Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5952638B2 - Broadcast communication cooperative receiver and broadcast communication cooperative system - Google Patents
[go: Go Back, main page]

JP5952638B2 - Broadcast communication cooperative receiver and broadcast communication cooperative system - Google Patents

Broadcast communication cooperative receiver and broadcast communication cooperative system Download PDF

Info

Publication number
JP5952638B2
JP5952638B2 JP2012114209A JP2012114209A JP5952638B2 JP 5952638 B2 JP5952638 B2 JP 5952638B2 JP 2012114209 A JP2012114209 A JP 2012114209A JP 2012114209 A JP2012114209 A JP 2012114209A JP 5952638 B2 JP5952638 B2 JP 5952638B2
Authority
JP
Japan
Prior art keywords
application
signature
unit
valid
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012114209A
Other languages
Japanese (ja)
Other versions
JP2012256321A (en
Inventor
小川 一人
一人 小川
大竹 剛
剛 大竹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Japan Broadcasting Corp
Original Assignee
Japan Broadcasting Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Broadcasting Corp filed Critical Japan Broadcasting Corp
Priority to JP2012114209A priority Critical patent/JP5952638B2/en
Publication of JP2012256321A publication Critical patent/JP2012256321A/en
Application granted granted Critical
Publication of JP5952638B2 publication Critical patent/JP5952638B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

本発明は、放送と、インターネット、専用IP(Internet Protocol)回線等の通信ネットワークとを利用した放送通信連携システムにおいて、一般アプリケーションに対するリソースアクセス制御の技術に関する。   The present invention relates to a resource access control technique for a general application in a broadcasting / communication cooperation system using broadcasting and a communication network such as the Internet or a dedicated IP (Internet Protocol) line.

近年、放送のデジタル化や通信の高速・広帯域化に伴い、放送と通信を連携した様々なサービス(以降、「放送通信連携サービス」)が検討されている(例えば、非特許文献1,2参照)。この放送通信連携サービスでは、放送番組に関連する多様な情報を通信ネットワーク経由で取得し、放送と組み合わせて提示することが想定されている。また、受信機では、放送通信連携サービスを享受するため、この放送通信連携サービスに適応したアプリケーションを用いることが想定されている。   In recent years, various services that link broadcasting and communication (hereinafter referred to as “broadcast communication cooperation service”) have been studied along with digitization of broadcasting and high-speed / broadband communication (for example, see Non-Patent Documents 1 and 2). ). In this broadcasting / communication cooperation service, it is assumed that various information related to broadcasting programs are acquired via a communication network and presented in combination with broadcasting. In addition, in order to enjoy the broadcasting / communication cooperation service, the receiver is assumed to use an application adapted to the broadcasting / communication cooperation service.

「技研における放送通信連携技術研究の概要」、NHK技研R&D、No.124、2010.11、P4−P9“Summary of Broadcast and Communication Collaboration Technology Research at STRL”, NHK STRL R & D, No. 124, 2011.11, P4-P9 「HybridcastTMの概要と技術」、NHK技研R&D、No.124、2010.11、P10−P17“Overview and Technology of Hybridcast ™”, NHK STRL R & D, No. 124, 2011.11, P10-P17

この放送通信連携サービスにおいて、視聴者にとってより魅力的なサービスを実現するためには、放送局等が制作したアプリケーションだけでなく、様々なサービス事業者や個人等の提供元が正当でない(提供元が信頼できない)アプリケーションも視聴者に提供できる環境が望まれている。しかし、提供元が正当でないアプリケーションは、放送通信連携システムで期待する動作が保証されているか定かでなく、安全性や放送の公共性の観点から、無制限に受信機のリソースへアクセスすることが認められない。   In order to realize a more attractive service for viewers in this broadcasting / communication cooperation service, not only applications created by broadcasting stations, but also various service providers and providers such as individuals are not valid (provider However, there is a demand for an environment in which applications can be provided to viewers. However, it is not certain that the operation that is expected from the broadcasting / communication cooperation system is guaranteed for the application whose provider is not valid, and it is permitted to access the resources of the receiver without restriction from the viewpoint of safety and publicity of broadcasting. I can't.

そこで、本発明は、放送と通信を連携した放送通信連携サービスにおいて、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる放送通信連携受信装置及び放送通信連携システムを提供することを課題とする。   Therefore, the present invention provides a broadcasting / communication cooperation receiving apparatus and a broadcasting / communication cooperation system capable of prohibiting unlimited resource access for an application whose provider is not valid in a broadcasting / communication cooperation service that links broadcasting and communication. The task is to do.

前記した課題に鑑みて、本願第1発明に係る放送通信連携受信装置は、放送番組を送信する放送送信装置と、放送番組を受信する放送通信連携受信装置と、署名を生成する署名鍵及び当該署名鍵に対応する検証鍵を発行する署名鍵発行装置と、検証鍵が含まれる証明書を発行する認証局と、署名鍵発行装置からの署名鍵により生成された署名及び証明書を、アプリケーションの提供元を検証するための検証用情報としてアプリケーションに付加するアプリケーション登録装置と、検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバとを含む放送通信連携システムに備えられる放送通信連携受信装置であって、アプリケーション取得手段と、アプリケーション判定手段と、リソースアクセス制御手段と、を備えることを特徴とする。 In view of the above-described problems, a broadcast communication cooperative reception device according to the first invention of the present application includes a broadcast transmission device that transmits a broadcast program, a broadcast communication cooperative reception device that receives a broadcast program, a signature key that generates a signature, and a signature key issuing device for issuing a search Akashikagi that corresponds to the signature key, and the certificate authority that issues certificates that contain validation key, the generated signature and certificate by signing key from signing key issuing apparatus, An application registration apparatus that is added to the application as verification information for verifying the application provider; an application server that stores at least one of the application to which the verification information is added and the application to which the verification information is not added; A broadcasting / communication cooperation receiving device provided in a broadcasting / communication cooperation system including: an application acquisition unit; It characterized in that it comprises the application determination unit, and resource access control means.

かかる構成によれば、放送通信連携受信装置は、アプリケーション取得手段によって、ネットワークを介して、アプリケーションサーバに記憶されたアプリケーションを取得する。
このアプリケーション取得手段が取得したアプリケーションには、その提供元が正当な場合には検証用情報が付加されおり、その提供元が正当でない場合には検証用情報が付加されないことになる。
According to such a configuration, the broadcasting / communication cooperation receiving apparatus acquires the application stored in the application server via the network by the application acquiring unit.
Verification information is added to the application acquired by the application acquisition means when the provider is valid, and verification information is not added when the provider is not valid.

また、放送通信連携受信装置は、アプリケーション判定手段によって、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを判定する。
この検証用情報は、例えば、署名、証明書が含まれており、失効リスト、アプリケーションを一意に識別するアプリケーションID、サービス事業者を一意に識別する事業者ID等の情報がさらに含まれてもよい。
また、検証用情報は、アプリケーション登録装置により、アプリケーションの提供元が検証された検証結果であってもよい。
In the broadcast communication cooperative reception apparatus, the application determination unit determines whether the application provider acquired by the application acquisition unit is valid based on the verification information.
This verification information includes, for example, a signature and a certificate, and may further include information such as a revocation list, an application ID that uniquely identifies an application, and an operator ID that uniquely identifies a service provider. Good.
Further, the verification information may be a verification result in which the application provider is verified by the application registration apparatus.

そして、放送通信連携受信装置は、リソースアクセス制御手段によって、アプリケーション判定手段の判定結果に基づいて、取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。例えば、アプリケーションの提供元が正当でない場合、リソースアクセス制御手段は、このアプリケーションが、後記する放送リソースにアクセスすることを禁止する。一方、アプリケーションの提供元が正当な場合、リソースアクセス制御手段は、このアプリケーションが放送リソースにアクセスすることを禁止せずともよい。これによって、リソースアクセス制御手段は、提供元が正当でないアプリケーションが、無制限にリソースへアクセスすることを禁止できる。   Then, the broadcasting / communication cooperative receiving apparatus performs resource access control for prohibiting access to a predetermined resource for the acquired application based on the determination result of the application determination unit by the resource access control unit. For example, if the application provider is not valid, the resource access control means prohibits the application from accessing a broadcast resource described later. On the other hand, if the provider of the application is valid, the resource access control means may not prohibit the application from accessing the broadcast resource. Thereby, the resource access control means can prohibit an application whose provider is not valid from accessing the resource without limitation.

また、本願第2発明に係る放送通信連携受信装置は、アプリケーション取得手段が、署名鍵により生成された署名及び証明書が検証用情報として付加されたアプリケーションを取得し、アプリケーション判定手段が、証明書が有効であるか否かを認証局に確認し、証明書が有効な場合、証明書の検証鍵により署名が正当であるか否かを検証し、署名が正当な場合にアプリケーションの提供元が正当と判定し、証明書が有効でない又は署名が正当でない場合にアプリケーションの提供元が正当でないと判定することを特徴とする。   In the broadcast communication cooperative receiving apparatus according to the second invention of the present application, the application acquisition unit acquires an application to which a signature and a certificate generated by a signature key are added as verification information, and the application determination unit includes a certificate. If the certificate is valid, the certificate verification key verifies whether the signature is valid. If the signature is valid, the application provider It is determined that the application provider is not valid when the certificate is not valid or the signature is not valid.

かかる構成によれば、放送通信連携受信装置は、不正が困難な署名及び証明書を用いるため、例えば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。   According to such a configuration, since the broadcasting / communication cooperation receiving apparatus uses a signature and certificate that are difficult to be fraudulent, for example, an application whose provider is not valid can access resources by impersonating the provider as a valid application. Can be prevented.

また、本願第3発明に係る放送通信連携受信装置は、証明書が予め記憶された記憶手段をさらに備え、アプリケーション取得手段が、署名鍵により生成された署名が検証用情報として付加されたアプリケーションを取得し、アプリケーション判定手段が、失効した証明書の一覧である失効リストに基づいて記憶手段から抽出された証明書が有効であるか否かを確認し、証明書が有効な場合、証明書の検証鍵により署名が正当であるか否かを検証し、署名が正当な場合にアプリケーションの提供元が正当と判定し、証明書が有効でない又は署名が正当でない場合にアプリケーションの提供元が正当でないと判定することを特徴とする。   Moreover, the broadcasting / communication cooperation receiving apparatus according to the third invention of the present application further includes a storage means in which a certificate is stored in advance, and the application acquisition means includes an application to which a signature generated by a signature key is added as verification information. The application determination means checks whether the certificate extracted from the storage means is valid based on the revocation list that is a list of revoked certificates. The verification key verifies whether the signature is valid. If the signature is valid, the application provider determines that the signature is valid. If the certificate is not valid or the signature is not valid, the application provider is invalid. It is characterized by determining.

かかる構成によれば、放送通信連携受信装置は、不正が困難な署名及び証明書を用いるため、例えば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。   According to such a configuration, since the broadcasting / communication cooperation receiving apparatus uses a signature and certificate that are difficult to be fraudulent, for example, an application whose provider is not valid can access resources by impersonating the provider as a valid application. Can be prevented.

また、本願第4発明に係る放送通信連携受信装置は、署名鍵により生成された署名と証明書とに基づいて、アプリケーションの提供元が正当であるか否かを検証するアプリケーション登録装置が含まれる放送通信連携システムに備えられ、アプリケーション取得手段が、検証用情報として、アプリケーションの提供元の検証結果がアプリケーション登録装置によって付加されたアプリケーションを取得し、アプリケーション判定手段が、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、証明書の有効性の確認及び署名の正当性の検証を行う必要がない。
In addition, the broadcasting / communication cooperation receiving apparatus according to the fourth invention of the present application includes an application registration apparatus that verifies whether the provider of the application is valid based on the signature and certificate generated by the signature key. Provided in the broadcasting / communication cooperation system, the application acquisition unit acquires an application to which the verification result of the application provider is added as verification information by the application registration device, and the application determination unit, based on the verification information, It is characterized by verifying whether the provider of the application acquired by the application acquisition means is valid.
According to such a configuration, the broadcasting / communication cooperation receiving apparatus does not need to check the validity of the certificate and verify the validity of the signature.

また、本願第5発明に係る放送通信連携受信装置は、署名鍵により生成された署名と証明書と失効リストとに基づいて、アプリケーションの提供元が正当であるか否かを検証するアプリケーション登録装置が含まれる放送通信連携システムに備えられ、アプリケーション取得手段が、検証用情報として、アプリケーションの提供元の検証結果がアプリケーション登録装置によって付加されたアプリケーションを取得し、アプリケーション判定手段が、検証用情報に基づいて、アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする。
かかる構成によれば、放送通信連携受信装置は、証明書の有効性の確認及び署名の正当性の検証を行う必要がない。
In addition, the broadcasting / communication cooperation receiving apparatus according to the fifth aspect of the present application is an application registration apparatus that verifies whether an application provider is valid based on a signature generated by a signature key, a certificate, and a revocation list. Is included in the broadcasting / communication cooperation system, and the application acquisition means acquires the application to which the verification result of the application provider is added by the application registration device as the verification information, and the application determination means uses the verification information as the verification information. Based on this, it is characterized by verifying whether the provider of the application acquired by the application acquisition means is valid.
According to such a configuration, the broadcasting / communication cooperation receiving apparatus does not need to check the validity of the certificate and verify the validity of the signature.

また、前記した課題に鑑みて、本願第6発明に係る放送通信連携システムは、本願第1発明に係る放送通信連携受信装置と、放送送信装置と、署名鍵発行装置と、認証局と、アプリケーション登録装置と、アプリケーションサーバと、を備えることを特徴とする。   In view of the above-described problems, the broadcast communication cooperative system according to the sixth invention of the present application includes a broadcast communication cooperative receiver, a broadcast transmitter, a signature key issuing device, a certificate authority, an application, and an application according to the first invention of the present application. A registration apparatus and an application server are provided.

かかる構成によれば、放送通信連携システムは、放送通信連携受信装置によって、検証用情報に基づいて、アプリケーションサーバから取得したアプリケーションの提供元が正当であるか否かを判定する。そして、放送通信連携システムは、放送通信連携受信装置によって、アプリケーションの提供元を正当でないと判定した場合、このアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行う。すなわち、放送通信連携受信装置は、提供元が正当でないアプリケーションが、無制限にリソースへアクセスすることを禁止できる。   According to such a configuration, the broadcasting / communication cooperation system determines whether or not the provider of the application acquired from the application server is valid based on the verification information by the broadcasting / communication cooperation receiving device. When the broadcast communication cooperative reception apparatus determines that the application provider is not valid, the broadcast communication cooperative system performs resource access control for prohibiting access to a predetermined resource for this application. That is, the broadcasting / communication cooperation receiving apparatus can prohibit an application whose provider is not valid from accessing a resource without limitation.

本発明によれば、以下のような優れた効果を奏する。
本願第1,6発明によれば、放送局等の提供元が正当なアプリケーションだけでなく、サービス事業者等の提供元が正当でないアプリケーションも取得できると共に、提供元が正当でないアプリケーションが無制限にリソースへアクセスすることを禁止できる。これによって、本願第1,6発明によれば、提供元が正当でないアプリケーションも視聴者に安全に提供できるため、幅広いサービス事業者等の参入を促しつつ、高い安全性を確保することができる。
According to the present invention, the following excellent effects can be obtained.
According to the first and sixth inventions of the present application, not only an application whose provider such as a broadcasting station is valid but also an application whose provider such as a service provider is not valid can be acquired, and an application whose provider is not valid is an unlimited resource. Can be prohibited. Thus, according to the first and sixth inventions of the present application, since an application whose provider is not valid can be safely provided to the viewer, high safety can be ensured while encouraging the entry of a wide range of service providers.

本願第2,3発明によれば、不正が困難な署名及び証明書を用いるため、提供元が正当であるか否かを正しく検証できるため、安全性をより向上させることができる。例えば、本願第2,3発明によれば、提供元が正当でないアプリケーションが、提供元が正当なアプリケーションになりすまして、リソースにアクセスすることを防止できる。   According to the second and third inventions of the present application, since a signature and a certificate that are difficult to be fraudulent are used, it is possible to correctly verify whether or not the provider is valid, and thus the safety can be further improved. For example, according to the second and third aspects of the present invention, an application whose provider is not valid can be prevented from impersonating the provider as a valid application and accessing resources.

本願第4,5発明によれば、放送通信連携受信装置が、証明書の有効性の確認及び署名の正当性の検証を行う必要がないため、放送通信連携受信装置の処理負荷を低減して、放送通信連携受信装置を簡易な構成にすることができる。   According to the fourth and fifth inventions of the present application, it is not necessary for the broadcasting / communication cooperation receiving device to check the validity of the certificate and verify the validity of the signature, thereby reducing the processing load on the broadcasting / communication cooperation receiving device. Thus, the broadcasting / communication cooperation receiving apparatus can be configured simply.

本発明の第1実施形態に係る放送通信連携システムの全体構成を示す概略図である。It is the schematic which shows the whole structure of the broadcast communication cooperation system which concerns on 1st Embodiment of this invention. 図1の署名鍵発行装置の構成を示すブロック図である。It is a block diagram which shows the structure of the signature key issuing apparatus of FIG. 図1のアプリケーションサーバの構成を示すブロック図である。It is a block diagram which shows the structure of the application server of FIG. 図1のアプリID・事業者ID生成装置の構成を示すブロック図である。It is a block diagram which shows the structure of the application ID and provider ID production | generation apparatus of FIG. 図1のアプリケーション登録装置の構成を示すブロック図である。It is a block diagram which shows the structure of the application registration apparatus of FIG. 図1の受信機の構成を示すブロック図である。It is a block diagram which shows the structure of the receiver of FIG. 図1の受信機に予め設定されたリソースアクセス制御テーブルのデータ構造を示す図である。It is a figure which shows the data structure of the resource access control table preset in the receiver of FIG. 図1の放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system of FIG. 図1の放送通信連携システムにおいて、一般アプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts a general application in the broadcast communication cooperation system of FIG. 本発明の変形例1に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on the modification 1 of this invention. 本発明の第2実施形態に係るアプリケーション登録装置の構成を示すブロック図である。It is a block diagram which shows the structure of the application registration apparatus which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る受信機の構成を示すブロック図である。It is a block diagram which shows the structure of the receiver which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on 2nd Embodiment of this invention. 本発明の変形例2に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on the modification 2 of this invention. 本発明の第3実施形態に係る放送通信連携システムの全体構成を示す概略図である。It is the schematic which shows the whole structure of the broadcast communication cooperation system which concerns on 3rd Embodiment of this invention. 本発明の第3実施形態に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on 3rd Embodiment of this invention. 本発明の変形例3に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on the modification 3 of this invention. 本発明の変形例4に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on the modification 4 of this invention. 本発明の変形例5に係る放送通信連携システムにおいて、Aアプリケーションを起動する動作を示すシーケンス図である。It is a sequence diagram which shows the operation | movement which starts A application in the broadcast communication cooperation system which concerns on the modification 5 of this invention.

以下、本発明の各実施形態について、適宜図面を参照しながら詳細に説明する。なお、各実施形態において、同一の機能を有する手段及び同一のステップ(処理)には同一の符号を付し、説明を省略した。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings as appropriate. In each embodiment, means having the same function and the same step (process) are denoted by the same reference numerals, and the description thereof is omitted.

(第1実施形態)
[放送通信連携システムの構成]
図1を参照して、本発明の第1実施形態に係る放送通信連携システム1の構成について説明する。
放送通信連携システム1は、放送と通信とを連携し、放送番組と共に様々なサービスをユーザ(視聴者)に提供するものである。具体的には、放送通信連携システム1は、放送波Wを介して、放送番組を放送通信連携受信装置(以後、「受信機」)80に送信すると共に、ネットワークNを介して、様々なサービスに適応したアプリケーションを受信機80に送信する。そして、放送通信連携システム1は、受信機80において、放送番組に関連する多様なサービスを、アプリケーションによりユーザに提供する。このとき、放送通信連携システム1は、受信機80において、安全性(セキュリティ)や放送の公共性の観点から、提供元が正当でないアプリケーションについては、後記するリソースへのアクセスを禁止する。
(First embodiment)
[Broadcasting communication system configuration]
With reference to FIG. 1, the structure of the broadcast communication cooperation system 1 which concerns on 1st Embodiment of this invention is demonstrated.
The broadcasting / communication cooperation system 1 links broadcasting and communication, and provides various services to users (viewers) together with broadcasting programs. Specifically, the broadcasting / communication cooperation system 1 transmits a broadcast program to a broadcasting / communication cooperation receiving apparatus (hereinafter referred to as “receiver”) 80 via a broadcast wave W and various services via the network N. To the receiver 80. Then, the broadcasting / communication cooperation system 1 provides various services related to the broadcast program to the user by the application in the receiver 80. At this time, the broadcasting / communication cooperation system 1 prohibits access to the resources described later in the receiver 80 for an application whose provider is not valid from the viewpoint of safety (security) and broadcasting publicity.

「アプリケーション」とは、受信機90を実行環境として動作するソフトウェアである。
このアプリケーションには、後記する検証用情報が付加されたものと、検証用情報が付加されていないものがある。
なお、アプリケーションを「アプリ」と略記することがある。
The “application” is software that operates using the receiver 90 as an execution environment.
Some of these applications are added with verification information described later, and some are not added with verification information.
The application may be abbreviated as “application”.

提供元が正当なアプリケーション(すなわち、放送局や信頼できるサービス事業者によって制作されたアプリケーション)は、「A(Authorized)アプリケーション」と呼ばれる。本実施形態では、サービス事業者Bが制作したアプリケーションが「Aアプリケーション」であるとする。このAアプリケーションは、放送通信連携システム1で期待される動作が保証されたものであり、後記するアプリケーション登録装置70で検証用情報が付加された後、後記するアプリケーションサーバ50Bに記憶される。   An application whose provider is valid (that is, an application created by a broadcasting station or a reliable service provider) is called an “A (Authorized) application”. In this embodiment, it is assumed that the application created by the service provider B is “A application”. The A application is an operation that is expected to be expected in the broadcasting / communication cooperation system 1, and after verification information is added by the application registration device 70 described later, it is stored in the application server 50B described later.

また、提供元が正当でないアプリケーション(すなわち、信頼できないサービス事業者や個人によって制作されたアプリケーション)は、「一般アプリケーション」と呼ばれる。本実施形態では、サービス事業者Aが制作したアプリケーションが「一般アプリケーション」であるとする。この一般アプリケーションは、放送通信連携システム1で期待される動作が保障されたものでなく、検証用情報が付加されない状態で、後記するアプリケーションサーバ50Aに記憶される。   An application whose provider is not valid (that is, an application created by an unreliable service provider or an individual) is called a “general application”. In the present embodiment, it is assumed that the application created by the service provider A is a “general application”. This general application is not guaranteed for the operation expected in the broadcasting / communication cooperation system 1, and is stored in the application server 50A described later in a state where verification information is not added.

「放送局」とは、編成を伴う番組を送出しているものであり、放送波W又はネットワークNにより放送番組をユーザ(視聴者)に配信するものである。
「サービス事業者」とは、サービスを提供するもので、サービスを提供するためのコンテンツ及びアプリケーションを制作し、配信するものである。
The “broadcast station” is a program that sends a program with composition, and distributes the broadcast program to the user (viewer) through the broadcast wave W or the network N.
A “service provider” provides a service, and creates and distributes content and an application for providing the service.

図1に示すように、放送通信連携システム1は、放送送信装置10と、署名鍵発行装置20と、CA局(認証局)30と、コンテンツ配信サーバ40A,40Bと、アプリケーションサーバ50A,50Bと、アプリID・事業者ID生成装置60と、アプリケーション登録装置70と、受信機80とを備える。
この放送通信連携システム1では、ネットワークNを介して、CA局30と、コンテンツ配信サーバ40A,40Bと、アプリケーションサーバ50A,50Bと、受信機80とが接続されている。
なお、以後の図面において、一点鎖線は、オフライン又はオンラインでの送信を示す。
As shown in FIG. 1, the broadcasting / communication cooperation system 1 includes a broadcasting transmission device 10, a signature key issuing device 20, a CA station (certification authority) 30, content distribution servers 40A and 40B, and application servers 50A and 50B. , An application ID / company ID generation device 60, an application registration device 70, and a receiver 80.
In the broadcasting / communication cooperation system 1, a CA station 30, content distribution servers 40A and 40B, application servers 50A and 50B, and a receiver 80 are connected via a network N.
In the following drawings, the alternate long and short dash line indicates offline or online transmission.

放送送信装置10は、放送局に設置され、図示を省略した番組編成設備、番組送信設備、送信設備等から構成されるデジタル放送用の放送設備であり、放送波Wを介して、放送番組を受信機80に送信するものである。
なお、放送送信装置10は、放送番組を放送波Wとして送信する形態で説明するが、ケーブル(図示せず)や、ネットワークNを介して送信してもよい。
また、放送送信装置10は、一般的な構成のため、詳細な説明を省略する。
The broadcast transmitting apparatus 10 is a broadcasting facility for digital broadcasting that is installed in a broadcasting station and includes a program organization facility, a program transmission facility, a transmission facility, etc. (not shown). It is transmitted to the receiver 80.
In addition, although the broadcast transmission apparatus 10 demonstrates in the form which transmits a broadcast program as the broadcast wave W, you may transmit via a cable (not shown) and the network N. FIG.
Moreover, since the broadcast transmission apparatus 10 is a general structure, detailed description is abbreviate | omitted.

署名鍵発行装置20は、放送局に設置され、署名を生成する署名鍵(秘密鍵)と、この署名の検証に必要となる検証鍵(公開鍵)とを発行するものである。この署名鍵発行装置20は、例えば、信頼できるサービス事業者ごとに署名鍵及び検証鍵を生成する。この署名鍵発行装置20が生成した署名鍵は、放送局によって、サービス事業者B(具体的には、アプリケーション登録装置70)に配布される。また、署名鍵発行装置20が生成した検証鍵は、放送局によって、CA局30に配布される。
なお、署名鍵及び検証鍵は、例えば、ネットワークN等のオンラインで送信し、又は、それぞれが格納された記録媒体を郵送等のオフラインで送信してもよい。
The signature key issuing device 20 is installed in a broadcasting station and issues a signature key (secret key) for generating a signature and a verification key (public key) necessary for verifying the signature. For example, the signing key issuing device 20 generates a signing key and a verification key for each reliable service provider. The signature key generated by the signature key issuing device 20 is distributed to the service provider B (specifically, the application registration device 70) by the broadcasting station. The verification key generated by the signature key issuing device 20 is distributed to the CA station 30 by the broadcasting station.
For example, the signature key and the verification key may be transmitted online such as the network N, or a recording medium storing the signature key and the verification key may be transmitted offline such as by mail.

CA局(認証局)30は、署名鍵発行装置20から配布された検証鍵が含まれる証明書を発行するものである。このCA局30は、例えば、ITU(International Telecommunication Union)のX.509で規定された手法で、事業者IDに対応付けた証明書を生成する。そして、CA局30は、生成した証明書を、オンライン又はオフラインでアプリケーション登録装置70に配布する。また、CA局30は、受信機80から、証明書が有効又は無効であるかの問い合わせ(証明書問合)が入力されると、証明書が有効又は無効であるかを問合結果として受信機80に出力する。   The CA station (certificate authority) 30 issues a certificate including the verification key distributed from the signature key issuing device 20. The CA station 30 is, for example, the X.264 of ITU (International Telecommunication Union). A certificate associated with the provider ID is generated by the method defined in 509. Then, the CA station 30 distributes the generated certificate to the application registration apparatus 70 online or offline. When the CA station 30 receives an inquiry (certificate inquiry) as to whether the certificate is valid or invalid from the receiver 80, the CA station 30 receives as an inquiry result whether the certificate is valid or invalid. To the machine 80.

ここで、信頼できないサービス事業者等がCA局30を任意に設置可能とした場合、一般アプリケーションを含めた全アプリケーションが、Aアプリケーションとして配布可能になってしまう。このような事態を防止すべく、CA局30は、放送局又は放送通信連携システム1のシステム管理者(不図示)によって、証明書の発行を認められたものに限る必要がある。
なお、CA局30は、一般的な構成のため、詳細な説明を省略する。
また、図1には、失効リスト(CRL1、CLR2)を図示したが、本実施形態には直接関係しないので説明を後記する(変形例1参照)。
Here, if an unreliable service provider or the like can arbitrarily install the CA station 30, all applications including general applications can be distributed as A applications. In order to prevent such a situation, the CA station 30 needs to be limited to a certificate approved by a broadcasting station or a system administrator (not shown) of the broadcasting / communication cooperation system 1.
Since the CA station 30 has a general configuration, detailed description thereof is omitted.
FIG. 1 shows the revocation list (CRL1, CLR2), but since it is not directly related to the present embodiment, the description will be given later (see Modification 1).

コンテンツ配信サーバ40は、受信機80のアプリケーションからの要求により、ネットワークNを介して、コンテンツを受信機80に提供するものである。このコンテンツ配信サーバ40としては、例えば、VOD(ビデオオンデマンド)配信サーバ、字幕配信サーバ、マルチビュー配信サーバ等があげられる。   The content distribution server 40 provides content to the receiver 80 via the network N in response to a request from an application of the receiver 80. Examples of the content distribution server 40 include a VOD (video on demand) distribution server, a caption distribution server, and a multi-view distribution server.

本実施形態では、コンテンツ配信サーバ40Aがサービス事業者Aによって管理され、コンテンツ配信サーバ40Bがサービス事業者Bによって管理されることとする。
なお、コンテンツ配信サーバ40は、一般的な構成のため、詳細な説明省略する。
In the present embodiment, it is assumed that the content distribution server 40A is managed by the service provider A and the content distribution server 40B is managed by the service provider B.
Since the content distribution server 40 has a general configuration, a detailed description is omitted.

アプリケーションサーバ50は、各サービス事業者が制作したアプリケーションを記憶、管理するサーバである。このアプリケーションサーバ50は、例えば、受信機80からの要求に応じて、ネットワークNを介して、アプリケーションを受信機80に送信する。
本実施形態では、アプリケーションサーバ50Aがサービス事業者Aによって管理され、アプリケーションサーバ50Bがサービス事業者Bによって管理されることとする。
The application server 50 is a server that stores and manages applications created by each service provider. For example, the application server 50 transmits an application to the receiver 80 via the network N in response to a request from the receiver 80.
In the present embodiment, the application server 50A is managed by the service provider A, and the application server 50B is managed by the service provider B.

アプリID・事業者ID生成装置60は、サービス事業者Bによって管理され、アプリケーションを一意に識別するアプリケーションIDと、サービス事業者Bを一意に識別する事業者IDとを生成するものである。そして、アプリID・事業者ID生成装置60は、生成したアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力する。   The application ID / provider ID generation device 60 is managed by the service provider B, and generates an application ID that uniquely identifies the application and a provider ID that uniquely identifies the service provider B. Then, the application ID / business ID generation device 60 outputs the generated application ID and business ID to the application registration device 70.

アプリケーション登録装置70は、サービス事業者Bが制作したアプリケーションに検証用情報を付加して、このアプリケーションをAアプリケーションとして登録するものである。具体的には、アプリケーション登録装置70は、署名鍵発行装置20からの署名鍵により署名を生成する。そして、アプリケーション登録装置70は、生成した署名と、CA局30からの証明書と、アプリID・事業者ID生成装置60からのアプリケーションID及び事業者IDとを、アプリケーションに検証用情報として付加する。その後、アプリケーション登録装置70は、検証用情報が付加されたアプリケーションをアプリケーションサーバ50Bに出力する。
なお、アプリケーション登録装置70は、システム管理者によって管理される。
The application registration device 70 adds verification information to an application created by the service provider B and registers the application as an A application. Specifically, the application registration device 70 generates a signature using the signature key from the signature key issuing device 20. Then, the application registration apparatus 70 adds the generated signature, the certificate from the CA station 30, and the application ID and the business ID from the application ID / business ID generation device 60 to the application as verification information. . Thereafter, the application registration apparatus 70 outputs the application with the verification information added to the application server 50B.
The application registration device 70 is managed by a system administrator.

受信機(放送通信連携受信装置)80は、各ユーザの自宅等に設置され、地上デジタル放送、BSデジタル放送、データ放送等の放送番組が視聴可能であると共に、ネットワークNを介して、アプリケーションを受信可能な受信装置である。そして、受信機80は、前記した検証用情報を用いて、アプリケーションの提供元が正当であるか否かを検証する。さらに、受信機80は、アプリケーションの提供元が正当でない場合、このアプリケーションに対して、受信機80の一部リソースへのアクセスを禁止する。   A receiver (broadcast communication cooperative receiver) 80 is installed at each user's home, etc., and can watch broadcast programs such as terrestrial digital broadcast, BS digital broadcast, and data broadcast, and can also receive applications via the network N. It is a receiving device capable of receiving. Then, the receiver 80 verifies whether or not the application provider is valid using the verification information. Furthermore, when the provider of the application is not valid, the receiver 80 prohibits access to some resources of the receiver 80 for this application.

この受信機80では、アプリケーション起動情報に基づいて、アプリケーションの取得、起動、終了等の制御が行われるため、アプリケーション起動情報について説明する。
この「アプリケーション起動情報」とは、アプリケーションの識別子(ID)、アプリケーションの配置場所等のアプリケーションを特定するための情報、ならびに、当該アプリケーションを制御するための付加的な情報(アプリケーション情報テーブル:AIT(Application Information Table)に相当する情報)である。
Since the receiver 80 controls the acquisition, activation, termination, and the like of the application based on the application activation information, the application activation information will be described.
The “application activation information” is information for identifying an application such as an application identifier (ID), an application location, and additional information for controlling the application (application information table: AIT ( Information corresponding to Application Information Table).

ここで、アプリケーション起動情報は、従来技術のAITと同様、エレメンタリストリーム(ES:Elementary Stream)として放送TS(Transport Stream)に多重化して、受信機80に伝送することができる。この手法は、参考文献「(社)電波産業会、“デジタル放送におけるアプリケーション実行環境 標準規格 ARIB STD−B23 1.2版”、平成21年7月29日、p.39〜54」に記載されている。
また、アプリケーション起動情報は、SI(番組配列情報)の一つであるEIT(p/f)に追加して、受信機80に伝送してもよい。
さらに、アプリケーション起動情報は、DSM−CC(Digital Storage Media-Command and Control)データカルーセルにより、受信機80に伝送してもよい。
このようにして、放送通信連携システム1では、放送波Wを介して、アプリケーション起動情報を受信機80に伝送することができる。
Here, the application activation information can be multiplexed to a broadcast TS (Transport Stream) as an elementary stream (ES) and transmitted to the receiver 80, as in the AIT of the prior art. This technique is described in the reference document “Radio Industry Association,“ Application Execution Environment Standard for Digital Broadcasting, ARIB STD-B23 Version 1.2 ”, July 29, 2009, p.39-54”. ing.
The application activation information may be transmitted to the receiver 80 after being added to EIT (p / f) which is one of SI (program sequence information).
Further, the application activation information may be transmitted to the receiver 80 by a DSM-CC (Digital Storage Media-Command and Control) data carousel.
In this way, the broadcast communication cooperative system 1 can transmit the application activation information to the receiver 80 via the broadcast wave W.

この他、放送通信連携システム1では、ネットワークNを介してアプリケーション起動情報を受信機80に送信するアプリケーション起動情報サーバ(不図示)を備えてもよい。このアプリケーション起動情報サーバは、例えば、システム管理者又は各サービス事業者に設置され、各アプリケーションに対応したアプリケーション起動情報を記憶、管理する。   In addition, the broadcasting / communication cooperation system 1 may include an application activation information server (not shown) that transmits application activation information to the receiver 80 via the network N. This application activation information server is installed in, for example, a system administrator or each service provider, and stores and manages application activation information corresponding to each application.

なお、アプリケーション起動情報の送信方法は、例えば、あるアプリケーションが編成チャンネルに連動するか否か等に依存するが、本発明には直接関係しないので詳細な説明を省略する。従って、本実施形態では、前記した何れの方法でアプリケーション起動情報を送信してよいこととする。   The application activation information transmission method depends on, for example, whether or not a certain application is linked to the composition channel. However, since it is not directly related to the present invention, detailed description thereof is omitted. Therefore, in the present embodiment, the application activation information may be transmitted by any of the methods described above.

[署名鍵発行装置の構成]
図2を参照して、署名鍵発行装置20の構成について説明する(適宜図1参照)。
図2に示すように、署名鍵発行装置20は、署名鍵・検証鍵生成手段200と、検証鍵管理手段201と、署名鍵管理手段202とを備える。
[Configuration of signing key issuing device]
The configuration of the signature key issuing device 20 will be described with reference to FIG. 2 (see FIG. 1 as appropriate).
As shown in FIG. 2, the signature key issuing apparatus 20 includes a signature key / verification key generation unit 200, a verification key management unit 201, and a signature key management unit 202.

署名鍵・検証鍵生成手段200は、署名鍵及び検証鍵を生成するものである。ここで、署名鍵・検証鍵生成手段200は、例えば、DSA署名、RSA署名、楕円曲線を用いた署名等の一般的な署名方式により、信頼できるサービス事業者ごとに署名鍵及び検証鍵を生成する。そして、署名鍵・検証鍵生成手段200は、生成した検証鍵を検証鍵管理手段201に出力し、生成した署名鍵を署名鍵管理手段202に出力する。   The signature key / verification key generation unit 200 generates a signature key and a verification key. Here, the signature key / verification key generation unit 200 generates a signature key and a verification key for each reliable service provider by a general signature method such as a DSA signature, an RSA signature, or a signature using an elliptic curve, for example. To do. Then, the signature key / verification key generation unit 200 outputs the generated verification key to the verification key management unit 201, and outputs the generated signature key to the signature key management unit 202.

検証鍵管理手段201は、署名鍵・検証鍵生成手段200が生成した検証鍵を記憶、管理するものである。例えば、検証鍵管理手段201は、署名鍵・検証鍵生成手段200から検証鍵が入力され、この検証鍵を事業者IDに対応付けて、メモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、検証鍵管理手段201は、記憶した検証鍵を出力する。   The verification key management unit 201 stores and manages the verification key generated by the signature key / verification key generation unit 200. For example, the verification key management unit 201 receives the verification key from the signature key / verification key generation unit 200 and stores the verification key in a storage device (not shown) such as a memory or a hard disk in association with the provider ID. . Then, the verification key management unit 201 outputs the stored verification key.

署名鍵管理手段202は、署名鍵・検証鍵生成手段200が生成した署名鍵を記憶、管理するものである。例えば、署名鍵管理手段202は、署名鍵・検証鍵生成手段200から署名鍵が入力され、この署名鍵を事業者IDに対応付けて、メモリ、ハードディスク等の記憶装置(不図示)に記憶する。そして、署名鍵管理手段202は、記憶した署名鍵をアプリケーション登録装置70に出力する。   The signature key management unit 202 stores and manages the signature key generated by the signature key / verification key generation unit 200. For example, the signature key management unit 202 receives the signature key from the signature key / verification key generation unit 200 and stores the signature key in a storage device (not shown) such as a memory or a hard disk in association with the provider ID. . Then, the signature key management unit 202 outputs the stored signature key to the application registration apparatus 70.

なお、署名鍵発行装置20では、署名鍵及び検証鍵を生成するタイミングは任意である。例えば、サービス事業者Bが鍵生成指令を署名鍵発行装置20に手動で入力すると、署名鍵発行装置20は、この鍵生成指令に応じて、署名鍵及び検証鍵を生成、出力する。   In the signature key issuing device 20, the timing for generating the signature key and the verification key is arbitrary. For example, when the service provider B manually inputs a key generation command to the signature key issuing device 20, the signature key issuing device 20 generates and outputs a signature key and a verification key in accordance with the key generation command.

[アプリケーションサーバの構成]
図3を参照して、アプリケーションサーバ50の構成について説明する(適宜図1参照)。
図3に示すように、アプリケーションサーバ50は、アプリケーション入力手段(アプリ入力手段)500と、アプリケーション記憶手段(アプリ記憶手段)501と、アプリケーション送信手段(アプリ送信手段)502とを備える。
なお、図1のアプリケーションサーバ50A,50Bは、入力されるアプリケーションに検証用情報が付加されているか否かが相違するたけで、その構成が同一である。
Application server configuration
The configuration of the application server 50 will be described with reference to FIG. 3 (see FIG. 1 as appropriate).
As shown in FIG. 3, the application server 50 includes an application input unit (application input unit) 500, an application storage unit (application storage unit) 501, and an application transmission unit (application transmission unit) 502.
Note that the application servers 50A and 50B in FIG. 1 have the same configuration, only whether or not verification information is added to the input application.

アプリケーション入力手段500は、各サービス事業者が制作したアプリケーションが入力されるものである。そして、アプリケーション入力手段500は、入力されたAアプリケーションを、アプリケーション記憶手段501に書き込む。   The application input unit 500 is used to input an application created by each service provider. Then, the application input unit 500 writes the input A application in the application storage unit 501.

アプリケーション記憶手段501は、Aアプリケーションを記憶するメモリ、ハードディスク等の記憶装置である。ここで、アプリケーション記憶手段501におけるAアプリケーションの所在位置が、アプリケーション起動情報に記述される。   The application storage unit 501 is a storage device such as a memory or a hard disk that stores the A application. Here, the location of the application A in the application storage unit 501 is described in the application activation information.

アプリケーション送信手段502は、受信機80からの要求に応じて、各アプリケーションを受信機80に送信するものである。具体的には、アプリケーション送信手段502は、ネットワークNを介して、受信機80から要求を受信すると、この要求に応じたアプリケーションをアプリケーション記憶手段501から読み出す。そして、アプリケーション送信手段502は、ネットワークNを介して、読み出したアプリケーションを受信機80に送信する。   The application transmission unit 502 transmits each application to the receiver 80 in response to a request from the receiver 80. Specifically, when receiving a request from the receiver 80 via the network N, the application transmission unit 502 reads an application corresponding to the request from the application storage unit 501. Then, the application transmission unit 502 transmits the read application to the receiver 80 via the network N.

[アプリID・事業者ID生成装置の構成]
図4を参照して、アプリID・事業者ID生成装置60の構成について説明する(適宜図1参照)。
図4に示すように、アプリID・事業者ID生成装置60は、アプリケーションID生成手段(アプリID生成手段)600と、事業者ID生成手段601と、アプリケーションID・事業者ID出力手段(アプリID・事業者ID出力手段)602とを備える。
[Configuration of App ID / Business ID Generation Device]
With reference to FIG. 4, the configuration of the application ID / business ID generation device 60 will be described (see FIG. 1 as appropriate).
As shown in FIG. 4, the application ID / business ID generation device 60 includes an application ID generation means (application ID generation means) 600, a business ID generation means 601, and an application ID / business ID output means (application ID). (Company ID output means) 602.

アプリケーションID生成手段600は、アプリケーションを一意に識別するアプリケーションIDを生成するものである。例えば、アプリケーションID生成手段600は、予め設定した命名規約に従って、URI(Uniform Resource Identifier)形式で表現されたアプリケーションIDを生成する。この命名規約は、例えば、サービス事業者Bの事業者IDと、このサービス事業者B内で一意に定められたアプリケーションを識別する番号とをアプリケーションIDとするものがある。そして、アプリケーションID生成手段600は、生成したアプリケーションIDを、アプリケーションID・事業者ID出力手段602に出力する。   The application ID generation unit 600 generates an application ID that uniquely identifies an application. For example, the application ID generation unit 600 generates an application ID expressed in a URI (Uniform Resource Identifier) format according to a preset naming convention. This naming convention includes, for example, an application ID that is an operator ID of the service provider B and a number that uniquely identifies an application within the service provider B. Then, the application ID generation unit 600 outputs the generated application ID to the application ID / provider ID output unit 602.

事業者ID生成手段601は、サービス事業者Bを一意に識別する事業者IDを生成するものである。そして、事業者ID生成手段601は、生成した事業者IDを、アプリケーションID・事業者ID出力手段602に出力する。   The provider ID generation unit 601 generates a provider ID that uniquely identifies the service provider B. Then, the company ID generation unit 601 outputs the generated company ID to the application ID / company ID output unit 602.

アプリケーションID・事業者ID出力手段602は、アプリケーションID生成手段600からアプリケーションIDが入力される共に、事業者ID生成手段601から事業者IDが入力される。そして、アプリケーションID・事業者ID出力手段602は、これらアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力するものである。   The application ID / company ID output means 602 receives the application ID from the application ID generation means 600 and the company ID from the company ID generation means 601. The application ID / company ID output means 602 outputs the application ID and the company ID to the application registration apparatus 70.

なお、アプリID・事業者ID生成装置60では、アプリケーションID及び事業者IDを生成するタイミングは任意である。例えば、サービス事業者BがID生成指令をアプリID・事業者ID生成装置60に手動で入力すると、アプリID・事業者ID生成装置60は、このID生成指令に応じて、アプリケーションID及び事業者IDを生成、出力する。   In addition, in the application ID / provider ID generation device 60, the timing for generating the application ID and the proprietor ID is arbitrary. For example, when the service provider B manually inputs an ID generation command to the application ID / provider ID generation device 60, the application ID / provider ID generation device 60 determines the application ID and the provider in accordance with the ID generation command. ID is generated and output.

[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
図5に示すように、アプリケーション登録装置70は、アプリケーション入力手段(アプリ入力手段)700と、アプリケーションID・事業者ID入力手段(アプリID・事業者ID入力手段)701と、アプリケーションID・事業者ID付加手段(アプリID・事業者ID付加手段)702と、署名鍵入力手段703と、署名生成手段704と、検証用情報付加手段705と、アプリケーション出力手段(アプリ出力手段)706とを備える。
[Configuration of application registration device]
The configuration of the application registration device 70 will be described with reference to FIG. 5 (see FIG. 1 as appropriate).
As shown in FIG. 5, the application registration apparatus 70 includes an application input unit (application input unit) 700, an application ID / company ID input unit (application ID / company ID input unit) 701, and an application ID / company An ID adding unit (application ID / company ID adding unit) 702, a signature key input unit 703, a signature generation unit 704, a verification information adding unit 705, and an application output unit (application output unit) 706 are provided.

アプリケーション入力手段700は、サービス事業者Bによって制作されたアプリケーションが入力されるものである。そして、アプリケーション入力手段700は、入力されたアプリケーションを、アプリケーションID・事業者ID付加手段702に出力する。   The application input means 700 is used to input an application created by the service provider B. Then, the application input unit 700 outputs the input application to the application ID / provider ID adding unit 702.

アプリケーションID・事業者ID入力手段701は、アプリID・事業者ID生成装置60からアプリケーションID及び事業者IDが入力されるものである。そして、アプリケーションID・事業者ID入力手段701は、入力されたアプリケーションID及び事業者IDを、アプリケーションID・事業者ID付加手段702に出力する。   The application ID / provider ID input means 701 receives the application ID and the proprietor ID from the app ID / provider ID generation device 60. Then, the application ID / company ID input unit 701 outputs the input application ID and company ID to the application ID / company ID adding unit 702.

アプリケーションID・事業者ID付加手段702は、アプリケーション入力手段700から入力されたアプリケーションに、アプリケーションID・事業者ID入力手段701から入力されたアプリケーションID及び事業者IDを付加するものである。そして、アプリケーションID・事業者ID付加手段702は、アプリケーションID及び事業者IDが付加されたアプリケーションを、検証用情報付加手段705に出力する。   The application ID / provider ID adding unit 702 adds the application ID and the provider ID input from the application ID / provider ID input unit 701 to the application input from the application input unit 700. Then, the application ID / provider ID adding unit 702 outputs the application to which the application ID and the provider ID are added to the verification information adding unit 705.

署名鍵入力手段703は、署名鍵発行装置20から、サービス事業者Bの署名鍵(秘密鍵)が入力される。また、署名鍵入力手段703は、CA局30から、サービス事業者Bの検証鍵が含まれる証明書が入力される。そして、署名鍵入力手段703は、入力された署名鍵及び証明書を、署名生成手段704に出力する。   The signature key input unit 703 receives the signature key (secret key) of the service provider B from the signature key issuing device 20. The signature key input unit 703 receives a certificate including the verification key of the service provider B from the CA station 30. Then, the signature key input unit 703 outputs the input signature key and certificate to the signature generation unit 704.

署名生成手段704は、署名鍵入力手段703から署名鍵及び証明書が入力され、この署名鍵を用いて、署名を生成するものである。ここで、例えば、サービス事業者を一意に識別する事業者ID及びアプリケーションID等の識別情報、乱数、または、アプリケーション本体のバイナリコード値の何れかを、署名の元となる署名元メッセージとする。そして、署名生成手段704は、この署名元メッセージに署名アルゴリズム(例えば、DSA署名)を適用して署名を生成し、この署名と、証明書を検証用情報付加手段705に出力する。
なお、この署名元メッセージは、何らかの方法で受信機80に配布する必要がある。例えば、署名元メッセージは、アプリケーションに付加することとしてもよい。
The signature generation unit 704 receives a signature key and a certificate from the signature key input unit 703, and generates a signature using the signature key. Here, for example, any one of identification information such as an operator ID and an application ID that uniquely identifies a service operator, a random number, or a binary code value of the application main body is used as a signature source message as a signature source. The signature generation unit 704 generates a signature by applying a signature algorithm (for example, DSA signature) to the signature source message, and outputs the signature and the certificate to the verification information addition unit 705.
This signature source message needs to be distributed to the receiver 80 by some method. For example, the signature source message may be added to the application.

すなわち、署名生成手段704は、以下の式(1)で表される署名を生成する。この式(1)では、Sigが署名であり、Signature_Ksが署名鍵(秘密鍵)による署名生成であり、Mesが署名元メッセージである。
Sig=Signature_Ks(Mes)・・・式(1)
That is, the signature generation unit 704 generates a signature represented by the following formula (1). In this formula (1), Sig is a signature, Signature_Ks is signature generation by a signature key (secret key), and Mes is a signature source message.
Sig = Signature_Ks (Mes) (1)

検証用情報付加手段705は、アプリケーションID・事業者ID付加手段702から入力されたアプリケーションに、署名生成手段704から入力された署名及び証明書を付加するものである。そして、検証用情報付加手段705は、このアプリケーションをアプリケーション出力手段706に出力する。すなわち、検証用情報付加手段705が出力するアプリケーションには、アプリケーションIDと、事業者IDと、署名と、証明書とが検証用情報として付加されることになる。   The verification information addition means 705 adds the signature and certificate input from the signature generation means 704 to the application input from the application ID / business ID addition means 702. Then, the verification information adding unit 705 outputs this application to the application output unit 706. That is, the application ID, the operator ID, the signature, and the certificate are added as verification information to the application output by the verification information adding unit 705.

アプリケーション出力手段706は、検証用情報付加手段705からアプリケーションが入力されると共に、このアプリケーションをアプリケーションサーバ50Bに出力するものである。つまり、アプリケーション出力手段706は、検証用情報が付加されたアプリケーションを、Aアプリケーションとしてアプリケーションサーバ50Bに出力する。   The application output unit 706 receives an application from the verification information adding unit 705 and outputs the application to the application server 50B. That is, the application output unit 706 outputs the application to which the verification information is added to the application server 50B as the A application.

[受信機の構成]
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機(放送通信連携受信装置)80は、放送受信手段801と、放送信号解析手段802と、映像・音声復号手段803と、データ放送復号手段804と、通信送受信手段805と、アプリケーション起動情報取得手段(アプリ起動情報取得手段)806と、アプリケーション起動情報記憶手段(アプリ起動情報記憶手段)807と、リスト制御手段808と、アプリケーション管理・実行制御手段(アプリ管理・実行制御手段)809と、起動アプリケーション識別情報記憶手段(起動アプリ識別情報記憶手段)810と、アプリケーション取得手段(アプリ取得手段)811と、アプリケーション記憶手段(アプリ記憶手段)812と、アプリケーション実行手段(アプリ実行手段)813と、操作制御手段814と、合成表示手段815と、セキュリティ管理手段816と、リソース管理手段819とを備える。
[Configuration of receiver]
The configuration of the receiver 80 will be described with reference to FIG. 6 (see FIG. 1 as appropriate).
As shown in FIG. 6, a receiver (broadcast communication cooperative receiving device) 80 includes a broadcast receiving unit 801, a broadcast signal analyzing unit 802, a video / audio decoding unit 803, a data broadcast decoding unit 804, and a communication transmitting / receiving unit. 805, application activation information acquisition means (application activation information acquisition means) 806, application activation information storage means (application activation information storage means) 807, list control means 808, application management / execution control means (application management / execution) Control means) 809, startup application identification information storage means (startup application identification information storage means) 810, application acquisition means (application acquisition means) 811, application storage means (application storage means) 812, application execution means (application Execution means) 813 and operation control means 814 Comprises a composite display unit 815, a security managing unit 816, and a resource management unit 819.

放送受信手段801は、アンテナAを介して、放送波Wとして送信される放送データを受信するものである。この放送受信手段801は、放送データを受信、復調し、誤り訂正やTMCC(Transmission and Multiplexing Configuration Control)復号等の復号を行い、MPEG2のトランスポートストリーム(TS)として、放送信号解析手段802に出力する。
なお、この放送受信手段801は、アンテナAを介して、電波によって放送信号を受信するものに限定されず、ケーブルを介して、放送信号を受信するものであってもよい。
The broadcast receiving unit 801 receives broadcast data transmitted as a broadcast wave W via the antenna A. This broadcast receiving means 801 receives and demodulates broadcast data, performs error correction and TMCC (Transmission and Multiplexing Configuration Control) decoding, etc., and outputs it to the broadcast signal analysis means 802 as an MPEG2 transport stream (TS). To do.
The broadcast receiving means 801 is not limited to receiving a broadcast signal by radio waves via the antenna A, and may be a means for receiving a broadcast signal via a cable.

放送信号解析手段802は、放送受信手段801で復調されたストリームデータ(トランスポートストリーム)において、PSI/SI(Program Specific Information〔番組特定情報〕/Service Information〔番組配列情報〕)を解析し、現在選局されている編成チャンネルに対応する映像、音声、データ放送等のデータを抽出するものである。なお、選局は、後記する操作制御手段814から通知されるチャンネル切替指示に基づいて行われる。   The broadcast signal analyzing unit 802 analyzes PSI / SI (Program Specific Information / Program Information) in the stream data (transport stream) demodulated by the broadcast receiving unit 801, Data such as video, audio, and data broadcast corresponding to the selected channel is extracted. The channel selection is performed based on a channel switching instruction notified from the operation control means 814 described later.

この放送信号解析手段802は、抽出した映像、音声等のデータであるPES(Packetized Elementary Stream)形式のデータについては、映像・音声復号手段803に出力し、抽出したデータ放送等のデータであるセクション形式のデータについては、データ放送復号手段804に出力する。   This broadcast signal analyzing means 802 outputs the extracted video, audio and other data in the PES (Packetized Elementary Stream) format to the video / audio decoding means 803 and extracts the section such as the extracted data broadcast data. The format data is output to the data broadcast decoding means 804.

このとき、放送信号解析手段802は、放送受信手段801で復調されたストリームデータから、SI(番組配列情報)の一つであるEITの記述子(アプリケーション起動情報記述子)に含まれているアプリケーション起動情報を抽出してもよい。そして、放送信号解析手段802は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。さらに、放送信号解析手段802は、アプリケーション起動情報を抽出した場合、アプリケーション起動情報が通知された旨(起動情報通知)を、アプリケーションを識別する情報(アプリケーションID)とともに、アプリケーション管理・実行制御手段809に通知する。
なお、このEITは、例えば、放送局の放送送信装置10(図1参照)が、アプリケーション起動情報をEITの記述子領域に埋め込むことで生成される。
At this time, the broadcast signal analysis unit 802 uses the application included in the EIT descriptor (application activation information descriptor), which is one of SI (program sequence information), from the stream data demodulated by the broadcast reception unit 801. Activation information may be extracted. Then, the broadcast signal analyzing unit 802 writes and stores the extracted application activation information in the application activation information storage unit 807. Furthermore, when the application activation information is extracted, the broadcast signal analysis unit 802 indicates that the application activation information has been notified (activation information notification), together with information for identifying the application (application ID), and application management / execution control unit 809. Notify
The EIT is generated, for example, when the broadcast transmission apparatus 10 (see FIG. 1) of the broadcasting station embeds application activation information in the EIT descriptor area.

<アプリケーション制御コードの具体例>
後記するアプリケーションの取得、起動、終了等の制御に関係するため、アプリケーション制御コードについて、具体的に説明する。
前記したように、アプリケーション起動情報記述子には、アプリケーション状態を制御する制御コード(アプリケーション制御コード)が含まれている。
このアプリケーション制御コードは、基本的にはARIB STD−B23で規定されているものと同様である。例えば、“AUTOSTART”は、放送通信連携受信装置80において、ユーザの操作によらず、自動で起動するアプリケーションであることを示す。また、“PRESENT”は、自動起動するアプリケーションではないことを示す。
また、“DESTROY”、“KILL”は、アプリケーションの終了を指示する制御コードであって、通常終了(例えば、ユーザの確認を行って終了)であるのか、強制終了(例えば、ユーザの確認を行わずに即時終了)であるのかを示す。
<Specific examples of application control code>
The application control code will be specifically described because it relates to control of acquisition, activation, termination and the like of the application described later.
As described above, the application activation information descriptor includes a control code (application control code) for controlling the application state.
This application control code is basically the same as that defined in ARIB STD-B23. For example, “AUTOSTART” indicates that the broadcasting / communication cooperation receiving device 80 is an application that is automatically started regardless of a user operation. “PRESENT” indicates that the application is not automatically started.
“DESTROY” and “KILL” are control codes for instructing termination of the application. Whether the termination is normal termination (for example, termination after user confirmation) or forced termination (for example, user confirmation is performed). Immediately exit).

このように、このアプリケーション制御コードは、基本的にはARIB STD−B23で規定されているものと同様であるが、ここでは、さらに、“KILLALL”を付加している。この“KILLALL”は、受信機80において、現在起動しているすべてのアプリケーションの強制終了を示すものである。   As described above, this application control code is basically the same as that defined in ARIB STD-B23, but “KILLALL” is further added here. This “KILLALL” indicates forcibly termination of all currently activated applications in the receiver 80.

以下、受信機80の構成について説明を続ける。
映像・音声復号手段803は、放送信号解析手段802で抽出された映像・音声(映像ストリームおよび音声ストリーム)を復号するものである。この映像・音声復号手段803は、映像・音声が例えば、MPEG2の符号化方式によって符号化されている場合、MPEG2の復号を行い表示可能な出力形式の映像・音声データとして、合成表示手段815に出力する。
Hereinafter, the description of the configuration of the receiver 80 will be continued.
The video / audio decoding unit 803 decodes the video / audio (video stream and audio stream) extracted by the broadcast signal analysis unit 802. This video / audio decoding means 803, when the video / audio is encoded by, for example, the MPEG2 encoding method, is output to the composite display means 815 as video / audio data in an output format that can be decoded and displayed by MPEG2. Output.

データ放送復号手段804は、放送信号解析手段802で抽出されたデータ放送のデータを復号するものである。このデータ放送復号手段804は、カルーセルを復号し、BMLを解析し、当該BMLを表示可能な出力形式に変換するBMLブラウザの機能を有し、変換した表示データ(データ放送データ)を、合成表示手段815に出力する。
また、データ放送復号手段804は、DSM−CCデータカルーセルで送信されたアプリケーション起動情報を抽出してもよい。そして、データ放送復号手段804は、抽出したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。
なお、本実施形態では、データ放送復号手段804がCRL抽出手段804aを備える必要はない。このCRL抽出手段804aについては、説明を後記する(変形例1参照)。
The data broadcast decoding unit 804 decodes the data broadcast data extracted by the broadcast signal analysis unit 802. This data broadcast decoding means 804 has the function of a BML browser that decodes the carousel, analyzes the BML, and converts the BML into an output format that can be displayed, and synthesizes and displays the converted display data (data broadcast data). Output to means 815.
Further, the data broadcast decoding unit 804 may extract the application activation information transmitted by the DSM-CC data carousel. Then, the data broadcast decoding unit 804 writes and stores the extracted application activation information in the application activation information storage unit 807.
In this embodiment, the data broadcast decoding unit 804 does not have to include the CRL extracting unit 804a. The CRL extracting unit 804a will be described later (see Modification 1).

通信送受信手段805は、ネットワークNを介して、アプリケーション、アプリケーション起動情報等のデータを受信するものである。
アプリケーション起動情報取得手段806は、通信送受信手段805を介して、Aアプリケーション及び一般アプリケーションに対応する起動情報を取得するものである。
The communication transmitting / receiving means 805 receives data such as applications and application activation information via the network N.
The application activation information acquisition unit 806 acquires activation information corresponding to the A application and the general application via the communication transmission / reception unit 805.

例えば、アプリケーション起動情報取得手段806は、起動時(電源ON時)に予め定めたサーバ(アプリケーション起動情報サーバ)からアプリケーション起動情報を取得し、取得したアプリケーション起動情報をアプリケーション起動情報記憶手段807に書き込み記憶する。あるいは、アプリケーション起動情報取得手段806は、ユーザによって、後記する操作制御手段814を介して、アプリケーションのリストを表示させる指示(リスト表示指示)が通知された段階で、アプリケーション起動情報を取得することとしてもよい。   For example, the application activation information acquisition unit 806 acquires application activation information from a predetermined server (application activation information server) at the time of activation (when the power is turned on), and writes the acquired application activation information in the application activation information storage unit 807. Remember. Alternatively, the application activation information acquisition unit 806 acquires application activation information when an instruction to display a list of applications (list display instruction) is notified by the user via an operation control unit 814 described later. Also good.

アプリケーション起動情報記憶手段807は、アプリケーション起動情報を記憶するものであって、メモリ、ハードディスク等の記憶媒体である。ここでは、アプリケーション起動情報記憶手段807には、放送信号解析手段802によって、抽出されたアプリケーション起動情報が書き込まれる。また、アプリケーション起動情報記憶手段807には、アプリケーション起動情報取得手段806によって、取得されたアプリケーション起動情報が書き込まれる。   The application activation information storage unit 807 stores application activation information, and is a storage medium such as a memory or a hard disk. In this case, the application activation information extracted by the broadcast signal analyzing unit 802 is written in the application activation information storage unit 807. The application activation information storage unit 807 stores the application activation information acquired by the application activation information acquisition unit 806.

リスト制御手段808は、起動可能なアプリケーションのリストの表示およびアプリケーションの選択の制御を行うローンチャー(Launcher)である。
このリスト制御手段808は、起動可能なアプリケーションのリストを表示する。つまり、リスト制御手段808は、ユーザから操作制御手段814を介してリスト表示を指示されることで、アプリケーション起動情報記憶手段807に記憶されているアプリケーション起動情報に対応するアプリケーションのリストを生成し、表示データとして、合成表示手段815に出力する。
The list control unit 808 is a launcher that displays a list of applications that can be started and controls application selection.
The list control unit 808 displays a list of applications that can be activated. That is, the list control unit 808 generates a list of applications corresponding to the application activation information stored in the application activation information storage unit 807 when a list display is instructed by the user via the operation control unit 814. The display data is output to the composite display means 815.

また、リスト制御手段808は、表示したアプリケーションのリストにおいて、操作制御手段814を介して指示される、ユーザからのリスト選択指示に基づいて、アプリケーションを選択するものである。例えば、リスト制御手段808は、操作制御手段814を介して、リスト選択指示として、リモコン装置Riの方向(矢印)ボタン(不図示)の押下信号が通知されることで、複数のアプリケーションのうちで、どのアプリケーションが起動候補として選択されているのかを認識し、決定ボタン(不図示)の押下信号が通知されることで、実際に起動指示が選択されたアプリケーションを認識する。そして、リスト制御手段808は、選択されたアプリケーションを識別する番号(アプリケーションID)を含んだ選択アプリケーション通知をアプリケーション管理・実行制御手段809に出力する。   The list control unit 808 selects an application based on a list selection instruction from the user instructed via the operation control unit 814 in the displayed application list. For example, the list control unit 808 is notified of a pressing signal of a direction (arrow) button (not shown) of the remote control device Ri as a list selection instruction via the operation control unit 814, and thus among the plurality of applications. , Recognizing which application is selected as an activation candidate and notifying a pressing signal of a decision button (not shown), the application in which the activation instruction is actually selected is recognized. Then, the list control unit 808 outputs a selected application notification including a number (application ID) for identifying the selected application to the application management / execution control unit 809.

アプリケーション管理・実行制御手段809は、アプリケーションのライフサイクル(アプリケーションがロード、実行されて終了するまでの過程)を制御するものである。
具体的には、アプリケーション管理・実行制御手段809は、後記するアプリケーション実行手段813からリソース割当要求が入力されると、このリソース割当要求を後記するリソース管理手段819に出力(転送)する。
The application management / execution control means 809 controls the life cycle of the application (the process from when the application is loaded and executed until it is terminated).
Specifically, when a resource allocation request is input from the application execution unit 813 described later, the application management / execution control unit 809 outputs (transfers) the resource allocation request to the resource management unit 819 described later.

また、アプリケーション管理・実行制御手段809は、リソース管理手段819からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソースの割り当てが成功したことを示すリソース割当成功の場合、アプリケーション管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当成功をメモリ等に格納されたセキュリティ情報テーブル(不図示)に書き込む。
一方、リソース割当要求の応答がリソースの割り当てが失敗したことを示すリソース割当失敗の場合、アプリケーション管理・実行制御手段809は、起動中のアプリケーションIDに対応づけて、このリソース割当失敗をセキュリティ情報テーブルに書き込む。
The application management / execution control unit 809 receives a resource allocation request response from the resource management unit 819.
Here, when the resource allocation request response indicates that the resource allocation has succeeded, the application management / execution control unit 809 associates the resource allocation success with a memory or the like in association with the active application ID. Is written in a security information table (not shown) stored in
On the other hand, if the response to the resource allocation request is a resource allocation failure indicating that the resource allocation has failed, the application management / execution control unit 809 associates this resource allocation failure with a security information table in association with the active application ID. Write to.

また、アプリケーション管理・実行制御手段809は、後記するアプリケーション認証手段817から認証結果が入力される。この認証結果は、署名を検証したアプリケーションのIDと、Aアプリケーションまたは一般アプリケーションを示すフラグ等の情報が含まれる。そして、アプリケーション管理・実行制御手段809は、入力された認証結果を、起動中のアプリケーションIDに対応づけてセキュリティ情報テーブルに書き込む。
これによって、アプリケーション管理・実行制御手段809は、起動中のアプリケーションに対するリソースの割り当ての成否、割り当てられたリソース、および、認証結果を記憶、管理することができる。
The application management / execution control unit 809 receives an authentication result from an application authentication unit 817 described later. This authentication result includes information such as the ID of the application whose signature has been verified and a flag indicating the A application or the general application. Then, the application management / execution control unit 809 writes the input authentication result in the security information table in association with the active application ID.
As a result, the application management / execution control unit 809 can store and manage the success or failure of resource allocation to the running application, the allocated resource, and the authentication result.

ここで、アプリケーション管理・実行制御手段809は、起動制御手段809aと、終了制御手段809bと、蓄積管理手段809cとを備えている。
起動制御手段809aは、アプリケーション取得手段811が取得したアプリケーションの起動を制御するものである。
具体的には、起動制御手段809aは、放送信号解析手段802から起動情報通知が通知された際、アプリケーション起動情報記憶手段807に記憶されている、起動情報通知とともに通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードが“AUTOSTART”の場合、アプリケーションを起動させる。
すなわち、起動制御手段809aは、アプリケーション制御コードが“AUTOSTART”の場合、アプリケーション実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。この起動制御指示には、アプリケーション起動情報に記述されているアプリケーションを特定する情報(アプリケーションID、所在位置等)が含まれる。これによって、アプリケーションがユーザの操作によらず、自動起動されることになる。
Here, the application management / execution control unit 809 includes an activation control unit 809a, an end control unit 809b, and a storage management unit 809c.
The activation control unit 809a controls activation of the application acquired by the application acquisition unit 811.
Specifically, the activation control unit 809a corresponds to the application ID notified together with the activation information notification stored in the application activation information storage unit 807 when the activation information notification is notified from the broadcast signal analysis unit 802. When the application control code described in the application activation information is “AUTOSTART”, the application is activated.
That is, when the application control code is “AUTOSTART”, the activation control unit 809a notifies the application execution unit 813 that the application is to be executed (activation control instruction). This activation control instruction includes information (application ID, location, etc.) that identifies the application described in the application activation information. As a result, the application is automatically started regardless of the user's operation.

また、起動制御手段809aは、リスト制御手段808から、選択アプリケーション通知が通知された際には、アプリケーション制御コードの値によらず、アプリケーション実行手段813に当該アプリケーションを実行する旨(起動制御指示)を通知する。これによって、ユーザがリストから選択したアプリケーションが起動されることになる。   When the notification of the selected application is notified from the list control unit 808, the activation control unit 809a executes the application on the application execution unit 813 regardless of the value of the application control code (activation control instruction). To be notified. As a result, the application selected from the list by the user is activated.

なお、起動制御手段809aは、起動中のアプリケーションを識別情報(アプリケーションID)で管理し、起動アプリケーション識別情報記憶手段810に起動中のアプリケーションIDを書き込むこととする。   The activation control unit 809a manages the activated application with identification information (application ID), and writes the activated application ID in the activated application identification information storage unit 810.

終了制御手段809bは、起動中のアプリケーションの終了制御を行うものである。
具体的には、終了制御手段809bは、放送信号解析手段802から起動情報通知が通知された際、アプリケーション起動情報記憶手段807に記憶されている、起動情報通知とともに通知されるアプリケーションIDに対応するアプリケーション起動情報に記述されているアプリケーション制御コードが“DESTROY”、“KILL”または“KILLALL”の場合にアプリケーションを終了させる。
The termination control unit 809b performs termination control of the running application.
Specifically, the end control unit 809b corresponds to the application ID notified together with the activation information notification stored in the application activation information storage unit 807 when the activation information notification is notified from the broadcast signal analysis unit 802. When the application control code described in the application activation information is “DESTROY”, “KILL”, or “KILLALL”, the application is terminated.

このアプリケーション制御コードが“DESTROY”の場合、終了制御手段809bは、通知されたアプリケーションIDに対応するアプリケーションを通常終了させる旨、アプリケーション実行手段813に指示する。また、アプリケーション制御コードが“KILL”の場合、終了制御手段809bは、通知されたアプリケーションIDに対応するアプリケーションを強制終了させる旨、アプリケーション実行手段813に指示する。   When the application control code is “DESTROY”, the termination control unit 809b instructs the application execution unit 813 to normally terminate the application corresponding to the notified application ID. When the application control code is “KILL”, the termination control unit 809b instructs the application execution unit 813 to forcibly terminate the application corresponding to the notified application ID.

また、アプリケーション制御コードが“KILLALL”の場合、終了制御手段809bは、起動アプリケーション識別情報記憶手段810を参照し、現在起動しているすべてのアプリケーションを強制終了させる。
これによって、例えば、緊急警報放送や緊急地震速報といった緊急に視聴者に通知したい内容を放送したい場合、放送事業者は、“KILLALL”をアプリケーション制御に記述したアプリケーション起動情報を、受信機80に通知することで、緊急時において、表示画面等のリソースを優先的に使用することができる。
When the application control code is “KILLALL”, the termination control unit 809b refers to the activated application identification information storage unit 810 and forcibly terminates all currently activated applications.
As a result, for example, when broadcasting contents to be urgently notified to viewers such as emergency alert broadcasting and earthquake early warning, the broadcaster notifies the receiver 80 of application activation information describing “KILLALL” in the application control. By doing so, resources such as a display screen can be preferentially used in an emergency.

蓄積管理手段809cは、受信機80内(具体的には、アプリケーション記憶手段812)にアプリケーションを予め蓄積(インストール)する制御を行うものである。
具体的には、蓄積管理手段809cは、リスト制御手段808から、起動可能なアプリケーションのリストの中で、ユーザが選択した選択アプリケーションを特定する情報(アプリケーションID)とともに、アプリケーション記憶手段812にアプリケーションを蓄積させる旨を通知された場合に、アプリケーション起動情報に記述されているアプリケーションの所在からそのアプリケーションを取得し、アプリケーション記憶手段812に書き込む旨(アプリケーション取得指示)を、アプリケーション取得手段811に通知する。
これによって、アプリケーション記憶手段812には、ユーザが選択したアプリケーションが蓄積される。
The accumulation management unit 809c performs control to accumulate (install) the application in the receiver 80 (specifically, the application storage unit 812) in advance.
Specifically, the storage management unit 809c sends an application to the application storage unit 812 from the list control unit 808 together with information (application ID) for specifying the selected application selected by the user in the list of applications that can be started. When notified of the accumulation, the application acquisition unit 811 is notified that the application is acquired from the location of the application described in the application activation information and written to the application storage unit 812 (application acquisition instruction).
As a result, the application storage unit 812 stores the application selected by the user.

なお、蓄積管理手段809cは、アプリケーションをアプリケーション記憶手段812に蓄積(インストール)した場合、アプリケーション起動情報記憶手段807に記憶されている当該アプリケーションに対応するアプリケーション起動情報において、アプリケーションの所在(アドレス)を、アプリケーション記憶手段812のアドレスを参照するように更新する。
例えば、蓄積管理手段809cは、アプリケーション起動情報の“http://〜”と記載してあるアプリケーションのアドレス表記を、アプリケーション記憶手段812内のローカルなアドレス(アプリケーション記憶手段812内のアドレス)を示すように“file:///〜”等に変換する。もちろん、アプリケーション起動情報を直接変更せずに、当該アプリケーション起動情報のアドレスを読み替えて参照するような変換規則を、アプリケーション起動情報に対応付けて別途記述しておくこととしてもよい。
In addition, when accumulating (installing) an application in the application storage unit 812, the accumulation management unit 809c indicates the location (address) of the application in the application activation information corresponding to the application stored in the application activation information storage unit 807. Then, the application storage unit 812 is updated to refer to the address.
For example, the accumulation management unit 809c indicates the address notation of the application described as “http: ///” in the application activation information as a local address in the application storage unit 812 (address in the application storage unit 812). To “file: /// ˜” or the like. Of course, instead of directly changing the application activation information, a conversion rule that reads and refers to the address of the application activation information may be separately described in association with the application activation information.

また、蓄積管理手段809cは、アプリケーションをアプリケーション記憶手段812に蓄積(インストール)した場合、アプリケーション起動情報記憶手段807にアプリケーションが蓄積されている旨の状態を書き込み管理することとする。
一方、蓄積管理手段809cは、ユーザの指示に応じて、蓄積したアプリケーションを削除する。すなわち、アプリケーション記憶手段812に記憶されているアプリケーションは、蓄積管理手段809c内の蓄積アプリケーションリスト表示手段(不図示)によってリスト表示され、アプリケーション選択削除手段(不図示)によって、ユーザからの選択により、アプリケーション記憶手段812から削除される。このとき、アプリケーション選択削除手段(不図示)は、アプリケーション起動情報記憶手段807において、対応するアプリケーション蓄積状態を“未蓄積”とする。
Further, when the application management unit 809c stores (installs) the application in the application storage unit 812, the storage management unit 809c writes and manages the state that the application is stored in the application activation information storage unit 807.
On the other hand, the accumulation management unit 809c deletes the accumulated application in accordance with a user instruction. That is, the applications stored in the application storage unit 812 are displayed in a list by a stored application list display unit (not shown) in the storage management unit 809c, and selected by the user by an application selection deletion unit (not shown). It is deleted from the application storage means 812. At this time, the application selection / deletion unit (not shown) sets the corresponding application storage state to “not stored” in the application activation information storage unit 807.

起動アプリケーション識別情報記憶手段810は、起動中のアプリケーションの識別情報(アプリケーションID)を記憶するものであって、半導体メモリ等の記憶媒体である。この起動アプリケーション識別情報記憶手段810は、起動制御手段809aによって、アプリケーションが起動された際にアプリケーションIDが書き込まれ、終了制御手段809bによって、アプリケーションが終了する際に削除される。   The activated application identification information storage unit 810 stores identification information (application ID) of an activated application, and is a storage medium such as a semiconductor memory. The activation application identification information storage unit 810 is written with an application ID when the application is activated by the activation control unit 809a, and is deleted when the application is terminated by the termination control unit 809b.

アプリケーション取得手段811は、通信送受信手段805を介して、アプリケーションサーバ50に記憶されたアプリケーションを取得するものである。
このアプリケーション取得手段811は、起動制御手段809aからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションをアプリケーション実行手段813に出力する。
また、アプリケーション取得手段811は、蓄積管理手段809cからアプリケーション取得指示を通知された場合、当該指示で通知されるアプリケーションの所在(アドレス)から、指定されたアプリケーションを取得し、その取得したアプリケーションを蓄積管理手段809cに書き込み蓄積する。
The application acquisition unit 811 acquires an application stored in the application server 50 via the communication transmission / reception unit 805.
When receiving an application acquisition instruction from the activation control unit 809a, the application acquisition unit 811 acquires a specified application from the location (address) of the application notified by the instruction, and executes the acquired application. Output to means 813.
In addition, when an application acquisition instruction is notified from the storage management unit 809c, the application acquisition unit 811 acquires the specified application from the location (address) of the application notified by the instruction, and stores the acquired application. Write and accumulate in the management means 809c.

また、アプリケーション取得手段811は、アプリケーションを取得したとき、Aアプリケーションまたは一般アプリケーションの何れであるかの認証(判定)を指示する認証指示を、アプリケーション認証手段817に出力する。
これによって、受信機80は、アプリケーション認証の回数を低減でき、受信機80の処理負荷を軽減することができる。
アプリケーション取得手段811が出力した認証指示は、図6には「認証指示1」と図示した。なお、「認証指示2」については、説明を後記する。
Further, when the application acquisition unit 811 acquires an application, the application acquisition unit 811 outputs an authentication instruction to instruct authentication (determination) as to whether the application is an A application or a general application to the application authentication unit 817.
Thereby, the receiver 80 can reduce the number of times of application authentication, and can reduce the processing load of the receiver 80.
The authentication instruction output by the application acquisition unit 811 is illustrated as “authentication instruction 1” in FIG. The “authentication instruction 2” will be described later.

アプリケーション記憶手段812は、アプリケーション取得手段811で取得されたアプリケーションを記憶するもので、ハードディスク等の記憶媒体である。このアプリケーション記憶手段812に記憶されているアプリケーションは、アプリケーション実行手段813によって読み出され、実行される。
なお、アプリケーション記憶手段812に記憶されているアプリケーションは、検証用情報(例えば、アプリケーションID、事業者ID、署名、証明書)と、署名元メッセージとが付加されている。
The application storage unit 812 stores the application acquired by the application acquisition unit 811 and is a storage medium such as a hard disk. The application stored in the application storage unit 812 is read and executed by the application execution unit 813.
The application stored in the application storage unit 812 is added with verification information (for example, application ID, company ID, signature, certificate) and a signature source message.

アプリケーション実行手段813は、アプリケーション管理・実行制御手段809からの指示(起動制御指示)に基づいて、アプリケーションの起動および終了を行うものである。
このアプリケーション実行手段813は、起動制御手段809aから通知されるアプリケーションを実行する旨が指示された場合、起動制御指示に含まれるアプリケーションを特定する情報(アプリケーションID、所在位置等)に基づいて、アプリケーションおよびアプリケーションを実行する際に必要となるデータ(例えば、メタデータ、アイコンデータ等)をアプリケーションの取得元から取得する。
そして、アプリケーション実行手段813は、図示を省略したメモリにアプリケーションを展開(ロード)し、アプリケーションを実行させる。
なお、アプリケーション実行手段813は、起動制御指示に含まれるアプリケーションの取得元が、“file:///〜”のようにローカルディスク(アプリケーション記憶手段812)のアドレスである場合、アプリケーション記憶手段812からアプリケーションを読み出し実行する。また、アプリケーション実行手段813は、起動制御指示に含まれるアプリケーションの取得元が、“http://〜”のようにネットワーク上のアドレスである場合、アプリケーション取得手段811に当該アプリケーションの取得を指示(アプリケーション取得指示)し、アプリケーションを取得して実行する。
このアプリケーションの実行に伴う画像や音声のデータは、合成表示手段815に出力される。
また、アプリケーション実行手段813は、終了制御手段809bから通知されるアプリケーションを終了する旨が指示された場合、指示されたアプリケーションを終了させる。
The application execution unit 813 starts and ends an application based on an instruction (startup control instruction) from the application management / execution control unit 809.
When the application execution unit 813 is instructed to execute the application notified from the activation control unit 809a, the application execution unit 813 determines whether to execute the application based on information (application ID, location, etc.) specifying the application included in the activation control instruction. In addition, data necessary for executing the application (for example, metadata, icon data, etc.) is acquired from the acquisition source of the application.
Then, the application execution unit 813 expands (loads) the application in a memory (not shown) and executes the application.
Note that the application execution unit 813 reads the application storage unit 812 from the application storage unit 812 when the acquisition source of the application included in the activation control instruction is an address of the local disk (application storage unit 812) such as “file: /// ˜”. Read and execute the application. The application execution unit 813 instructs the application acquisition unit 811 to acquire the application when the acquisition source of the application included in the activation control instruction is an address on the network such as “http: ///”. Application acquisition instruction), acquire and execute the application.
Image and audio data accompanying execution of this application is output to the composite display means 815.
Further, when instructed to terminate the application notified from the termination control unit 809b, the application execution unit 813 terminates the instructed application.

ここで、アプリケーション実行手段813は、起動中のアプリケーションがリソースにアクセスするAPI(Application Program Interface)を呼び出した場合、アプリケーション管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力する。
このリソース割当要求は、リソースの割り当てを要求するものであり、例えば、起動中のアプリケーションが呼び出したAPI名が含まれている。
Here, the application execution unit 813 outputs a resource allocation request to the resource management unit 819 via the application management / execution control unit 809 when the application being started calls an API (Application Program Interface) that accesses the resource. To do.
This resource allocation request is a request for resource allocation, and includes, for example, an API name called by a running application.

また、アプリケーション実行手段813は、リソース管理手段819からリソース割当要求の応答が入力される。
ここで、リソース割当要求の応答がリソース割当成功の場合、アプリケーション実行手段813は、APIを呼び出して、リソース管理手段819によって割り当てられたリソースを使用する。
一方、リソース割当要求の応答がリソース割当失敗の場合、アプリケーション実行手段813は、例えば、セキュリティ関係の例外処理、アプリケーションを終了する等のアプリケーションごとに任意の処理を行う。
The application execution means 813 receives a resource allocation request response from the resource management means 819.
If the response to the resource allocation request is a successful resource allocation, the application execution unit 813 calls the API and uses the resource allocated by the resource management unit 819.
On the other hand, when the response to the resource allocation request is a resource allocation failure, the application execution unit 813 performs an arbitrary process for each application such as security-related exception processing or application termination.

ここで、アプリケーション実行手段813は、終了制御手段809bから通常終了あるいは強制終了であるかを、例えば、割り込み信号等によって起動中のアプリケーションに通知し、アプリケーションを終了させる。   Here, the application execution unit 813 notifies the active application by an interrupt signal or the like, for example, from the termination control unit 809b, and terminates the application.

なお、アプリケーション実行手段813は、アプリケーション管理・実行制御手段809を介して、リソース割当要求をリソース管理手段819に出力することとして説明したが、これに限定されない。具体的には、アプリケーション実行手段813は、リソース割当要求をリソース管理手段819に直接出力してもよい(不図示)。   The application execution unit 813 has been described as outputting a resource allocation request to the resource management unit 819 via the application management / execution control unit 809, but is not limited thereto. Specifically, the application execution unit 813 may directly output a resource allocation request to the resource management unit 819 (not shown).

操作制御手段814は、外部のリモコン装置Ri等の入力手段を介して、受信機80に対するユーザの操作(例えば、チャンネル変更等)を制御するものである。
この操作制御手段814は、リモコン装置Riを介してユーザからチャンネルの変更が指示された場合、選択されたチャンネルのチャンネル番号を含んだチャンネル切替指示を放送信号解析手段802に通知する。これによって、現在視聴中のチャンネルが選局されることになる。
The operation control unit 814 controls a user operation (for example, channel change or the like) on the receiver 80 via an input unit such as an external remote controller Ri.
This operation control means 814 notifies the broadcast signal analysis means 802 of a channel switching instruction including the channel number of the selected channel, when a change of channel is instructed by the user via the remote controller Ri. As a result, the channel currently being viewed is selected.

合成表示手段815は、映像・音声を合成して表示するものである。この合成表示手段815は、映像・音声復号手段803で復号された映像データ・音声データ、データ放送復号手段804で復号されたデータ放送の表示データ、リスト制御手段808で生成されたリストの表示データおよびアプリケーション実行手段813で生成されたアプリケーションの表示データをそれぞれ合成して表示する。
なお、合成表示手段815は、合成した音声については、音声信号として外部に接続されたスピーカ等の音声出力装置Spに出力し、合成した映像(画像)については、映像信号として外部に接続された液晶ディスプレイ等の映像表示装置Moに出力する。
The composite display means 815 combines and displays video and audio. The composite display means 815 includes video data / audio data decoded by the video / audio decoding means 803, display data of the data broadcast decoded by the data broadcast decoding means 804, and display data of the list generated by the list control means 808. The display data of the application generated by the application execution unit 813 is combined and displayed.
Note that the synthesized display unit 815 outputs the synthesized audio as an audio signal to an audio output device Sp such as a speaker connected to the outside, and the synthesized video (image) is externally connected as a video signal. Output to a video display device Mo such as a liquid crystal display.

セキュリティ管理手段816は、受信機80のセキュリティを管理するものであり、アプリケーション認証手段(アプリケーション判定手段)817と、リソースアクセス制御手段818とを備える。   The security management unit 816 manages the security of the receiver 80, and includes an application authentication unit (application determination unit) 817 and a resource access control unit 818.

アプリケーション認証手段(アプリケーション判定手段)817は、アプリケーション取得手段811から入力された認証指示に応じて、アプリケーション取得手段811が取得したアプリケーションの提供元が正当であるか否かを、検証用情報に基づいて認証(判定)ものである。そして、アプリケーション認証手段817は、アプリケーションの提供元が正当な場合、このアプリケーションをAアプリケーションと認証(判定)し、アプリケーション提供元が正当でない場合、このアプリケーションを一般アプリケーションと認証(判定)する(アプリケーション認証)。   Based on the verification information, the application authentication unit (application determination unit) 817 determines whether the application provider acquired by the application acquisition unit 811 is valid according to the authentication instruction input from the application acquisition unit 811. Authentication (determination). Then, the application authentication unit 817 authenticates (determines) this application as an A application when the application provider is valid, and authenticates (determines) this application as a general application when the application provider is invalid (application). Authentication).

<アプリケーション認証の具体例>
以下、アプリケーション認証の具体例について説明する。
図6に示すように、アプリケーション認証手段817は、検証用情報管理手段(記憶手段)817aと、証明書確認手段817bと、署名検証手段817cとを備える。
<Specific examples of application authentication>
A specific example of application authentication will be described below.
As shown in FIG. 6, the application authentication unit 817 includes a verification information management unit (storage unit) 817a, a certificate confirmation unit 817b, and a signature verification unit 817c.

アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から検証用情報及び署名元メッセージを抽出して、検証用情報管理手段817aに書き込む。
検証用情報管理手段817aは、検証用情報(例えば、アプリケーションID、事業者ID、署名、証明書)と、署名元メッセージとを記憶、管理するものである。
When the authentication instruction is input, the application authentication unit 817 extracts the verification information and the signature source message from the application storage unit 812 and writes them in the verification information management unit 817a.
The verification information management unit 817a stores and manages verification information (for example, application ID, business operator ID, signature, certificate) and a signature source message.

証明書確認手段817bは、検証用情報管理手段817aに記憶された証明書が有効であるか否かを確認するものである。具体的には、証明書確認手段817bは、通信送受信手段805を介して、検証用情報の事業者IDが含まれる証明書問合をCA局30に出力する。すると、証明書確認手段817bは、この証明書問合に応じて、CA局30から、証明書が有効又は無効であるかを示す問合結果が入力される。   The certificate confirmation unit 817b confirms whether or not the certificate stored in the verification information management unit 817a is valid. Specifically, the certificate confirmation unit 817 b outputs a certificate query including the verification information provider ID to the CA station 30 via the communication transmission / reception unit 805. Then, the certificate confirmation unit 817b receives an inquiry result indicating whether the certificate is valid or invalid from the CA station 30 in response to the certificate inquiry.

ここで、問合結果が有効の場合、証明書確認手段817bは、署名検証手段817cに署名の検証を指示(署名検証指示)する。
一方、問合結果が無効の場合、証明書確認手段817bは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。そして、証明書確認手段817bは、その認証結果を、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
なお、証明書確認手段817bは、アプリケーションに証明書が添付されていない場合も同様の処理を行う。
Here, when the inquiry result is valid, the certificate confirmation unit 817b instructs the signature verification unit 817c to verify the signature (signature verification instruction).
On the other hand, when the inquiry result is invalid, the certificate confirmation unit 817b authenticates (determines) that the application provider is not valid (general application). Then, the certificate confirmation unit 817b outputs the authentication result to the application management / execution control unit 809 and the resource access control unit 818.
Note that the certificate checking unit 817b performs the same processing even when a certificate is not attached to the application.

署名検証手段817cは、検証用情報管理手段817aに記憶された署名が正当であるか否かを検証するものである。ここで、署名検証手段817cは、証明書確認手段817bから署名検証指示が入力されると、証明書の検証鍵を用いて、署名が正当であるか否かを検証する。   The signature verification unit 817c verifies whether the signature stored in the verification information management unit 817a is valid. Here, when the signature verification instruction is input from the certificate confirmation unit 817b, the signature verification unit 817c verifies whether the signature is valid by using the certificate verification key.

すなわち、署名検証手段817cは、署名元メッセージに署名検証アルゴリズムを適用して、アプリケーションに付加された署名を検証する(式(2)参照)。この式(2)では、Verify_Kpが検証鍵(公開鍵)を使用した署名検証である。
Verify_Kp(Mes,Sig)<=>1・・・式(2)
That is, the signature verification unit 817c verifies the signature added to the application by applying a signature verification algorithm to the signature source message (see Expression (2)). In this equation (2), Verify_Kp is signature verification using a verification key (public key).
Verify_Kp (Mes, Sig) <=> 1 Formula (2)

ここで、Verifyの結果が1である場合、署名が正当なので、署名検証手段817cは、アプリケーションの提供元が正当(Aアプリケーション)と認証(判定)する。
一方、Verifyの結果が1でない場合、署名が正当でないので、署名検証手段817cは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。
Here, when the result of Verify is 1, since the signature is valid, the signature verification unit 817c authenticates (determines) that the application provider is valid (A application).
On the other hand, if the Verify result is not 1, the signature is not valid, and the signature verification unit 817c authenticates (determines) that the application provider is not valid (general application).

そして、アプリケーション認証手段817は、署名を検証したアプリケーションのIDと、アプリケーションの提供元が正当であるか否かを示す情報を認証結果として、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
この認証結果は、例えば、0:提供元が正当なアプリケーション(Aアプリケーション)を示し、1:提供元が正当でないアプリケーション(一般アプリケーション)を示すフラグである。
Then, the application authentication unit 817 gives the application management / execution control unit 809 and the resource access control unit 818 the authentication result of the ID of the application whose signature has been verified and the information indicating whether the provider of the application is valid. Output.
This authentication result is, for example, a flag indicating that 0: the provider is a legitimate application (A application) and 1: the provider is a legitimate application (general application).

リソースアクセス制御手段818は、アプリケーション取得手段811が取得したアプリケーションの提供元が正当でない(一般アプリケーション)場合、このアプリケーションに対して、リソースアクセス制御を行うものである。本実施形態では、リソースアクセス制御手段818は、予め設定されたリソースアクセス制御テーブルに基づいて、リソースアクセス制御を行う。   The resource access control means 818 performs resource access control for this application when the provider of the application acquired by the application acquisition means 811 is not valid (general application). In the present embodiment, the resource access control means 818 performs resource access control based on a preset resource access control table.

<リソースアクセス制御>
図7を参照して、リソースアクセス制御手段818によるリソースアクセス制御を具体的に説明する(適宜図6参照)。
このリソースアクセス制御テーブルは、Aアプリケーション及び一般アプリケーションのそれぞれが、アクセスできるリソースとアクセスできないリソースとを予め設定したテーブルである。また、リソースアクセス制御テーブルは、図7に示すように、API識別子と、API名と、リソース種類と、アクセス権限というデータ項目を有する。
<Resource access control>
With reference to FIG. 7, the resource access control by the resource access control means 818 will be specifically described (see FIG. 6 as appropriate).
This resource access control table is a table in which resources that can be accessed and resources that cannot be accessed by each of the A application and the general application are set in advance. As shown in FIG. 7, the resource access control table has data items such as an API identifier, an API name, a resource type, and an access right.

API識別子は、リソースにアクセスするAPIを一意に識別する識別子である。
API名は、そのリソースにアクセスするAPIの名称である。
リソース種別は、そのAPIがアクセスするリソースを示す情報である。
アクセス権限は、Aアプリケーション及び一般アプリケーションのそれぞれが、そのリソースにアクセスできるか否かを示す。
The API identifier is an identifier that uniquely identifies an API that accesses a resource.
The API name is the name of the API that accesses the resource.
The resource type is information indicating the resource accessed by the API.
The access authority indicates whether each of the A application and the general application can access the resource.

このリソースは、アプリケーションの動作に必要となるコンテンツ要素及び受信機資源であり、例えば、放送リソース、通信リソース、受信機リソースがある。
この放送リソースは、放送波Wで扱われるリソースであり、例えば、映像、音声、字幕、PSI(Program Specific Information)/SI(Service Information)をあげることができる。
また、通信リソースは、ネットワークNで扱われるリソースであり、例えば、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)をあげることができる。
さらに、受信機リソースは、受信機80のソフトウェア及びハードウェアに関するリソースであり、例えば、映像・音声出力処理、選局処理、メモリ、ストレージをあげることができる。
This resource is a content element and a receiver resource that are necessary for the operation of the application, and includes, for example, a broadcast resource, a communication resource, and a receiver resource.
This broadcast resource is a resource handled by the broadcast wave W, and can include, for example, video, audio, captions, PSI (Program Specific Information) / SI (Service Information).
The communication resource is a resource handled in the network N, and examples thereof include TCP (Transmission Control Protocol) and UDP (User Datagram Protocol).
Furthermore, the receiver resource is a resource related to software and hardware of the receiver 80, and examples thereof include video / audio output processing, channel selection processing, memory, and storage.

図7のリソースアクセス制御テーブルでは、リソースごとに、そのリソースにアクセスする専用のAPIが規定されている。この例では、リソース「映像」にアクセスするAPIが「subA()」であり、リソース「音声」にアクセスするAPIが「subB()」であり、リソース「字幕」にアクセスするAPIが「subC()」であり、リソース「メモリ」にアクセスするAPIが「subD()」である。   In the resource access control table of FIG. 7, a dedicated API for accessing the resource is defined for each resource. In this example, the API for accessing the resource “video” is “subA ()”, the API for accessing the resource “audio” is “subB ()”, and the API for accessing the resource “subtitle” is “subC ( ”” And the API for accessing the resource “memory” is “subD ()”.

また、このリソースアクセス制御テーブルでは、Aアプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限(Aアプリのアクセス権限)が「○」であるため、これらリソースにアクセスできることを示す。さらに、このリソースアクセス制御テーブルでは、Aアプリケーションが、放送リソースと同様、「メモリ」等の受信機リソースにもアクセスできることを示す。   Also, in this resource access control table, the A application has access authority for broadcasting resources such as “video”, “audio”, “caption” (access authority for A application), and therefore accesses these resources. Show what you can do. Furthermore, this resource access control table indicates that the A application can access receiver resources such as “memory” as well as broadcast resources.

さらに、このリソースアクセス制御テーブルでは、一般アプリケーションが、「映像」、「音声」、「字幕」等の放送リソースのアクセス権限(一般アプリのアクセス権限)が「×」であるため、これらリソースにアクセスできないことを示す。一方、このリソースアクセス制御テーブルでは、一般アプリケーションであっても、「メモリ」等の受信機リソースにアクセスできることを示す。   Further, in this resource access control table, the general application has access authority (general application access authority) for broadcasting resources such as “video”, “audio”, “caption”, etc., so that these resources are accessed. Indicates that it cannot be done. On the other hand, this resource access control table indicates that even a general application can access receiver resources such as “memory”.

つまり、図7のリソースアクセス制御テーブルは、Aアプリケーションが、一般アプリケーションに比べて、幅広いリソースにアクセスできるように設定されている。言い換えるなら、このリソースアクセス制御テーブルでは、一般アプリケーションが、安全性や放送の公共性の観点から、放送リソース等のリソースにアクセスできないように設定されている。   That is, the resource access control table in FIG. 7 is set so that the A application can access a wider range of resources than the general application. In other words, this resource access control table is set so that general applications cannot access resources such as broadcasting resources from the viewpoint of safety and publicity of broadcasting.

ここで、放送局等の権限を有する者が、このリソースアクセス制御テーブルを作成して、放送波W又はネットワークNを介して受信機80に送信して、受信機80に記憶されることとしてもよい。これによって、受信機80では、放送局により、一般アプリケーションがアクセスできるリソースを管理でき、メンテナンス性が向上する。   Here, a person having authority such as a broadcasting station may create this resource access control table, transmit it to the receiver 80 via the broadcast wave W or the network N, and store it in the receiver 80. Good. Thereby, in the receiver 80, resources that can be accessed by the general application can be managed by the broadcasting station, and maintainability is improved.

なお、リソースアクセス制御テーブルは、図7の例に限定されない。例えば、リソースアクセス制御テーブルには、放送リソースや受信機リソース以外のリソース(例えば、「TCP」等の通信リソース)を設定することもできる。   Note that the resource access control table is not limited to the example of FIG. For example, resources other than broadcast resources and receiver resources (for example, communication resources such as “TCP”) can be set in the resource access control table.

リソースアクセス制御手段818は、アプリケーション認証手段817から認証結果が入力される。そして、リソースアクセス制御手段818は、リソース管理手段819からリソース割当可否問合が入力されると、このリソース割当可否問合に応じて、リソースの割り当てが可能であるか否かを判定する。   The resource access control unit 818 receives the authentication result from the application authentication unit 817. Then, when the resource assignment availability inquiry is input from the resource management means 819, the resource access control means 818 determines whether or not resources can be assigned according to the resource assignment availability inquiry.

具体的には、認証結果(判定結果)がAアプリケーションの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、Aアプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、Aアプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。そして、リソースアクセス制御手段818は、リソースの割り当てが可能であることを示すリソース割当可能を、リソース管理手段819に出力する。
なお、Aアプリケーションのアクセス権限が「×」の場合、リソースアクセス制御手段818は、Aアプリケーションであっても、そのリソースにアクセスすることを禁止する。
Specifically, when the authentication result (determination result) is an A application, the resource access control unit 818 uses the API name included in the resource allocation permission query as a search key of the resource access control table, and sets the access authority of the A application. Search to determine whether resources can be allocated. For example, when the A application calls “subA ()”, the resource access control unit 818 determines that the resource can be allocated because the access authority of the resource “video” is “◯”. Then, the resource access control unit 818 outputs to the resource management unit 819 the resource allocatable status indicating that the resource can be allocated.
When the access authority of the A application is “x”, the resource access control unit 818 prohibits access to the resource even for the A application.

一方、認証結果(判定結果)が一般アプリケーションの場合、リソースアクセス制御手段818は、リソース割当可否問合に含まれるAPI名をリソースアクセス制御テーブルの検索キーとして、一般アプリケーションのアクセス権限を検索して、リソースの割り当ての可否を判定する。例えば、一般アプリケーションが「subA()」を呼び出した場合、リソースアクセス制御手段818は、リソース「映像」のアクセス権限が「×」のため、リソースの割り当てが不可と判定する。また、一般アプリケーションが「subD()」を呼び出した場合、リソースアクセス制御手段818は、リソース「メモリ」のアクセス権限が「○」のため、リソースの割り当てが可能と判定する。その後、リソースアクセス制御手段818は、この判定結果に基づいて、リソースの割り当てが不可であることを示すリソース割当不可、または、リソース割当可能の何れかを、リソース管理手段819に出力する。   On the other hand, when the authentication result (determination result) is a general application, the resource access control unit 818 searches the access authority of the general application using the API name included in the resource allocation permission query as a search key of the resource access control table. Determine whether resources can be allocated. For example, when the general application calls “subA ()”, the resource access control unit 818 determines that the resource allocation is impossible because the access authority of the resource “video” is “x”. When the general application calls “subD ()”, the resource access control unit 818 determines that the resource can be allocated because the access authority of the resource “memory” is “◯”. After that, the resource access control unit 818 outputs to the resource management unit 819, based on the determination result, either resource allocation impossible indicating that resource allocation is impossible or resource allocation possible.

図6に戻り、受信機80の構成について説明を続ける。
リソース管理手段819は、各種リソースを管理するものである。ここで、リソース管理手段819は、アプリケーション実行手段813からリソース割当要求が入力されると、このリソース割当要求に応じて、リソース割当可否問合をリソースアクセス制御手段818に出力する。
このリソース割当可否問合は、リソースの割り当て可否をリソースアクセス制御手段818に問い合わせるものであり、例えば、リソース割当要求に格納されたAPI名が含まれることとする。
Returning to FIG. 6, the description of the configuration of the receiver 80 will be continued.
The resource management unit 819 manages various resources. Here, when a resource allocation request is input from the application execution unit 813, the resource management unit 819 outputs a resource allocation enable / disable inquiry to the resource access control unit 818 in response to the resource allocation request.
This resource allocation availability inquiry is an inquiry to the resource access control means 818 for resource allocation availability, and includes, for example, the API name stored in the resource allocation request.

また、リソース管理手段819は、リソースアクセス制御手段818からリソース割当可否問合の応答が入力される。
ここで、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当可能の場合、起動中のアプリケーションにリソースを割り当てる。そして、リソース管理手段819は、リソースの割り当てが成功したことを示すリソース割当成功を、アプリケーション管理・実行制御手段809及びアプリケーション実行手段813に出力する。
一方、リソース管理手段819は、このリソース割当可否問合の応答がリソース割当不可の場合、リソースの割り当てが失敗したことを示すリソース割当失敗を、アプリケーション管理・実行制御手段809及びアプリケーション実行手段813に出力する。
Further, the resource management unit 819 receives a resource allocation availability response from the resource access control unit 818.
Here, the resource management means 819 allocates a resource to the running application when the resource allocation availability response is resource allocation possible. Then, the resource management unit 819 outputs, to the application management / execution control unit 809 and the application execution unit 813, resource allocation success indicating that the resource allocation has been successful.
On the other hand, the resource management unit 819 sends a resource allocation failure indicating that the resource allocation has failed to the application management / execution control unit 809 and the application execution unit 813 when the resource allocation availability response is not resource allocation. Output.

[放送通信連携システムの動作:Aアプリケーション]
受信機80がAアプリケーションを起動するケース(図8)、及び、受信機80が一般アプリケーションを起動するケース(図9)を、図1の放送通信連携システム1の動作として説明する。
[Operation of broadcasting / communication cooperation system: Application A]
A case where the receiver 80 activates the A application (FIG. 8) and a case where the receiver 80 activates the general application (FIG. 9) will be described as operations of the broadcasting / communication cooperation system 1 in FIG. 1.

図8に示すように、放送通信連携システム1は、署名鍵発行装置20によって、署名鍵(秘密鍵)と、この署名鍵に対応する検証鍵(公開鍵)とを発行する。ここで、署名鍵発行装置20は、例えば、DSA署名、RSA署名、楕円曲線を用いた署名等の一般的な署名方式により、署名鍵及び検証鍵を生成し、発行する(ステップS1)。   As shown in FIG. 8, the broadcasting / communication cooperation system 1 issues a signature key (secret key) and a verification key (public key) corresponding to the signature key by the signature key issuing device 20. Here, the signature key issuing device 20 generates and issues a signature key and a verification key by a general signature method such as a DSA signature, an RSA signature, or a signature using an elliptic curve, for example (step S1).

放送通信連携システム1は、署名鍵発行装置20によって、生成した検証鍵をCA局30に配布すると共に(ステップS2)、生成した署名鍵をアプリケーション登録装置70に配布する(ステップS3)。   The broadcasting / communication cooperation system 1 distributes the generated verification key to the CA station 30 by the signature key issuing device 20 (step S2) and distributes the generated signature key to the application registration device 70 (step S3).

放送通信連携システム1は、アプリID・事業者ID生成装置60によって、アプリケーションID及び事業者IDを生成する(ステップS4)。そして、放送通信連携システム1は、アプリID・事業者ID生成装置60によって、生成したアプリケーションID及び事業者IDを、アプリケーション登録装置70に出力する(ステップS5)。   The broadcasting / communication cooperation system 1 generates an application ID and a provider ID by the application ID / provider ID generation device 60 (step S4). Then, the broadcasting / communication cooperation system 1 outputs the application ID and the provider ID generated by the application ID / provider ID generation device 60 to the application registration device 70 (step S5).

放送通信連携システム1は、CA局30によって、署名鍵発行装置20からの検証鍵が含まれる証明書を生成する(ステップS6)。そして、放送通信連携システム1は、CA局30によって、この証明書をアプリケーション登録装置70に出力する(ステップS7)。   In the broadcasting / communication cooperation system 1, the CA station 30 generates a certificate including the verification key from the signature key issuing apparatus 20 (step S6). Then, the broadcasting / communication cooperation system 1 outputs the certificate to the application registration apparatus 70 by the CA station 30 (step S7).

放送通信連携システム1は、アプリケーション登録装置70によって、署名鍵発行装置20から入力された署名鍵を用いて、署名を生成する。ここで、アプリケーション登録装置70は、この署名鍵を用いて、署名元メッセージに署名アルゴリズム(例えば、DSA署名)を適用して署名を生成する(ステップS8)。   The broadcasting / communication cooperation system 1 generates a signature using the signature key input from the signature key issuing device 20 by the application registration device 70. Here, the application registration apparatus 70 uses the signature key to generate a signature by applying a signature algorithm (for example, DSA signature) to the signature source message (step S8).

放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションIDと、事業者IDと、署名と、証明書とを、検証用情報としてアプリケーションに付加する(ステップS9)。そして、放送通信連携システム1は、アプリケーション登録装置70によって、検証用情報が付加されたAアプリケーションをアプリケーションサーバ50Bに出力し、アプリケーションサーバ50Bによって、Aアプリケーションとして、記憶、管理される(ステップS10)。   The broadcasting / communication cooperation system 1 uses the application registration device 70 to add the application ID, the business operator ID, the signature, and the certificate to the application as verification information (step S9). Then, the broadcasting / communication cooperation system 1 outputs the A application to which the verification information is added to the application server 50B by the application registration apparatus 70, and is stored and managed as the A application by the application server 50B (step S10). .

放送通信連携システム1は、受信機80によって、アプリケーションサーバ50BにAアプリケーションを要求する(ステップS11)。そして、放送通信連携システム1は、受信機80によって、要求したAアプリケーションをアプリケーションサーバ50Bから取得する(ステップS12)。   The broadcasting / communication cooperation system 1 requests the application A from the application server 50B by the receiver 80 (step S11). Then, the broadcasting / communication cooperation system 1 acquires the requested A application from the application server 50B by the receiver 80 (step S12).

放送通信連携システム1は、受信機80によって、証明書が有効であるか否かをCA局30に問い合わせる(ステップS13)。そして、放送通信連携システム1は、CA局30によって、その問合結果を受信機80に出力する(ステップS14)。   The broadcasting / communication cooperation system 1 uses the receiver 80 to inquire the CA station 30 whether the certificate is valid (step S13). Then, the broadcasting / communication cooperation system 1 outputs the inquiry result to the receiver 80 by the CA station 30 (step S14).

放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、受信機80は、CA局30からの問合結果に基づいて証明書の有効性を確認する共に、署名の正当性を検証する(ステップS15)。
ここでは、証明書が有効で、かつ、署名が正当のため、放送通信連携システム1は、受信機80によって、取得したアプリケーションをAアプリケーションとして起動する(ステップS16)。
The broadcasting / communication cooperation system 1 verifies whether or not the application provider is valid by the receiver 80. In other words, the receiver 80 confirms the validity of the certificate and verifies the validity of the signature based on the inquiry result from the CA station 30 (step S15).
Here, since the certificate is valid and the signature is valid, the broadcasting / communication cooperation system 1 activates the acquired application as the A application by the receiver 80 (step S16).

[放送通信連携システムの動作:一般アプリケーション]
図9に示すように、放送通信連携システム1は、一般アプリケーションをアプリケーションサーバ50Aに要求する(ステップS11´)。そして、放送通信連携システム1は、受信機80によって、要求した一般アプリケーションをアプリケーションサーバ50Aから取得する(ステップS12´)。
[Broadcast communication system operation: General application]
As shown in FIG. 9, the broadcasting / communication cooperation system 1 requests a general application from the application server 50A (step S11 ′). Then, the broadcasting / communication cooperation system 1 acquires the requested general application from the application server 50A by the receiver 80 (step S12 ′).

放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する(ステップS15´)。ここでは、アプリケーションに証明書が付加されていないため、放送通信連携システム1は、受信機80によって、取得したアプリケーションを一般アプリケーションとして起動する(ステップS16´)。
なお、以後の実施形態では、アプリケーションの提供元が正当でない場合、図9と同様の動作となるため、詳細な説明を省略する。
The broadcasting / communication cooperation system 1 verifies whether or not the provider of the application is valid by using the receiver 80 (step S15 ′). Here, since the certificate is not added to the application, the broadcasting / communication cooperation system 1 starts up the acquired application as a general application by the receiver 80 (step S16 ′).
In the following embodiments, when the application provider is not valid, the operation is the same as that in FIG.

以上のように、本発明の第1実施形態に係る受信機80は、放送局等の提供元が正当なアプリケーションだけでなく、サービス事業者等の提供元が正当でないアプリケーションも取得できると共に、提供元が正当でないアプリケーションに対して、予め定められたリソースへのアクセスを禁止する。つまり、受信機80は、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。   As described above, the receiver 80 according to the first embodiment of the present invention can acquire not only an application whose provider such as a broadcasting station is valid but also an application whose provider such as a service provider is not valid. Access to a predetermined resource is prohibited for an application whose origin is not valid. That is, the receiver 80 can prohibit unlimited resource access for an application whose provider is not valid.

また、受信機80は、不正が困難な署名及び証明書を用いるため、安全性をより向上させることができる。これによって、受信機80では、例えば、サービス事業者Aが制作したアプリケーション(一般アプリケーション)が、サービス事業者Bが制作したアプリケーション(Aアプリケーション)になりすまして、リソースにアクセスすることを防止できる。   In addition, since the receiver 80 uses a signature and a certificate that are difficult to be fraudulent, the security can be further improved. Accordingly, in the receiver 80, for example, an application (general application) created by the service provider A can be prevented from accessing a resource by impersonating an application (A application) created by the service provider B.

なお、本実施形態では、アプリケーション取得時にアプリケーション認証を行うこととして説明したが、本発明は、アプリケーション起動時にアプリケーション認証を行うこともできる。この場合、起動制御手段809aがアプリケーションを起動する都度、認証指示がアプリケーション認証手段817に出力されて(図7の「認証指示2」)、アプリケーション認証が行われることになり、安全性がより向上する。
このように、アプリケーション取得時またはアプリケーション起動時の何れかのタイミングで署名を検証すればよいので、受信機80の設計自由度を向上させることができる。
In this embodiment, the application authentication is performed when the application is acquired. However, the present invention can also perform the application authentication when the application is activated. In this case, each time the activation control unit 809a activates an application, an authentication instruction is output to the application authentication unit 817 ("authentication instruction 2" in FIG. 7), and application authentication is performed, thereby improving safety. To do.
In this way, since it is only necessary to verify the signature at any timing when the application is acquired or when the application is activated, the design flexibility of the receiver 80 can be improved.

なお、本実施形態では、Aアプリケーション及び一般アプリケーションを制作するサービス事業者をそれぞれ1つとして説明したが、複数であってもよい。また、同一のサービス事業者がAアプリケーション及び一般アプリケーションの両方を制作してもよい。さらに、放送局がサービス事業者として、アプリケーションを制作してもよい。   In the present embodiment, the service provider that creates the A application and the general application is described as one, but a plurality of service providers may be used. Moreover, the same service provider may produce both the A application and the general application. Further, a broadcast station may produce an application as a service provider.

(変形例1)
[放送通信連携システムの構成]
図1に戻り、本発明の変形例1に係る放送通信連携システム1について、第1実施形態と異なる点を説明する。
この放送通信連携システム1では、CA局30が失効リスト(CRL:Certificate Revocation List)を発行すると共に、受信機80が証明書の有効性を失効リストに基づいて確認する点が、第1実施形態と異なる。
(Modification 1)
[Broadcasting communication system configuration]
Returning to FIG. 1, the broadcasting / communication cooperation system 1 according to the first modification of the present invention will be described while referring to differences from the first embodiment.
In the broadcasting / communication cooperation system 1, the CA station 30 issues a revocation list (CRL: Certificate Revocation List) and the receiver 80 checks the validity of the certificate based on the revocation list in the first embodiment. And different.

CA局30は、サービス事業者ごとの証明書(事業者IDに対応付けた証明書を生成する。そして、CA局30は、生成した証明書を、オンライン又はオフラインで受信機80に送信する。   The CA station 30 generates a certificate for each service provider (a certificate associated with the provider ID. The CA station 30 transmits the generated certificate to the receiver 80 online or offline.

また、CA局30は、失効した証明書の一覧である失効リストを生成する。例えば、サービス事業者Bが信頼できなくなった場合、放送局は、サービス事業者Bの証明書を失効させたい旨、CA局30に指示する。すると、CA局30は、サービス事業者Bの事業者IDが格納された失効リストを生成する。   Further, the CA station 30 generates a revocation list that is a list of revoked certificates. For example, when the service provider B becomes unreliable, the broadcasting station instructs the CA station 30 to revoke the certificate of the service provider B. Then, the CA station 30 generates a revocation list in which the service provider B's business ID is stored.

この失効リストは、放送波W又はネットワークNを介して、受信機80に送信することができる。なお、放送波W又はネットワークNの何れで失効リストを送信するかは、例えば、放送局等によって予め決定される。   This revocation list can be transmitted to the receiver 80 via the broadcast wave W or the network N. Note that whether the revocation list is transmitted by the broadcast wave W or the network N is determined in advance by, for example, a broadcasting station.

ここで、放送波Wで失効リストを送信する場合、CA局30は、この失効リストを放送送信装置10に出力する。この場合、放送送信装置10は、例えば、CA局30から入力された失効リストを、DSM−CCデータカルーセルにより受信機80に送信する(図1の「CRL1」)。   Here, when the revocation list is transmitted by the broadcast wave W, the CA station 30 outputs the revocation list to the broadcast transmitting apparatus 10. In this case, for example, the broadcast transmitting apparatus 10 transmits the revocation list input from the CA station 30 to the receiver 80 by the DSM-CC data carousel (“CRL1” in FIG. 1).

一方、ネットワークNで失効リストを送信する場合、CA局30は、この失効リストをアプリケーション登録装置70に出力する。この場合、アプリケーション登録装置70は、CA局30から入力された失効リストをアプリケーションに付加して、アプリケーションサーバ50Bに出力する。そして、受信機80は、アプリケーションサーバ50Bから、このアプリケーションと共に失効リストを取得する(図1の「CRL2」)。   On the other hand, when the revocation list is transmitted in the network N, the CA station 30 outputs this revocation list to the application registration device 70. In this case, the application registration apparatus 70 adds the revocation list input from the CA station 30 to the application and outputs it to the application server 50B. Then, the receiver 80 acquires a revocation list together with this application from the application server 50B (“CRL2” in FIG. 1).

[アプリケーション登録装置の構成]
図5を参照して、アプリケーション登録装置70の構成について説明する(適宜図1参照)。
[Configuration of application registration device]
The configuration of the application registration device 70 will be described with reference to FIG. 5 (see FIG. 1 as appropriate).

署名鍵入力手段703は、署名鍵発行装置20から、サービス事業者Bの署名鍵が入力される。また、署名鍵入力手段703は、CA局30から、サービス事業者Bの検証鍵が含まれる証明書と、失効リストとが入力される。そして、署名鍵入力手段703は、入力された署名鍵、証明書及び失効リストを、署名生成手段704に出力する。   The signature key input unit 703 receives the signature key of the service provider B from the signature key issuing device 20. In addition, the signature key input unit 703 receives a certificate including the verification key of the service provider B and the revocation list from the CA station 30. Then, the signature key input unit 703 outputs the input signature key, certificate, and revocation list to the signature generation unit 704.

署名生成手段704は、署名鍵入力手段703から署名鍵、証明書及び失効リストが入力され、この署名鍵を用いて、署名を生成するものである。そして、署名生成手段704は、生成した署名と、証明書と、失効リストとを検証用情報付加手段705に出力する。
なお、署名の生成方法は、第1実施形態と同様のため、詳細な説明を省略する。
The signature generation unit 704 receives a signature key, a certificate, and a revocation list from the signature key input unit 703, and generates a signature using the signature key. Then, the signature generation unit 704 outputs the generated signature, certificate, and revocation list to the verification information addition unit 705.
The signature generation method is the same as that in the first embodiment, and thus detailed description thereof is omitted.

検証用情報付加手段705は、アプリケーションID・事業者ID付加手段702から入力されたアプリケーションに、署名生成手段704から入力された署名鍵、証明書及び失効リストを付加するものである。そして、検証用情報付加手段705は、このアプリケーションをアプリケーション出力手段706に出力する。すなわち、検証用情報付加手段705が出力するアプリケーションには、アプリケーションIDと、事業者IDと、署名と、証明書と、失効リストとが検証用情報として付加されることになる。   The verification information addition unit 705 adds the signature key, certificate, and revocation list input from the signature generation unit 704 to the application input from the application ID / provider ID addition unit 702. Then, the verification information adding unit 705 outputs this application to the application output unit 706. In other words, the application ID, the operator ID, the signature, the certificate, and the revocation list are added as verification information to the application output by the verification information adding unit 705.

[受信機の構成]
図6を参照して、受信機80の構成について説明する(適宜図1参照)。
図6に示すように、受信機80は、CRL抽出手段804aをさらに備える。
ここで、受信機80は、事業者IDに対応付けられた証明書が予め配布され、この証明書を検証用情報管理手段817aが記憶、管理していることとする。
[Receiver configuration]
The configuration of the receiver 80 will be described with reference to FIG. 6 (see FIG. 1 as appropriate).
As shown in FIG. 6, the receiver 80 further includes CRL extracting means 804a.
Here, it is assumed that the receiver 80 is preliminarily distributed with a certificate associated with the carrier ID, and the verification information management unit 817a stores and manages this certificate.

CRL抽出手段804aは、DSM−CCデータカルーセルで送信された失効リストを抽出する。そして、CRL抽出手段804aは、抽出した失効リストを、検証用情報管理手段817aに書き込む。
アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から、アプリケーションに付加されている失効リストを抽出して、検証用情報管理手段817aに書き込む。
The CRL extracting unit 804a extracts the revocation list transmitted in the DSM-CC data carousel. Then, the CRL extraction unit 804a writes the extracted revocation list into the verification information management unit 817a.
When the authentication instruction is input, the application authentication unit 817 extracts the revocation list added to the application from the application storage unit 812 and writes it to the verification information management unit 817a.

証明書確認手段817bは、検証用情報管理手段817aの失効リストに基づいて、検証用情報管理手段817aの証明書が有効であるか否かを確認する。具体的には、証明書確認手段817bは、検証用情報管理手段817aに記憶された事業者IDと失効リストとを読み出す。また、証明書確認手段817bは、読み出した事業者IDに対応するサービス事業者の証明書を、検証用情報管理手段817aから読み出す。そして、証明書確認手段817bは、読み出した証明書の事業者IDが失効リストに含まれているか否かを確認する。   The certificate confirmation unit 817b confirms whether the certificate of the verification information management unit 817a is valid based on the revocation list of the verification information management unit 817a. Specifically, the certificate confirmation unit 817b reads out the business operator ID and the revocation list stored in the verification information management unit 817a. Also, the certificate confirmation unit 817b reads out the service provider certificate corresponding to the read out provider ID from the verification information management unit 817a. Then, the certificate confirmation unit 817b confirms whether or not the provider ID of the read certificate is included in the revocation list.

ここで、事業者IDが失効リストに含まれない場合(証明書が有効の場合)、証明書確認手段817bは、その証明書に含まれる検証鍵を用いて、署名検証手段817cに署名の検証を指示(署名検証指示)する。   Here, when the provider ID is not included in the revocation list (when the certificate is valid), the certificate confirmation unit 817b verifies the signature to the signature verification unit 817c using the verification key included in the certificate. (Signature verification instruction).

一方、事業者IDが失効リストに含まれる場合(証明書が無効の場合)、証明書確認手段817bは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。そして、証明書確認手段817bは、その認証結果を、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。
このようにして、受信機80は、失効リストに基づいて証明書の有効性を確認することができる。
On the other hand, when the provider ID is included in the revocation list (when the certificate is invalid), the certificate confirmation unit 817b authenticates (determines) that the application provider is not valid (general application). Then, the certificate confirmation unit 817b outputs the authentication result to the application management / execution control unit 809 and the resource access control unit 818.
In this way, the receiver 80 can check the validity of the certificate based on the revocation list.

[放送通信連携システムの動作]
図10を参照して、本発明の変形例1に係る放送通信連携システム1の動作について説明する(適宜図1参照)。
なお、以後の説明において、ステップS1〜ステップS6の処理は、図8の各ステップと同様の処理のため、詳細な説明を省略する。
[Broadcast communication system operation]
With reference to FIG. 10, operation | movement of the broadcast communication cooperation system 1 which concerns on the modification 1 of this invention is demonstrated (refer FIG. 1 suitably).
In the following description, the processing of step S1 to step S6 is the same as that of each step in FIG.

放送通信連携システム1は、CA局30によって、生成した証明書を受信機80に配布する(ステップS21)。また、放送通信連携システム1は、CA局30によって、失効リストを生成する(ステップS22)。   The broadcasting / communication cooperation system 1 distributes the generated certificate to the receiver 80 by the CA station 30 (step S21). Also, the broadcasting / communication cooperation system 1 generates a revocation list by the CA station 30 (step S22).

放送波Wで失効リストを送信する場合、放送通信連携システム1は、CA局30によって、この失効リストを放送送信装置10に出力する(ステップS23)。そして、放送通信連携システム1は、放送送信装置10によって、失効リストをDSM−CCデータカルーセルで受信機80に送信する(ステップS24)。   When transmitting the revocation list by the broadcast wave W, the broadcasting / communication cooperation system 1 outputs the revocation list to the broadcast transmitting apparatus 10 by the CA station 30 (step S23). Then, the broadcasting / communication cooperation system 1 transmits the revocation list to the receiver 80 using the DSM-CC data carousel by the broadcast transmitting apparatus 10 (step S24).

ネットワークNで失効リストを送信する場合、放送通信連携システム1は、CA局30によって、この失効リストをアプリケーション登録装置70に出力する(ステップS23´)。   When the revocation list is transmitted in the network N, the broadcasting / communication cooperation system 1 outputs the revocation list to the application registration apparatus 70 by the CA station 30 (step S23 ′).

ステップS25の処理は、図8のステップS8と同様の処理のため、詳細な説明を省略する。
放送通信連携システム1は、アプリケーション登録装置70によって、アプリケーションIDと、事業者IDと、署名と、失効リストとを、検証用情報としてアプリケーションに付加する(ステップS26)。
なお、放送波Wで失効リストを送信した場合(ステップS23,S24)、ステップS9の処理では、失効リストを付加しないことは言うまでない。
Since the process of step S25 is the same process as step S8 of FIG. 8, detailed description is abbreviate | omitted.
The broadcasting / communication cooperation system 1 adds the application ID, the operator ID, the signature, and the revocation list to the application as verification information by the application registration device 70 (step S26).
Needless to say, when the revocation list is transmitted by the broadcast wave W (steps S23 and S24), the revocation list is not added in the process of step S9.

ステップS27〜S29の処理は、図8のステップS10〜S12と同様の処理ため、詳細な説明を省略する。
放送通信連携システム1は、受信機80によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、受信機80は、失効リストに基づいて証明書が有効であるか否かを確認する共に、署名が正当であるか否かを検証する(ステップS30)。
ステップS31の処理は、図8のステップS16と同様の処理ため、詳細な説明を省略する。
Since the processes in steps S27 to S29 are the same as those in steps S10 to S12 in FIG. 8, detailed description thereof is omitted.
The broadcasting / communication cooperation system 1 verifies whether or not the application provider is valid by the receiver 80. In other words, the receiver 80 checks whether the certificate is valid based on the revocation list and verifies whether the signature is valid (step S30).
Since the process of step S31 is the same process as step S16 of FIG. 8, detailed description is abbreviate | omitted.

以上のように、本発明の変形例1に係る受信機80は、第1実施形態と同様の効果に加え、失効リストによって証明書を容易に失効させることができる。これによって、本発明の変形例1では、放送通信連携システム1における証明書の管理コストを低減することができる。   As described above, the receiver 80 according to the first modification of the present invention can easily revoke a certificate using the revocation list in addition to the same effects as those of the first embodiment. As a result, in the first modification of the present invention, the certificate management cost in the broadcasting / communication cooperation system 1 can be reduced.

なお、本発明の変形例1では、放送波W又はネットワークNの何れか一方で失効リストを送信することとしたが、両方で失効リストを送信してもよい。つまり、受信機80は、ネットワークNを介して、アプリケーションに付加された失効リストを取得すると共に、放送波Wで送信された失効リストも取得する。この場合、ネットワークNで取得した失効リストよりも、放送波Wで取得した失効リストの方が新しい。従って、受信機80は、放送波Wで取得した失効リストに基づいて、証明書の有効性を確認する。   In the first modification of the present invention, the revocation list is transmitted by either the broadcast wave W or the network N, but the revocation list may be transmitted by both. That is, the receiver 80 acquires the revocation list added to the application via the network N and also acquires the revocation list transmitted on the broadcast wave W. In this case, the revocation list acquired by the broadcast wave W is newer than the revocation list acquired by the network N. Therefore, the receiver 80 confirms the validity of the certificate based on the revocation list acquired by the broadcast wave W.

(第2実施形態)
図11を参照して、本発明の第2実施形態に係る放送通信連携システム1(以後、「放送通信連携システム1´」)について、第1実施形態と異なる点を説明する(適宜図1参照)。
この放送通信連携システム1´では、アプリケーション登録装置70´において、証明書の有効性の確認及び署名の正当性の検証を行う点が、第1実施形態と異なる。
(Second Embodiment)
With reference to FIG. 11, a difference from the first embodiment will be described for the broadcast communication cooperation system 1 (hereinafter, “broadcast communication cooperation system 1 ′”) according to the second embodiment of the present invention (see FIG. 1 as appropriate). ).
This broadcasting / communication cooperation system 1 ′ is different from the first embodiment in that the application registration apparatus 70 ′ verifies the validity of the certificate and verifies the validity of the signature.

[アプリケーション登録装置の構成]
アプリケーション登録装置70´の構成について説明する(適宜図1参照)。
図11に示すように、アプリケーション登録装置70´は、証明書の有効性の確認及び署名の正当性の検証を行うため、記憶手段705aと、証明書確認手段705bと、署名検証手段705cとをさらに備える。
[Configuration of application registration device]
The configuration of the application registration apparatus 70 ′ will be described (see FIG. 1 as appropriate).
As shown in FIG. 11, the application registration apparatus 70 ′ includes a storage unit 705a, a certificate confirmation unit 705b, and a signature verification unit 705c in order to confirm the validity of the certificate and verify the validity of the signature. Further prepare.

記憶手段705aは、検証用情報付加手段705に入力されたアプリケーションID、事業者ID、署名、証明書等を記憶、管理するものである。この記憶手段705aが記憶する証明書等は、後記する証明書確認手段705b及び署名検証手段705cによって参照される。   The storage unit 705a stores and manages the application ID, company ID, signature, certificate, and the like input to the verification information adding unit 705. The certificate stored in the storage unit 705a is referred to by a certificate confirmation unit 705b and a signature verification unit 705c described later.

証明書確認手段705bは、記憶手段705aに記憶された証明書が有効であるか否かを確認するものである。具体的には、証明書確認手段705bは、図6の証明書確認手段817bと同様の手法で、証明書の有効性を確認する。   The certificate confirmation unit 705b confirms whether or not the certificate stored in the storage unit 705a is valid. Specifically, the certificate confirmation unit 705b confirms the validity of the certificate by the same method as the certificate confirmation unit 817b in FIG.

ここで、証明書が有効の場合、証明書確認手段705bは、署名検証手段705cに署名の検証を指示(署名検証指示)する。
一方、証明書が無効の場合、証明書確認手段705bは、アプリケーションの提供元が正当でないことを示す検証結果をアプリケーションに検証用情報として付加する。
この検証結果は、例えば、0:提供元が正当なアプリケーション(Aアプリケーション)を示し、1:提供元が正当でないアプリケーション(一般アプリケーション)を示すフラグである。
If the certificate is valid, the certificate confirmation unit 705b instructs the signature verification unit 705c to verify the signature (signature verification instruction).
On the other hand, if the certificate is invalid, the certificate confirmation unit 705b adds a verification result indicating that the application provider is not valid as verification information to the application.
This verification result is, for example, a flag indicating that 0: the provider is a legitimate application (A application) and 1: the provider is a legitimate application (general application).

署名検証手段705cは、記憶手段705aに記憶された署名が正当であるか否かを検証するものである。具体的には、署名検証手段705cは、図6の署名検証手段817cと同様の手法で、署名の正当性を検証する。   The signature verification unit 705c verifies whether the signature stored in the storage unit 705a is valid. Specifically, the signature verification unit 705c verifies the validity of the signature by the same method as the signature verification unit 817c of FIG.

ここで、署名が正当な場合、署名検証手段705cは、アプリケーションの提供元が正当であることを示す検証結果をアプリケーションに検証用情報として付加する。
一方、署名が正当でない場合、署名検証手段705cは、アプリケーションの提供元が正当でないことを示す検証結果をアプリケーションに検証用情報として付加する。
If the signature is valid, the signature verification unit 705c adds a verification result indicating that the application provider is valid as verification information to the application.
On the other hand, when the signature is not valid, the signature verification unit 705c adds a verification result indicating that the application provider is not valid as verification information to the application.

このようにして、アプリケーション登録装置70´は、証明書の有効性の確認と、署名の正当性の検証とを行って、その検証結果をアプリケーションに付加することができる。   In this way, the application registration apparatus 70 ′ can confirm the validity of the certificate and verify the validity of the signature, and add the verification result to the application.

[受信機の構成]
図12を参照して、受信機80´の構成について説明する(適宜図1参照)。
図12に示すように、受信機(放送通信連携受信装置)80´は、証明書確認手段817b及び署名検証手段817cの代わりに、検証結果判定手段817dを備える。
[Receiver configuration]
With reference to FIG. 12, the configuration of the receiver 80 ′ will be described (see FIG. 1 as appropriate).
As shown in FIG. 12, the receiver (broadcast communication cooperative receiving device) 80 ′ includes a verification result determination unit 817d instead of the certificate confirmation unit 817b and the signature verification unit 817c.

アプリケーション認証手段817は、認証指示が入力されると、アプリケーション記憶手段812から検証結果(検証用情報)を抽出して、検証用情報管理手段817aに書き込む。
すなわち、検証用情報管理手段817aは、アプリケーションに付加されている検証結果を記憶、管理する。
When the authentication instruction is input, the application authentication unit 817 extracts the verification result (verification information) from the application storage unit 812 and writes it in the verification information management unit 817a.
That is, the verification information management means 817a stores and manages the verification result added to the application.

検証結果判定手段817dは、検証用情報管理手段817aに記憶された検証結果(検証用情報)に基づいて、アプリケーション取得手段811が取得したアプリケーションの提供元が正当であるか否かを検証するものである。   The verification result determination unit 817d verifies whether the provider of the application acquired by the application acquisition unit 811 is valid based on the verification result (verification information) stored in the verification information management unit 817a. It is.

ここで、検証結果=0の場合、検証結果判定手段817dは、アプリケーションの提供元が正当(Aアプリケーション)と認証(判定)する。
一方、検証結果=1の場合、検証結果判定手段817dは、アプリケーションの提供元が正当でない(一般アプリケーション)と認証(判定)する。
Here, when the verification result = 0, the verification result determination unit 817d authenticates (determines) that the application provider is valid (A application).
On the other hand, when the verification result = 1, the verification result determination unit 817d authenticates (determines) that the application provider is not valid (general application).

そして、検証結果判定手段817dは、提供元の正当性を検証したアプリケーションのIDと、提供元が正当であるか否かを示すフラグ等の情報とを認証結果として、アプリケーション管理・実行制御手段809及びリソースアクセス制御手段818に出力する。   Then, the verification result determination unit 817d uses the application ID for verifying the validity of the provider and information such as a flag indicating whether the provider is valid as an authentication result, and the application management / execution control unit 809. And output to the resource access control means 818.

[放送通信連携システムの動作]
図13を参照して、本発明の第2実施形態に係る放送通信連携システム1´の動作について説明する(適宜図1参照)。
[Broadcast communication system operation]
With reference to FIG. 13, the operation of the broadcasting / communication cooperation system 1 ′ according to the second embodiment of the present invention will be described (see FIG. 1 as appropriate).

放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、アプリケーション登録装置70´は、CA局30からの問合結果に基づいて証明書の有効性を確認する共に、署名の正当性を検証する(ステップS51)。
以下、アプリケーションの提供元が正当であることとして説明する。
The broadcasting / communication cooperation system 1 ′ verifies whether or not the application provider is valid by the application registration device 70 ′. That is, the application registration apparatus 70 ′ verifies the validity of the certificate and verifies the validity of the signature based on the inquiry result from the CA station 30 (step S51).
In the following description, it is assumed that the application provider is valid.

放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションIDと、検証結果(検証用情報)とをアプリケーションに付加する(ステップS52)。
ステップS53〜S55の処理は、図8のステップS10〜S12と同様の処理ため、詳細な説明を省略する。
The broadcasting / communication cooperation system 1 ′ adds the application ID and the verification result (verification information) to the application by the application registration device 70 ′ (step S52).
Since the processes in steps S53 to S55 are the same as those in steps S10 to S12 in FIG. 8, detailed description thereof is omitted.

放送通信連携システム1´は、受信機80´によって、検証結果により、アプリケーションの提供元が正当であるか否かを判定する。ここで、検証結果=0の場合、受信機80´は、アプリケーションの提供元が正当であると判定する。一方、検証結果=1の場合、受信機80´は、アプリケーションの提供元が正当でないと判定する(ステップS56)。
ステップS57の処理は、図8のステップS16と同様の処理ため、詳細な説明を省略する。
The broadcasting / communication cooperation system 1 ′ determines whether or not the provider of the application is valid based on the verification result by the receiver 80 ′. Here, when the verification result = 0, the receiver 80 ′ determines that the application provider is valid. On the other hand, if the verification result = 1, the receiver 80 ′ determines that the application provider is not valid (step S56).
Since the process of step S57 is the same as that of step S16 of FIG. 8, detailed description thereof is omitted.

以上のように、本発明の第2実施形態に係る受信機80´は、第1実施形態と同様、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。さらに、受信機80´は、証明書の有効性の確認及び署名の正当性の検証を行う必要がなく、受信機80´の処理負荷を低減することができる。従って、受信機80´は、その構成を簡易にすることができ、CPU、メモリ等のリソースが限られるセットトップボックスに容易に適用することができる。   As described above, similarly to the first embodiment, the receiver 80 ′ according to the second embodiment of the present invention can prohibit unlimited resource access for an application whose provider is not valid. Furthermore, the receiver 80 'does not need to check the validity of the certificate and verify the validity of the signature, and can reduce the processing load on the receiver 80'. Therefore, the receiver 80 'can be simplified in configuration, and can be easily applied to a set top box where resources such as a CPU and a memory are limited.

(変形例2)
図11に戻り、本発明の変形例2に係る放送通信連携システム1´について、第2実施形態と異なる点を説明する(適宜図1参照)。
この放送通信連携システム1´では、CA局30が失効リストをアプリケーション登録装置70に出力する。そして、放送通信連携システム1´では、アプリケーション登録装置70´が、変形例1と同様、証明書の有効性を失効リストに基づいて確認する点が、第2実施形態と異なる。
(Modification 2)
Returning to FIG. 11, a difference from the second embodiment will be described regarding the broadcasting / communication cooperation system 1 ′ according to the second modification of the present invention (see FIG. 1 as appropriate).
In this broadcasting / communication cooperation system 1 ′, the CA station 30 outputs the revocation list to the application registration device 70. The broadcast communication cooperation system 1 ′ differs from the second embodiment in that the application registration device 70 ′ confirms the validity of the certificate based on the revocation list as in the first modification.

[アプリケーション登録装置の構成]
アプリケーション登録装置70´の構成について説明する(適宜図1参照)。
記憶手段705aは、検証用情報付加手段705に入力されたアプリケーションID、事業者ID、署名、証明書、失効リスト等を記憶、管理するものである。この記憶手段705aが記憶する失効リスト等は、後記する証明書確認手段705bによって参照される。
[Configuration of application registration device]
The configuration of the application registration apparatus 70 ′ will be described (see FIG. 1 as appropriate).
The storage unit 705a stores and manages the application ID, the company ID, the signature, the certificate, the revocation list, and the like input to the verification information adding unit 705. The revocation list stored in the storage unit 705a is referred to by a certificate confirmation unit 705b described later.

証明書確認手段705bは、記憶手段705aの失効リストに基づいて、証明書が有効であるか否かを確認する。この証明書確認手段705bは、変形例1と同様の手法で証明書の有効性を確認するため、詳細な説明を省略する。
このようにして、アプリケーション登録装置70´は、失効リストに基づいて証明書の有効性を確認することができる。
The certificate confirmation unit 705b confirms whether the certificate is valid based on the revocation list of the storage unit 705a. Since this certificate confirmation unit 705b confirms the validity of the certificate by the same method as in the first modification, detailed description thereof is omitted.
In this way, the application registration apparatus 70 ′ can confirm the validity of the certificate based on the revocation list.

[放送通信連携システムの動作]
図14を参照して、本発明の変形例2に係る放送通信連携システム1´の動作について説明する(適宜図1参照)。
[Broadcast communication system operation]
With reference to FIG. 14, operation | movement of the broadcast communication cooperation system 1 'which concerns on the modification 2 of this invention is demonstrated (refer FIG. 1 suitably).

放送通信連携システム1´は、CA局30によって、生成した証明書をアプリケーション登録装置70´に出力する(ステップS61)。
ステップS62の処理は、図10のステップS22と同様の処理のため、詳細な説明を省略する。
The broadcasting / communication cooperation system 1 ′ outputs the generated certificate to the application registration apparatus 70 ′ by the CA station 30 (step S61).
Since the process of step S62 is the same process as step S22 of FIG. 10, detailed description is abbreviate | omitted.

放送通信連携システム1´は、CA局30によって、生成した失効リストをアプリケーション登録装置70´に出力する(ステップS63)。
ステップS64の処理は、図10のステップS25と同様の処理のため、詳細な説明を省略する。
Broadcast / communication cooperation system 1 'outputs the revocation list | wrist produced | generated by CA station 30 to application registration apparatus 70' (step S63).
Since the process of step S64 is the same as that of step S25 of FIG. 10, detailed description thereof is omitted.

放送通信連携システム1´は、アプリケーション登録装置70´によって、アプリケーションの提供元が正当であるか否かを検証する。つまり、アプリケーション登録装置70´は、失効リストに基づいて証明書が有効であるか否かを確認する共に、署名が正当であるか否かを検証する(ステップS65)。
ステップS66〜S71の処理は、図13のステップS52〜S57と同様の処理のため、詳細な説明を省略する。
The broadcasting / communication cooperation system 1 ′ verifies whether or not the application provider is valid by the application registration device 70 ′. That is, the application registration apparatus 70 ′ checks whether the certificate is valid based on the revocation list and verifies whether the signature is valid (step S65).
Since the processes in steps S66 to S71 are the same as the processes in steps S52 to S57 in FIG.

以上のように、本発明の変形例2に係る受信機80´は、第2実施形態と同様の効果に加え、失効リストによって証明書を容易に失効させることができる。これによって、本発明の変形例2では、放送通信連携システム1´における証明書の管理コストを低減することができる。   As described above, the receiver 80 ′ according to the second modification of the present invention can easily revoke a certificate using the revocation list in addition to the same effects as those of the second embodiment. As a result, in the second modification of the present invention, the certificate management cost in the broadcasting / communication cooperation system 1 ′ can be reduced.

(第3実施形態)
[放送通信連携システムの構成]
図15を参照して、本発明の第3実施形態に係る放送通信連携システム1´´の構成について、第1実施形態と異なる点を説明する。
この放送通信連携システム1´´では、リポジトリ50C及びアプリケーション管理装置90をさらに備えると共に、システム管理者によって、署名鍵発行装置20´´と、リポジトリ50Cと、アプリID・事業者ID生成装置60と、アプリケーション登録装置70´´とが管理されることが、第1実施形態と異なる。
(Third embodiment)
[Broadcasting communication system configuration]
With reference to FIG. 15, the difference of the configuration of the broadcast communication cooperation system 1 ″ according to the third embodiment of the present invention from the first embodiment will be described.
The broadcasting / communication cooperation system 1 ″ further includes a repository 50 C and an application management device 90, and a signature key issuing device 20 ″, a repository 50 C, an application ID / provider ID generation device 60, and the like by a system administrator. The application registration apparatus 70 ″ is managed differently from the first embodiment.

「システム管理者」とは、Aアプリケーションを承認する機関である。例えば、システム管理者は、あるサービス事業者が制作したアプリケーションをAアプリケーションとして承認する際、このアプリケーションが放送通信連携システム1´´で期待される動作を行うか否かを手動で検証する。そして、システム管理者は、Aアプリケーションを、後記するリポジトリ50Cに登録する。   The “system administrator” is an organization that approves the A application. For example, when approving an application created by a certain service provider as an A application, the system administrator manually verifies whether or not the application performs an operation expected in the broadcasting / communication cooperation system 1 ″. Then, the system administrator registers the A application in the repository 50C described later.

署名鍵発行装置20´´は、放送通信連携システム1´´で共通する署名鍵及び検証鍵を生成する。この署名鍵発行装置20´´が生成した署名鍵は、アプリケーション登録装置70´´に配布される。また、署名鍵発行装置20が生成した検証鍵は、システム管理者によって、CA局30に配布される。   The signature key issuing device 20 ″ generates a signature key and a verification key that are common to the broadcasting / communication cooperation system 1 ″. The signature key generated by the signature key issuing device 20 ″ is distributed to the application registration device 70 ″. The verification key generated by the signature key issuing device 20 is distributed to the CA station 30 by the system administrator.

リポジトリ50C(50)は、Aアプリケーションを記憶、管理するものである。そして、リポジトリ50Cは、例えば、受信機80からの要求に応じて、ネットワークNを介して、記憶したAアプリケーションを受信機80に送信する。   The repository 50C (50) stores and manages the A application. Then, the repository 50C transmits the stored A application to the receiver 80 via the network N in response to a request from the receiver 80, for example.

アプリケーション登録装置70´´は、アプリケーション管理装置90からのアプリケーションに検証用情報を付加して、このアプリケーションをAアプリケーションとして登録するものである。ここで、アプリケーション登録装置70´´は、例えば、署名鍵発行装置20´´からの署名鍵を用いて、サービス事業者及びアプリケーションごとに固有の署名を生成する。
このように、署名鍵及び検証鍵がサービス事業者で共通する場合であっても、署名がサービス事業者及びアプリケーションごとに固有のため、受信機80では、アプリケーションの提供元が正当であるか否かを検証できる。
The application registration device 70 ″ adds verification information to the application from the application management device 90 and registers this application as an A application. Here, the application registration device 70 ″ generates a unique signature for each service provider and application, for example, using the signature key from the signature key issuing device 20 ″.
As described above, even when the signature key and the verification key are shared by the service provider, since the signature is unique to each service provider and the application, the receiver 80 determines whether the provider of the application is valid. Can be verified.

アプリケーション管理装置90は、サービス事業者Bによって管理され、サービス事業者Bが制作したアプリケーションを記憶、管理するものである。ここで、アプリケーション管理装置90に記憶されたアプリケーションは、例えば、ネットワークNを介して、アプリケーション登録装置70´´に送信される。また、このアプリケーションが格納された記録媒体をシステム管理者に郵送し、システム管理者がこのアプリケーションをアプリケーション登録装置70´´に手動で入力してもよい。   The application management device 90 is managed by the service provider B, and stores and manages applications created by the service provider B. Here, the application stored in the application management apparatus 90 is transmitted to the application registration apparatus 70 ″ via the network N, for example. Alternatively, the recording medium storing the application may be mailed to the system administrator, and the system administrator may manually input the application to the application registration apparatus 70 ″.

なお、図15の各装置は、図1の各装置と同様の構成のため、詳細な説明を省略する。
また、図16に示すように、放送通信連携システム1´´は、図8と同様の動作を行うため、詳細な説明を省略する。
Note that each device in FIG. 15 has the same configuration as each device in FIG.
Also, as shown in FIG. 16, the broadcasting / communication cooperation system 1 ″ performs the same operation as in FIG.

以上のように、本発明の第3実施形態に係る受信機80は、第1実施形態と同様、提供元が正当でないアプリケーションに対して、無制限なリソースアクセスを禁止することができる。また、受信機80は、不正が困難な署名及び証明書を用いるため、安全性をより向上させることができる。   As described above, similarly to the first embodiment, the receiver 80 according to the third embodiment of the present invention can prohibit unlimited resource access for an application whose provider is not valid. In addition, since the receiver 80 uses a signature and a certificate that are difficult to be fraudulent, the security can be further improved.

(変形例3〜変形例5)
なお、図15の放送通信連携システム1´´は、第1実施形態だけでなく、第2実施形態及び変形例1,2にも同様に適用することができる(それぞれ、変形例3〜変形例5とする)。この場合、変形例3〜変形例5に係る放送通信連携システム1´´は、図17〜図19に示すように、図10,図13,図15と同様の動作になるため、詳細な説明を省略する。
(Modification 3 to Modification 5)
Note that the broadcasting / communication cooperation system 1 '' of FIG. 15 can be applied not only to the first embodiment, but also to the second embodiment and Modifications 1 and 2 (Modifications 3 to 3, respectively). 5). In this case, the broadcasting / communication cooperation system 1 ″ according to the modified examples 3 to 5 operates in the same manner as in FIGS. 10, 13 and 15 as illustrated in FIGS. Is omitted.

1,1´,1´´ 放送通信連携システム
10 放送送信装置
20,20´´ 署名鍵発行装置
200 署名鍵・検証鍵生成手段
201 検証鍵管理手段
202 署名鍵管理手段
30 CA局(認証局)
40,40A,40B コンテンツ配信サーバ
50,50A,50B アプリケーションサーバ
50C リポジトリ(アプリケーションサーバ)
500 アプリケーション入力手段(アプリ入力手段)
501 アプリケーション記憶手段(アプリ記憶手段)
502 アプリケーション送信手段(アプリ送信手段)
60 アプリID・事業者ID生成装置
600 アプリケーションID生成手段(アプリID生成手段)
601 事業者ID生成手段
602 アプリケーションID・事業者ID出力手段(アプリID・事業者ID出力手段)
70,70´,70´´ アプリケーション登録装置
700 アプリケーション入力手段(アプリ入力手段)
701 アプリケーションID・事業者ID入力手段(アプリID・事業者ID入力手段)
702 アプリケーションID・事業者ID付加手段(アプリID・事業者ID付加手段)
703 署名鍵入力手段
704 署名生成手段
705 検証用情報付加手段
705a 記憶手段
705b 証明書確認手段
705c 署名検証手段
706 アプリケーション出力手段(アプリ出力手段)
80 受信機(放送通信連携受信装置)
801 放送受信手段
802 放送信号解析手段
803 映像・音声復号手段
804 データ放送復号手段
804a CRL抽出手段
805 通信送受信手段
806 アプリケーション起動情報取得手段(アプリ起動情報取得手段)
807 アプリケーション起動情報記憶手段(アプリ起動情報記憶手段)
808 リスト制御手段
809a 起動制御手段
809b 終了制御手段
809c 蓄積管理手段
809 アプリケーション管理・実行制御手段(アプリ管理・実行制御手段)
810 起動アプリケーション識別情報記憶手段(起動アプリ識別情報記憶手段)
811 アプリケーション取得手段(アプリ取得手段)
812 アプリケーション記憶手段(アプリ記憶手段)
813 アプリケーション実行手段(アプリ実行手段)
814 操作制御手段
815 合成表示手段
816 セキュリティ管理手段
817 アプリケーション認証手段(アプリ認証手段、アプリケーション判定手段)
817a 検証用情報管理手段(記憶手段)
817b 証明書確認手段
817c 署名検証手段
818 リソースアクセス制御手段
819 リソース管理手段
90 アプリケーション管理装置
1, 1 ′, 1 ″ Broadcast communication cooperation system 10 Broadcast transmission device 20, 20 ″ Signature key issuing device 200 Signature key / verification key generation unit 201 Verification key management unit 202 Signature key management unit 30 CA station (certification authority)
40, 40A, 40B Content distribution server 50, 50A, 50B Application server 50C Repository (application server)
500 Application input means (application input means)
501 Application storage means (application storage means)
502 Application transmission means (application transmission means)
60 Application ID / Business ID Generation Device 600 Application ID Generation Unit (Application ID Generation Unit)
601 business ID generation means 602 application ID / business ID output means (application ID / business ID output means)
70, 70 ', 70 "Application registration device 700 Application input means (application input means)
701 Application ID / enterprise ID input means (app ID / enterprise ID input means)
702 Application ID / provider ID adding means (app ID / provider ID adding means)
703 Signature key input means 704 Signature generation means 705 Verification information addition means 705a Storage means 705b Certificate confirmation means 705c Signature verification means 706 Application output means (application output means)
80 Receiver (Broadcasting communication cooperative receiver)
801 Broadcast receiving means 802 Broadcast signal analyzing means 803 Video / audio decoding means 804 Data broadcast decoding means 804a CRL extracting means 805 Communication transmitting / receiving means 806 Application activation information acquisition means (application activation information acquisition means)
807 Application activation information storage means (application activation information storage means)
808 List control means 809a Start control means 809b End control means 809c Storage management means 809 Application management / execution control means (application management / execution control means)
810 Activation application identification information storage means (activation application identification information storage means)
811 Application acquisition means (application acquisition means)
812 Application storage means (application storage means)
813 Application execution means (application execution means)
814 Operation control means 815 Composite display means 816 Security management means 817 Application authentication means (application authentication means, application determination means)
817a Verification information management means (storage means)
817b Certificate confirmation means 817c Signature verification means 818 Resource access control means 819 Resource management means 90 Application management apparatus

Claims (6)

放送番組を送信する放送送信装置と、前記放送番組を受信する放送通信連携受信装置と、署名を生成する署名鍵及び当該署名鍵に対応する検証鍵を発行する署名鍵発行装置と、前記検証鍵が含まれる証明書を発行する認証局と、前記署名鍵発行装置からの署名鍵により生成された署名及び前記証明書を、アプリケーションの提供元を検証するための検証用情報として当該アプリケーションに付加するアプリケーション登録装置と、前記検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバとを含む放送通信連携システムに備えられる前記放送通信連携受信装置であって、
ネットワークを介して、前記アプリケーションサーバに記憶されたアプリケーションを取得するアプリケーション取得手段と、
前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを判定するアプリケーション判定手段と、
前記アプリケーション判定手段の判定結果に基づいて、当該取得したアプリケーションに対して、予め定められたリソースへのアクセスを禁止するリソースアクセス制御を行うリソースアクセス制御手段と、
を備えることを特徴とする放送通信連携受信装置。
A broadcast transmitting apparatus for transmitting a broadcast program, the network-linked digital terrestrial television broadcasting receiver for receiving said broadcast program, a signature key issuing device for issuing a search Akashikagi that corresponds to the signature key and the signature key to generate a signature, the a certificate authority that issues certificates that contain the verification key, the signature key issued signature and the certificate generated by the signature key from the device, as verification information for verifying the application provider to the application The broadcast communication cooperative reception provided in a broadcast communication cooperative system including an application registration device to be added, and an application server that stores at least one of the application to which the verification information is added and the application to which the verification information is not added. A device,
Application acquisition means for acquiring an application stored in the application server via a network;
Based on the verification information, application determination means for determining whether or not the provider of the application acquired by the application acquisition means is valid;
Resource access control means for performing resource access control for prohibiting access to a predetermined resource for the acquired application based on the determination result of the application determination means;
A broadcasting / communication cooperative receiving apparatus comprising:
前記アプリケーション取得手段は、前記署名鍵により生成された署名及び前記証明書が前記検証用情報として付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記証明書が有効であるか否かを前記認証局に確認し、前記証明書が有効な場合、当該証明書の検証鍵により前記署名が正当であるか否かを検証し、前記署名が正当な場合に前記アプリケーションの提供元が正当と判定し、前記証明書が有効でない又は前記署名が正当でない場合に前記アプリケーションの提供元が正当でないと判定することを特徴とする請求項1に記載の放送通信連携受信装置。
The application acquisition means acquires an application to which the signature generated by the signature key and the certificate are added as the verification information,
The application determination unit confirms whether or not the certificate is valid, and if the certificate is valid, verifies whether or not the signature is valid by a verification key of the certificate. When the signature is valid, it is determined that the application provider is valid, and when the certificate is not valid or the signature is not valid, it is determined that the application provider is not valid. The broadcasting / communication cooperation receiving apparatus according to claim 1.
前記放送通信連携受信装置は、前記証明書が予め記憶された記憶手段をさらに備え、
前記アプリケーション取得手段は、前記署名鍵により生成された署名が前記検証用情報として付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、失効した証明書の一覧である失効リストに基づいて前記記憶手段から抽出された前記証明書が有効であるか否かを確認し、当該証明書が有効な場合、当該証明書の検証鍵により前記署名が正当であるか否かを検証し、前記署名が正当な場合に前記アプリケーションの提供元が正当と判定し、当該証明書が有効でない又は前記署名が正当でない場合に前記アプリケーションの提供元が正当でないと判定することを特徴とする請求項1に記載の放送通信連携受信装置。
The broadcasting / communication cooperation receiving apparatus further includes storage means in which the certificate is stored in advance,
The application acquisition means acquires an application to which a signature generated by the signature key is added as the verification information,
The application determination unit checks whether the certificate extracted from the storage unit is valid based on a revocation list that is a list of revoked certificates, and if the certificate is valid, If the signature is valid, the application provider determines that the signature is valid, and the certificate is not valid or the signature is not valid. The broadcasting / communication cooperation receiving apparatus according to claim 1, wherein the application provider is determined not to be valid.
前記放送通信連携受信装置は、前記署名鍵により生成された署名と前記証明書とに基づいて、前記アプリケーションの提供元が正当であるか否かを検証する前記アプリケーション登録装置が含まれる放送通信連携システムに備えられ、
前記アプリケーション取得手段は、前記検証用情報として、前記アプリケーションの提供元の検証結果が前記アプリケーション登録装置によって付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする請求項1に記載の放送通信連携受信装置。
The broadcast communication cooperation receiving apparatus includes the application registration apparatus that verifies whether the provider of the application is valid based on the signature generated by the signature key and the certificate. Provided in the system,
The application acquisition unit acquires an application to which the verification result of the application provider is added by the application registration device as the verification information,
The broadcast communication cooperative reception according to claim 1, wherein the application determination unit verifies whether the provider of the application acquired by the application acquisition unit is valid based on the verification information. apparatus.
前記放送通信連携受信装置は、前記署名鍵により生成された署名と前記証明書と失効リストとに基づいて、前記アプリケーションの提供元が正当であるか否かを検証する前記アプリケーション登録装置が含まれる放送通信連携システムに備えられ、
前記アプリケーション取得手段は、前記検証用情報として、前記アプリケーションの提供元の検証結果が前記アプリケーション登録装置によって付加されたアプリケーションを取得し、
前記アプリケーション判定手段は、前記検証用情報に基づいて、前記アプリケーション取得手段が取得したアプリケーションの提供元が正当であるか否かを検証することを特徴とする請求項1に記載の放送通信連携受信装置。
The broadcasting / communication cooperation receiving device includes the application registration device that verifies whether the application provider is valid based on a signature generated by the signature key, the certificate, and a revocation list. Provided in the broadcasting and communication cooperation system,
The application acquisition unit acquires an application to which the verification result of the application provider is added by the application registration device as the verification information,
The broadcast communication cooperative reception according to claim 1, wherein the application determination unit verifies whether the provider of the application acquired by the application acquisition unit is valid based on the verification information. apparatus.
請求項1に記載の放送通信連携受信装置と、
前記放送番組を送信する放送送信装置と、
前記署名鍵及び前記検証鍵を発行する署名鍵発行装置と、
前記検証鍵が含まれる証明書を発行する認証局と、
前記検証用情報を当該アプリケーションに付加するアプリケーション登録装置と、
前記検証用情報が付加されたアプリケーション及び前記検証用情報が付加されていないアプリケーションの少なくとも一方を記憶するアプリケーションサーバと、
を備えることを特徴とする放送通信連携システム。
The broadcasting / communication cooperation receiving device according to claim 1,
A broadcast transmission device for transmitting the broadcast program;
A signature key issuing device for issuing the signature key and the verification key;
A certificate authority that issues a certificate including the verification key;
An application registration device for adding the verification information to the application;
An application server that stores at least one of the application to which the verification information is added and the application to which the verification information is not added;
A broadcasting / communication cooperation system comprising:
JP2012114209A 2011-05-19 2012-05-18 Broadcast communication cooperative receiver and broadcast communication cooperative system Expired - Fee Related JP5952638B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012114209A JP5952638B2 (en) 2011-05-19 2012-05-18 Broadcast communication cooperative receiver and broadcast communication cooperative system

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011112714 2011-05-19
JP2011112714 2011-05-19
JP2012114209A JP5952638B2 (en) 2011-05-19 2012-05-18 Broadcast communication cooperative receiver and broadcast communication cooperative system

Publications (2)

Publication Number Publication Date
JP2012256321A JP2012256321A (en) 2012-12-27
JP5952638B2 true JP5952638B2 (en) 2016-07-13

Family

ID=47527799

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012114209A Expired - Fee Related JP5952638B2 (en) 2011-05-19 2012-05-18 Broadcast communication cooperative receiver and broadcast communication cooperative system

Country Status (1)

Country Link
JP (1) JP5952638B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015109501A (en) * 2013-12-03 2015-06-11 シャープ株式会社 Digital broadcast receiver and broadcast content stop method
JP6696126B2 (en) * 2015-08-05 2020-05-20 ソニー株式会社 Control device, authentication device, control system, and control method
CN112131029B (en) * 2020-11-25 2022-03-01 腾讯科技(深圳)有限公司 Broadcast processing method, apparatus, computer device and storage medium

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002163395A (en) * 2000-11-27 2002-06-07 Hitachi Software Eng Co Ltd Method for supporting confirmation of electronic certificate validity and information processor used for the same
JP4045805B2 (en) * 2002-01-11 2008-02-13 日本電気株式会社 Television receiver and television application control method
JP2008158686A (en) * 2006-12-21 2008-07-10 Toshiba Corp Program verification apparatus and method, and signature system based on program verification
JP4952593B2 (en) * 2008-01-21 2012-06-13 ソニー株式会社 Information processing apparatus, disk, information processing method, and program
US8850211B2 (en) * 2009-04-27 2014-09-30 Qualcomm Incorporated Method and apparatus for improving code and data signing

Also Published As

Publication number Publication date
JP2012256321A (en) 2012-12-27

Similar Documents

Publication Publication Date Title
JP5586770B2 (en) Receiving machine
JP5961164B2 (en) Broadcast-communication cooperative receiver and resource access control program
JP6423067B2 (en) Broadcast communication cooperative receiver and broadcast communication cooperative system
JP6271066B2 (en) Receiving machine
JP6097443B1 (en) Receiving machine
JP6213197B2 (en) Information processing apparatus and reception method
JP5961165B2 (en) Broadcast communication cooperative receiver and broadcast communication cooperative system
JP5952638B2 (en) Broadcast communication cooperative receiver and broadcast communication cooperative system
WO2015045324A1 (en) Receiver device, broadcast device, server device and reception method
US20140096154A1 (en) Integrated broadcasting communications receiver and resource managing device
JP2012257233A (en) Receiver and reception system
JP6053323B2 (en) Broadcast transmission apparatus, broadcast communication cooperation reception apparatus and program thereof, and broadcast communication cooperation system
JP5912615B2 (en) Broadcast communication cooperative receiver and broadcast communication cooperative system
JP5941356B2 (en) Broadcast communication cooperative receiver, application authentication program, and broadcast communication cooperative system
JP5548726B2 (en) Receiving machine
JP2012257222A (en) Receiver
JP7334772B2 (en) Information processing device and receiving method
JP2012257224A (en) Receiving device
JP2012257225A (en) Receiving device
JP2019165485A (en) Reception device and reception method
JP2018023145A (en) Transmission system and transmission method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140326

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150401

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160610

R150 Certificate of patent or registration of utility model

Ref document number: 5952638

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees