JP4497099B2 - Information transmission equipment - Google Patents
Information transmission equipment Download PDFInfo
- Publication number
- JP4497099B2 JP4497099B2 JP2006028694A JP2006028694A JP4497099B2 JP 4497099 B2 JP4497099 B2 JP 4497099B2 JP 2006028694 A JP2006028694 A JP 2006028694A JP 2006028694 A JP2006028694 A JP 2006028694A JP 4497099 B2 JP4497099 B2 JP 4497099B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- packet
- transmission
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、例えば、通信衛星を用いて、データ配信サービスを行うための情報伝送装置に関する。 The present invention relates to an information transmission apparatus for performing a data distribution service using, for example, a communication satellite.
公衆電話回線、専用回線などを用いてデータ伝送する場合又は通話する場合、伝送情報の漏洩を防止するため又は伝送情報に対する妨害に対して情報の信頼性を維持するため、平文のデータを暗号化して伝送し、受信先で暗号化されたデータを復号している。 When data is transmitted using public telephone lines, leased lines, etc., plaintext data is encrypted in order to prevent transmission information leakage or to maintain the reliability of information against interference with transmission information. The encrypted data is decrypted at the receiver.
代表的な暗号方式としては、共通鍵暗号方式と公開鍵暗号方式とが知られている。共通鍵暗号方式は対称暗号系とも呼ばれており、アルゴリズム非公開型とアルゴリズム公開型がある。アルゴリズム公開型の代表的なものとして、DES(Date Encryption Standard)が知られている。公開鍵暗号方式は、暗号化鍵から復号鍵を導出するために莫大な計算量が必要なため実質的に復号鍵が解読されないので、暗号化鍵を公開してもよい暗号方式であり、非対称鍵暗号方式ともよばれている。 As typical encryption methods, a common key encryption method and a public key encryption method are known. The common key cryptosystem is also called a symmetric cryptosystem, and there are an algorithm private type and an algorithm public type. DES (Date Encryption Standard) is known as a typical algorithm open type. The public key cryptosystem is an asymmetric scheme in which the decryption key may not be decrypted because a huge amount of calculation is required to derive the decryption key from the encryption key. It is also called a key encryption method.
図17は、伝送路上のデータを共通鍵暗号方式で暗号化する暗号化データ伝送装置の一例を示す概略構成図である。この暗号化データ伝送装置は、送信者側の送信装置91と、受信者側の受信装置92とをつなぐデータ伝送路94から盗聴者側の盗聴装置93がデータを盗聴するのを防ぐ。
FIG. 17 is a schematic configuration diagram illustrating an example of an encrypted data transmission apparatus that encrypts data on a transmission path using a common key cryptosystem. This encrypted data transmission apparatus prevents an eavesdropper 93 on the eavesdropper from eavesdropping on a
伝送すべきデータには、送信装置91内の暗号化器96により暗号鍵97を用いての暗号化処理が施される。データ伝送路94により伝送されて受信装置92で受信された上記暗号化データは、復号鍵98を用いた復号器99により復号されて、復号データが得られる。
Data to be transmitted is subjected to an encryption process using an
ここで、盗聴装置93がデータ伝送路94から受信装置92と同様に暗号化されたデータを受信しても、復号鍵98を持たないので、復号することが困難である。すなわち、盗聴装置93では、そのままでは意味不明の暗号化処理(スクランブル)のかかったデータを扱うことになるから、現実的に盗聴装置93側に情報が漏洩することを防ぐことができる。この例における共通鍵暗号方式の主要な暗号化方法では、一般に暗号化鍵と復号鍵は同一ビット列である。
Here, even if the eavesdropping device 93 receives encrypted data from the
なお、上述したような、暗号化方式は、伝送データが伝送される回線系統の種別、伝送データの機密度(機密性)、伝送データの量などに応じて決定される。例えば、専用回線を用いたデータ伝送においては、情報の漏洩、伝送データへの妨害の度合いは低いが、公衆電話回線を用いてデータ伝送する場合は情報の漏洩の度合い、妨害の度合いは高くなる。 Note that the encryption method as described above is determined according to the type of the line system through which the transmission data is transmitted, the confidentiality (confidentiality) of the transmission data, the amount of transmission data, and the like. For example, in data transmission using a dedicated line, the degree of information leakage and interference with transmission data is low, but when data transmission is performed using a public telephone line, the degree of information leakage and interference is high. .
ところで、近年、通信衛星を用いたディジタルデータの伝送が可能になったことで、テレビジョン放送や映画などのアナログ映像・音声データのみならず、コンピュータなどで利用されるテキストやディジタル映像・音声データについても、通信衛星を用いて伝送されるようになったが、不特定多数の受信装置での受信が可能であることから情報の漏洩の度合い、妨害の度合いは一層高くなる。 By the way, digital data transmission using communication satellites has become possible in recent years, so that not only analog video / audio data such as television broadcasts and movies but also text and digital video / audio data used in computers etc. However, since the information can be received by an unspecified number of receiving devices, the degree of information leakage and the degree of interference are further increased.
すなわち、上記通信衛星を用いるデータ伝送システムでは、電話回線、専用回線などの1対1通信と異なり、不特定多数の受信者が受信装置で容易に受信できるので、盗聴されやすい。このため、例えば有料のデータ伝送が盗聴される可能性が高い。そこで、上記データ伝送システムでも、データの暗号化が必要とされる。 That is, in the data transmission system using the communication satellite, unlike a one-to-one communication such as a telephone line or a dedicated line, an unspecified number of recipients can be easily received by a receiving device, and thus is easily wiretapped. For this reason, for example, there is a high possibility that pay data transmission will be wiretapped. Therefore, the data transmission system also requires data encryption.
実際の上記データ伝送システムにおいては、全てのデータについて暗号化処理を施すのではなく、送信装置において伝送すべきデータの内容に応じて、暗号化すべきデータを暗号化して伝送路上に送出し、受信者は暗号化されたデータの全部又は一部を復号して、その結果得られた情報により、或いは、暗号化されずに伝送された部分により、そのデータが自分にとって必要なものであるか否かを知る。 In the actual data transmission system, not all data is encrypted, but the data to be encrypted is encrypted and sent out on the transmission line according to the content of the data to be transmitted in the transmission device, and received. The person decrypts all or part of the encrypted data, and whether the data is necessary for himself / herself by the information obtained as a result or by the part transmitted without being encrypted Know what.
ここで、通信衛星を使った従来のテレビジョン放送サービスは、配信者が配信したデータを同時に多数のユーザが受信して使用する形態である。これに対して、コンピュータなどで使用されるディジタルデータを、通信衛星を介して配信する場合には、データ配信者から単数または複数の特定のユーザにデータを配信する機能が求められる。 Here, a conventional television broadcasting service using a communication satellite is a form in which a large number of users simultaneously receive and use data distributed by a distributor. On the other hand, when digital data used in a computer or the like is distributed via a communication satellite, a function of distributing data to one or more specific users from a data distributor is required.
しかし、従来、データ配信者から多ユーザへの同時通信又は放送システムでは、全ユーザは常に同じ情報を受信して使用又は閲覧をしており、システムユーザ個人の識別情報がないため、データ配信者から特定ユーザのみへのデータの配信ができなかった。 However, conventionally, in a simultaneous communication or broadcasting system from a data distributor to all users, all users always receive and use or browse the same information, and there is no identification information of individual system users. Data could not be distributed only to specific users.
本発明は、上記実情に鑑みてなされたものであり、上記通信衛星を用いてディジタルデータを伝送する際にも、情報の漏洩の度合い、妨害の度合いを低くできる情報伝送装置の提供を目的とする。 The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide an information transmission apparatus that can reduce the degree of information leakage and the degree of interference even when digital data is transmitted using the communication satellite. To do.
本発明に係る情報伝送装置は、上記課題を解決するために、ディジタルデータをインターネットプロトコルパケットのフォーマットに変換するインターネットプロトコルパケット化した後に第1の暗号化鍵を用いた第1の暗号化処理を施す伝送データ提供事業者用の暗号化手段と、上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットに対して送信先IPアドレスを含むヘッダを付加するヘッダ付加手段と、上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施され、かつ、送信先IPアドレスを含むヘッダが付加されたインターネットプロトコルパケットを、トランスポートストリームパケットに入れ込むトランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段と、上記伝送データ提供事業者用の暗号化手段と上記伝送路提供事業者用の暗号化手段による独立した二つの暗号化処理により得られた2重の暗号化データを送信する送信手役と、上記送信手段から上記データ伝送路を介して送信された上記2重暗号化データを受信し、上記第2の暗号化鍵に応じた復号鍵を用いて復号処理を施して第1の暗号化処理が施されたインターネットプロトコルパケットと暗号化処理されていない送信先IPアドレスを含むヘッダを得、このヘッダ内の送信先IPアドレスに対応する上記第1の暗号化鍵に応じた復号鍵を用いて復号処理する受信手段とを備える。 In order to solve the above-described problem, the information transmission apparatus according to the present invention performs a first encryption process using a first encryption key after converting digital data into an Internet protocol packet for converting into an Internet protocol packet format. An encryption means for a transmission data provider to be applied, and an Internet protocol packet subjected to a first encryption process using a first encryption key by the encryption means for the transmission data provider A first encryption process using a first encryption key is performed by a header adding means for adding a header including a destination IP address and the encryption means for the transmission data provider; and Internet protocol packet header is added including a destination IP address, input the transport stream packet A transmission path provider different from that for the transmission data provider that performs a second encryption process using a second encryption key different from the first encryption key after being converted into a transport stream packet Double encrypted data obtained by two independent encryption processes by the encryption means for the transmission, the encryption means for the transmission data provider and the encryption means for the transmission path provider And receiving the double encrypted data transmitted from the transmitting means via the data transmission path and performing a decryption process using a decryption key corresponding to the second encryption key. obtain a header including a destination IP address that the first encryption process is not internet protocol packets and encryption processing performed, response to the first encryption key corresponding to the destination IP address in the header And Ru and a receiving means for decoding processing using the decryption key.
本発明に係る情報伝送装置は、上記ディジタルデータに上記ディジタルデータの種類を示す識別子に応じた暗号鍵を用いた暗号化処理を含めた少なくとも2重の暗号化処理を施してからこの暗号化データを送信し、データ伝送路を介して受信した上記暗号化データにそれぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施すので、通信衛星を用いてディジタルデータを伝送する際にも、情報の漏洩の度合い、妨害の度合いを低くできる。 The information transmission apparatus according to the present invention performs at least a double encryption process including an encryption process using an encryption key corresponding to an identifier indicating the type of the digital data on the digital data, and then the encrypted data. The encrypted data received via the data transmission path is decrypted using the respective decryption keys corresponding to the respective encryption keys, so that even when digital data is transmitted using a communication satellite , The degree of information leakage and the degree of interference can be lowered.
以下、本発明を実施するための最良の形態について図面を参照しながら説明する。 The best mode for carrying out the present invention will be described below with reference to the drawings.
この実施の形態は、ディジタルデータを所定のデータブロックに分割し、該データブロックを衛星回線を介して伝送する図1のデータ伝送システムである。 This embodiment is the data transmission system of FIG. 1 that divides digital data into predetermined data blocks and transmits the data blocks via a satellite line.
このデータ伝送システムは、ディジタルデータに上記ディジタルデータの種類を示す識別子に応じた暗号鍵を用いた暗号化処理を含め、2重の暗号化処理を施し、この2重暗号化データを送信するデータ配信装置10と、このデータ配信装置10から上記衛星回線を介して送信された上記2重暗号化データを受信し、それぞれの暗号鍵に応じたそれぞれの復号鍵を用いて復号処理を施すデータ受信装置30とを備えてなる。ここで、データ受信装置30は、例えばパーソナルコンピュータの拡張スロットに装着される。なお、図1には、パーソナルコンピュータをそのままデータ受信装置30として示している。 This data transmission system performs double encryption processing including digital data including encryption processing using an encryption key corresponding to an identifier indicating the type of digital data, and transmits the double encrypted data. A data receiving device that receives the double-encrypted data transmitted from the data distributing device via the satellite line and performs a decryption process using each decryption key corresponding to each encryption key The apparatus 30 is provided. Here, the data receiving device 30 is mounted in, for example, an expansion slot of a personal computer. In FIG. 1, the personal computer is shown as the data receiving device 30 as it is.
データ配信装置10及びデータ受信装置30は、双方向の通信が可能な例えばISDNのような地上通信網を介して相互に通信が可能である。この地上通信網は、複数のシステム相互間でネットワークを介してディジタルデータの送受信を行うインターネットに接続されていてもよい。また、通信衛星18による衛星回線は、上記地上通信網よりも伝送容量が大きい。
The
先ず、上記データ伝送システムにおけるデータの流れを説明する。ここでは、データ配信装置10を所有するデータ提供者とデータ受信装置30を所有する特定のユーザが、データの配送の契約を予め結んでいるものとする。なお、ここでいうデータ提供者とは、伝送情報を提供する事業者(以下、コンテンツプロバイダという)と、伝送路を提供する事業者(以下、サービスプロバイダという)の両方を含めている。
First, the data flow in the data transmission system will be described. Here, it is assumed that a data provider who owns the
データ受信装置30を所有するユーザは、例えば、地上通信網としてのISDNを介して、データ提供者が提供する所定のサービスを受けたい旨のリクエストをデータ配信装置10に送る。このリクエストを送る方法は、特に、限定されず、データの種類やユーザとの契約状況によって決められ、例えば郵便などでもよい。また、リクエストを送らずに、予め契約に従って、データ提供者がサービスを提供してもよい。
A user who owns the data receiving device 30 sends a request to the
データ配信装置10に送られたユーザからのリクエストは、データリクエスト受付部11で受け取られ、データ管理部12に送られる。データ管理部12は、ユーザの契約情報やリクエストが意味のあるものか否かのチェックを行い、問題が無ければ、データ蓄積部13にデータの読み出し要求を行う。データ蓄積部13は、データ読み出し要求に応じた、例えばデータを高速スイッチャ14を介してデータ作成部15に送る。
The request from the user sent to the
データ作成部15では、データ蓄積部13からのデータに対してIPパケット化、メディアアクセス制御(Media Access Control、MAC)フレーム化、MPEG(Moving Picture Experts Group Phase)2のトランスポート化などのフォーマット変換を行う。また、データ作成部15は、データのIPパケット化後と、トランスポート化後に、上記2重の暗号化を行う。
The
このフォーマット変換について以下に説明する。上述したように、近年、オーディオ、ビデオ信号やデータのような多種類のデータが多重化されて、大容量のディジタル回線で伝送されることが可能になってきた。この多重化の方法としては、例えばMPEG2の伝送フォーマットであるトランスポートストリーム(Transport Stream,TS)パケットが知られている。このTSパケットでは、情報データ部(ペイロード部)に暗号化処理を施している。この暗号化のための暗号化鍵は、TSパケットのヘッダ部分の13ビットのパケットID(PID)及び2ビットのスクランブル制御部に対応した固有のビット列を使用する。また、上記PIDは、各TSパケットの特定チャンネルのビデオやオーディオ等の情報種類を識別するのにも使われる。 This format conversion will be described below. As described above, in recent years, it has become possible to multiplex and transmit various types of data such as audio, video signals and data through a large-capacity digital line. As a multiplexing method, for example, a transport stream (Transport Stream, TS) packet, which is an MPEG2 transmission format, is known. In this TS packet, the information data part (payload part) is encrypted. The encryption key for this encryption uses a 13-bit packet ID (PID) in the header portion of the TS packet and a unique bit string corresponding to the 2-bit scramble control unit. The PID is also used to identify information types such as video and audio of a specific channel of each TS packet.
このTSパケットを用いてデータを伝送する場合には、データをインターネットで広く使用されているインターネットプロトコル(IP)パケットのフォーマットに変換し、さらにこのIPパケットをTSパケットに入れ込んでいる。 When data is transmitted using the TS packet, the data is converted into an Internet protocol (IP) packet format widely used on the Internet, and the IP packet is inserted into the TS packet.
ところで、多種類のデータがIPパケットとして伝送される場合、上記PIDはIPパケットのデータを他のビデオやオーディオのデータと識別するために使われており、又ビット長も13ビットしか無く、IPパケットで伝送される種々のデータの種別を識別させるには不十分なビット数である。そこでPID以外のデータ種類の識別方法が必要になる。 When various types of data are transmitted as IP packets, the PID is used to distinguish the IP packet data from other video and audio data, and the bit length is only 13 bits. The number of bits is insufficient to identify various types of data transmitted in packets. Therefore, a method for identifying data types other than PID is required.
例えば、インターネット上では受信データが自分宛のデータであるか否かを識別するのにIPパケットのIPヘッダに含まれる送信先アドレス(Destination Address)を用いている。TSパケットでIPパケットを伝送する場合でも、この送信先アドレス(以後、送信先IPアドレスという。)を用いて自分宛のデータであるかを識別することが可能である。 For example, on the Internet, a destination address (Destination Address) included in an IP header of an IP packet is used to identify whether received data is data addressed to itself. Even when an IP packet is transmitted using a TS packet, it is possible to identify whether the data is addressed to itself using this transmission destination address (hereinafter referred to as a transmission destination IP address).
しかし、例えば衛星回線を例にとるとデータ伝送速度が1中継器当たり30Mbpsとなり、データ受信側でリアルタイムに送信先IPアドレスの解析をソフトウェアで行うことは非常に困難である。何らかの手段により、自分宛の情報だけを抽出する手段が必要となる。 However, taking a satellite line as an example, the data transmission rate is 30 Mbps per repeater, and it is very difficult to analyze the destination IP address with software in real time on the data receiving side. Some means is required to extract only the information addressed to you.
さらに、具体的な情報のタイトルを指定しなくとも、自分の関心のある情報のジャンルの情報だけ指定しておけば、そのジャンルの情報だけが自動的に受信され、ダウンロードできると大変便利である。 Furthermore, even if you do not specify the title of specific information, if you specify only the information of the genre of the information you are interested in, it is very convenient that only the information of that genre is automatically received and downloaded. .
又、特定の加入者だけに受信可能とするために、上述したようにデータを暗号化した場合、受信側では暗号化されたデータを復号する必要がある。そこで、上記データ伝送システムでは、データ配信装置10において複数種類のデータブロックからなる多重化データにデータの種類を示す識別子を付加し、通信衛星18を経由させて上記衛星回線により、データ受信装置30に送信している。そして、データ受信装置30では、ハードウェア的に上記識別子を読み取り、受信者が必要とする予め登録された種別のデータのみを抽出して復号する。
In addition, when data is encrypted as described above so that it can be received only by a specific subscriber, it is necessary for the receiving side to decrypt the encrypted data. Therefore, in the data transmission system, an identifier indicating the data type is added to the multiplexed data composed of a plurality of types of data blocks in the
この識別子の付加は、データ配信装置10のデータ作成部15によって行われる。データ配信装置10内のデータ蓄積部13には、ユーザが必要とするデータが何も加工されていない状態で蓄積されている。データ管理部12から、データの読み出し要求がユーザから来たことを知らされたデータ蓄積部13は、リクエストされたデータ及びユーザの宛先情報を同時にデータ作成部15に高速スイッチャ14を介して送る。
The addition of this identifier is performed by the
ここで、ユーザの宛先情報とは、IPパケット送信に必要な送信先IPアドレスである。このデータ伝送システムでは、すべてのユーザに固有の送信先IPアドレスを割り振っている。一のユーザが持つ送信先IPアドレスは、一のユーザが確保している間は、一のユーザ以外のユーザは持たない。 Here, the user destination information is a destination IP address necessary for IP packet transmission. In this data transmission system, a unique destination IP address is allocated to all users. A destination IP address possessed by one user is not possessed by a user other than the one user while the one user has secured it.
データ蓄積部13からのデータは、データ作成部15によって作成又はフォーマット変換された後、データ処理部16で他のオーディオ信号やビデオ信号と多重化され、多重化データとして送信アンテナ17から通信衛星18に無線回線を介して送られる。
Data from the data storage unit 13 is created or format-converted by the
通信衛星18を介して送られた多重化データは、特定ユーザの所有するデータ受信装置30に限らず、データを受信できる状況にある全てのユーザが受信することが可能である。データ受信装置30は、通信衛星18からの全多重化データを受信し、その中から、自分が出したリクエストに応じたデータを選別して抽出し、復号化する。
The multiplexed data transmitted via the
このデータ受信装置30は、データの種類を示す識別子が付加された複数種類のデータブロックよりなる多重化データを通信衛星18による衛星回線を介して受信し、上記識別子を読み取ることにより、予め登録された種類のデータブロックのみを抽出して復号する。
The data receiving device 30 receives multiplexed data composed of a plurality of types of data blocks to which an identifier indicating the type of data is added via a satellite line by the
すなわち、データ受信装置30は、リクエストに応じて送信されたデータを含む多数のデータブロックを受信し、その中から、自分宛のデータブロック、自分が受け取るべきデータブロック、自分が受け取ることができるデータブロックを選別して抽出する。なお、予めユーザとデータ提供者との契約によって、ユーザが持つデータ受信装置30は決定されている。したがって、通常であれば、ユーザが持つデータ受信装置30を用いて、他のユーザ宛の特有のデータを選別することができない。 That is, the data receiving device 30 receives a large number of data blocks including data transmitted in response to a request, and among them, a data block addressed to itself, a data block to be received by itself, and data that can be received by the data receiving device 30 Select and extract blocks. Note that the data receiving device 30 possessed by the user is determined in advance by a contract between the user and the data provider. Therefore, normally, it is not possible to select specific data addressed to other users using the data receiving device 30 owned by the user.
しかし、通信衛星18を用いる上記データ伝送システムでは、電話回線、専用回線などの1対1通信と異なり、不特定多数の受信者が受信装置で容易に受信できるので、盗聴されやすい。すなわち、データ伝送が盗聴される可能性が高い。そこで、上記データ伝送システムでも、データの暗号化が必要とされる。
However, in the data transmission system using the
このため、データ配信装置10は、図2に簡単に示すように、情報を提供するコンテンツプロパイダ18と、その情報を伝送するサービスプロパイダ19とで、暗号化器21と、暗号化器26により2重の暗号化処理を施している。
For this reason, as shown in FIG. 2, the
このデータ配信装置10は、実際には、上述した図1に示すように構成されており、特に図2に示したコンテンツプロバイダ18と、サービスプロパイダ19の備える各部は、図3に示すようなデータ作成部15に含まれる。
The
データ蓄積部13から送られてきた特定ユーザ宛のデータ及びIPアドレスは送信先IPパケット作成部20に送られる。IPパケット作成部20では、データ蓄積部13から送られてきたデータとその時点でユーザを特定する送信先IPアドレスを用いて、図4に示すIPパケット60を生成する。このIPパケット60の大きさはTCP/IP(Transmission Control Protocol/Internet Protocol)で規定され、ユーザがリクエストしたデータがその大きさを超える場合には、このデータは複数のIPパケットに分割されて次の暗号化器21に転送される。
The data and IP address addressed to the specific user sent from the data storage unit 13 are sent to the destination IP
ここで使用されるIPパケット60のIPヘッダには、図5に示すユーザの送信先IPアドレス74と、送信元のIPアドレス73が入っている。ここで、送信先IPアドレス74は、32ビットである。
The IP header of the IP packet 60 used here contains the user's
IPパケット作成部20で作成されたIPパケット60は、暗号化器21に転送される。暗号化器21では、IPパケット60内の32ビットの上記送信先IPアドレス74によって、宛先が特定のユーザであることを知り、その時点で既にデータ提供者と特定のユーザとの間のみで知り合うIPパケット用暗号化鍵によってIPパケット60全体を暗号化する。暗号化式としては、例えばDES(Data Encryption Standard)などが採用される。
The IP packet 60 created by the IP
この暗号化器21は、上記32ビットの送信先IPアドレス74を用いた暗号化を行うので、IPパケットの暗号化による限定受信だけでも2の32乗(=約43億)個の範囲に受信者を分けることができる。
Since the
コンテンツプロバイダ18は、データ受信装置30に対して、伝送するIPパケットの送信先IPアドレスと、暗号化IPパケットを復号するための復号鍵を予め与えておく。そして、IPパケットのペイロード部分をこの復号鍵に対応する暗号鍵で暗号化し、サービスプロバイダ19に送る。
The
ただし、暗号化は、特定のユーザに対する全てのデータについて施す必要はなく、データの種類によっては暗号化が行われないこともある。暗号化が行われない場合には、IPパケット作成部20からMACフレーム作成部22に直接IPパケット60が転送される。
However, it is not necessary to perform encryption on all data for a specific user, and encryption may not be performed depending on the type of data. When encryption is not performed, the IP packet 60 is directly transferred from the IP
ここでは、暗号化が行われる場合について説明する。暗号化は通常64ビットの平文に対して行われ、暗号化すべきIPパケット60のデータ長が64ビットの倍数でない場合には、データの埋め合わせ、すなわち無効データのパディングを行うことでIPパケット60全体を64ビットの倍数にし、IPパケット61とする。
Here, a case where encryption is performed will be described. Encryption is normally performed on 64-bit plain text. When the data length of the IP packet 60 to be encrypted is not a multiple of 64 bits, the entire IP packet 60 is obtained by padding data, that is, padding invalid data. Is a multiple of 64 bits to obtain an
特定のユーザ用のIPパケット61が暗号化されたIPパケット62は、MACフレーム作成部22に転送される。MACフレーム作成部22では、暗号化器21によって暗号化されたIPパケット62に対して、MACヘッダ70を付加する。
The
このMACヘッダ70は、図6に示すように8ビットのSSID(Server System ID)と、24ビットのUDB(User Depend Block)1と、32ビットのUDB2の計64ビットで構成されている。特に、MACヘッダ70のUDB2には、上記IPヘッダ内に書かれた送信先IPアドレスと同様の送信先IPアドレスが書き込まれる。
As shown in FIG. 6, the
上記IPヘッダ内の送信先IPアドレスは暗号化されており、受信装置側では暗号を復号しなければ送信先IPアドレスを知ることができないが、上記MACヘッダ70にそれと同じ送信先IPアドレスがあれば、受信側では単にハードウェア的にそれを読み出すことで、自分宛のデータブロックであるか否かを知ることができる。この送信先IPアドレスはIPパケット作成部20からMACフレーム作成部22に直接渡される。
The destination IP address in the IP header is encrypted, and the receiving device cannot know the destination IP address without decrypting the cipher, but the
なお、上記UDB1には、3ビットのPBL(Padding_Byte_Length)と、1ビットのCP(Control_Packet)と、1ビットのEN(Encrypted_or_Not)と、1ビットのPN(Protocol_Type Available_or_Not)と、2ビットのReserveと、16ビットのプロトコル番号(Protocol Type)がセットされる。
The
この内、PBLは、パディングバイト長であり、暗号化の際に埋め合わせされた無効なデータの長さである。これは、暗号化されたIPパケットを受信したユーザが正規なデータ長を知るために必要となる。 Of these, PBL is the padding byte length, and is the length of invalid data that has been compensated for during encryption. This is necessary for the user who receives the encrypted IP packet to know the proper data length.
また、CPは、IPパケットに、ユーザが必要なデータかシステム運用に必要な制御データが入っているかを識別するビットである。通常、ユーザがリクエストした際に受け取るべきMACフレーム63のCPは、制御データではなくデータが入っていることを示している。
The CP is a bit for identifying whether the IP packet contains data required by the user or control data required for system operation. Normally, the CP of the
ENは、IPパケットが暗号化器21によって暗号化されているか否かを示す制御ビットである。このビット情報によってユーザは受信したMACフレーム63を復号するかしないか決定する。PNは、Protocol Typeエリアに有用な情報があるか否かを示す制御ビットである。
EN is a control bit indicating whether the IP packet is encrypted by the
図3のMACフレーム作成部22では、以上の制御ビットをIPパケット62に付加している。ここで、UDB2には、上記送信先IPアドレスの他、IPパケットの情報の種類を表すコンテンツIDをセットしてもよい。このコンテンツIDについては後述する。UDB2にセットされたのが、上記送信先IPアドレスであるか上記コンテンツIDであるかを識別させるのが上記SSIDである。
The MAC
MACフレーム作成部22で生成されたMACフレーム63には、CRC計算部23にて計算されたCRC(Cyclic Redundancy Checking、巡回冗長検査)が付加される。このようにデータ配信装置10側でCRCの計算を行うことで、データ受信装置30は、受信したMACフレームが正しく通信衛星18から伝送されているかを検査することができる。CRC計算部23において生成された16ビットのCRCは、MACフレーム63の最後に付加されている。
A CRC (Cyclic Redundancy Checking) calculated by the
このMACフレーム63は、セクション作成部24に転送されてMPEG2で規定されるセクションに変換される。図4に示すように、MACフレーム63は、セクション(Sec)ヘッダ71の直後に付加され、プライベートセクション64と呼ばれる。
The
このセクションヘッダ71のフォーマットを図7(A)に示す。セクションヘッダ71のフォーマットは、MPEG2によって、規定され、テーブル(ID)Tid、セクション−シンク−インディケータSsi、プライベート−インディケータPi、リザーブドRes、プライベート−セクション−レングスPslを有する。ここで、プライベート−セクション−レングスPslには、MACフレームのデータ長が入る。
The format of this
セクション作成部24で作成されたプライベートセクション64は、トランスポートパケット作成部25に転送される。トランスポートパケット作成部25では、転送されたプライベートセクション64をトランスポートパケット651,652,・・65nに分割する。
The
トランスポートパケット651,652,・・65nは、それぞれ188バイトで構成されている。これらのトランスポートパケット651,652,・・65nには、4バイトのTSヘッダが付加される。 The transport packets 65 1 , 65 2 ,... 65 n are each composed of 188 bytes. These transport packets 65 1, 65 2, the · · 65 n, is added 4-byte TS header.
例えばTSヘッダ72のフォーマットを図7(B)に示す。TSヘッダ72は、シンクバイトSyb、トランスポート−エラー−インディケータTei、ペイロード−ユニット−スタート−インディケータPui、トランスポート−プライオリティTp、上記PID、上記スクランブル制御部(トランスポート−スクランブル−コントロール)Tsc、アダプティション−フィールド−コントロールAfc及びコンティニティ−カウンタCcを有する。
For example, the format of the
トランスポートパケット651,652,・・65nの1個分の大きさは、上述したように188バイトと規定されているので、一般的に、一つのセクション64を複数のトランスポートパケットに分割する必要がある。
Since the size of one transport packet 65 1 , 65 2 ,... 65 n is defined as 188 bytes as described above, one
ここで、通常、一つのセクションは184バイト(188バイトからヘッダ長の4バイトを引いたバイト数)の整数倍長とは限らないので、一つのセクション64を複数のトランスポートパケット651,652,・・65nに分割する際には、図4に示すように、スタッフィングバイトを用いたデータの穴埋めを行う。すなわち、184バイトの倍数でない一つのセクションを複数のトランスポートパケットに分割した場合、最後のトランスポートパケットの余ったデータエリアに、全てのビットがスタッフィングされたスタッフィング領域を形成する。
Here, since one section is not always an integral multiple of 184 bytes (the number of bytes obtained by subtracting 4 bytes of the header length) from 184 bytes, one
トランスポートパケット作成部25で作成された各トランスポートパケットは、暗号化器26に供給される。暗号化器26は、図2に示すようにTSパケット用暗号化鍵を用いて、上記各トランスポートパケットのデータ部分に暗号化処理を施す。
Each transport packet created by the transport
サービスプロバイダ19は、データ受信装置30に対して、伝送するTSパケットのPID部分とスクランブル制御部の値と、このTSパケットを復号する復号鍵を予め与えておく。そして、コンテンツプラバイダ18から与えられた暗号化IPパケットをTSパケット化し、さらにこのTSパケットのペイロード部分を上記復号鍵に対応する暗号鍵で暗号化して、暗号化TSパケットを作成し、衛星回線上に送信する。
The service provider 19 previously gives the data receiving device 30 the PID portion of the TS packet to be transmitted, the value of the scramble control unit, and the decryption key for decrypting this TS packet. Then, the encrypted IP packet given from the
ここで、暗号化のための暗号化鍵は、上述したように、図7の(b)に示したTSヘッダのPID(13ビット)とスクランブル制御部(2ビット)に対応した固有のビット列を使用する。このため、最大で15ビット分、4096通りの限定ができる。 Here, as described above, the encryption key for encryption is a unique bit string corresponding to the PID (13 bits) of the TS header and the scramble control unit (2 bits) shown in FIG. use. For this reason, a maximum of 15 bits and 4096 types can be limited.
既にIPパケットの送信先IPアドレスを用いて上述したように2の32乗個の範囲に受信者を分けることができているので、このTSパケットの暗号化を組み合わせると、さらにその4096倍の範囲に受信者を分けることができ、より細やかな限定受信方式を構成できる。 Since the recipients have already been divided into the 2 32 range as described above using the destination IP address of the IP packet, when this TS packet encryption is combined, the range is 4096 times that The recipients can be divided into more detailed limited reception methods.
また、独立の暗号化を2重に行うことにより、盗聴者がいずれか一方の暗号を解読することに成功したとしても、もう一方の暗号を解読できなければ平文データを得ることはできないので、より安全性の高い限定受信方式を構成できる。 In addition, by performing independent encryption twice, even if an eavesdropper succeeds in decrypting one of the ciphers, plaintext data cannot be obtained unless the other cipher can be decrypted. A safer conditional access system can be configured.
また、ここではIPパケットの暗号化による限定受信方式と、TSパケットの暗号化による限定受信方式をそれぞれコンテンツプロバイダ18と、サービスプロバイダ19という別の事業者で行うので、他者とは独立の限定受信方式を構成できる。これは、伝送路を提供する事業者と、伝送データを提供する事業者が異なり、それぞれが独立にユーザと限定受信契約を結びたい場合に有効である。事業者間で暗号鍵に関する情報が漏れてしまう虞もない。
Further, here, the conditional access method based on the encryption of the IP packet and the conditional access method based on the encryption of the TS packet are performed by different providers such as the
コンテンツプロバイダ18と、サービスプロバイダ19で2重の暗号化が施されたデータは、データ転送部27に転送された後、マルチプレクサ等のデータ処理部16に伝送される。データ処理部16では、上記トランスポートパケットを他のディジタル化されたビデオ、オーディオ信号と多重化した後、変調、増幅する。
Data that has been double-encrypted by the
ブロードキャストされた特定ユーザのためのデータは、ユーザ側の受信アンテナ31で受信され、特定のユーザのデータ受信装置30に転送される。
The broadcasted data for the specific user is received by the receiving
受信アンテナ31により受信された信号は、IFの信号に変換され、データ受信装置30に入力される。図8にこのデータ受信装置30のブロック図を示す。また、図9には、このデータ受信装置30で行われる2重の復号処理のフローチャートを示す。
A signal received by the receiving
チューナ33,A/D変換器34,復調器35及びデコーダ36からなるフロントエンド32に入力された信号は、ここでディジタル信号に変換され、QPSK復調処理及び誤り訂正処理が施されて、ステップS1のように暗号化されたTSパケットデータとして受信される。
The signal input to the
この暗号化されたTSパケットは、デスクランブラ37に供給される。デスクランブラ37は、上記暗号化されたTSパケットデータにTSパケットレベルのデスクランブル処理を施す。この場合、デスクランブラ37は、上記暗号化TSパケットデータのヘッダ部分からPID部とスクランブル制御部の値を読みとり、この値に対応するTSパケット用復号鍵がサービスプロバイダ19から与えられているか否かをステップS2で判断し、与えられているならばステップS3でこの暗号化TSパケットのペイロード部分をこの復号鍵により復号し、復号されたTSパケットを出力する。ここで、復号鍵がサービスプロバイダ19から予め与えられていなければ、ステップS7で暗号化TSパケットを破棄する。
The encrypted TS packet is supplied to the
ステップS3で復号されたTSパケットは、デマルチプレクサ38に供給される。ここで、デマルプレクサ38は、上記データ処理部16で上記TSパケットデータと共に多重化されたオーディオデータとビデオデータを分割し、オーディオデータをオーディオデコーダ39に供給し、ビデオデータをビデオデコーダ40に供給する。オーディオデコーダ39は、アナログオーディオを出力し、ビデオデコーダ40はNTSCエンコーダ41を介してアナログビデオを出力する。残ったTSパケットデータは、デパケタイザ45に供給される。
The TS packet decoded in step S3 is supplied to the
デパケタイザ45は、図4で示したプライベートセクション64のフォーマットを再生し、CRCの値を計算し、データが正しく受信されたか否かを判定する。そして、デパケタイザ45は、ステップS4で上記プライベートセクション64をIPパケット化し、図10に示すようなフォーマットデータ75に変換する。このフォーマットデータ75は、FIFO46を介してこのIPパケットを復号する復号器47に転送される。
The
復号器47では、フォーマットデータ75内のMACヘッダの図6に示したUDB2にセットされた識別子、ここでは送信先IPアドレスを取り出し、これに対応するIPパケット用復号鍵がコンテンツプラバイダ18から与えられているか否かをステップS5で判断し、与えられていれば、ステップS6でIPパケットのペイロード部分をこの復号鍵を用いて復号し、復号されたIPパケットを出力する。ここで、復号鍵がコンテンツプロバイダ18から予め与えられていなければ、ステップS7で暗号化IPパケットを破棄する。
In the
復号鍵は、上記識別子に対応させて、デュアルポートラム(DPRAM)48内の図11に示す参照テーブル80に収納されている。 The decryption key is stored in the reference table 80 shown in FIG. 11 in the dual port RAM (DPRAM) 48 in correspondence with the identifier.
この参照テーブル80は、受信可能な種類のデータブロックの識別子をその識別子と対応する復号鍵と共に持っている。識別子としては4バイトを使っており、復号鍵としては8バイトを使っている。 This reference table 80 has an identifier of a receivable type of data block together with a decryption key corresponding to the identifier. The identifier uses 4 bytes and the decryption key uses 8 bytes.
図中、識別子としては上述したように、送信先IPアドレスを用いても、コンテンツIDを用いて良く、その識別は受信パケットのMACヘッダの中のSSIDで行う。又参照テーブル80の値の設定はDPRAM48への入力を持つCPU42により行われる。
In the figure, as described above, the content ID may be used as the identifier even if the destination IP address is used, and the identification is performed by the SSID in the MAC header of the received packet. The value of the reference table 80 is set by the
復号器47は、上記図10のフォーマットで暗号化IPパケットデータを受信し、MACアドレス内のUDB2の識別子を取り出すと、DPRAM48にアクセスし、先頭のアドレスから16バイトおきにテーブル80中の識別子を検索し、識別子の後の4バイトに格納されたマスクビットの内、“1”となっている識別子のビットに対して受信パケット中の識別子とテーブル中の識別子の一致検出を行う。
When the
マスクビットがH“ffffffff”となっていれば、受信したパケットのMACアドレス中の識別子とテーブル中の識別子の全ビットの一致を確認し、入力した識別子と同じ識別子がDPRAM48内にあるとし、その識別子に対応する復号鍵(図中セッションキー)を取り出し、それ以降のIPパケットの復号処理を行う。 If the mask bit is H “ffffffff”, it is confirmed that the identifier in the MAC address of the received packet matches all bits of the identifier in the table, and the same identifier as the input identifier is in DPRAM 48. A decryption key (session key in the figure) corresponding to the identifier is taken out, and subsequent IP packet decryption processing is performed.
予め登録された参照テーブル80中の識別子の最後には、ENDコードがストアされており、識別子を検索していき、ENDコードが検出された場合は、そこで検索を抜け出し、その受信パケットは受信せずにステップS7で示したようにこの復号器47で廃棄される。
At the end of the identifier in the pre-registered reference table 80, an END code is stored, and the identifier is searched. When the END code is detected, the search is exited and the received packet is not received. Instead, it is discarded by the
識別子としては、上述したように、送信先IPアドレスの他、コンテンツID(またはジャンルID)を使う。すなわち、図6に示したMACヘッダ70のUDB2には、送信先IPアドレスの他、コンテンツIDがセットされてもよい。SSIDとして例えば“0”がセットされている場合には、送信先IPアドレスを用いることを示し、例えば“1”がセットされている場合には、ジャンルIDを用いることを規定する。SSIDを受信側で解析することによりどちらが使われているかを判別できる。
As described above, the content ID (or genre ID) is used in addition to the transmission destination IP address as the identifier. That is, the content ID may be set in addition to the transmission destination IP address in UDB2 of the
例えば、UDB2に送信先IPアドレスを用いた場合、ユニキャストアドレスに対応する個人宛、及びマルチキャストアドレスを用いてグループのユーザ宛のデータを伝送することが可能となり、受信側では自分宛かあるいは自分が所属しているグルーブ宛のデータのみリアルタイムで受信することが可能となる。 For example, when a destination IP address is used for UDB2, it becomes possible to transmit data addressed to individuals corresponding to a unicast address and to a group user using a multicast address. Only the data addressed to the groove to which the user belongs can be received in real time.
この場合、データ受信装置30のDPRAM48は図12に示すようなフォーマットの参照テーブル81を備えていればよい。この参照テーブル81は、受信可能な種類のデータブロックの送信先IPアドレスをその送信先IPアドレスと対応する復号鍵と共に持っている。例えば、始めの16バイトには上記マルチキャストアドレスのようなグループ用の送信先IPアドレス1がセットされている。
In this case, the DPRAM 48 of the data receiving apparatus 30 only needs to include a reference table 81 having a format as shown in FIG. The reference table 81 has the transmission destination IP address of a receivable type of data block together with a decryption key corresponding to the transmission destination IP address. For example, in the first 16 bytes, the
この送信先IPアドレス1の暗号化ON/OFFフラグは0である。また、次の16バイトには上記ユニキャストアドレスのような個人宛の送信先IPアドレス2がセットされている。暗号化ON/OFFフラグは1である。送信先IPアドレス2にもセッションキーがセットされている。
The encryption ON / OFF flag of this
復号器47は、上記図10のフォーマットでIPパケットデータを受信し、MACアドレス内の送信先IPアドレスを入力すると、DPRAM48にアクセスし、先頭のアドレスから16バイトおきにテーブル81中の送信先IPアドレスを検索し、該IPアドレスの後の4バイトに格納されたマスクビットの内、“1”となっている識別子のビットに対して受信パケット中の識別子とテーブル中の識別子の一致検出を行う。
When the
マスクビットがH“ffffffff”となっていれば、受信したパケットのMACアドレス中の送信先IPアドレスとテーブル中の送信先IPアドレスの全ビットの一致を確認し、入力したIPアドレスと同じIPアドレスがDPRAM48内にあるとし、そのIPアドレスに対応する復号鍵を取り出し、それ以降のIPパケットの復号処理を行う。 If the mask bit is H “ffffffff”, it is confirmed that all the bits of the destination IP address in the MAC address of the received packet match the destination IP address in the table, and the same IP address as the input IP address Is in the DPRAM 48, the decryption key corresponding to the IP address is extracted, and the subsequent IP packet decryption process is performed.
予め登録された参照テーブル81中のIPアドレスの最後には、ENDコードがストアされており、IPアドレスを検索していき、ENDコードが検出された場合は、そこで検索を抜け出し、その受信パケットは受信せずにこの復号器47でステップS7のように廃棄される。
At the end of the IP address in the pre-registered reference table 81, an END code is stored, and the IP address is searched. If an END code is detected, the search is exited, and the received packet is Without being received, the
一方、UDB2として32ビットをフルに使ったコンテンツIDを用いる場合は、予め登録しておいたジャンルのデータが受信された場合にデータをPCに転送し、ハードディスクに自動的にダウンロードすることが可能となる。 On the other hand, when a content ID that uses 32 bits fully is used as UDB2, when data of a genre registered in advance is received, the data can be transferred to a PC and automatically downloaded to the hard disk. It becomes.
