ICカード、受信装置、端末リスト生成装置及び端末認証方法
【課題】リボークリストの配布が容易であり、またICカード等のセキュリティモジュールでの検証処理負荷の軽減を得られる。
【解決手段】受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部(119a)と、前記端末認証リストが無効端末リストであるか有効端末リストであるかを、第1の識別情報を参照して第1の判別結果を得る第1の判別部(119b)と、前記端末認証リストに前記受信装置IDが含まれるか否かを判別し第2の判別結果を得る第2の判別部(119c)と、前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部(119d)を備える。
【解決手段】受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部(119a)と、前記端末認証リストが無効端末リストであるか有効端末リストであるかを、第1の識別情報を参照して第1の判別結果を得る第1の判別部(119b)と、前記端末認証リストに前記受信装置IDが含まれるか否かを判別し第2の判別結果を得る第2の判別部(119c)と、前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部(119d)を備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ICカード、受信装置、端末リスト生成装置及び端末認証方法に関し、特にディジタル放送を受信するディジタル放送受信装置や通信ネットワーク経由でコンテンツ視聴を行う受信機に適用されて有効である。
【背景技術】
【0002】
近年、通信衛星や放送衛星を用いた衛星ディジタル放送や地上波ディジタル放送が行われている。衛星ディジタル放送では有料放送が行われており、チャンネル単位、番組単位、時間単位など様々な方法で視聴制御を可能にする限定受信システムが運用されている(例えば、公知例文献1参照)。
【0003】
この限定受信システムでは、利用者の契約状態等に応じた個別契約情報を受信装置に伝送し、受信装置や受信装置に挿入して用いるICカードに設定する。
【0004】
以下、ICカード等のセキュリティモジュールに設定する場合も含めて受信装置に設定すると説明する。各受信装置に伝送する個別の視聴契約情報はEMM(Entitlement Management Message)データと呼ばれている。
【0005】
EMMデータには受信装置固有のID(Identification)番号が付加されている。
【0006】
EMMデータは、受信装置固有のID毎にユニークなマスター鍵(Km)により暗号化された後、放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0007】
また、映像、音声、データ等のコンテンツは、スクランブル鍵(Ks)によりスクランブル化された後、放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0008】
スクランブル鍵(Ks)はEMMデータの一部として伝送されるワーク鍵(Kw)によって暗号化された後、ECM(Entitlement Control Message)として放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0009】
現在、国内のディジタル放送はARIB-STD B25に準拠した方式で運用されており、上述したようなECM、EMMを利用した3重鍵構造になっている。ここで使用される暗号方式は共通鍵暗号方式であり、情報の送り手と受け手が同じ鍵を共有することで暗号化された情報を送受するものである。
【0010】
次に、ICカードを発行管理する鍵管理センタ、放送を行う放送局、放送を受信する受信機、受信機に接続されるICカード間での情報のやり取りを説明する。
【0011】
鍵管理センタはICカードに固有のIDとマスター鍵(Km)を埋め込んでICカードを発行する。発行されたICカードが接続される受信機で番組を視聴するためは、受信機と放送局間での契約が行われる。この契約の方法としては、各種の方法がある。例えば、ユーザが書面あるは電話で、放送局へ番組視聴の申し込みを行なう。
【0012】
番組視聴の契約が成立すると、放送局から鍵管理センタに対して、ワーク鍵(Kw)を含むEMMを対象のICカードのマスター鍵(Km)で暗号化する依頼が行われる。放送局は、マスター鍵(Km)で暗号化されたEMMを放送経由で受信機へ配信する。
【0013】
EMMを受信した受信機は、それをICカードに送り、ICカードでは設定されているKmでEMMを復号化し、ワーク鍵(Kw)を抽出し、これをメモリに記憶する。
【0014】
番組視聴時には、受信機は、放送経由で取得したECMをICカードに送る。ICカードではワーク鍵(Kw)でECMを復号してスクランブル鍵(Ks)を抽出し、それを受信機に返す。受信機はそのスクランブル鍵(Ks)でコンテンツを復号する。
【0015】
しかしながら、受信機とICカードという分離した装置間で送受されるスクランブル鍵(Ks)は暗号化されていない。このため、スクランブル鍵(Ks)をハッキングされる恐れがあること、コンテンツ保護を守らない不正な受信機でもスクランブル鍵(Ks)を取得できてしまうこと、このような受信機を排除するする機能がないという問題がある。
【0016】
ARIB-STD B25でもこの対策として、受信機とICカードは動作開始時、認証情報を用いて認証動作を行う旨の記載があるが、具体的な規定はなされていない。
【0017】
一般にこのような認証処理においては、リボークリストとも呼ばれる端末認証リストが鍵管理機関から発行され、たとえば配信事業者を通じて配布され利用されることが多い。たとえば、公知例文献2のようなものがある。リボークリストはICカードのようなセキュリティモジュール内で認証処理を実行し、その結果に基づいて上記のスクランブル鍵(Ks)のような復号鍵の受け渡しを制御する。
【0018】
リボークリストには不正利用が認められた無効端末が記載されているか、あるいは正しい利用がなされている有効端末が記載されている。このリボークリストは、これを配布するのに利用する伝送帯域の削減という観点やICカード等のセキュリティモジュールでの検証処理負荷の軽減という観点から、そのデータ量はできる限り小さいことが望ましい。
【0019】
ところが、リボークリストのデータ量は、配布からの時間経過にしたがって大きく変動する可能性がある。たとえば、対象端末(無効端末、或いは有効端末)が増加していくと一般にデータ量は増加する傾向になる。また、メーカや機種等の端末実装によってセキュリティ強度にばらつきはあり、不正利用端末がいったん発生するとインターネット等での不正手段の開示によって短期間に対象の無効端末が急増する可能性がある。この結果、突発的にこのデータ量が大きく増減する場合もある。
【特許文献1】特許 2941398号
【非特許文献1】RFC3280 X509.2( Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List Profile version2)
【発明の開示】
【発明が解決しようとする課題】
【0020】
この発明は、リボークリストの配布が容易であり、またICカード等のセキュリティモジュールでの検証処理負荷の軽減を得られる端末認証方式およびその装置を提供することを目的とする。またこの発明は、不正な受信機の排除を円滑かつ迅速に実現することが可能なICカード、受信装置、端末リスト生成装置及び端末認証方法を提供することを目的とする。
【課題を解決するための手段】
【0021】
上記の目的を達成するために、この発明の一実施形態に係るICカードでは、受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部と、前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる第1の識別情報を参照して判別した第1の判別結果を得る第1の判別部と、前記端末認証リストに前記受信装置IDが含まれるか否かを判別した第2の判別結果を得る第2の判別部と、前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部と、を備える。
【0022】
また、この発明の一実施形態に係る受信装置では、放送波を受信する受信部と、前記受信部の受信出力をデスクランブルし、デコードし、映像及び音声を復号する信号処理部と、外部ネットワークに接続される通信処理部と、前記通信処理部を介してサーバーから取得した端末認証リストのグループ識別情報を判定するグループ識別情報判定部と、グループ識別情報が、自身を特定するグループであるときに、前記端末認証リストをメモリ部に格納するリスト取り込み部と、視聴契約情報が設定されるICカードを接続するインターフェースと、少なくとも前記インターフェースが動作活性化されたとき、前記端末認証リストと受信装置IDを前記インターフェースに出力する認証開始部と、前記ICカードから前記端末認証リストと受信装置IDとの検査結果で、認証できない旨の応答があったときに、その応答結果を前記表示処理部に出力する認証結果表示処理部とを有する。
【0023】
また、この発明の一実施形態に係る端末リスト生成装置では、端末のグループ別分類を行なうグループ分類部と、所定のグループに分類された端末の端末リストにグループ識別情報を付加するグループ識別付加部と、前記所定のグループの端末の端末リストを、有効端末の端末リスト、無効端末の端末リストに分けて集合する第1、第2の端末ID収集部と、前記第1、第2の端末ID収集部からの有効端末の端末リスト、無効端末の端末リストにそれぞれ有効、無効の識別情報を付加する識別情報付加部と、前記有効、無効の識別情報が付加された有効端末の端末リスト、無効端末の端末リストのうち、データ量の少ないリストを伝送用として選択する切換え部を有する。
【0024】
なお、装置に係る本発明は方法に係る発明としても成立し、方法に係る本発明は装置に係る発明としても成立する。
【0025】
また、装置または方法に係る本発明は、コンピュータに当該発明に相当する手順を実行させるための(あるいはコンピュータを当該発明に相当する手段として機能させるための、あるいはコンピュータに当該発明に相当する機能を実現させるための)プログラムとしても成立し、該プログラムを記録したコンピュータ読み取り可能な記録媒体としても成立する。
【発明の効果】
【0026】
本発明により、比較的簡便な方法で受信機とICカード間での認証を行うことができ、不正受信機の排除が円滑かつ迅速に可能となる。
【発明を実施するための最良の形態】
【0027】
以下、図面を参照しながら本発明の実施の形態について説明する。
【0028】
(第1の実施形態)
図1は、本発明の一実施形態に係る受信装置の構成を示すブロック図である。なお、この実施形態では、コンテンツを放送経由で受信するものとして説明するが、本発明は必ずしもこれに限定されず、コンテンツを通信ネットワーク経由やケーブル経由で受信する場合にも本発明を適用することができる。
【0029】
図1において、ディジタル放送受信装置101は、チューナ部102、デスクランブラ103、TSデコード部104、映像音声デコード部105、表示処理部106、制御部107、キー入力部108、ICカードI/F部110、メモリ部112、通信処理部111から構成されている。
【0030】
チューナ部102は、ディジタル放送受信装置101に入力された放送波から所望のチャンネルを選局し、この選局したチャンネルのトランスポートストリーム(以下、TSと記す)をデスクランブラ103へ出力する。TSはコンテンツ保護のためにスクランブルされている。
【0031】
デスクランブラ103は、チューナ部102から入力されたTSをデスクランブルしてTSデコード部104へ出力する。
【0032】
TSデコード部104は、デスクランブラ103から入力されたTSからPSI(Program Specific Information)を基に必要なパケットを分離し、この分離したパケットから更に、放送番組信号(映像、音声)の抽出や各種多重データ(各種SI(Service Information)データやECM,EMM等)を分離する。また、TSデコード部104は、分離した放送番組信号(映像、音声)は映像音声デコード部105へ出力する。
【0033】
映像音声デコード部105は、TSデコード部104から入力された放送番組信号(映像、音声)のデコードを行い、表示処理部106へ出力する。
【0034】
表示処理部106は、映像音声デコード部105から入力された放送番組信号(映像、音声)を図示しない外部のモニタへ出力し表示・音声再生させる。また、表示処理部106は、ユーザとのインターフェース機能を果たすために各種エラー情報の表示画像信号を生成し、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。また、表示処理部106は、TSデコード部104で分離されたSIデータから構成されたEPG(Electric Program Guide)画像信号を生成し、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。
【0035】
キー入力部108は、リモートコントローラ(リモコン)109等のユーザインターフェース機器からの赤外線等による遠隔操作信号を受信する機能を有している。
【0036】
メモリ部112はRAM、不揮発性メモリで構成され、不揮発性メモリには少なくとも鍵管理機関より発行された受信装置の端末IDがディジタル放送受信装置101の製造時等に設定される。
【0037】
通信処理部111は、Ethernet(登録商標)等のネットワーク回線に接続され、ネットワークを介してデータの送受を行うものであり、コンテンツ配信事業者のサーバーからコンテンツの受信、ECMやEMMを受信する機能の他、受信装置の端末IDリスト(端末認証リスト)を取得する機能を有している。この取得された端末認証リストは、メモリ部112に記憶される。
【0038】
端末認証リストは、放送波を受信した受信部から取得、または、通信処理部を介してサーバーから取得される。端末認証リストは、必ずしもサーバーから取得しなくてもよい。
【0039】
制御部107は、上記した各機能を統合して制御する機能を有しており、バス接続やシリアル通信接続等で各機能をコントロールする。
【0040】
ICカードI/F部110は、ISO規格であるISO7816に準拠したICカードインターフェースである。
【0041】
ICカード115は契約管理や視聴制御を行うものであり、CPU119,ROM116,RAM117,不揮発性メモリ120,I/F部118等から構成されており、ディジタル放送受信装置101とはISO規格であるISO7816に準拠したインターフェースで接続される。ICカード115内の不揮発性メモリ120には、少なくともカードID、カード固有の鍵が予め設定されている。
【0042】
制御部107は、TSデコード部104でTSから分離されたEMMやECMを、ICカードI/F部110を介してICカード115へ出力する。
【0043】
ICカード115は、ICカードI/F部110からEMMが入力された場合、カード固有の鍵で復号して、ワーク鍵(Kw)等契約により取得される情報をICカード115内の不揮発性メモリ120に記憶する。また、ICカード115は、ICカードI/F部110からECMが入力された場合、ICカード115内の不揮発性メモリ120に記憶しているワーク鍵(Kw)で復号して、番組を視聴可能か否かの判定後、視聴可能な場合にはスクランブルを解くためのスクランブル鍵(Ks)をディジタル放送受信装置101へ出力する。
【0044】
ディジタル放送受信装置101では、制御部107がICカード115から入力されたスクランブル鍵(Ks)をデスクランブラ103にセットすることにより、デスクランブラ103にてコンテンツのデスクランブルが行われて番組を視聴可能となる。
【0045】
次に、上記のように構成された受信装置の動作について図を用いて詳細に説明する。本発明では、ディジタル放送受信装置101とICカード115とは認証を行う。
【0046】
(通常の認証シーケンス)
図2に、上記ディジタル放送受信装置101の電源オン(ON)時(ICカードインターフェース活性化時)に起動する認証シーケンスの例を示す。
【0047】
ディジタル放送受信装置101とICカード115との認証シーケンスの起動タイミングとしては、(1)ディジタル放送受信装置101の電源ON時、(2)ICカードインターフェース110活性化時、(3)ICカード115からの指示、(4)通信中のサーバーからの指示、(5)ディジタル放送受信装置101の時計機能による定期的起動、等がある。
【0048】
先にも説明したが、メモリ部112はRAM、不揮発性メモリで構成され、不揮発性メモリには少なくとも鍵管理機関より発行された受信装置の端末IDがディジタル放送受信装置101の製造時等に設定されている。また、ディジタル放送受信装置101は、前回までの起動で通信処理部111を介して配信事業者のサーバーから取得した、当該端末IDに対応する端末認証リスト(端末IDリスト)をメモリ部112に記憶している。もし、ディジタル放送受信装置101が、端末認証リストをメモリ部112に記憶していなければ、通信処理部111を介して配信事業者のサーバーから端末認証リストを取得する。以下、図2を共に参照しながら説明しながら、各部の動作を個々に説明する。したがって、図2、図3、図4において対応する部分のステップには、同じ符号が付されている。
【0049】
(ディジタル放送受信装置101の動作)
図3はディジタル放送受信装置101の電源ON時(ICカードインターフェース活性化時)のディジタル放送受信装置101の動作を示すフローチャートである。
【0050】
ステップS301:電源ON時(インターフェース活性化時)、ディジタル放送受信装置101内の制御部107は、メモリ部112から読み出した端末IDと端末認証リストとをICカードへ出力し、ステップS302へ進む。
【0051】
ステップS302:ICカード115からのレスポンスが認証OKの場合には、正常処理でありステップS303へ進み、認証NGの場合にはステップS304へ進む。
【0052】
ステップS303:インターフェースでの交信信号を暗号化するために、ディジタル放送受信装置101とICカード115間で暗号用の鍵(共通鍵)を交換(共有)する処理が行われる。この処理は、共通鍵によるチャレンジレスポンスや公開鍵を使った手法(diffe−Helman等)により行われる。
【0053】
ステップS304:制御部107は、通信処理部111を介して端末認証リスト(端末IDリスト)を取得してメモリ部112に記憶し、ステップS305へ進む。
【0054】
ステップS305:制御部107は、メモリ部112から読み出した端末IDと端末認証リストとをICカードへ出力し、ステップS306へ進む。
【0055】
ステップS306:ICカード115からのレスポンスが認証OKの場合には正常処理でありステップS203へ進み、認証NGの場合にはステップS307へ進む。
【0056】
ステップS307:制御部107は、表示処理部106に対して認証エラーのメッセージを表示するための表示画像信号を生成させる。この生成した画像信号は、放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力される。
【0057】
(ICカード115の動作)
図4はディジタル放送受信装置101の電源ON時(ICカードインターフェース活性化時)のICカード115の動作を示すフローチャートの概要である。
【0058】
ステップS401:ICカード115のI/F部118を介して、ICカード115内のCPU119は、ディジタル放送受信装置101から端末IDと端末認証リストとを受け取り、ステップS402へ進む。
【0059】
ステップS402:CPU119は、端末認証リスト(或いは端末ID)の改ざん検出の計算を実行することにより、改ざんの有無をチェックし、ステップS403へ進む。なお、この改ざんチェック方法については後で詳細に説明する。
【0060】
ステップS403:CPU119は、ステップS402における改ざんチェックの結果が改ざんなしと判定すればステップS404へ進み、改ざんありと判定すればステップS409へ進む。
【0061】
ステップS404:CPU119は、ICカード115内の不揮発性メモリ120が記憶している端末認証リストの更新番号と、ディジタル放送受信装置101から受信した端末認証リスト内の更新番号とを比較し、ステップS405へ進む。
【0062】
ステップS405:CPU119は、ステップS404での比較の結果、ディジタル放送受信装置101から受信した端末認証リスト内の更新番号が、不揮発性メモリ120が記憶している端末認証リストの更新番号以上(同じ更新番号、または、より新しい更新番号)であるか否かを判定する。更新番号以上の場合にはこの更新番号で得られた最新の更新番号の端末認証リストを実際に採用した端末認証リストとして設定しステップS406へ進み、未満(古い)の場合にはステップS409へ進む。
【0063】
ステップS406:CPU119は、ステップS405にて実際に採用した端末認証リストとディジタル放送受信装置101から受け取った端末IDとを照合する端末認証処理を実行し、ステップS407へ進む。
【0064】
ステップS407:CPU119は、ステップS406でのチェックの結果、認証OKであればステップS408へ進み、認証NGであればステップS409へ進む。
【0065】
ステップS408:CPU119は、レスポンスとして認証OKをI/F部118を介して、ディジタル放送受信装置101へ返す。
【0066】
ステップS409:CPU119は、レスポンスとして認証NGをI/F部118を介して、ディジタル放送受信装置101へ返す。
【0067】
ここで図5に列挙型の場合の端末認証リスト(端末IDリスト)のデータ構造の一例を示す。この例ではlistInfoという要素の属性type(リストの種別)で有効端末リスト/無効端末リストの端末識別を設定している。インスタンスでは無効端末が指定された場合を示しており、termId要素で記載される端末ID200、365、594、720が無効端末である。
【0068】
また、図4のステップS406に対応するICカードでの端末認証処理の詳細を図6に示す。図6において、ステップS601でlistInfoという要素の属性typeの値からリストの種別として無効端末であるか有効端末であるかを判定する。端末認証リストが、無効端末リストであればステップS602へ進み、端末リスト中の最初のエントリ(termId要素のデータ)を読み込む。そして、ステップS603でディジタル放送受信装置101から受信した端末IDとの照合を行い、一致していれば無効端末と判定し、ステップS604で認証NGをディジタル放送受信装置101へレスポンスする。
【0069】
一致しない場合にはステップS605に進む。端末認証リストの全エントリのチェックが終了していなければステップS606で次のエントリへ読み出しポインタを進めステップS602へ戻り、以下この処理を繰り返す。
【0070】
そして、ステップS605で全エントリを終了し、すべてのエントリに対して、ディジタル放送受信装置101の端末IDが不一致であれば、ディジタル放送受信装置101は、有効端末であると判定する。この場合は、ステップS607に進み認証OKをディジタル放送受信装置101へレスポンスする。
【0071】
なお、ステップS601で、端末認証リストが有効端末リストである判定した場合には、ステップS608に進み、同様に端末リスト中の最初のエントリ(termId要素のデータ)を読み込む。そして、ステップS609でディジタル放送受信装置101の端末IDとの照合を行う。一致(認証OK)していればこのディジタル放送受信装置101が有効端末であると判定し、ステップ(S610)で認証OKをディジタル放送受信装置101へレスポンスする。
【0072】
一致しない(認証NG)場合にはステップS611に進み、端末認証リストの全エントリのチェックが終了していなければステップS612で次のエントリへ読み出しポインタを進めステップS608へ戻り、以下この処理を繰り返す。
【0073】
そして、ステップS611で全エントリを終了し、すべてのエントリに対してディジタル放送受信装置101の端末IDが不一致であれば、このディジタル放送受信装置101は無効端末であると判定する。そして、ステップS613に進み認証NGをディジタル放送受信装置101へレスポンスする。
【0074】
なお、本実施例では双方向通信に基づき、XML記述形式での端末認証リストを取得、処理する場合について説明したが、この環境、形式に制限されるものではない。たとえば放送経由で取得してもよいし、また、データ構造はたとえば放送でのセクション形式で記述してもよい。
【0075】
上記した端末認証リストでは、有効端末のリストであるか無効端末のリストであるかの識別情報を送っている。また対象端末IDが列挙されている。ICカード側では、端末リストの中に受信装置101のIDがあるか否かを判定している。この判定結果と、有効端末リストであるか、無効端末リストであるかに応じて、ICカードでは、認証OKか、認証NGかの判定結果を出力している。
【0076】
上記したように、端末認証リストに、有効端末リストであるが、無効端末リストであるかの識別情報を与えている。このために、有効端末リストのデータ量が多くなれば、データ量の少ない無効端末リストを送信し、無効端末リストのデータ量が多くなれば、データ量の少ない有効端末リストを送信することが可能である。これにより、ICカードでのデータ処理負担が軽減できる。以下に説明する実施形態においても同じ効果を得ることができる。
【0077】
(第2の実施形態)
ここでは第2の実施例として、範囲指定型の場合の端末認証リストのデータ構造とその処理を説明する。第2の実施形態では、有効端末リストあるいは無効端末リスト内に、対象端末IDが列挙されるのではなく、対象端末IDの範囲が記述されている。
【0078】
図7はこの場合の端末認証リストの一例を示している。この例でもlistInfoという要素の属性type(リストの種別)で有効端末/無効端末の端末識別を設定している。インスタンスでは有効端末が指定された場合を示しており、from要素からto要素までで指定される端末IDの範囲に含まれる場合、このインスタンスでは201〜1999、2001〜15000が有効端末である。
【0079】
また、第1の実施形態における図6と同様、図8はこの場合のICカードでの端末認証処理手順を示している。ステップS801でlistInfoという要素の属性typeの値からリストの種別として無効端末リストであるか有効端末リストであるかを判定する。ここで、有効端末リストであればステップS802へ進み、端末リスト中の最初のエントリ(from要素およびto要素の各データN1,N2)を読み込む。そして、ステップS803でディジタル放送受信装置101から受信した端末IDとの照合を行う。この照合の結果、この端末IDがエントリで指定される範囲内にあれば、ディジタル放送受信装置101は有効端末であると判定し、ステップS804で認証OKをディジタル放送受信装置101へレスポンスする。
【0080】
範囲内にない場合にはステップS805に進み、端末認証リストの全エントリのチェックが終了していなければステップS806で次のエントリへ読み出しポインタを進めステップS802へ戻る。以下この処理を繰り返す。
【0081】
そして、ステップS805で全エントリを終了し、すべてのエントリに対して範囲内になければ無効端末であると判定し、ステップS807に進み認証NGをディジタル放送受信装置101へレスポンスする。
【0082】
なお、ステップS801で無効端末リストと判定した場合には、ステップS808に進み、同様に端末リスト中の最初のエントリ(from要素およびto要素の各データN1,N2)を読み込む。そして、ステップS809でディジタル放送受信装置101から受信した端末IDとの照合を行う。この照合の結果、この端末IDがエントリで指定される範囲内にあれば、ディジタル放送受信装置101は無効端末と判定し、ステップS810で認証NGをディジタル放送受信装置101へレスポンスする。範囲内にない場合にはステップS811に進み、端末認証リストの全エントリのチェックが終了していなければステップS812で次のエントリへ読み出しポインタを進めステップS808へ戻る。以下この処理を繰り返す。
【0083】
そして、ステップS811で全エントリを終了し、すべてのエントリに対して範囲内にないのであれば有効端末であると判定し、ステップS813に進み認証OKをディジタル放送受信装置101へレスポンスする。
【0084】
なお、本実施例でも双方向通信に基づき、XML記述形式での端末認証リストを取得、処理する場合について説明したが、この環境、形式に制限されるものではない。たとえば放送経由で取得してもよいし、また、データ構造はたとえば放送でのセクション形式で記述してもよい。
【0085】
(第3の実施形態)
さらに第3の実施例として、端末認証リストを放送で伝送する場合のデータ構造を図9に示す。この例では、ARIB STD-B21にあるようなデータカルーセル伝送方式によるダウンロード方式で実現できる。DII(DownloadInfoIndication)のcompatibilityDescrirtorを使って端末識別情報(メーカID、モデルID、対象バージョンなど)を伝送し、受信機側ではこれをチェックして対象となる端末認証リストの伝送情報抽出を行う。さらに、ここから指定されるDDB(DownloadDataBlock)で、図9に示すような端末認証リスト本体を伝送し、受信機で受信する。
【0086】
そして、この場合のICカードでの端末認証処理詳細に関しては、たとえば第2の実施形態における図8と第1の実施形態における図6とをlistInfo_styleフィールドの値がblock(範囲指定型)か否(列挙型)かでそれぞれ適用する。
【0087】
図10は、例えばサーバーにおける端末認証リストの生成部を示すブロック図である。対象となる端末IDは、グループ別分類部311において、例えば端末ベンダ、機種毎に分類され、グループ分けされる。つまりグルーブ毎に端末認証リストを生成し、個々の端末認証リストのデータ容量を低減している。グループ分けされた、端末IDは、グループ情報付加部312において、そのグループの識別番号が設定される。次に、有効端末ID収集部313では、有効端末のIDが収集され、有効端末リストが生成され、無効端末ID収集部314では、無効端末のIDが収集され無効端末リストが生成される。有効端末リストには、有効端末リスト識別フラグが、識別フラグ付加部315で付加され、無効端末リストには、無効端末リスト識別フラグ、識別フラグ付加部316で付加される。各識別フラグ付加部315、316で処理された有効端末リスト、無効端末リストは、切換え部317に入力されて、いずれか一方が選択され取り出される。取り出された端末リストは、更新情報付加部319において、更新日時あるいは、インクリメントされた更新番号が付加されて、受信装置へ送信状態となる。
【0088】
切換え部317では、無効端末リストと、有効端末リストのデータ量が比較され、少ない方が選択されて出力される。これにより、ICカードで処理するデータ量ができるだけ少なくなるように工夫されている。
【0089】
ここで、例えば、識別フラグ付加部315、316において、端末リストが図5、図7、或いは図9で示したタイプのいずれであるのかの識別情報が付加されてもよい。この場合は、ICカードにおいて、いずれのタイプにも対応できるように、それぞれのタイプ識別ステップと、各タイプに対応したデータ処理プログラムが格納される。
【0090】
なお、本発明は上記実施形態がいずれもそのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0091】
【図1】本発明の第1の実施形態におけるディジタル放送受信装置のブロック構成を示す図。
【図2】本発明の第1の実施形態における認証シーケンスを示す図。
【図3】本発明の第1の実施形態における受信機の処理フローを示す図。
【図4】本発明の第1の実施形態におけるICカードの処理フローを示す図。
【図5】本発明の第1の実施形態における端末認証リストのデータ構造の概要を示す説明図。
【図6】本発明の第1の実施形態におけるICカードの処理フローであり、図4のステップS406をさらに詳しく示す図。
【図7】本発明の第2の実施形態における端末認証リストのデータ構造の概要を示す説明図。
【図8】本発明の第2の実施形態におけるICカードの処理フローを示す図。
【図9】本発明の第3の実施形態における端末認証リストのデータ構造の例を示す説明図。
【図10】本発明に係るサーバーにおける端末認証リストの生成部の例を示す説明図。
【符号の説明】
【0092】
101…ディジタル放送受信装置、102…チューナ部、103…デスクランブラ、104…TSデコード部、105…映像音声デコード部、106…表示処理部、107…制御部、108…キー入力部、110…ICカードI/F部、112…メモリ部、111…通信処理部、115…ICカード。
【技術分野】
【0001】
この発明は、ICカード、受信装置、端末リスト生成装置及び端末認証方法に関し、特にディジタル放送を受信するディジタル放送受信装置や通信ネットワーク経由でコンテンツ視聴を行う受信機に適用されて有効である。
【背景技術】
【0002】
近年、通信衛星や放送衛星を用いた衛星ディジタル放送や地上波ディジタル放送が行われている。衛星ディジタル放送では有料放送が行われており、チャンネル単位、番組単位、時間単位など様々な方法で視聴制御を可能にする限定受信システムが運用されている(例えば、公知例文献1参照)。
【0003】
この限定受信システムでは、利用者の契約状態等に応じた個別契約情報を受信装置に伝送し、受信装置や受信装置に挿入して用いるICカードに設定する。
【0004】
以下、ICカード等のセキュリティモジュールに設定する場合も含めて受信装置に設定すると説明する。各受信装置に伝送する個別の視聴契約情報はEMM(Entitlement Management Message)データと呼ばれている。
【0005】
EMMデータには受信装置固有のID(Identification)番号が付加されている。
【0006】
EMMデータは、受信装置固有のID毎にユニークなマスター鍵(Km)により暗号化された後、放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0007】
また、映像、音声、データ等のコンテンツは、スクランブル鍵(Ks)によりスクランブル化された後、放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0008】
スクランブル鍵(Ks)はEMMデータの一部として伝送されるワーク鍵(Kw)によって暗号化された後、ECM(Entitlement Control Message)として放送信号に多重されて放送局側のセンタ装置から各受信装置へ伝送される。
【0009】
現在、国内のディジタル放送はARIB-STD B25に準拠した方式で運用されており、上述したようなECM、EMMを利用した3重鍵構造になっている。ここで使用される暗号方式は共通鍵暗号方式であり、情報の送り手と受け手が同じ鍵を共有することで暗号化された情報を送受するものである。
【0010】
次に、ICカードを発行管理する鍵管理センタ、放送を行う放送局、放送を受信する受信機、受信機に接続されるICカード間での情報のやり取りを説明する。
【0011】
鍵管理センタはICカードに固有のIDとマスター鍵(Km)を埋め込んでICカードを発行する。発行されたICカードが接続される受信機で番組を視聴するためは、受信機と放送局間での契約が行われる。この契約の方法としては、各種の方法がある。例えば、ユーザが書面あるは電話で、放送局へ番組視聴の申し込みを行なう。
【0012】
番組視聴の契約が成立すると、放送局から鍵管理センタに対して、ワーク鍵(Kw)を含むEMMを対象のICカードのマスター鍵(Km)で暗号化する依頼が行われる。放送局は、マスター鍵(Km)で暗号化されたEMMを放送経由で受信機へ配信する。
【0013】
EMMを受信した受信機は、それをICカードに送り、ICカードでは設定されているKmでEMMを復号化し、ワーク鍵(Kw)を抽出し、これをメモリに記憶する。
【0014】
番組視聴時には、受信機は、放送経由で取得したECMをICカードに送る。ICカードではワーク鍵(Kw)でECMを復号してスクランブル鍵(Ks)を抽出し、それを受信機に返す。受信機はそのスクランブル鍵(Ks)でコンテンツを復号する。
【0015】
しかしながら、受信機とICカードという分離した装置間で送受されるスクランブル鍵(Ks)は暗号化されていない。このため、スクランブル鍵(Ks)をハッキングされる恐れがあること、コンテンツ保護を守らない不正な受信機でもスクランブル鍵(Ks)を取得できてしまうこと、このような受信機を排除するする機能がないという問題がある。
【0016】
ARIB-STD B25でもこの対策として、受信機とICカードは動作開始時、認証情報を用いて認証動作を行う旨の記載があるが、具体的な規定はなされていない。
【0017】
一般にこのような認証処理においては、リボークリストとも呼ばれる端末認証リストが鍵管理機関から発行され、たとえば配信事業者を通じて配布され利用されることが多い。たとえば、公知例文献2のようなものがある。リボークリストはICカードのようなセキュリティモジュール内で認証処理を実行し、その結果に基づいて上記のスクランブル鍵(Ks)のような復号鍵の受け渡しを制御する。
【0018】
リボークリストには不正利用が認められた無効端末が記載されているか、あるいは正しい利用がなされている有効端末が記載されている。このリボークリストは、これを配布するのに利用する伝送帯域の削減という観点やICカード等のセキュリティモジュールでの検証処理負荷の軽減という観点から、そのデータ量はできる限り小さいことが望ましい。
【0019】
ところが、リボークリストのデータ量は、配布からの時間経過にしたがって大きく変動する可能性がある。たとえば、対象端末(無効端末、或いは有効端末)が増加していくと一般にデータ量は増加する傾向になる。また、メーカや機種等の端末実装によってセキュリティ強度にばらつきはあり、不正利用端末がいったん発生するとインターネット等での不正手段の開示によって短期間に対象の無効端末が急増する可能性がある。この結果、突発的にこのデータ量が大きく増減する場合もある。
【特許文献1】特許 2941398号
【非特許文献1】RFC3280 X509.2( Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List Profile version2)
【発明の開示】
【発明が解決しようとする課題】
【0020】
この発明は、リボークリストの配布が容易であり、またICカード等のセキュリティモジュールでの検証処理負荷の軽減を得られる端末認証方式およびその装置を提供することを目的とする。またこの発明は、不正な受信機の排除を円滑かつ迅速に実現することが可能なICカード、受信装置、端末リスト生成装置及び端末認証方法を提供することを目的とする。
【課題を解決するための手段】
【0021】
上記の目的を達成するために、この発明の一実施形態に係るICカードでは、受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部と、前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる第1の識別情報を参照して判別した第1の判別結果を得る第1の判別部と、前記端末認証リストに前記受信装置IDが含まれるか否かを判別した第2の判別結果を得る第2の判別部と、前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部と、を備える。
【0022】
また、この発明の一実施形態に係る受信装置では、放送波を受信する受信部と、前記受信部の受信出力をデスクランブルし、デコードし、映像及び音声を復号する信号処理部と、外部ネットワークに接続される通信処理部と、前記通信処理部を介してサーバーから取得した端末認証リストのグループ識別情報を判定するグループ識別情報判定部と、グループ識別情報が、自身を特定するグループであるときに、前記端末認証リストをメモリ部に格納するリスト取り込み部と、視聴契約情報が設定されるICカードを接続するインターフェースと、少なくとも前記インターフェースが動作活性化されたとき、前記端末認証リストと受信装置IDを前記インターフェースに出力する認証開始部と、前記ICカードから前記端末認証リストと受信装置IDとの検査結果で、認証できない旨の応答があったときに、その応答結果を前記表示処理部に出力する認証結果表示処理部とを有する。
【0023】
また、この発明の一実施形態に係る端末リスト生成装置では、端末のグループ別分類を行なうグループ分類部と、所定のグループに分類された端末の端末リストにグループ識別情報を付加するグループ識別付加部と、前記所定のグループの端末の端末リストを、有効端末の端末リスト、無効端末の端末リストに分けて集合する第1、第2の端末ID収集部と、前記第1、第2の端末ID収集部からの有効端末の端末リスト、無効端末の端末リストにそれぞれ有効、無効の識別情報を付加する識別情報付加部と、前記有効、無効の識別情報が付加された有効端末の端末リスト、無効端末の端末リストのうち、データ量の少ないリストを伝送用として選択する切換え部を有する。
【0024】
なお、装置に係る本発明は方法に係る発明としても成立し、方法に係る本発明は装置に係る発明としても成立する。
【0025】
また、装置または方法に係る本発明は、コンピュータに当該発明に相当する手順を実行させるための(あるいはコンピュータを当該発明に相当する手段として機能させるための、あるいはコンピュータに当該発明に相当する機能を実現させるための)プログラムとしても成立し、該プログラムを記録したコンピュータ読み取り可能な記録媒体としても成立する。
【発明の効果】
【0026】
本発明により、比較的簡便な方法で受信機とICカード間での認証を行うことができ、不正受信機の排除が円滑かつ迅速に可能となる。
【発明を実施するための最良の形態】
【0027】
以下、図面を参照しながら本発明の実施の形態について説明する。
【0028】
(第1の実施形態)
図1は、本発明の一実施形態に係る受信装置の構成を示すブロック図である。なお、この実施形態では、コンテンツを放送経由で受信するものとして説明するが、本発明は必ずしもこれに限定されず、コンテンツを通信ネットワーク経由やケーブル経由で受信する場合にも本発明を適用することができる。
【0029】
図1において、ディジタル放送受信装置101は、チューナ部102、デスクランブラ103、TSデコード部104、映像音声デコード部105、表示処理部106、制御部107、キー入力部108、ICカードI/F部110、メモリ部112、通信処理部111から構成されている。
【0030】
チューナ部102は、ディジタル放送受信装置101に入力された放送波から所望のチャンネルを選局し、この選局したチャンネルのトランスポートストリーム(以下、TSと記す)をデスクランブラ103へ出力する。TSはコンテンツ保護のためにスクランブルされている。
【0031】
デスクランブラ103は、チューナ部102から入力されたTSをデスクランブルしてTSデコード部104へ出力する。
【0032】
TSデコード部104は、デスクランブラ103から入力されたTSからPSI(Program Specific Information)を基に必要なパケットを分離し、この分離したパケットから更に、放送番組信号(映像、音声)の抽出や各種多重データ(各種SI(Service Information)データやECM,EMM等)を分離する。また、TSデコード部104は、分離した放送番組信号(映像、音声)は映像音声デコード部105へ出力する。
【0033】
映像音声デコード部105は、TSデコード部104から入力された放送番組信号(映像、音声)のデコードを行い、表示処理部106へ出力する。
【0034】
表示処理部106は、映像音声デコード部105から入力された放送番組信号(映像、音声)を図示しない外部のモニタへ出力し表示・音声再生させる。また、表示処理部106は、ユーザとのインターフェース機能を果たすために各種エラー情報の表示画像信号を生成し、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。また、表示処理部106は、TSデコード部104で分離されたSIデータから構成されたEPG(Electric Program Guide)画像信号を生成し、この生成した画像信号を放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力する機能を有している。
【0035】
キー入力部108は、リモートコントローラ(リモコン)109等のユーザインターフェース機器からの赤外線等による遠隔操作信号を受信する機能を有している。
【0036】
メモリ部112はRAM、不揮発性メモリで構成され、不揮発性メモリには少なくとも鍵管理機関より発行された受信装置の端末IDがディジタル放送受信装置101の製造時等に設定される。
【0037】
通信処理部111は、Ethernet(登録商標)等のネットワーク回線に接続され、ネットワークを介してデータの送受を行うものであり、コンテンツ配信事業者のサーバーからコンテンツの受信、ECMやEMMを受信する機能の他、受信装置の端末IDリスト(端末認証リスト)を取得する機能を有している。この取得された端末認証リストは、メモリ部112に記憶される。
【0038】
端末認証リストは、放送波を受信した受信部から取得、または、通信処理部を介してサーバーから取得される。端末認証リストは、必ずしもサーバーから取得しなくてもよい。
【0039】
制御部107は、上記した各機能を統合して制御する機能を有しており、バス接続やシリアル通信接続等で各機能をコントロールする。
【0040】
ICカードI/F部110は、ISO規格であるISO7816に準拠したICカードインターフェースである。
【0041】
ICカード115は契約管理や視聴制御を行うものであり、CPU119,ROM116,RAM117,不揮発性メモリ120,I/F部118等から構成されており、ディジタル放送受信装置101とはISO規格であるISO7816に準拠したインターフェースで接続される。ICカード115内の不揮発性メモリ120には、少なくともカードID、カード固有の鍵が予め設定されている。
【0042】
制御部107は、TSデコード部104でTSから分離されたEMMやECMを、ICカードI/F部110を介してICカード115へ出力する。
【0043】
ICカード115は、ICカードI/F部110からEMMが入力された場合、カード固有の鍵で復号して、ワーク鍵(Kw)等契約により取得される情報をICカード115内の不揮発性メモリ120に記憶する。また、ICカード115は、ICカードI/F部110からECMが入力された場合、ICカード115内の不揮発性メモリ120に記憶しているワーク鍵(Kw)で復号して、番組を視聴可能か否かの判定後、視聴可能な場合にはスクランブルを解くためのスクランブル鍵(Ks)をディジタル放送受信装置101へ出力する。
【0044】
ディジタル放送受信装置101では、制御部107がICカード115から入力されたスクランブル鍵(Ks)をデスクランブラ103にセットすることにより、デスクランブラ103にてコンテンツのデスクランブルが行われて番組を視聴可能となる。
【0045】
次に、上記のように構成された受信装置の動作について図を用いて詳細に説明する。本発明では、ディジタル放送受信装置101とICカード115とは認証を行う。
【0046】
(通常の認証シーケンス)
図2に、上記ディジタル放送受信装置101の電源オン(ON)時(ICカードインターフェース活性化時)に起動する認証シーケンスの例を示す。
【0047】
ディジタル放送受信装置101とICカード115との認証シーケンスの起動タイミングとしては、(1)ディジタル放送受信装置101の電源ON時、(2)ICカードインターフェース110活性化時、(3)ICカード115からの指示、(4)通信中のサーバーからの指示、(5)ディジタル放送受信装置101の時計機能による定期的起動、等がある。
【0048】
先にも説明したが、メモリ部112はRAM、不揮発性メモリで構成され、不揮発性メモリには少なくとも鍵管理機関より発行された受信装置の端末IDがディジタル放送受信装置101の製造時等に設定されている。また、ディジタル放送受信装置101は、前回までの起動で通信処理部111を介して配信事業者のサーバーから取得した、当該端末IDに対応する端末認証リスト(端末IDリスト)をメモリ部112に記憶している。もし、ディジタル放送受信装置101が、端末認証リストをメモリ部112に記憶していなければ、通信処理部111を介して配信事業者のサーバーから端末認証リストを取得する。以下、図2を共に参照しながら説明しながら、各部の動作を個々に説明する。したがって、図2、図3、図4において対応する部分のステップには、同じ符号が付されている。
【0049】
(ディジタル放送受信装置101の動作)
図3はディジタル放送受信装置101の電源ON時(ICカードインターフェース活性化時)のディジタル放送受信装置101の動作を示すフローチャートである。
【0050】
ステップS301:電源ON時(インターフェース活性化時)、ディジタル放送受信装置101内の制御部107は、メモリ部112から読み出した端末IDと端末認証リストとをICカードへ出力し、ステップS302へ進む。
【0051】
ステップS302:ICカード115からのレスポンスが認証OKの場合には、正常処理でありステップS303へ進み、認証NGの場合にはステップS304へ進む。
【0052】
ステップS303:インターフェースでの交信信号を暗号化するために、ディジタル放送受信装置101とICカード115間で暗号用の鍵(共通鍵)を交換(共有)する処理が行われる。この処理は、共通鍵によるチャレンジレスポンスや公開鍵を使った手法(diffe−Helman等)により行われる。
【0053】
ステップS304:制御部107は、通信処理部111を介して端末認証リスト(端末IDリスト)を取得してメモリ部112に記憶し、ステップS305へ進む。
【0054】
ステップS305:制御部107は、メモリ部112から読み出した端末IDと端末認証リストとをICカードへ出力し、ステップS306へ進む。
【0055】
ステップS306:ICカード115からのレスポンスが認証OKの場合には正常処理でありステップS203へ進み、認証NGの場合にはステップS307へ進む。
【0056】
ステップS307:制御部107は、表示処理部106に対して認証エラーのメッセージを表示するための表示画像信号を生成させる。この生成した画像信号は、放送番組信号(映像、音声)に代えて出力、或いは放送番組信号(映像、音声)と合成して出力される。
【0057】
(ICカード115の動作)
図4はディジタル放送受信装置101の電源ON時(ICカードインターフェース活性化時)のICカード115の動作を示すフローチャートの概要である。
【0058】
ステップS401:ICカード115のI/F部118を介して、ICカード115内のCPU119は、ディジタル放送受信装置101から端末IDと端末認証リストとを受け取り、ステップS402へ進む。
【0059】
ステップS402:CPU119は、端末認証リスト(或いは端末ID)の改ざん検出の計算を実行することにより、改ざんの有無をチェックし、ステップS403へ進む。なお、この改ざんチェック方法については後で詳細に説明する。
【0060】
ステップS403:CPU119は、ステップS402における改ざんチェックの結果が改ざんなしと判定すればステップS404へ進み、改ざんありと判定すればステップS409へ進む。
【0061】
ステップS404:CPU119は、ICカード115内の不揮発性メモリ120が記憶している端末認証リストの更新番号と、ディジタル放送受信装置101から受信した端末認証リスト内の更新番号とを比較し、ステップS405へ進む。
【0062】
ステップS405:CPU119は、ステップS404での比較の結果、ディジタル放送受信装置101から受信した端末認証リスト内の更新番号が、不揮発性メモリ120が記憶している端末認証リストの更新番号以上(同じ更新番号、または、より新しい更新番号)であるか否かを判定する。更新番号以上の場合にはこの更新番号で得られた最新の更新番号の端末認証リストを実際に採用した端末認証リストとして設定しステップS406へ進み、未満(古い)の場合にはステップS409へ進む。
【0063】
ステップS406:CPU119は、ステップS405にて実際に採用した端末認証リストとディジタル放送受信装置101から受け取った端末IDとを照合する端末認証処理を実行し、ステップS407へ進む。
【0064】
ステップS407:CPU119は、ステップS406でのチェックの結果、認証OKであればステップS408へ進み、認証NGであればステップS409へ進む。
【0065】
ステップS408:CPU119は、レスポンスとして認証OKをI/F部118を介して、ディジタル放送受信装置101へ返す。
【0066】
ステップS409:CPU119は、レスポンスとして認証NGをI/F部118を介して、ディジタル放送受信装置101へ返す。
【0067】
ここで図5に列挙型の場合の端末認証リスト(端末IDリスト)のデータ構造の一例を示す。この例ではlistInfoという要素の属性type(リストの種別)で有効端末リスト/無効端末リストの端末識別を設定している。インスタンスでは無効端末が指定された場合を示しており、termId要素で記載される端末ID200、365、594、720が無効端末である。
【0068】
また、図4のステップS406に対応するICカードでの端末認証処理の詳細を図6に示す。図6において、ステップS601でlistInfoという要素の属性typeの値からリストの種別として無効端末であるか有効端末であるかを判定する。端末認証リストが、無効端末リストであればステップS602へ進み、端末リスト中の最初のエントリ(termId要素のデータ)を読み込む。そして、ステップS603でディジタル放送受信装置101から受信した端末IDとの照合を行い、一致していれば無効端末と判定し、ステップS604で認証NGをディジタル放送受信装置101へレスポンスする。
【0069】
一致しない場合にはステップS605に進む。端末認証リストの全エントリのチェックが終了していなければステップS606で次のエントリへ読み出しポインタを進めステップS602へ戻り、以下この処理を繰り返す。
【0070】
そして、ステップS605で全エントリを終了し、すべてのエントリに対して、ディジタル放送受信装置101の端末IDが不一致であれば、ディジタル放送受信装置101は、有効端末であると判定する。この場合は、ステップS607に進み認証OKをディジタル放送受信装置101へレスポンスする。
【0071】
なお、ステップS601で、端末認証リストが有効端末リストである判定した場合には、ステップS608に進み、同様に端末リスト中の最初のエントリ(termId要素のデータ)を読み込む。そして、ステップS609でディジタル放送受信装置101の端末IDとの照合を行う。一致(認証OK)していればこのディジタル放送受信装置101が有効端末であると判定し、ステップ(S610)で認証OKをディジタル放送受信装置101へレスポンスする。
【0072】
一致しない(認証NG)場合にはステップS611に進み、端末認証リストの全エントリのチェックが終了していなければステップS612で次のエントリへ読み出しポインタを進めステップS608へ戻り、以下この処理を繰り返す。
【0073】
そして、ステップS611で全エントリを終了し、すべてのエントリに対してディジタル放送受信装置101の端末IDが不一致であれば、このディジタル放送受信装置101は無効端末であると判定する。そして、ステップS613に進み認証NGをディジタル放送受信装置101へレスポンスする。
【0074】
なお、本実施例では双方向通信に基づき、XML記述形式での端末認証リストを取得、処理する場合について説明したが、この環境、形式に制限されるものではない。たとえば放送経由で取得してもよいし、また、データ構造はたとえば放送でのセクション形式で記述してもよい。
【0075】
上記した端末認証リストでは、有効端末のリストであるか無効端末のリストであるかの識別情報を送っている。また対象端末IDが列挙されている。ICカード側では、端末リストの中に受信装置101のIDがあるか否かを判定している。この判定結果と、有効端末リストであるか、無効端末リストであるかに応じて、ICカードでは、認証OKか、認証NGかの判定結果を出力している。
【0076】
上記したように、端末認証リストに、有効端末リストであるが、無効端末リストであるかの識別情報を与えている。このために、有効端末リストのデータ量が多くなれば、データ量の少ない無効端末リストを送信し、無効端末リストのデータ量が多くなれば、データ量の少ない有効端末リストを送信することが可能である。これにより、ICカードでのデータ処理負担が軽減できる。以下に説明する実施形態においても同じ効果を得ることができる。
【0077】
(第2の実施形態)
ここでは第2の実施例として、範囲指定型の場合の端末認証リストのデータ構造とその処理を説明する。第2の実施形態では、有効端末リストあるいは無効端末リスト内に、対象端末IDが列挙されるのではなく、対象端末IDの範囲が記述されている。
【0078】
図7はこの場合の端末認証リストの一例を示している。この例でもlistInfoという要素の属性type(リストの種別)で有効端末/無効端末の端末識別を設定している。インスタンスでは有効端末が指定された場合を示しており、from要素からto要素までで指定される端末IDの範囲に含まれる場合、このインスタンスでは201〜1999、2001〜15000が有効端末である。
【0079】
また、第1の実施形態における図6と同様、図8はこの場合のICカードでの端末認証処理手順を示している。ステップS801でlistInfoという要素の属性typeの値からリストの種別として無効端末リストであるか有効端末リストであるかを判定する。ここで、有効端末リストであればステップS802へ進み、端末リスト中の最初のエントリ(from要素およびto要素の各データN1,N2)を読み込む。そして、ステップS803でディジタル放送受信装置101から受信した端末IDとの照合を行う。この照合の結果、この端末IDがエントリで指定される範囲内にあれば、ディジタル放送受信装置101は有効端末であると判定し、ステップS804で認証OKをディジタル放送受信装置101へレスポンスする。
【0080】
範囲内にない場合にはステップS805に進み、端末認証リストの全エントリのチェックが終了していなければステップS806で次のエントリへ読み出しポインタを進めステップS802へ戻る。以下この処理を繰り返す。
【0081】
そして、ステップS805で全エントリを終了し、すべてのエントリに対して範囲内になければ無効端末であると判定し、ステップS807に進み認証NGをディジタル放送受信装置101へレスポンスする。
【0082】
なお、ステップS801で無効端末リストと判定した場合には、ステップS808に進み、同様に端末リスト中の最初のエントリ(from要素およびto要素の各データN1,N2)を読み込む。そして、ステップS809でディジタル放送受信装置101から受信した端末IDとの照合を行う。この照合の結果、この端末IDがエントリで指定される範囲内にあれば、ディジタル放送受信装置101は無効端末と判定し、ステップS810で認証NGをディジタル放送受信装置101へレスポンスする。範囲内にない場合にはステップS811に進み、端末認証リストの全エントリのチェックが終了していなければステップS812で次のエントリへ読み出しポインタを進めステップS808へ戻る。以下この処理を繰り返す。
【0083】
そして、ステップS811で全エントリを終了し、すべてのエントリに対して範囲内にないのであれば有効端末であると判定し、ステップS813に進み認証OKをディジタル放送受信装置101へレスポンスする。
【0084】
なお、本実施例でも双方向通信に基づき、XML記述形式での端末認証リストを取得、処理する場合について説明したが、この環境、形式に制限されるものではない。たとえば放送経由で取得してもよいし、また、データ構造はたとえば放送でのセクション形式で記述してもよい。
【0085】
(第3の実施形態)
さらに第3の実施例として、端末認証リストを放送で伝送する場合のデータ構造を図9に示す。この例では、ARIB STD-B21にあるようなデータカルーセル伝送方式によるダウンロード方式で実現できる。DII(DownloadInfoIndication)のcompatibilityDescrirtorを使って端末識別情報(メーカID、モデルID、対象バージョンなど)を伝送し、受信機側ではこれをチェックして対象となる端末認証リストの伝送情報抽出を行う。さらに、ここから指定されるDDB(DownloadDataBlock)で、図9に示すような端末認証リスト本体を伝送し、受信機で受信する。
【0086】
そして、この場合のICカードでの端末認証処理詳細に関しては、たとえば第2の実施形態における図8と第1の実施形態における図6とをlistInfo_styleフィールドの値がblock(範囲指定型)か否(列挙型)かでそれぞれ適用する。
【0087】
図10は、例えばサーバーにおける端末認証リストの生成部を示すブロック図である。対象となる端末IDは、グループ別分類部311において、例えば端末ベンダ、機種毎に分類され、グループ分けされる。つまりグルーブ毎に端末認証リストを生成し、個々の端末認証リストのデータ容量を低減している。グループ分けされた、端末IDは、グループ情報付加部312において、そのグループの識別番号が設定される。次に、有効端末ID収集部313では、有効端末のIDが収集され、有効端末リストが生成され、無効端末ID収集部314では、無効端末のIDが収集され無効端末リストが生成される。有効端末リストには、有効端末リスト識別フラグが、識別フラグ付加部315で付加され、無効端末リストには、無効端末リスト識別フラグ、識別フラグ付加部316で付加される。各識別フラグ付加部315、316で処理された有効端末リスト、無効端末リストは、切換え部317に入力されて、いずれか一方が選択され取り出される。取り出された端末リストは、更新情報付加部319において、更新日時あるいは、インクリメントされた更新番号が付加されて、受信装置へ送信状態となる。
【0088】
切換え部317では、無効端末リストと、有効端末リストのデータ量が比較され、少ない方が選択されて出力される。これにより、ICカードで処理するデータ量ができるだけ少なくなるように工夫されている。
【0089】
ここで、例えば、識別フラグ付加部315、316において、端末リストが図5、図7、或いは図9で示したタイプのいずれであるのかの識別情報が付加されてもよい。この場合は、ICカードにおいて、いずれのタイプにも対応できるように、それぞれのタイプ識別ステップと、各タイプに対応したデータ処理プログラムが格納される。
【0090】
なお、本発明は上記実施形態がいずれもそのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0091】
【図1】本発明の第1の実施形態におけるディジタル放送受信装置のブロック構成を示す図。
【図2】本発明の第1の実施形態における認証シーケンスを示す図。
【図3】本発明の第1の実施形態における受信機の処理フローを示す図。
【図4】本発明の第1の実施形態におけるICカードの処理フローを示す図。
【図5】本発明の第1の実施形態における端末認証リストのデータ構造の概要を示す説明図。
【図6】本発明の第1の実施形態におけるICカードの処理フローであり、図4のステップS406をさらに詳しく示す図。
【図7】本発明の第2の実施形態における端末認証リストのデータ構造の概要を示す説明図。
【図8】本発明の第2の実施形態におけるICカードの処理フローを示す図。
【図9】本発明の第3の実施形態における端末認証リストのデータ構造の例を示す説明図。
【図10】本発明に係るサーバーにおける端末認証リストの生成部の例を示す説明図。
【符号の説明】
【0092】
101…ディジタル放送受信装置、102…チューナ部、103…デスクランブラ、104…TSデコード部、105…映像音声デコード部、106…表示処理部、107…制御部、108…キー入力部、110…ICカードI/F部、112…メモリ部、111…通信処理部、115…ICカード。
【特許請求の範囲】
【請求項1】
受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部と、
前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる第1の識別情報を参照して判別した第1の判別結果を得る第1の判別部と、
前記端末認証リストに前記受信装置IDが含まれるか否かを判別した第2の判別結果を得る第2の判別部と、
前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部と、
を具備したことを特徴とするICカード。
【請求項2】
前記返信部は、
第1の判別結果が「無効端末リスト」を示し、第2の判別結果が「含まれる」を判別したときは、前記受信装置が無効端末であることを返信し、
第1の判別結果が「有効端末リスト」を示し、第2の判別結果が「含まれる」を判別したときは、前記受信装置が有効端末であることを返信し、
第1の判別結果が「無効端末リスト」を示し、第2の判別結果が「含まれない」を判別したときは、前記受信装置が有効端末であることを返信し、
第1の判別結果が「有効端末リスト」を示し、第2の判別結果が「含まれない」を判別したときは、前記受信装置が無効端末であることを返信する、
請求項1記載のICカード。
【請求項3】
前記端末認証リストには、有効又は無効の端末IDが列挙されており、
前記第2の判別部は、前記端末認証リストに前記受信装置IDが含まれるか否かを総当りによるチェックで判別する
請求項1記載のICカード。
【請求項4】
前記端末認証リストには、有効又は無効の端末IDが指定範囲で特定されており、
前記第2の判別部は、前記指定範囲内に前記受信装置IDが含まれるか否かを比較処理により判別する
請求項1記載のICカード。
【請求項5】
放送波を受信する受信部と、
前記受信部の受信出力をデスクランブルし、デコードし、映像及び音声を復号する信号処理部と、
外部ネットワークに接続される通信処理部と、
前記放送波を受信した受信部から取得、または、前記通信処理部を介してサーバーから取得した端末認証リストのグループ識別情報を判定するグループ識別情報判定部と、
グループ識別情報が、自身を特定するグループであるときに、前記端末認証リストをメモリ部に格納するリスト取り込み部と、
視聴契約情報が設定されるICカードを接続するインターフェースと、
少なくとも前記インターフェースが動作活性化されたとき、認証を開始させるために前記端末認証リストと受信装置IDを前記インターフェースに出力する認証開始部と、
前記ICカードから前記端末認証リストと受信装置IDとの検査結果で、認証できない旨の応答があったときに、その応答結果を前記表示処理部に出力する認証結果表示処理部と
を有した放送受信装置。
【請求項6】
前記認証開始部は、さらに、電源がオンしたとき、又は、前記インターフェースに前記ICカードが装着されたとき、又は、前記通信処理部を介してサーバーからの指令があったとき、又は時計機能による定期的駆動があったときのいずれかによって、認証を開始させることを特徴とする請求項5記載の放送受信装置。
【請求項7】
端末のグループ別分類を行なうグループ分類部と、
所定のグループに分類された端末の端末リストにグループ識別情報を付加するグループ識別付加部と、
前記所定のグループの端末の端末リストを、有効端末の端末リスト、無効端末の端末リストに分けて集合する第1、第2の端末ID収集部と、
前記第1、第2の端末ID収集部からの有効端末の端末リスト、無効端末の端末リストにそれぞれ有効、無効の識別情報を付加する識別情報付加部と、
前記有効、無効の識別情報が付加された有効端末の端末リスト、無効端末の端末リストのうち、データ量の少ないリストを伝送用として選択する切換え部と
を有したことを特徴とする端末認証リスト生成装置。
【請求項8】
さらに前記有効端末の端末リスト、無効端末の端末リストに対して、さらに端末IDが列挙されて特定されているのか、指定範囲を記載されて特定されているのかを識別した、識別情報を付加する付加部を有することを特徴とする請求項6記載の端末認証リスト生成装置。
【請求項9】
さらに前記有効端末の端末リスト、無効端末の端末リストに対して、内容が最新のものであることを識別させるための更新情報を付加する更新情報付加部を有することを特徴とする請求項6記載の端末認証リスト生成装置。
【請求項10】
サーバーの端末認証リスト生成装置は、
所定のグループに分類した端末の端末リストのうち、有効端末の端末リストと無効端末の端末リストのうちのデータ量の少ない方の端末リストを選択し、そして、グループ識別情報及び有効又は無効の識別情報を付加した端末認証リストを生成して送信し、
受信装置は、上記端末認証リストを受信して、受信装置IDと共にインターフェースに接続されたICカードに送信し、
前記ICカードは、
前記端末認証リスト及び受信装置IDを受け取り、
前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる有効又は無効の識別情報を参照して判別して第1の判定結果を得て、
前記端末認証リストに前記受信装置IDが含まれるか否かを判別して第2の判定結果を得て、
前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する、
ことを特徴とする端末認証方法。
【請求項1】
受信装置のメモリ部から端末認証リスト及び受信装置IDを受け取るデータ取り込み部と、
前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる第1の識別情報を参照して判別した第1の判別結果を得る第1の判別部と、
前記端末認証リストに前記受信装置IDが含まれるか否かを判別した第2の判別結果を得る第2の判別部と、
前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する返信部と、
を具備したことを特徴とするICカード。
【請求項2】
前記返信部は、
第1の判別結果が「無効端末リスト」を示し、第2の判別結果が「含まれる」を判別したときは、前記受信装置が無効端末であることを返信し、
第1の判別結果が「有効端末リスト」を示し、第2の判別結果が「含まれる」を判別したときは、前記受信装置が有効端末であることを返信し、
第1の判別結果が「無効端末リスト」を示し、第2の判別結果が「含まれない」を判別したときは、前記受信装置が有効端末であることを返信し、
第1の判別結果が「有効端末リスト」を示し、第2の判別結果が「含まれない」を判別したときは、前記受信装置が無効端末であることを返信する、
請求項1記載のICカード。
【請求項3】
前記端末認証リストには、有効又は無効の端末IDが列挙されており、
前記第2の判別部は、前記端末認証リストに前記受信装置IDが含まれるか否かを総当りによるチェックで判別する
請求項1記載のICカード。
【請求項4】
前記端末認証リストには、有効又は無効の端末IDが指定範囲で特定されており、
前記第2の判別部は、前記指定範囲内に前記受信装置IDが含まれるか否かを比較処理により判別する
請求項1記載のICカード。
【請求項5】
放送波を受信する受信部と、
前記受信部の受信出力をデスクランブルし、デコードし、映像及び音声を復号する信号処理部と、
外部ネットワークに接続される通信処理部と、
前記放送波を受信した受信部から取得、または、前記通信処理部を介してサーバーから取得した端末認証リストのグループ識別情報を判定するグループ識別情報判定部と、
グループ識別情報が、自身を特定するグループであるときに、前記端末認証リストをメモリ部に格納するリスト取り込み部と、
視聴契約情報が設定されるICカードを接続するインターフェースと、
少なくとも前記インターフェースが動作活性化されたとき、認証を開始させるために前記端末認証リストと受信装置IDを前記インターフェースに出力する認証開始部と、
前記ICカードから前記端末認証リストと受信装置IDとの検査結果で、認証できない旨の応答があったときに、その応答結果を前記表示処理部に出力する認証結果表示処理部と
を有した放送受信装置。
【請求項6】
前記認証開始部は、さらに、電源がオンしたとき、又は、前記インターフェースに前記ICカードが装着されたとき、又は、前記通信処理部を介してサーバーからの指令があったとき、又は時計機能による定期的駆動があったときのいずれかによって、認証を開始させることを特徴とする請求項5記載の放送受信装置。
【請求項7】
端末のグループ別分類を行なうグループ分類部と、
所定のグループに分類された端末の端末リストにグループ識別情報を付加するグループ識別付加部と、
前記所定のグループの端末の端末リストを、有効端末の端末リスト、無効端末の端末リストに分けて集合する第1、第2の端末ID収集部と、
前記第1、第2の端末ID収集部からの有効端末の端末リスト、無効端末の端末リストにそれぞれ有効、無効の識別情報を付加する識別情報付加部と、
前記有効、無効の識別情報が付加された有効端末の端末リスト、無効端末の端末リストのうち、データ量の少ないリストを伝送用として選択する切換え部と
を有したことを特徴とする端末認証リスト生成装置。
【請求項8】
さらに前記有効端末の端末リスト、無効端末の端末リストに対して、さらに端末IDが列挙されて特定されているのか、指定範囲を記載されて特定されているのかを識別した、識別情報を付加する付加部を有することを特徴とする請求項6記載の端末認証リスト生成装置。
【請求項9】
さらに前記有効端末の端末リスト、無効端末の端末リストに対して、内容が最新のものであることを識別させるための更新情報を付加する更新情報付加部を有することを特徴とする請求項6記載の端末認証リスト生成装置。
【請求項10】
サーバーの端末認証リスト生成装置は、
所定のグループに分類した端末の端末リストのうち、有効端末の端末リストと無効端末の端末リストのうちのデータ量の少ない方の端末リストを選択し、そして、グループ識別情報及び有効又は無効の識別情報を付加した端末認証リストを生成して送信し、
受信装置は、上記端末認証リストを受信して、受信装置IDと共にインターフェースに接続されたICカードに送信し、
前記ICカードは、
前記端末認証リスト及び受信装置IDを受け取り、
前記端末認証リストが無効端末リストであるか有効端末リストであるかを、前記端末認証リストに含まれる有効又は無効の識別情報を参照して判別して第1の判定結果を得て、
前記端末認証リストに前記受信装置IDが含まれるか否かを判別して第2の判定結果を得て、
前記第1の判別結果と第2の判別結果の内容に応じて、前記受信装置が有効端末であるか否かを示す応答信号を前記受信装置に返信する、
ことを特徴とする端末認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−34835(P2007−34835A)
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願番号】特願2005−219204(P2005−219204)
【出願日】平成17年7月28日(2005.7.28)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成19年2月8日(2007.2.8)
【国際特許分類】
【出願日】平成17年7月28日(2005.7.28)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]