は、公開鍵PKおよび秘密鍵SKiの配布元が鍵発行装置9に代わる以外、図3と同様のため、説明を省略する。
【0126】
なお、限定受信システム100Bの各装置については、図4のステップS1,S2および図5の全ステップが鍵発行装置9で実行される以外、第1実施形態と同様のため、動作の説明を省略する。
【0127】
以上のように、本発明の第2実施形態に係る限定受信システム100Bは、第1実施形態と同様、放送局の鍵管理コストを低減できると共に、共通メッセージMおよび個別メッセージMiを効率的に配信することができる。
【0128】
なお、図9では、コンテンツ配信装置1Bを1台だけ図示したが、限定受信システム100Bは、コンテンツ配信装置1Bを複数備えてもよい。このように、複数の放送局が存在する場合、限定受信システム100Bは、各放送局で秘密鍵SKiを共有する必要がないので、限定受信システム100B全体で鍵管理コストを低減できることに加え、秘密鍵SKiの漏洩リスクも最小限に抑えることができる。
【0129】
なお、各実施形態では、本発明に係るコンテンツ配信装置およびコンテンツ受信装置を独立した装置として説明したが、本発明では、一般的なコンピュータを、前記した各手段として機能させるプログラムによって動作させることもできる。このプログラムは、通信回線を介して配布しても良く、CD−ROMやフラッシュメモリ等の記録媒体に書き込んで配布しても良い。
【実施例】
【0130】
以下、本発明の実施例として、本発明のヘッダについて、従来技術と比較して説明する。本発明では、放送局が共通メッセージ暗号鍵と、|S|個の個別メッセージ暗号鍵とを配信する場合、1つのヘッダのみを配信すればよい。この場合、本発明では、式(6)に示すように、群G上の2つの要素を必要とする。
【0131】
一方、従来のブロードキャスト暗号化方式において、共通メッセージおよび個別メッセージを配信する場合を考える。この場合、従来のブロードキャスト暗号化方式では、共通メッセージ暗号鍵用のヘッダを1個、|S|個の個別メッセージ暗号鍵用のヘッダを|S|個、合計|S|+1個のヘッダを配信することになる。例えば、非特許文献3に記載のブロードキャスト暗号化方式では、群G上の2|S|+2個の要素を必要とする。
【0132】
また、従来の複数受信者用公開鍵暗号では、共通メッセージ暗号鍵用の暗号文と、個別メッセージ暗号鍵用の暗号文を|S|個、生成する必要がある。例えば、非特許文献4のエルガマル暗号をベースにした方式では、群G上において、2|S|+2個の要素を必要とする。以上のように、本発明は、従来技術と比べて、必要とする要素数が少ないために、ヘッダのデータ量を少なくできることがわかる。
【符号の説明】
【0133】
1,1B コンテンツ配信装置(メッセージ配信装置)
10 鍵発行手段
11 パラメータ入力部
13 鍵生成部(公開鍵・秘密鍵生成部)
15,29 公開鍵記憶部
17 秘密鍵記憶部
20 ヘッダ・鍵生成手段
21 ユーザ識別子入力部
23 ヘッダ・鍵生成部
25 メッセージ暗号鍵生成部
27 ヘッダ生成部(鍵復元情報生成部)
30 個別メッセージ暗号化手段
31 個別メッセージ入力部
33 個別メッセージ暗号化部
40 コンテンツ暗号化・配信手段
41 コンテンツ入力部
43 コンテンツ暗号化部(共通メッセージ暗号化部)
45 コンテンツ結合部(鍵復元情報付き暗号化メッセージ生成部)
47 コンテンツ配信部(鍵復元情報付き暗号化メッセージ配信部)
7 コンテンツ受信装置(メッセージ受信装置)
71 ユーザ識別子記憶部
72 鍵記憶部(公開鍵・秘密鍵記憶部)
73 コンテンツ受信部(鍵復元情報付き暗号化メッセージ受信部)
74 コンテンツ分離部(鍵復元情報付き暗号化メッセージ分離部)
75 復号判定部
76 鍵復元部(メッセージ暗号鍵復元部)
77 コンテンツ復号部(共通メッセージ復号部)
78 コンテンツ再生部
79 個別メッセージ復号部
80 個別メッセージ表示部
9 鍵発行装置
100,100B 限定受信システム
【技術分野】
【0001】
本発明は、放送波またはネットワークを介して、共通メッセージおよび個別メッセージを暗号化して配信する限定受信システムに関する。
【背景技術】
【0002】
近年、地上デジタル放送、衛星デジタル放送などのデジタル放送が急速に普及してきている。日本国のデジタル放送には、共通鍵暗号を用いた限定受信方式(CAS:Conditional Access System)が採用されている(例えば、非特許文献1参照)。この限定受信方式では、放送局は、各ユーザのコンテンツ受信装置に対して、番組情報などの全ユーザに共通する共通メッセージ(ECM:Entitlement Control Message)、および、契約情報などのユーザ毎に異なる個別メッセージ(EMM:Entitlement Management Message)という、2種類のメッセージを配信することができる。
【0003】
また、公開鍵を用いたブロードキャスト暗号と呼ばれる暗号化方式が提案されている(例えば、非特許文献2,3参照)。ブロードキャスト暗号化方式を用いた場合、放送局は、ユーザの集合に対して、メッセージを暗号化して送信する。この場合、放送局は、1つの公開鍵のみを用いて、複数のユーザに1対多の暗号化通信を行うことができる。そして、このユーザの集合に含まれるユーザのみが、秘密鍵を用いて、暗号化されたメッセージを復号できる。すなわち、ブロードキャスト暗号化方式では、このユーザの集合に含まれるユーザに共通するメッセージを送ることができる。このとき、ブロードキャスト暗号化方式では、ユーザの集合に含まれるユーザを1人とすることで、ユーザ毎に個別のメッセージを配信することができる。
【0004】
また、複数のユーザに対して、個別メッセージを効率的に配信する公開鍵暗号方式が提案されている(例えば、非特許文献4,5参照)。以後、非特許文献4,5に記載の公開鍵暗号方式を「複数受信者用公開鍵暗号」と呼ぶ。このとき、複数受信者用公開鍵暗号では、全ユーザへの個別メッセージを同じ内容にすることで、ユーザに共通するメッセージを送信することができる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】ARIB STD-B25, “デジタル放送におけるアクセス制御方式”.
【非特許文献2】M. Naor and B. Pinkas, “Efficient trace and revoke schemes,” Proc. of Financial cryptography 2000, pp. 1-20. 2000.
【非特許文献3】D. Boneh, C. Gentry, and B. Waters, “Collusion Resistant Broadcast Encryption With Short Ciphertexts and Private Keys,” Proc. of Crypto’05, pp. 258-275, 2005.
【非特許文献4】K. Kurosawa, “Multi-recipient Public-Key Encryption with Shortened Ciphertext,” Proc. of PKC’02, pp. 48-63, 2002.
【非特許文献5】M. Bellare, A. Boldyreva, and J. Staddon, “Randomness re-use in multi-recipient encryption schemes”, Proc. of PKC’03, pp. 85-99, 2003.
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、従来の限定受信方式では、共通鍵暗号のみを用いて、ユーザに固有の秘密鍵を用いて個別情報を暗号化するため、各ユーザと秘密鍵とを紐付けてデータベース管理するなど、放送局が全ユーザ分の秘密鍵を管理しなければならず、放送局の鍵管理コストが非常に大きくなるという問題がある。また、従来の限定受信方式において、複数の放送局が同じ秘密鍵を用いる場合、全放送局で秘密鍵を厳重に管理しなければならず、限定受信システム全体における鍵管理コストが非常に大きくなる。
【0007】
また、従来のブロードキャスト暗号では、個別メッセージを各ユーザに送信する場合、ユーザの集合として1名のユーザを指定して、ユーザ数と同じ回数だけ個別メッセージの送信を繰り返す必要があり、効率的に個別メッセージを送信できないという問題があった。
【0008】
さらに、従来の複数受信者用公開鍵暗号では、コンテンツのような共通メッセージであっても、各ユーザに対して個別メッセージとして配信しなければならず、効率的ではない。仮に、従来の複数受信者用公開鍵暗号において、共通メッセージを単純に追加した場合を考える。この場合、従来の複数受信者用公開鍵暗号では、共通メッセージおよび個別メッセージの復号に必要な暗号文のデータ量が多くなるために大きな帯域が必要になり、共通メッセージおよび個別メッセージを効率的に配信することができない。
【0009】
以上をまとめると、従来技術では、放送局の鍵管理コストが非常に大きく、共通メッセージおよび個別メッセージを効率的に配信できないという問題がある。しかし、これら問題を全て解決した発明は、未だ提案されていない。
【0010】
本発明は、前記問題に鑑みてなされたものであり、放送局の鍵管理コストを低減できると共に、各ユーザに共通メッセージおよび個別メッセージを効率的に配信できる技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
前記した課題を解決するため、本願第1発明に係る限定受信システムは、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化して配信するメッセージ配信装置と、前記メッセージ配信装置によって暗号化された前記共通メッセージと前記個別メッセージとを受信して復号するメッセージ受信装置と、を備える限定受信システムであって、前記メッセージ配信装置が、メッセージ暗号鍵生成部と、鍵復元情報生成部と、共通メッセージ暗号化部と、個別メッセージ暗号化部と、鍵復元情報付き暗号化メッセージ生成部と、鍵復元情報付き暗号化メッセージ配信部と、を備え、前記メッセージ受信装置が、公開鍵・秘密鍵記憶部と、鍵復元情報付き暗号化メッセージ受信部と、鍵復元情報付き暗号化メッセージ分離部と、復号判定部と、メッセージ暗号鍵復元部と、共通メッセージ復号部と、個別メッセージ復号部と、を備えることを特徴とする。
【0012】
かかる構成によれば、メッセージ配信装置は、メッセージ暗号鍵生成部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通鍵である共通メッセージ暗号鍵と、前記個別メッセージを暗号化する共通鍵である個別メッセージ暗号鍵とを生成する。つまり、メッセージ暗号鍵生成部は、秘密鍵を用いることなく、共通メッセージ暗号鍵および個別メッセージ暗号鍵を生成できる。
【0013】
また、メッセージ配信装置は、鍵復元情報生成部によって、前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する。つまり、鍵復元情報生成部は、秘密鍵を用いることなく、鍵復元情報を生成できる。この鍵復元情報は、従来のブロードキャスト暗号のヘッダと同じデータ量であるにもかかわらず、個別メッセージ暗号鍵の復元が可能となっている。
【0014】
また、メッセージ配信装置は、共通メッセージ暗号化部によって、前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する。そして、メッセージ配信装置は、個別メッセージ暗号化部によって、前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する。
【0015】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ生成部によって、前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する。
【0016】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ配信部によって、鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージをメッセージ受信装置に配信する。つまり、鍵復元情報付き暗号化メッセージ配信部は、鍵復元情報付き暗号化メッセージにユーザ識別子の集合が含まれているため、特定の1ユーザを指定して、そのユーザに鍵復元情報付き暗号化メッセージを配信することを繰り返す必要がない。
【0017】
メッセージ受信装置は、公開鍵・秘密鍵記憶部によって、前記公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する。そして、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ受信部によって、前記メッセージ配信装置から前記鍵復元情報付き暗号化メッセージを受信する。
【0018】
また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ分離部によって、前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する。
【0019】
また、メッセージ受信装置は、復号判定部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する。つまり、復号判定部は、当該メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについては復号可能と判定し、当該メッセージ受信装置のユーザ以外を対象とする鍵復元情報付き暗号化メッセージについては、復号不可能と判定する。
【0020】
また、メッセージ受信装置は、メッセージ暗号鍵復元部によって、前記復号判定部で復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元する。そして、メッセージ受信装置は、共通メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する。さらに、メッセージ受信装置は、個別メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する。このように、メッセージ受信装置は、このメッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージから、共通メッセージと個別メッセージとを復号する。
【0021】
また、前記した課題を解決するため、本願第2発明に係るメッセージ配信装置は、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、メッセージ暗号鍵生成部と、鍵復元情報を生成する鍵復元情報生成部と、共通メッセージ暗号化部と、個別メッセージ暗号化部と、鍵復元情報付き暗号化メッセージ生成部と、鍵復元情報付き暗号化メッセージ配信部とを備えることを特徴とする。
【0022】
かかる構成によれば、メッセージ配信装置は、メッセージ暗号鍵生成部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通鍵である共通メッセージ暗号鍵と、前記個別メッセージを暗号化する共通鍵である個別メッセージ暗号鍵とを生成する。つまり、メッセージ暗号鍵生成部は、秘密鍵を用いることなく、共通メッセージ暗号鍵および個別メッセージ暗号鍵を生成できる。
【0023】
また、メッセージ配信装置は、鍵復元情報生成部によって、前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する。つまり、鍵復元情報生成部は、秘密鍵を用いることなく、鍵復元情報を生成できる。この鍵復元情報は、従来のブロードキャスト暗号のヘッダと同じデータ量であるにもかかわらず、個別メッセージ暗号鍵の復元が可能となっている。
【0024】
また、メッセージ配信装置は、共通メッセージ暗号化部によって、前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する。そして、メッセージ配信装置は、個別メッセージ暗号化部によって、前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する。
【0025】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ生成部によって、前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する。
【0026】
また、メッセージ配信装置は、鍵復元情報付き暗号化メッセージ配信部によって、鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージをメッセージ受信装置に配信する。つまり、鍵復元情報付き暗号化メッセージ配信部は、鍵復元情報付き暗号化メッセージにユーザ識別子の集合が含まれているため、特定の1ユーザを指定して、そのユーザに鍵復元情報付き暗号化メッセージを配信することを繰り返す必要がない。
【0027】
また、本願第3発明に係るメッセージ配信装置は、ユーザ数nと、素数位数pの双線形群Gと、双線形写像e:G×G→GTと、双線形群Gからランダムに選択した生成元gと、0からp−1までの整数の集合Zpからランダムに選択した乱数α,β1,・・・,βn,γ1,γ2とを用いて、式(1)で表されるgh,ν1,ν2を算出して、式(2)で表される前記公開鍵PKと、式(3)で表される前記ユーザごとに個別の秘密鍵SKiとを生成する公開鍵・秘密鍵生成部をさらに備えることを特徴とする。
【0028】
また、本願第4発明に係るメッセージ配信装置は、前記メッセージ暗号鍵生成部が、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記集合Zpからランダムに選択した乱数tとを用いて、式(4)で表される前記共通メッセージ暗号鍵Kと、式(5)で表される前記個別メッセージ暗号鍵K’iとを生成することを特徴とする。
【0029】
また、本願第5発明に係るメッセージ配信装置は、前記鍵復元情報生成部が、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記乱数tとを用いて、式(6)で表される鍵復元情報Hdrを生成することを特徴とする。
【0030】
また、本願第6発明に係るメッセージ受信装置は、本願第2発明に係るメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを受信して復号するメッセージ受信装置であって、公開鍵・秘密鍵記憶部と、鍵復元情報付き暗号化メッセージ受信部と、鍵復元情報付き暗号化メッセージ分離部と、復号判定部と、メッセージ暗号鍵復元部と、共通メッセージ復号部と、個別メッセージ復号部と、を備えることを特徴とする。
【0031】
かかる構成によれば、メッセージ受信装置は、公開鍵・秘密鍵記憶部によって、前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する。また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ受信部によって、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する。
【0032】
また、メッセージ受信装置は、鍵復元情報付き暗号化メッセージ分離部によって、前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する。
【0033】
また、メッセージ受信装置は、復号判定部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する。つまり、復号判定部は、当該メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについては復号可能と判定し、当該メッセージ受信装置のユーザ以外を対象とする鍵復元情報付き暗号化メッセージについては、復号不可能と判定する。
【0034】
また、メッセージ受信装置は、メッセージ暗号鍵復元部によって、前記復号判定部で復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元する。そして、メッセージ受信装置は、共通メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する。さらに、メッセージ受信装置は、個別メッセージ復号部によって、前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する。このように、メッセージ受信装置は、このメッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージから、共通メッセージと個別メッセージとを復号する。
【0035】
また、本願第7発明に係るメッセージ受信装置は、前記メッセージ暗号鍵復元部が、式(2)で表される公開鍵と、式(3)で表される秘密鍵と、式(6)で表される鍵復元情報とを用いて、式(7)で表される共通メッセージ暗号鍵Kと、式(8)で表される個別メッセージ暗号鍵K’iとを復元することを特徴とする。
【0036】
また、前記した課題を解決するため、本願第8発明に係るメッセージ配信装置は、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、前記ユーザに共通する1個の公開鍵および前記ユーザごとに個別の秘密鍵を生成し、前記公開鍵を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵と、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とを生成し、前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記鍵復元情報と、前記共通メッセージ暗号鍵を用いて暗号化した前記共通メッセージと、前記個別メッセージ暗号鍵を用いて暗号化した前記個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信することを特徴とする。
【0037】
ここで、本願第1発明に係るメッセージ配信装置は、コンピュータを、メッセージ暗号鍵生成部、鍵復元情報生成部、共通メッセージ暗号化部、個別メッセージ暗号化部、鍵復元情報付き暗号化メッセージ生成部、鍵復元情報付き暗号化メッセージ配信部として機能させるメッセージ配信プログラムによって実現することもできる。
【0038】
ここで、本願第6発明に係るメッセージ受信装置は、公開鍵・秘密鍵記憶部を備えるコンピュータを、鍵復元情報付き暗号化メッセージ受信部、鍵復元情報付き暗号化メッセージ分離部、復号判定部、メッセージ暗号鍵復元部、共通メッセージ復号部、個別メッセージ復号部として機能させるメッセージ受信プログラムによって実現することもできる。
【発明の効果】
【0039】
本発明によれば、以下のような優れた効果を奏する。
本願第1,2,8発明によれば、各ユーザに固有の秘密鍵を用いることなく、共通メッセージ暗号鍵と、個別メッセージ暗号鍵と鍵復元情報とを生成できるため、放送局が各ユーザと秘密鍵とを紐付けて管理する必要がなくなり、放送局の鍵管理コストを低減できる。また、本願第1,2,8発明によれば、鍵復元情報のデータ量が少ないので、少ない帯域で鍵復元情報付き暗号化メッセージを配信できると共に、特定の1ユーザを指定して鍵復元情報付き暗号化メッセージを繰り返し配信する必要がないため、各ユーザに共通メッセージおよび個別メッセージを効率的に配信することができる。
【0040】
本願第3発明によれば、式(2)で表されるように公開鍵のデータ量を多くした代わりに鍵復元情報のデータ量を少なくできるため、鍵復元情報付き暗号化メッセージの配信帯域をより少なくして、共通メッセージおよび個別メッセージを効率的に配信することができる。
【0041】
本願第5発明によれば、鍵復元情報を二項の数式で表すことができるため、鍵復元情報のデータ量がさらに少なくなり、鍵復元情報付き暗号化メッセージの配信帯域をより少なくして、共通メッセージおよび個別メッセージを効率的に配信することができる。
【0042】
本願第6発明によれば、秘密鍵を用いることなく生成された鍵復元情報から共通メッセージ暗号鍵および個別メッセージ暗号鍵を復元できるため、放送局が各ユーザと秘密鍵とを紐付けて管理する必要がなくなり、放送局の鍵管理コストを低減できる。また、本願第6発明によれば、メッセージ受信装置のユーザを対象とする鍵復元情報付き暗号化メッセージについてのみ復号するため、放送局において特定の1ユーザを指定して鍵復元情報付き暗号化メッセージを繰り返し配信する必要がなく、放送局において各ユーザに共通メッセージおよび個別メッセージを効率的に配信することができる。
【図面の簡単な説明】
【0043】
【図1】本発明の第1実施形態に係る限定受信システムの概略図である。
【図2】図1のコンテンツ配信装置の構成を示すブロック図である。
【図3】図1のコンテンツ受信装置の構成を示すブロック図である。
【図4】図2のコンテンツ配信装置の全体動作を示すフローチャートである。
【図5】図4のステップS2の動作を示すフローチャートである。
【図6】図4のステップS6の動作を示すフローチャートである。
【図7】図3のコンテンツ受信装置の全体動作を示すフローチャートである。
【図8】図7のステップS103の動作を示すフローチャートである。
【図9】本発明の第2実施形態に係る限定受信システムの概略図である。
【図10】図9の鍵発行装置の構成を示すブロック図である。
【図11】図9のコンテンツ配信装置の構成を示すブロック図である。
【発明を実施するための形態】
【0044】
以下、本発明の各実施形態について、適宜図面を参照しながら詳細に説明する。なお、各実施形態において、同一の機能を有する手段には同一の符号を付し、説明を省略した。
【0045】
(第1実施形態)
[限定受信システムの概略]
以下、図1を参照して、本発明の第1実施形態に係る限定受信システム100の概略について説明する。
図1に示すように、限定受信システム100は、コンテンツ配信装置(メッセージ配信装置)1と、コンテンツ受信装置(メッセージ受信装置)7とを備える。そして、限定受信システム100では、コンテンツ配信装置1とコンテンツ受信装置7とが、インターネット、専用IP回線などのネットワーク、または、放送波によって接続されている。なお、図1では、説明を簡易にするため、コンテンツ受信装置7を1台のみ図示したが、2台以上であってもよい。
【0046】
共通メッセージは、例えば、コンテンツ、番組情報などの全ユーザに共通するメッセージである。本実施形態では、共通メッセージがコンテンツであるとして説明する。
個別メッセージは、例えば、契約情報などの各ユーザに個別のメッセージである。
【0047】
コンテンツ配信装置1は、コンテンツと個別メッセージとを暗号化すると共に、暗号化コンテンツと、暗号化個別メッセージと、後記するユーザの集合と、後記するヘッダとが含まれるヘッダ付き暗号化コンテンツを生成して、コンテンツ受信装置7に配信する。このコンテンツ配信装置1は、例えば、放送局に配置される。なお、コンテンツ配信装置1の構成については、後記する。
【0048】
コンテンツ受信装置7は、コンテンツ配信装置1からヘッダ付き暗号化コンテンツを受信すると共に、受信したヘッダ付き暗号化コンテンツがそのコンテンツ受信装置7のユーザを対象としたものか否かを判定する。そして、コンテンツ受信装置7は、受信したヘッダ付き暗号化コンテンツがそのユーザを対象としている場合、ヘッダ付き暗号化コンテンツに含まれる暗号化コンテンツおよび暗号化個別メッセージをそれぞれ復号して、コンテンツの再生や個別メッセージの表示を行う。
ここで、コンテンツ受信装置7は、例えば、ユーザの自宅に配置されたパーソナルコンピュータまたはテレビジョン受信機である。また、コンテンツ受信装置7は、ユーザが所持する携帯電話としてもよい。なお、コンテンツ受信装置7の構成については、後記する。
【0049】
[コンテンツ配信装置の構成]
以下、図2を参照して、コンテンツ配信装置1の構成について説明する。
図2に示すように、コンテンツ配信装置1は、鍵発行手段10と、ヘッダ・鍵生成手段20と、個別メッセージ暗号化手段30と、コンテンツ暗号化・配信手段40とを備える。
【0050】
鍵発行手段10は、パラメータ入力部11と、鍵生成部(公開鍵・秘密鍵生成部)13と、公開鍵記憶部15と、秘密鍵記憶部17とを備える。
パラメータ入力部11は、鍵長などのセキュリティパラメータ、および、限定受信システム100のユーザ数nが入力される。例えば、パラメータ入力部11は、限定受信システム100の初期化が行われる際、セキュリティパラメータおよびユーザ数nが入力される。そして、パラメータ入力部11は、入力されたセキュリティパラメータおよびユーザ数nを鍵生成部13に出力する。
【0051】
鍵生成部13は、パラメータ入力部11からセキュリティパラメータおよびユーザ数nが入力されると共に、入力されたセキュリティパラメータおよびユーザ数nを用いて、全ユーザに共通する公開鍵PKと、各ユーザに固有の秘密鍵SKiを生成する。
【0052】
ここで、鍵生成部13による公開鍵PKおよび秘密鍵SKiの生成について、具体的に説明する。
まず、鍵生成部13は、セキュリティパラメータおよびユーザ数nを基に、素数位数pの双線形群G、および、双線形写像e:G×G→GTを選択する。また、鍵生成部13は、生成元gを双線形群Gからランダムに選択し、0からp−1までの整数の集合Zp(以下、単に「Zp」)から乱数α,β1,・・・,βn,γ1,γ2をそれぞれランダムに選択する。そして、鍵生成部13は、双線形群Gと、双線形写像e:G×G→GTと、生成元gと、α,β1,・・・,βn,γ1,γ2とを用いて、下記の式(1)で表されるgh,ν1,ν2を算出する。
【0053】
【数1】
【0054】
ここで、Gが双線形群であるとは、G上の群演算が効率的に求められ、群GT、および、効率的に計算可能な双線形写像e:G×G→GTが存在する群のことをいう。
【0055】
そして、鍵生成部13は、下記の式(2)で表される公開鍵PKを生成する。この公開鍵PKは、限定受信システム100で1つだけ生成される。
【0056】
【数2】
【0057】
さらに、鍵生成部13は、下記の式(3)で表される秘密鍵SKiを生成する。その後、鍵生成部13は、生成した公開鍵PKを公開鍵記憶部15に記憶し、生成した秘密鍵SKiを秘密鍵記憶部17に記憶する。なお、式(3)において、iは、各ユーザの識別子を示す。
【0058】
【数3】
【0059】
以下、コンテンツ配信装置1の構成について説明を続ける。
公開鍵記憶部15は、鍵生成部13が生成した公開鍵PKを記憶するメモリ、ハードディスクなどの記憶装置である。
秘密鍵記憶部17は、鍵生成部13が生成した秘密鍵SKiを記憶するメモリ、ハードディスクなどの記憶装置である。
【0060】
なお、公開鍵記憶部15に記憶した公開鍵PK、および、秘密鍵記憶部17に記憶した秘密鍵SKiは、様々な方法でユーザ(コンテンツ受信装置7)に配布される。例えば、この公開鍵PKおよび秘密鍵SKiは、オフライン(例えば、郵送)で配布される。また、公開鍵PKおよび秘密鍵SKiは、ネットワークまたは放送波を介して、オンラインで配布してもよい。このとき、秘密鍵SKiは、安全な方法で配布されることが好ましい。
【0061】
ヘッダ・鍵生成手段20は、ユーザ識別子入力部21と、ヘッダ・鍵生成部23とを備える。
ユーザ識別子入力部21は、ユーザ識別子の集合Sが入力されると共に、入力されたユーザ識別子の集合Sをヘッダ・鍵生成部23に出力する。このユーザ識別子の集合Sは、コンテンツおよび個別メッセージを復号可能なユーザを識別するユーザ識別子が1以上含まれるものである。言い換えるなら、このユーザ識別子の集合Sにユーザ識別子が含まれないユーザは、ヘッダ付き暗号化コンテンツから、コンテンツおよび個別メッセージを復号できない。
なお、ユーザ識別子とは、各ユーザを一意に識別できるユーザIDなどの識別情報である。また、ユーザ識別子として、ユーザIDの代わりに、コンテンツ受信装置7に固有の製造番号を用いることもできる。
【0062】
ヘッダ・鍵生成部23は、メッセージ暗号鍵生成部25と、ヘッダ生成部(鍵復元情報生成部)27とを備える。
【0063】
メッセージ暗号鍵生成部25は、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iとを生成する。具体的には、メッセージ暗号鍵生成部25は、ユーザ識別子入力部21からユーザ識別子の集合Sが入力され、公開鍵記憶部15から公開鍵PKを読み出し、Zpから乱数tをランダムに選択する。そして、メッセージ暗号鍵生成部25は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(4)で表される共通メッセージ暗号鍵Kを生成する。この共通メッセージ暗号鍵Kは、コンテンツを暗号化する共通鍵である。
【0064】
【数4】
【0065】
また、メッセージ暗号鍵生成部25は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(5)で表される個別メッセージ暗号鍵K’iを生成する。この個別メッセージ暗号鍵K’iは、個別メッセージを暗号化する共通鍵である。
【0066】
【数5】
【0067】
そして、メッセージ暗号鍵生成部25は、生成した共通メッセージ暗号鍵Kを後記するコンテンツ暗号化部43に出力し、生成した個別メッセージ暗号鍵K’iを後記する個別メッセージ暗号化部33に出力する。
【0068】
ヘッダ生成部27は、コンテンツ受信装置7においてコンテンツおよび個別メッセージ暗号鍵を復元するためのヘッダ(鍵復元情報)Hdrを生成する。具体的には、ヘッダ生成部27は、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、下記の式(6)で表されるヘッダHdrを生成する。そして、ヘッダ生成部27は、生成したヘッダHdrとユーザ識別子の集合Sとを後記するコンテンツ結合部45に出力する。
【0069】
【数6】
【0070】
個別メッセージ暗号化手段30は、個別メッセージ入力部31と、個別メッセージ暗号化部33とを備える。
個別メッセージ入力部31は、個別メッセージMiが入力されると共に、入力された個別メッセージMiを個別メッセージ暗号化部33に出力する。
【0071】
個別メッセージ暗号化部33は、個別メッセージ入力部31から個別メッセージMiが入力され、メッセージ暗号鍵生成部25から個別メッセージ暗号鍵K’iが入力される。そして、個別メッセージ暗号化部33は、この個別メッセージMiを個別メッセージ暗号鍵K’iによって暗号化することで、暗号化個別メッセージC(Mi)を生成する。例えば、個別メッセージ暗号化部33は、DES(Data Encryption Standard)、AES(Advanced Encryption Standard)などの高速処理が可能な共通鍵暗号方式を用いて暗号化を行う。その後、個別メッセージ暗号化部33は、生成した暗号化個別メッセージC(Mi)をコンテンツ結合部45に出力する。
【0072】
コンテンツ暗号化・配信手段40は、コンテンツ入力部41と、コンテンツ暗号化部(共通メッセージ暗号化部)43と、コンテンツ結合部(鍵復元情報付き暗号化メッセージ生成部)45と、コンテンツ配信部(鍵復元情報付き暗号化メッセージ配信部)47とを備える。
コンテンツ入力部41は、コンテンツMが入力されると共に、入力されたコンテンツMをコンテンツ暗号化部43に出力する。
【0073】
コンテンツ暗号化部43は、メッセージ暗号鍵生成部25から共通メッセージ暗号鍵Kが入力され、コンテンツ入力部41からコンテンツMが入力される。そして、コンテンツ暗号化部43は、このコンテンツMを共通メッセージ暗号鍵Kによって暗号化することで、暗号化コンテンツC(M)を生成する。例えば、コンテンツ暗号化部43は、DES、AESなどの高速処理が可能な共通鍵暗号方式を用いて暗号化を行う。その後、コンテンツ暗号化部43は、生成した暗号化コンテンツC(M)をコンテンツ結合部45に出力する。
【0074】
コンテンツ結合部45は、ヘッダ生成部27からヘッダHdrとユーザ識別子の集合Sとが入力され、個別メッセージ暗号化部33から暗号化個別メッセージC(Mi)が入力され、コンテンツ暗号化部43から暗号化コンテンツC(M)が入力される。そして、コンテンツ結合部45は、このヘッダHdrと、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)とを結合させて、ヘッダ付き暗号化コンテンツ<S,Hdr,C(M),{C(Mi)}i∈S>を生成する。その後、コンテンツ結合部45は、生成したヘッダ付き暗号化コンテンツ(鍵復元情報付き暗号化メッセージ)をコンテンツ配信部47に出力する。
【0075】
コンテンツ配信部47は、コンテンツ結合部45からヘッダ付き暗号化コンテンツが入力されると共に、入力されたヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する。例えば、コンテンツ配信部47は、ネットワークまたは放送波を介して、ヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する。
【0076】
[コンテンツ受信装置の構成]
以下、図3を参照して、コンテンツ受信装置7の構成について説明する(適宜図2参照)。
図3に示すように、コンテンツ受信装置7は、ユーザ識別子記憶部71と、鍵記憶部(公開鍵・秘密鍵記憶部)72と、コンテンツ受信部(鍵復元情報付き暗号化メッセージ受信部)73と、コンテンツ分離部(鍵復元情報付き暗号化メッセージ分離部)74と、復号判定部75と、鍵復元部(メッセージ暗号鍵復元部)76と、コンテンツ復号部(共通メッセージ復号部)77と、コンテンツ再生部78と、個別メッセージ復号部79と、個別メッセージ表示部80とを備える。
【0077】
ユーザ識別子記憶部71は、コンテンツ受信装置7のユーザを示すユーザ識別子iを予め記憶するメモリ、ハードディスクなどの記憶装置である。例えば、ユーザが、図示を省略した設定画面を用いて、自らのユーザIDをユーザ識別子記憶部71に予め記憶させておく。
【0078】
鍵記憶部72は、公開鍵記憶部72aと、秘密鍵記憶部72bとを備える。
公開鍵記憶部72aは、放送局(コンテンツ配信装置1)から配布された公開鍵PKを予め記憶するメモリ、ハードディスクなどの記憶装置である。
秘密鍵記憶部72bは、放送局(コンテンツ配信装置1)から配布された秘密鍵SKi、すなわち、コンテンツ受信装置7のユーザに固有の秘密鍵SKiを予め記憶するメモリ、ハードディスクなどの記憶装置である。
【0079】
コンテンツ受信部73は、放送局(コンテンツ配信装置1)から、ヘッダ付き暗号化コンテンツを受信する。そして、コンテンツ受信部73は、受信したヘッダ付き暗号化コンテンツをコンテンツ分離部74に出力する。
【0080】
コンテンツ分離部74は、コンテンツ受信部73からヘッダ付き暗号化コンテンツが入力される。そして、コンテンツ分離部74は、入力されたヘッダ付き暗号化コンテンツから、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを分離する。さらに、コンテンツ分離部74は、分離したユーザ識別子の集合Sを復号判定部75に出力し、分離したヘッダHdrを鍵復元部76に出力する。また、コンテンツ分離部74は、分離した暗号化コンテンツC(M)をコンテンツ復号部77に出力し、分離した暗号化個別メッセージC(Mi)を個別メッセージ復号部79に出力する。
【0081】
復号判定部75は、コンテンツ分離部74から入力されたユーザ識別子の集合Sに、ユーザ識別子記憶部71に記憶されたユーザ識別子iが含まれるか否かによって、受信したヘッダ付き暗号化コンテンツがコンテンツ受信装置7のユーザを対象としたものであるか否かを判定する。すなわち、復号判定部75は、ユーザ識別子の集合Sにユーザ識別子iが含まれる場合には、ヘッダ付き暗号化コンテンツを復号可能と判定する。一方、復号判定部75は、ユーザ識別子の集合Sにユーザ識別子iが含まれない場合には、ヘッダ付き暗号化コンテンツを復号不可能と判定する。そして、復号判定部75は、復号可能または復号不可能を示す判定結果を鍵復元部76に出力する。
【0082】
鍵復元部76は、復号判定部75から入力された判定結果が復号可能である場合、公開鍵記憶部72aに記憶した公開鍵PKと、秘密鍵記憶部72bに記憶した秘密鍵SKiと、コンテンツ分離部74からのヘッダHdrとを用いて、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを復元する。具体的には、鍵復元部76は、公開鍵PKと、秘密鍵SKiと、ヘッダHdrに含まれるC0,C1を用いて、下記の式(7)で表される共通メッセージ暗号鍵Kを復元する。
【0083】
【数7】
【0084】
さらに、鍵復元部76は、公開鍵PKと、秘密鍵SKiと、ヘッダHdrに含まれるgt(つまり、C0)とを用いて、下記の式(8)で表される個別メッセージ暗号鍵K’iとを復元する。その後、鍵復元部76は、復元した共通メッセージ暗号鍵Kをコンテンツ復号部77に出力し、復元した個別メッセージ暗号鍵K’iを個別メッセージ復号部79に出力する。
【0085】
【数8】
【0086】
なお、鍵復元部76は、復号判定部75から入力された判定結果が復号不可能である場合、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを復元しないことは言うまでもない。
【0087】
コンテンツ復号部77は、コンテンツ分離部74から暗号化コンテンツC(M)が入力され、鍵復元部76から共通メッセージ暗号鍵Kが入力される。そして、コンテンツ復号部77は、入力された暗号化コンテンツC(M)を共通メッセージ暗号鍵Kによって復号することで、コンテンツMを生成する。さらに、コンテンツ復号部77は、生成したコンテンツMをコンテンツ再生部78に出力する。
【0088】
コンテンツ再生部78は、コンテンツ復号部77からコンテンツMが入力されると共に、入力されたコンテンツMを再生する。
【0089】
個別メッセージ復号部79は、コンテンツ分離部74から暗号化個別メッセージC(Mi)が入力され、鍵復元部76から個別メッセージ暗号鍵K’iが入力される。そして、個別メッセージ復号部79は、入力された暗号化個別メッセージC(Mi)を個別メッセージ暗号鍵K’iによって復号することで、個別メッセージMiを生成する。さらに、個別メッセージ復号部79は、生成した個別メッセージMiを個別メッセージ表示部80に出力する。
【0090】
個別メッセージ表示部80は、個別メッセージ復号部79から個別メッセージMiが入力されると共に、入力された個別メッセージMiを表示する。
【0091】
なお、コンテンツ受信装置7は、放送波によってコンテンツ配信装置1と接続する場合、テジタル放送を受信するチューナ(不図示)を備えてもよい。
【0092】
[コンテンツ配信装置の動作]
<全体動作>
以下、図4を参照して、コンテンツ配信装置1の全体動作について説明する(適宜図2参照)。
コンテンツ配信装置1は、パラメータ入力部11によって、セキュリティパラメータ、および、限定受信システム100のユーザ数nが入力される(ステップS1)。
【0093】
コンテンツ配信装置1は、セキュリティパラメータおよびユーザ数nを用いて、公開鍵PKと、秘密鍵SKiを生成する(ステップS2)。なお、このステップS2の詳細は、後記する。
【0094】
コンテンツ配信装置1は、ユーザ識別子入力部21によって、ユーザ識別子の集合Sが入力される(ステップS3)。また、コンテンツ配信装置1は、コンテンツ入力部41によって、コンテンツMが入力される(ステップS4)。そして、コンテンツ配信装置1は、個別メッセージ入力部31によって、個別メッセージMiが入力される(ステップS5)。
【0095】
コンテンツ配信装置1は、ヘッダ付き暗号化コンテンツを生成する(ステップS6)。なお、このステップS6の詳細は、後記する。そして、コンテンツ配信装置1は、コンテンツ配信部47によって、生成したヘッダ付き暗号化コンテンツをユーザ(コンテンツ受信装置7)に配信する(ステップS7)。
【0096】
<ステップS2の詳細:公開鍵・秘密鍵の生成>
以下、図5を参照して、図4のステップS2を詳細に説明する(適宜図2,図4参照)。
コンテンツ配信装置1は、鍵生成部13によって、セキュリティパラメータおよびユーザ数nを基に、素数位数pの双線形群Gを選択する(ステップS21)。また、コンテンツ配信装置1は、鍵生成部13によって、双線形写像e、すなわち、ペアリングe:G×G→GTを選択する(ステップS22)。
【0097】
コンテンツ配信装置1は、鍵生成部13によって、生成元gを双線形群Gからランダムに選択する(ステップS23)。また、コンテンツ配信装置1は、鍵生成部13によって、乱数α,β1,・・・,βn,γ1,γ2をZpからランダムに選択する(ステップS24)。
【0098】
コンテンツ配信装置1は、鍵生成部13によって、双線形群Gと、双線形写像e:G×G→GTと、生成元gと、乱数α,β1,・・・,βn,γ1,γ2とを用いて、式(1)で表されるgh,ν1,ν2を算出する(ステップS25)。
【0099】
コンテンツ配信装置1は、鍵生成部13によって、式(2)で表される公開鍵PKを生成し(ステップS26)、式(3)で表される秘密鍵SKiを生成する(ステップS27)。その後、コンテンツ配信装置1は、鍵生成部13によって、生成した公開鍵PKを公開鍵記憶部15に記憶し、生成した秘密鍵SKiを秘密鍵記憶部17に記憶する。
【0100】
<ステップS6の詳細:ヘッダ付き暗号化コンテンツを生成>
以下、図6を参照して、図4のステップS6を詳細に説明する(適宜図2,図4参照)。
コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、Zpから乱数tをランダムに選択する(ステップS61)。
【0101】
コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(4)で表される共通メッセージ暗号鍵Kを生成する。また、コンテンツ配信装置1は、メッセージ暗号鍵生成部25によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(5)で表される個別メッセージ暗号鍵K’iを生成する(ステップS62)。
【0102】
コンテンツ配信装置1は、個別メッセージ暗号化部33によって、個別メッセージMiを個別メッセージ暗号鍵K’iにより暗号化することで、暗号化個別メッセージC(Mi)を生成する(ステップS63)。
【0103】
コンテンツ配信装置1は、ヘッダ生成部27によって、ユーザ識別子の集合Sと、公開鍵PKと、乱数tとを用いて、式(6)で表されるヘッダHdrを生成する(ステップS64)。
【0104】
コンテンツ配信装置1は、コンテンツ暗号化部43によって、コンテンツMを共通メッセージ暗号鍵Kにより暗号化することで、暗号化コンテンツC(M)を生成する(ステップS65)。
【0105】
コンテンツ配信装置1は、コンテンツ結合部45によって、このヘッダHdrと、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)とを結合させて、ヘッダ付き暗号化コンテンツを生成する(ステップS66)。
【0106】
[コンテンツ受信装置の動作]
<全体動作>
以下、図7を参照して、コンテンツ受信装置7の全体動作について説明する(適宜図3参照)。ここで、コンテンツ受信装置7は、ユーザの識別子iと、公開鍵PKと、秘密鍵SKiとを予め記憶していることとして説明する。
【0107】
コンテンツ受信装置7は、コンテンツ受信部73によって、放送局(コンテンツ配信装置1)から、ヘッダ付き暗号化コンテンツを受信する(ステップS101)。
【0108】
コンテンツ受信装置7は、コンテンツ分離部74によって、ヘッダ付き暗号化コンテンツから、ユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを分離する(ステップS102)。
【0109】
コンテンツ受信装置7は、分離したユーザ識別子の集合Sと、暗号化コンテンツC(M)と、暗号化個別メッセージC(Mi)と、ヘッダHdrとを用いて、コンテンツMおよび個別メッセージMiを復号する(ステップS103)。なお、このステップS103の詳細は、後記する。
【0110】
コンテンツ受信装置7は、コンテンツ再生部78によって、コンテンツMを再生する(ステップS104)。そして、コンテンツ受信装置7は、個別メッセージ表示部80によって、個別メッセージMiを表示する(ステップS105)。
【0111】
<ステップS103の詳細:コンテンツおよび個別メッセージMiの復号>
以下、図8を参照して、図7のステップS103を詳細に説明する(適宜図3,図7参照)。
コンテンツ受信装置7は、復号判定部75によって、ユーザ識別子の集合Sにユーザ識別子iが含まれるか否を判定する(ステップS1031)。
【0112】
ユーザ識別子の集合Sにユーザ識別子iが含まれる場合(ステップS1031でYes)、コンテンツ受信装置7は、鍵復元部76によって、公開鍵PKと、秘密鍵SKiと、ヘッダHdrとを用いて、式(7)で表される共通メッセージ暗号鍵Kと、式(8)で表される個別メッセージ暗号鍵K’iとを復元する(ステップS1032)。
【0113】
コンテンツ受信装置7は、個別メッセージ復号部79によって、暗号化個別メッセージC(Mi)を個別メッセージ暗号鍵K’iにより復号することで、個別メッセージMiを生成する(ステップS1033)。
【0114】
コンテンツ受信装置7は、コンテンツ復号部77によって、暗号化コンテンツC(M)を共通メッセージ暗号鍵Kにより復号することで、コンテンツMを生成する(ステップS1034)。
【0115】
一方、ユーザ識別子の集合Sにユーザ識別子iが含まれない場合(ステップS1031でNo)、コンテンツ受信装置7は、復号処理を終了する。
【0116】
以上のように、限定受信システム100は、各ユーザに固有の秘密鍵SKiを用いることなく、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iとヘッダHdrとを生成できるため、放送局で各ユーザと秘密鍵とを紐付けて管理する必要がない。さらに、限定受信システム100は、共通メッセージ暗号鍵Kおよび個別メッセージ暗号鍵K’iを放送局が秘密に管理する必要もない。これによって、限定受信システム100は、放送局の鍵管理コストを低減できる。
【0117】
また、限定受信システム100は、公開鍵PKのデータ量を多くした代わりに、式(6)のようにヘッダHdrのデータ量を少なくできるため、ヘッダ付き暗号化コンテンツの配信帯域を少なくできる。さらに、限定受信システム100は、ヘッダ付き暗号化コンテンツにユーザ識別子の集合Sが含まれているため、ユーザ識別子の集合Sに含まれるユーザつまり、放送局によって許可されたユーザのみがヘッダHdrを復元して、コンテンツMおよび個別メッセージMiを復号できる。従って、限定受信システム100は、特定の1ユーザを指定して、ヘッダ付き暗号化コンテンツを繰り返し配信する必要がない。これによって、限定受信システム100は、コンテンツMおよび個別メッセージMiを各ユーザに効率的に配信することができる。
【0118】
この限定受信システム100によれば、例えば、誰でも、ネットワークを利用してコンテンツを配信する放送局になることが可能である。そして、この限定受信システム100によれば、例えば、契約情報からユーザの嗜好を分析し、各ユーザにおすすめ番組情報などの個別メッセージMiを配信することができる。
【0119】
なお、本実施形態では、コンテンツ配信装置1が秘密鍵記憶部17に秘密鍵SKiを記憶するとして説明したが、これに限定されない。例えば、コンテンツ配信装置1は、ユーザに秘密鍵SKiを配布した後、配布済みの秘密鍵SKiを秘密鍵記憶部17から削除してもよい。
【0120】
(第2実施形態)
[限定受信システムの概略]
以下、図9を参照して、本発明の第2実施形態に係る限定受信システム100Bの概略について、第1実施形態と異なる点を主に説明する。この限定受信システム100Bでは、図2のコンテンツ配信装置1が備える鍵発行手段10を、鍵発行装置9として独立させたものである。
【0121】
図9に示すように、限定受信システム100Bは、コンテンツ配信装置1Bと、コンテンツ受信装置7と、鍵発行装置9とを備える。そして、限定受信システム100Bでは、コンテンツ配信装置1Bとコンテンツ受信装置7と鍵発行装置9とが、ネットワークまたは放送波によって接続されている。
【0122】
[鍵発行装置の構成]
以下、図10を参照して、図9の鍵発行装置9の構成について説明する。
鍵発行装置9は、公開鍵PKおよび秘密鍵SKiを生成して、公開鍵PKを放送局およびユーザに配布し、秘密鍵SKiをユーザに配布する。このため、鍵発行装置9は、パラメータ入力部11と、鍵生成部13と、公開鍵記憶部15と、秘密鍵記憶部17とを備える。なお、鍵発行装置9の各手段は、図2と同様のため、説明を省略する。
【0123】
[コンテンツ配信装置の構成]
以下、図11を参照して、図9のコンテンツ配信装置1Bの構成について、第1実施形態と異なる点を主に説明する。コンテンツ配信装置1Bは、鍵発行装置9から配布された公開鍵PKを用いて、共通メッセージ暗号鍵Kと、個別メッセージ暗号鍵K’iと、ヘッダHdrとを生成する。このため、コンテンツ配信装置1Bは、図2の鍵発行手段10の代わりに、公開鍵記憶部29を備える。
【0124】
公開鍵記憶部29は、鍵発行装置9から配布された公開鍵PKを記憶するメモリ、ハードディスクなどの記憶装置である。なお、公開鍵記憶部29以外の各手段は、図2と同様のため、説明を省略する。
【0125】
なお、コンテンツ受信装置7は、公開鍵PKおよび秘密鍵SKiの配布元が鍵発行装置9に代わる以外、図3と同様のため、説明を省略する。
【0126】
なお、限定受信システム100Bの各装置については、図4のステップS1,S2および図5の全ステップが鍵発行装置9で実行される以外、第1実施形態と同様のため、動作の説明を省略する。
【0127】
以上のように、本発明の第2実施形態に係る限定受信システム100Bは、第1実施形態と同様、放送局の鍵管理コストを低減できると共に、共通メッセージMおよび個別メッセージMiを効率的に配信することができる。
【0128】
なお、図9では、コンテンツ配信装置1Bを1台だけ図示したが、限定受信システム100Bは、コンテンツ配信装置1Bを複数備えてもよい。このように、複数の放送局が存在する場合、限定受信システム100Bは、各放送局で秘密鍵SKiを共有する必要がないので、限定受信システム100B全体で鍵管理コストを低減できることに加え、秘密鍵SKiの漏洩リスクも最小限に抑えることができる。
【0129】
なお、各実施形態では、本発明に係るコンテンツ配信装置およびコンテンツ受信装置を独立した装置として説明したが、本発明では、一般的なコンピュータを、前記した各手段として機能させるプログラムによって動作させることもできる。このプログラムは、通信回線を介して配布しても良く、CD−ROMやフラッシュメモリ等の記録媒体に書き込んで配布しても良い。
【実施例】
【0130】
以下、本発明の実施例として、本発明のヘッダについて、従来技術と比較して説明する。本発明では、放送局が共通メッセージ暗号鍵と、|S|個の個別メッセージ暗号鍵とを配信する場合、1つのヘッダのみを配信すればよい。この場合、本発明では、式(6)に示すように、群G上の2つの要素を必要とする。
【0131】
一方、従来のブロードキャスト暗号化方式において、共通メッセージおよび個別メッセージを配信する場合を考える。この場合、従来のブロードキャスト暗号化方式では、共通メッセージ暗号鍵用のヘッダを1個、|S|個の個別メッセージ暗号鍵用のヘッダを|S|個、合計|S|+1個のヘッダを配信することになる。例えば、非特許文献3に記載のブロードキャスト暗号化方式では、群G上の2|S|+2個の要素を必要とする。
【0132】
また、従来の複数受信者用公開鍵暗号では、共通メッセージ暗号鍵用の暗号文と、個別メッセージ暗号鍵用の暗号文を|S|個、生成する必要がある。例えば、非特許文献4のエルガマル暗号をベースにした方式では、群G上において、2|S|+2個の要素を必要とする。以上のように、本発明は、従来技術と比べて、必要とする要素数が少ないために、ヘッダのデータ量を少なくできることがわかる。
【符号の説明】
【0133】
1,1B コンテンツ配信装置(メッセージ配信装置)
10 鍵発行手段
11 パラメータ入力部
13 鍵生成部(公開鍵・秘密鍵生成部)
15,29 公開鍵記憶部
17 秘密鍵記憶部
20 ヘッダ・鍵生成手段
21 ユーザ識別子入力部
23 ヘッダ・鍵生成部
25 メッセージ暗号鍵生成部
27 ヘッダ生成部(鍵復元情報生成部)
30 個別メッセージ暗号化手段
31 個別メッセージ入力部
33 個別メッセージ暗号化部
40 コンテンツ暗号化・配信手段
41 コンテンツ入力部
43 コンテンツ暗号化部(共通メッセージ暗号化部)
45 コンテンツ結合部(鍵復元情報付き暗号化メッセージ生成部)
47 コンテンツ配信部(鍵復元情報付き暗号化メッセージ配信部)
7 コンテンツ受信装置(メッセージ受信装置)
71 ユーザ識別子記憶部
72 鍵記憶部(公開鍵・秘密鍵記憶部)
73 コンテンツ受信部(鍵復元情報付き暗号化メッセージ受信部)
74 コンテンツ分離部(鍵復元情報付き暗号化メッセージ分離部)
75 復号判定部
76 鍵復元部(メッセージ暗号鍵復元部)
77 コンテンツ復号部(共通メッセージ復号部)
78 コンテンツ再生部
79 個別メッセージ復号部
80 個別メッセージ表示部
9 鍵発行装置
100,100B 限定受信システム
【特許請求の範囲】
【請求項1】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化して配信するメッセージ配信装置と、前記メッセージ配信装置によって暗号化された前記共通メッセージと前記個別メッセージとを受信して復号するメッセージ受信装置と、を備える限定受信システムであって、
前記メッセージ配信装置は、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部と、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部と、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部と、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部と、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部と、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部と、を備え、
前記メッセージ受信装置は、
前記公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する公開鍵・秘密鍵記憶部と、
前記メッセージ配信装置から前記鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部と、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部と、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部と、
を備えることを特徴とする限定受信システム。
【請求項2】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部と、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部と、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部と、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部と、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部と、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部と、
を備えることを特徴とするメッセージ配信装置。
【請求項3】
ユーザ数nと、素数位数pの双線形群Gと、双線形写像e:G×G→GTと、双線形群Gからランダムに選択した生成元gと、0からp−1までの整数の集合Zpからランダムに選択した乱数α,β1,・・・,βn,γ1,γ2とを用いて、下記の式(1)で表されるgh,ν1,ν2を算出して、下記の式(2)で表される前記公開鍵PKと、下記の式(3)で表される前記ユーザごとに個別の秘密鍵SKiとを生成する公開鍵・秘密鍵生成部をさらに備えることを特徴とする請求項2に記載のメッセージ配信装置。
【数1】
【数2】
【数3】
【請求項4】
前記メッセージ暗号鍵生成部は、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記集合Zpからランダムに選択した乱数tとを用いて、下記の式(4)で表される前記共通メッセージ暗号鍵Kと、下記の式(5)で表される前記個別メッセージ暗号鍵K’iとを生成することを特徴とする請求項3に記載のメッセージ配信装置。
【数4】
【数5】
【請求項5】
前記鍵復元情報生成部は、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記乱数tとを用いて、下記の式(6)で表される鍵復元情報Hdrを生成することを特徴とする請求項4に記載のメッセージ配信装置。
【数6】
【請求項6】
請求項2に記載のメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを受信して復号するメッセージ受信装置であって、
前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する公開鍵・秘密鍵記憶部と、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部と、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部と、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部と、
を備えることを特徴とするメッセージ受信装置。
【請求項7】
前記メッセージ暗号鍵復元部は、請求項3に記載の公開鍵と、請求項3に記載の秘密鍵と、請求項5に記載の鍵復元情報とを用いて、下記の式(7)で表される前記共通メッセージ暗号鍵Kと、下記の式(8)で表される前記個別メッセージ暗号鍵K’iとを復元することを特徴とする請求項6に記載のメッセージ受信装置。
【数7】
【数8】
【請求項8】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するために、コンピュータを、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部、
として機能させるためのメッセージ配信プログラム。
【請求項9】
請求項2に記載のメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、メッセージ受信装置のユーザに対するメッセージである個別メッセージとを受信して復号するために、前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵と予め記憶する公開鍵・秘密鍵記憶部を備えるコンピュータを、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部、
として機能させるためのメッセージ受信プログラム。
【請求項10】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、
前記ユーザに共通する1個の公開鍵および前記ユーザごとに個別の秘密鍵を生成し、
前記公開鍵を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵と、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とを生成し、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記鍵復元情報と、前記共通メッセージ暗号鍵を用いて暗号化した前記共通メッセージと、前記個別メッセージ暗号鍵を用いて暗号化した前記個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信することを特徴とするメッセージ配信装置。
【請求項1】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化して配信するメッセージ配信装置と、前記メッセージ配信装置によって暗号化された前記共通メッセージと前記個別メッセージとを受信して復号するメッセージ受信装置と、を備える限定受信システムであって、
前記メッセージ配信装置は、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部と、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部と、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部と、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部と、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部と、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部と、を備え、
前記メッセージ受信装置は、
前記公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する公開鍵・秘密鍵記憶部と、
前記メッセージ配信装置から前記鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部と、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部と、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部と、
を備えることを特徴とする限定受信システム。
【請求項2】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部と、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部と、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部と、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部と、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部と、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部と、
を備えることを特徴とするメッセージ配信装置。
【請求項3】
ユーザ数nと、素数位数pの双線形群Gと、双線形写像e:G×G→GTと、双線形群Gからランダムに選択した生成元gと、0からp−1までの整数の集合Zpからランダムに選択した乱数α,β1,・・・,βn,γ1,γ2とを用いて、下記の式(1)で表されるgh,ν1,ν2を算出して、下記の式(2)で表される前記公開鍵PKと、下記の式(3)で表される前記ユーザごとに個別の秘密鍵SKiとを生成する公開鍵・秘密鍵生成部をさらに備えることを特徴とする請求項2に記載のメッセージ配信装置。
【数1】
【数2】
【数3】
【請求項4】
前記メッセージ暗号鍵生成部は、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記集合Zpからランダムに選択した乱数tとを用いて、下記の式(4)で表される前記共通メッセージ暗号鍵Kと、下記の式(5)で表される前記個別メッセージ暗号鍵K’iとを生成することを特徴とする請求項3に記載のメッセージ配信装置。
【数4】
【数5】
【請求項5】
前記鍵復元情報生成部は、前記ユーザ識別子の集合Sと、前記公開鍵PKと、前記乱数tとを用いて、下記の式(6)で表される鍵復元情報Hdrを生成することを特徴とする請求項4に記載のメッセージ配信装置。
【数6】
【請求項6】
請求項2に記載のメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを受信して復号するメッセージ受信装置であって、
前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵とを予め記憶する公開鍵・秘密鍵記憶部と、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部と、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部と、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部と、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部と、
を備えることを特徴とするメッセージ受信装置。
【請求項7】
前記メッセージ暗号鍵復元部は、請求項3に記載の公開鍵と、請求項3に記載の秘密鍵と、請求項5に記載の鍵復元情報とを用いて、下記の式(7)で表される前記共通メッセージ暗号鍵Kと、下記の式(8)で表される前記個別メッセージ暗号鍵K’iとを復元することを特徴とする請求項6に記載のメッセージ受信装置。
【数7】
【数8】
【請求項8】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するために、コンピュータを、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合が入力され、前記ユーザに共通する公開鍵および前記ユーザ識別子の集合を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵とを生成するメッセージ暗号鍵生成部、
前記公開鍵および前記ユーザ識別子の集合を用いて、前記メッセージ受信装置において前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報を生成する鍵復元情報生成部、
前記共通メッセージが入力されると共に、入力された当該共通メッセージを前記メッセージ暗号鍵生成部が生成した共通メッセージ暗号鍵によって暗号化することで、暗号化共通メッセージを生成する共通メッセージ暗号化部、
前記個別メッセージが入力されると共に、入力された当該個別メッセージを前記メッセージ暗号鍵生成部が生成した個別メッセージ暗号鍵によって暗号化することで、暗号化個別メッセージを生成する個別メッセージ暗号化部、
前記ユーザ識別子の集合と、前記鍵復元情報生成部が生成した鍵復元情報と、前記共通メッセージ暗号化部が生成した暗号化共通メッセージと、前記個別メッセージ暗号化部が生成した暗号化個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを生成する鍵復元情報付き暗号化メッセージ生成部、
前記鍵復元情報付き暗号化メッセージ生成部が生成した鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信する鍵復元情報付き暗号化メッセージ配信部、
として機能させるためのメッセージ配信プログラム。
【請求項9】
請求項2に記載のメッセージ配信装置によって暗号化された、1以上のユーザに共通するメッセージである共通メッセージと、メッセージ受信装置のユーザに対するメッセージである個別メッセージとを受信して復号するために、前記ユーザに共通する公開鍵と、前記メッセージ受信装置のユーザに固有の秘密鍵と予め記憶する公開鍵・秘密鍵記憶部を備えるコンピュータを、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記共通メッセージを共通メッセージ暗号鍵で暗号化した暗号化共通メッセージと、前記個別メッセージを個別メッセージ暗号鍵で暗号化した暗号化個別メッセージと、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とが含まれる鍵復元情報付き暗号化メッセージを受信する鍵復元情報付き暗号化メッセージ受信部、
前記鍵復元情報付き暗号化メッセージ受信部が受信した鍵復元情報付き暗号化メッセージから、前記ユーザ識別子の集合と、前記暗号化共通メッセージと、前記暗号化個別メッセージと、前記鍵復元情報とを分離する鍵復元情報付き暗号化メッセージ分離部、
前記鍵復元情報付き暗号化メッセージ分離部が分離したユーザ識別子の集合に、当該メッセージ受信装置のユーザを示すユーザ識別子が含まれる場合には前記鍵復元情報付き暗号化メッセージを復号可能と判定する復号判定部、
前記復号判定部によって復号可能と判定された場合、前記公開鍵と、前記秘密鍵と、前記鍵復元情報とを用いて、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するメッセージ暗号鍵復元部、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化共通メッセージを、前記メッセージ暗号鍵復元部が復元した共通メッセージ暗号鍵によって復号することで、前記共通メッセージを生成する共通メッセージ復号部、
前記鍵復元情報付き暗号化メッセージ分離部が分離した暗号化個別メッセージを、前記メッセージ暗号鍵復元部が復元した個別メッセージ暗号鍵によって復号することで、前記個別メッセージを生成する個別メッセージ復号部、
として機能させるためのメッセージ受信プログラム。
【請求項10】
1以上のユーザに共通するメッセージである共通メッセージと、前記ユーザごとに個別のメッセージである個別メッセージとを暗号化してメッセージ受信装置に配信するメッセージ配信装置であって、
前記ユーザに共通する1個の公開鍵および前記ユーザごとに個別の秘密鍵を生成し、
前記公開鍵を用いて、前記共通メッセージを暗号化する共通メッセージ暗号鍵と、前記個別メッセージを暗号化する個別メッセージ暗号鍵と、前記共通メッセージ暗号鍵および前記個別メッセージ暗号鍵を復元するための鍵復元情報とを生成し、
前記共通メッセージおよび前記個別メッセージを復号可能なユーザを識別するユーザ識別子の集合と、前記鍵復元情報と、前記共通メッセージ暗号鍵を用いて暗号化した前記共通メッセージと、前記個別メッセージ暗号鍵を用いて暗号化した前記個別メッセージとが含まれる鍵復元情報付き暗号化メッセージを前記メッセージ受信装置に配信することを特徴とするメッセージ配信装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−39245(P2012−39245A)
【公開日】平成24年2月23日(2012.2.23)
【国際特許分類】
【出願番号】特願2010−175482(P2010−175482)
【出願日】平成22年8月4日(2010.8.4)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り (1)社団法人電子情報通信学会から2010年6月24日に発行された刊行物「電子情報通信学会技術研究報告」において発表 (2)社団法人電子情報通信学会が2010年7月1日〜2日に開催した「情報セキュリティ研究会」において2010年7月2日に文書をもって発表
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
【公開日】平成24年2月23日(2012.2.23)
【国際特許分類】
【出願日】平成22年8月4日(2010.8.4)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り (1)社団法人電子情報通信学会から2010年6月24日に発行された刊行物「電子情報通信学会技術研究報告」において発表 (2)社団法人電子情報通信学会が2010年7月1日〜2日に開催した「情報セキュリティ研究会」において2010年7月2日に文書をもって発表
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
[ Back to top ]