この場合、データ受信装置30のDPRAM48は図13に示すようなフォーマットの参照テーブル82を備えていればよい。この参照テーブル82は、受信可能な種類のデータブロックの例えばコンテンツID83を32ビットフルに使って、記憶している。
In this case, the DPRAM 48 of the data receiving apparatus 30 only needs to include a reference table 82 having a format as shown in FIG. This reference table 82 stores, for example, a
このような32ビットのコンテンツID83は、図14の(A)に示すように、8ビットの大分類D0と、6ビットの中分類D1と、4ビットの小分類D2と、14ビットの情報IDとによって構成されている。大分類D0は、コンピュータソフト、出版物、ゲームソフトというような大きなカテゴリーを表す。中分類D1は大分類D0が出版物であれば、書籍、雑誌、新聞というような中間のカテゴリーを示す。さらに、小分類D2は中分類D1が新聞であれば、A新聞、B新聞、S新聞という新聞社名を表すカテゴリーを示す。そして、この小分類D2の中の唯一のIDにより一つのデータ単位が識別される。この場合、新聞の発行の日付が情報IDとなり、結果的に例えば図14の(B)に示すようなコンテンツIDとなる。
As shown in FIG. 14A, such a 32-
このようなコンテンツIDを識別子として用いた場合の実際の情報識別の方法を以下に述べる。例えば、上記図14の例では、A新聞を契約する場合は、マスクビットをH“ffffc000”としてこのマスクビットが1のビット位置の受信パケットの識別子とテーブル中の識別子の一致を検出すればよい。また、固有の新聞名によらず、全ての新聞を受信する場合は、マスクビットをH“fffc0000”としておけば、A新聞H“02084000+発行日ID”、B新聞H“02088000+発行日ID”も全て一つの設定でダウンロードすることができる。 An actual information identification method using such a content ID as an identifier will be described below. For example, in the example of FIG. 14 described above, when contracting A newspaper, the mask bit is H “ffffc000”, and it is only necessary to detect a match between the identifier of the received packet whose bit position is 1 and the identifier in the table. . In addition, when all newspapers are received regardless of the unique newspaper name, if the mask bit is set to H “ffc0000”, the A newspaper H “020084000 + issue date ID” and the B newspaper H “020088000 + issue date ID” are also used. All can be downloaded with one setting.
これは、いちいち個々の情報のIDを指定しなくても、必要な情報のジャンルだけ指定しておけば、自動的に指定したジャンルの情報が受信できる、という点で、大変有用な方法である。 This is a very useful method in that it is possible to automatically receive information of the specified genre if only the genre of the necessary information is specified without specifying the ID of each individual information. .
ただこの場合、例えば各新聞が別々のセッションキーで暗号化されているように、各情報が暗号化されている場合は、コンテンツIDを設定するだけでは、各新聞に対するセッションキーを設定できないため、あくまでも各情報が暗号化されていない場合に有効な方法である。 However, in this case, if each information is encrypted, for example, each newspaper is encrypted with a separate session key, the session key for each newspaper cannot be set only by setting the content ID. This is an effective method only when each information is not encrypted.
なお、上記情報の識別子としては、48ビット長で各製品に割り当てられているMACアドレスを用いる方法もある。 In addition, as an identifier of the information, there is a method of using a MAC address assigned to each product with a 48-bit length.
復号器47で、送信先IPアドレスや、コンテンツIDを読むことが出来れば、このデータブロックが予め登録された種類のデータブロックであると判断して抽出し、フォーマットデータ75内の暗号化されたIPヘッダとIPデータを上述したように復号する。
If the
復号化されたデータブロックは、パーソナルコンピュータ上のメインメモリにFIFO49及びPCIインターフェース50を介して転送される。そして、このパーソナルコンピュータのソフトウェアによる処理がなされる。
The decrypted data block is transferred to the main memory on the personal computer via the
CPU42は、DPRAM48の読み出しを制御すると共に、参照テーブルの値の設定を行う。また、CPU42は、ROM44からRAM43に読み込まれたプログラムにしたがって、デマルチプレクサ38、DPRAM48、DPRAM52を制御する。また、CPU42は、ICカードリーダ53から読み込んだデータを処理し、上記復号鍵を生成してもよい。また、上記リクエストをモデム54、及び電話回線56を介してISDNによりデータ供給元に送信する。
The
以上説明したように、このデータ受信装置30は、データ配信装置10によりMACフレームのDBU2にセットされて伝送されてきた、送信先IPアドレスや、コンテンツIDを復号器47により読み取り、予め登録された種類のデータブロックのみを抽出することができるので、種々の暗号化されたデータが多重化された受信データの中から高速に、自分宛あるいは必要とする情報だけを抽出して復号できる。
As described above, the data receiving device 30 reads the transmission destination IP address and the content ID that have been set in the
また、伝送されたデータは、図2に示したように、コンテンツプロバイダ18、サービスプロバイダ19で2重に暗号化されており、データ受信装置30のみが、それを復号化する二つの復号鍵を持っていることから、データが他人に盗用されることを防止できる。
Further, as shown in FIG. 2, the transmitted data is double-encrypted by the
なお、この実施の形態となるデータ伝送システムは、データ配信装置10側の2重暗号化処理を図15に示すような構成で行ってもよい。すなわち、IPパケットの暗号化処理をコンテンツプロバイダ18に行わせるのではなく、サービスプロバイダ19に行わせる。このため、コンテンツプロバイダ18は、経費を節約できる。
In the data transmission system according to this embodiment, the double encryption processing on the
すなわち、一つの事業者が両方の暗号化処理を行うように構成すれば、もう一方の事業者は暗号化処理のための設備を持つ必要がなくなる。これは、例えば一つのサービスプロバイダの提供する伝送路を複数のコンテンツプロバイダが利用する場合に、それぞれのコンテンツプロバイダが暗号化処理設備を持たなくてよいので有効である。 That is, if one provider performs both encryption processes, the other provider does not need to have facilities for encryption processing. This is effective because, for example, when a plurality of content providers use a transmission path provided by one service provider, each content provider does not have to have an encryption processing facility.
ここで各部の動作は、図2に示した各部の動作と同様であり、またデータ受信装置30の構成も同様であるので説明を省略する。また、データ受信装置30内の構成を図16に示すようにしてもよい。すなわち、デパケタイザ45と復号器47との間に例えばハードディスクドライバのような記憶装置58を設け、暗号化されたIPパケットを蓄積しておく構成としてもよい。このようにすれば、予めIPパケットを復号する復号鍵を得ていなくても、暗号化されたIPパケットを記憶装置58に蓄積しておいて、後から上記復号鍵を得た時点で復号すればよい。
Here, the operation of each unit is the same as the operation of each unit shown in FIG. 2, and the configuration of the data receiving device 30 is also the same, and the description thereof is omitted. Further, the configuration in the data receiving device 30 may be as shown in FIG. In other words, a
すなわち、暗号化されたパケットを記憶装置に保存しておくようにすることにより、受信装置が復号鍵を後から得てもデータが有効となるようにできる。例えば、予め大量のデータを記憶装置に保存しておき、ユーザが意図した段階で復号鍵を得てデータを利用することにより、ユーザが意図してからデータを受信し始めるのに比べて、大量のデータを受信するための時間が節約できる。 That is, by storing the encrypted packet in the storage device, the data can be made valid even if the receiving device obtains the decryption key later. For example, by storing a large amount of data in a storage device in advance and obtaining the decryption key at the stage intended by the user and using the data, a larger amount of data is obtained than when the user starts receiving data after the user intends. Can save time for receiving data.
ここでは、受信装置30がIPパケットを復号するための復号鍵を得ていない場合を説明したが、TSパケットを復号するための復号鍵を得ていない場合でも、暗号化されたままのTSパケットを記憶装置に保存しておくことにより同様の処理を行える。 Here, a case has been described in which the receiving device 30 does not obtain a decryption key for decrypting an IP packet. However, even if a decryption key for decrypting a TS packet is not obtained, the TS packet remains encrypted. Can be stored in the storage device to perform the same processing.
さらに、暗号化されたデータは、保存できるが、復号されたデータや復号鍵は保存できないような仕組みを付け加えることにより、平文データがコピーされることを防ぐことも可能になる。 Furthermore, it is possible to prevent the plaintext data from being copied by adding a mechanism that can store the encrypted data but cannot store the decrypted data and the decryption key.
また、上述した各例では、伝送データとしてIPパケットを考えたが、同様の構造を持つ他の伝送プロトコルパケットを考えても、同様の限定受信方式が構成可能である。また、伝送データのパケット化を3重以上として、3つ以上の限定受信方式を組み合わせてもよい。このため、IPパケット化前のファイルデータに暗号化処理を施しておいてもよい。 In each example described above, an IP packet is considered as transmission data, but a similar conditional access system can be configured even when other transmission protocol packets having a similar structure are considered. Also, the transmission data packetization may be triple or more, and three or more conditional access methods may be combined. For this reason, encryption processing may be performed on file data before IP packetization.
また、例えば、MACフレームのデータ圧縮方法は、MPEG2には限定されず、他の圧縮方法を用いてよい。また、インターネットプロトコルは、TCP/IPには限定されず、例えばOSI(Open System Interconnection)方式を用いてもよい。 For example, the data compression method of the MAC frame is not limited to MPEG2, and other compression methods may be used. Further, the Internet protocol is not limited to TCP / IP, and for example, an OSI (Open System Interconnection) method may be used.
10 データ配信装置、18 コンテンツプロバイダ、19 サービスプロバイダ、21 暗号化器、25 TSパケット作成部、26 暗号化器、30 データ受信装置、37 デスクランブラ、45 デパケタイザ、47 復号器
DESCRIPTION OF
Claims (1)
上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施されたインターネットプロトコルパケットに対して送信先IPアドレスを含むヘッダを付加するヘッダ付加手段と、
上記伝送データ提供事業者用の上記暗号化手段によって第1の暗号化鍵を用いた第1の暗号化処理が施され、かつ、送信先IPアドレスを含むヘッダが付加されたインターネットプロトコルパケットを、トランスポートストリームパケットに入れ込むトランスポートストリームパケット化した後に上記第1の暗号化鍵とは異なる第2の暗号化鍵を用いて第2の暗号化処理を施す上記伝送データ提供事業者用とは異なる伝送路提供事業者用の暗号化手段と、
上記伝送データ提供事業者用の暗号化手段と上記伝送路提供事業者用の暗号化手段による独立した二つの暗号化処理により得られた2重の暗号化データを送信する送信手役と、
上記送信手段から上記データ伝送路を介して送信された上記2重暗号化データを受信し、上記第2の暗号化鍵に応じた復号鍵を用いて復号処理を施して第1の暗号化処理が施されたインターネットプロトコルパケットと暗号化処理されていない送信先IPアドレスを含むヘッダを得、このヘッダ内の送信先IPアドレスに対応する上記第1の暗号化鍵に応じた復号鍵を用いて復号処理する受信手段と
を備える情報伝送装置。 An encryption means for a transmission data provider that performs a first encryption process using a first encryption key after digital data is converted into an Internet protocol packet for converting into an Internet protocol packet format;
Header addition for adding a header including a destination IP address to an Internet protocol packet that has been subjected to a first encryption process using a first encryption key by the encryption means for the transmission data provider Means,
An Internet protocol packet that has been subjected to a first encryption process using a first encryption key by the encryption means for the transmission data provider and to which a header including a destination IP address is added, What is for the transmission data provider that performs a second encryption process using a second encryption key that is different from the first encryption key after being converted into a transport stream packet to be included in a transport stream packet? Encryption means for different transmission line providers,
A transmission role for transmitting double encrypted data obtained by two independent encryption processes by the encryption means for the transmission data provider and the encryption means for the transmission path provider;
First encryption processing is performed by receiving the double encrypted data transmitted from the transmission means via the data transmission path and performing decryption processing using a decryption key corresponding to the second encryption key. using a decryption key corresponding to the first encryption key to obtain a header corresponding to the destination IP address in the header including a destination IP address that is not the Internet protocol packets and encryption processing performed information transmission device Ru and receiving means for decoding.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006028694A JP4497099B2 (en) | 1996-11-27 | 2006-02-06 | Information transmission equipment |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP31672696 | 1996-11-27 | ||
JP2006028694A JP4497099B2 (en) | 1996-11-27 | 2006-02-06 | Information transmission equipment |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP01281097A Division JP4190599B2 (en) | 1996-11-27 | 1997-01-27 | Information transmission device, information transmission method, information reception device, and information reception method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006129534A JP2006129534A (en) | 2006-05-18 |
JP4497099B2 true JP4497099B2 (en) | 2010-07-07 |
Family
ID=36723623
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006028694A Expired - Fee Related JP4497099B2 (en) | 1996-11-27 | 2006-02-06 | Information transmission equipment |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4497099B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04150333A (en) * | 1990-10-11 | 1992-05-22 | Nippon Hoso Kyokai <Nhk> | Broadcast reception control system |
JPH04179326A (en) * | 1990-11-14 | 1992-06-26 | Hitachi Ltd | Data transmission system |
JPH06152588A (en) * | 1992-11-02 | 1994-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Simultaneous multi-address communication system |
JPH08181689A (en) * | 1994-10-28 | 1996-07-12 | Sony Corp | Digital signal transmission method, digital signal receiver and recording medium |
JPH08204698A (en) * | 1995-01-24 | 1996-08-09 | Mitsubishi Electric Corp | Ciphering device |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
CN100452072C (en) * | 1995-02-13 | 2009-01-14 | 英特特拉斯特技术公司 | Systems and methods for secure transaction management and electronic rights protection |
-
2006
- 2006-02-06 JP JP2006028694A patent/JP4497099B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04150333A (en) * | 1990-10-11 | 1992-05-22 | Nippon Hoso Kyokai <Nhk> | Broadcast reception control system |
JPH04179326A (en) * | 1990-11-14 | 1992-06-26 | Hitachi Ltd | Data transmission system |
JPH06152588A (en) * | 1992-11-02 | 1994-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Simultaneous multi-address communication system |
JPH08181689A (en) * | 1994-10-28 | 1996-07-12 | Sony Corp | Digital signal transmission method, digital signal receiver and recording medium |
JPH08204698A (en) * | 1995-01-24 | 1996-08-09 | Mitsubishi Electric Corp | Ciphering device |
Also Published As
Publication number | Publication date |
---|---|
JP2006129534A (en) | 2006-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4190599B2 (en) | Information transmission device, information transmission method, information reception device, and information reception method | |
US6424714B1 (en) | Method and apparatus for providing conditional access in connection-oriented interactive networks with a multiplicity of service providers | |
JP2940639B2 (en) | Method for sending conditional access information to a decoder in a packet-based multiplex communication system | |
US6373952B2 (en) | Data transmitting apparatus, data transmitting method, data receiving apparatus, data receiving method, data transmission apparatus, and data transmission method | |
JP3586146B2 (en) | Secure transmission of wideband data messages | |
US8332633B2 (en) | Encryption processing for streaming media | |
US9300465B2 (en) | Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient | |
EP0872077B1 (en) | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers | |
JPH0756831A (en) | Method for transmission and reception of program for personal use | |
CA2237293A1 (en) | Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers | |
KR19980086846A (en) | Data receiving apparatus and data receiving method | |
WO2007095803A1 (en) | A method and system for encrypting and decrypting the on demand stream media data in wmv format | |
JP2001127757A (en) | Data reception method and data receiver | |
KR20060064469A (en) | Apparatus and method for protecting multicast streamed motion picture files | |
JP4391610B2 (en) | Transport stream processing device | |
JP4951729B2 (en) | Streaming media encryption method | |
EP1499061A1 (en) | Individual video encryption system and method | |
JP3794050B2 (en) | Data transmission apparatus and method and data receiving apparatus | |
CN1295763B (en) | Transmission system | |
JP4497099B2 (en) | Information transmission equipment | |
JP3887945B2 (en) | Data receiving apparatus and data receiving method | |
JPH10290222A (en) | Information decoder, its method and information transmitter-receiver | |
JPH10190646A (en) | Security information distribution method, receiving device and transmitting device in digital network | |
JP2001292432A (en) | Limited reception control system | |
EP1499062B1 (en) | Individual video encryption system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090907 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100323 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100405 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |