信息处理设备、服务器设备、信息处理方法、服务器处理方法及程序的制作方法

信息处理设备、服务器设备、信息处理方法、服务器处理方法及程序的制作方法
【专利摘要】[问题]实现对连同广播内容一起处理的应用的可靠性的提高。[解决方案]该信息处理设备的应用控制器获取应用信息表，应用信息表附有电子签名，并且在应用信息表中存储有获取与广播内容一起处理的应用所需的位置信息以验证其电子签名。如果验证成功，则应用控制器允许基于位置信息来获取应用。
【专利说明】信息处理设备、服务器设备、信息处理方法、服务器处理方法及程序
【技术领域】
[0001]本技术涉及一种能够通过使用应用管理表来执行与广播内容关联的应用的信息处理设备、执行提供应用管理表的服务的服务器设备以及与这些设备相关联的信息处理方法、服务器处理方法以及程序。
【背景技术】
[0002]近年来，已知一种能够在复制广播内容的同时执行经由诸如因特网的网络传递的应用的技术。作为这种技术，已知被称为混合广播宽带电视(在下文中，称为HbbTV)的技术。欧洲开发了 “ETSI TS 102 796”(参见非专利文献I)作为HbbTV的标准。另外，在日本，也根据“ETSI TS 102796”开发了标准“ARIB STD-B23”(参见非专利文献2)。
[0003]非专利文献1:ETSI(欧洲电信标准协会)，“ETSI TS 102 796V1.1.1(2010-06) ”,
[0004]http://www.ets1.0rg/deliver/etsi_ts/102700_l02799/102796/01.01.01_60/ts_102796v010101p.pdf (2011 年 10 月 21 日浏览)
[0005]非专利文献2:无线电工商业协会，“Application Execution Engine Platformfor Digital Broadcasting standard ARIB STD-B23versionl.2，，，
[0006]http: //www.ar ib.0r.jp/english/html/overview/doc/2-STD-B23vl_2.pdf (2011年10月21日浏览)

【发明内容】

[0007]发明要解决的问题
[0008]例如，在诸如HbbTV的复制广播内容的同时执行应用的系统中，从激活应用到应用结束的生命周期由叠加在广播内容上的被称为AIT(应用信息表)区段的数据结构来管理。获取了 AIT区段的信息终端基于AIT区段中包括的应用控制代码来控制应用。
[0009]此外，作为以XML格式描述的AIT区段的XML-AIT被例示为包括等于广播AIT区段的信息的格式，并且优选通过使用诸如因特网的通信网络给接收机提供关于应用的信息。
[0010]然而，XML-AIT是通过因特网提供的文件，因此，可以说，XML-AIT被暴露在诸如被恶意第三方篡改的风险中。当XML-AIT被篡改时，提高了会出现引导用户下载非所期望的应用服务器的应用、执行与正常应用不同的应用的控制等的可能性。
[0011]此外，很多应用可以使用诸如从广播接收节目或数据并且呈现该节目或数据的各种功能。然而，为了防止可以被这种应用使用的某些功能被使用，需要大量的时间和精力，例如，修改应用本身等。
[0012]鉴于上述情况，本技术的目的是提供一种能够提高应用的可靠性的信息处理设备、服务器设备、信息处理方法、服务器处理方法以及程序。
[0013]解决问题的手段[0014]为了解决如上所述的问题，根据本技术，提供一种信息处理设备，包括:广播内容处理单元，其接收和处理广播内容；以及控制器，其能够获取应用信息表，应用信息表附有电子签名，并且在应用信息表中存储了获取与广播内容一起处理的应用所需的位置信息，该控制器能够验证电子签名，并且能够在至少验证成功的情况下基于位置信息来获取应用。
[0015]在应用信息表中，可以存储通过预定计算根据应用计算出的、代表应用的第一代表值，以及控制器可以通过预定计算来计算所获取的应用的第二代表值，第二代表值代表应用，并且控制器可以将第一代表值与第二代表值进行比较以验证应用。
[0016]在应用信息表中，可以存储模式信息，以及控制器可以基于在应用信息表中描述的模式信息来控制对于应用可用的功能。
[0017]控制器可以基于在应用信息表中描述的模式信息来确定是否需要电子签名的验证。
[0018]根据本技术，提供有服务器设备，该服务器设备包括生成单元，该生成单元生成应用信息表，应用信息表附有电子签名，并且在应用信息表中存储了使信息处理设备获取与广播内容一起处理的应用所需的位置信息，以及该生成单元响应于来自信息处理设备的对应用信息表的获取请求而作出响应。
[0019]生成单元可以将第一代表值添加到应用信息表，第一代表值是通过预定计算根据应用计算出的，并且代表应用。
[0020]生成单元可以将模式信息添加到应用信息表，模式信息控制对于应用可用的功倉泛。
[0021 ] 根据本技术，提供一种信息处理方法，包括:由控制器，获取应用信息表，应用信息表附有电子签名并存储有获取与广播内容一起处理的应用所需的位置信息；验证电子签名；以及在至少验证成功的情况下基于位置信息来获取应用。
[0022]根据本技术，提供有服务器处理方法，包括:由生成单元生成应用信息表，应用信息表附有电子签名，并且在应用信息表中存储了使信息处理设备获取与广播内容一起处理的应用所需的位置信息；以及响应于来自信息处理设备的对应用信息表的获取请求而作出响应。
[0023]根据本技术，提供一种程序，该程序使计算机作用为:广播内容处理单元，其接收和处理广播内容；以及控制器，其能够获取应用信息表，应用信息表附有电子签名并存储有获取与广播内容一起处理的应用所需的位置信息，控制器能够验证电子签名，并且能够在至少验证成功的情况下基于位置信息来获取应用。
[0024]发明的效果
[0025]如上所述，根据本技术，可以提高应用的可靠性。
【专利附图】

【附图说明】
[0026]图1是示出本实施例的信息处理系统的概要的图。
[0027]图2是示出AIT区段的数据结构的图。
[0028]图3是示出XML-AIT的数据结构的图。
[0029]图4是示出应用模式描述符和应用散列描述符的数据结构的图。[0030]图5是示出由AIT区段和XML-AIT指定的应用控制代码的定义的图。
[0031]图6是示出本实施例的信息处理设备的配置的框图。
[0032]图7是示出通过使用AIT区段来控制应用的操作示例的图。
[0033]图8是图7中示出的操作示例的流程图。
[0034]图9是示出通过使用XML-AIT区段来激活应用的操作示例的图。
[0035]图10是图9中示出的操作示例的流程图。
[0036]图11是示出在根据广播BML数据来激活应用的情况下的操作示例的图。
[0037]图12是图11中示出的操作示例的流程图。
[0038]图13是示出在广播链接型应用被激活之后，由XML-AIT激活非广播链接型应用的情况的操作示例的图。
[0039]图14是图13中示出的操作示例的流程图。
[0040]图15是图13中示出的操作示例的流程图。
[0041]图16是示出根据应用启动器激活非广播链接型应用的情况的操作示例的图。
[0042]图17是图16中示出的操作示例的流程图。
[0043]图18是用于描述生成并验证电子签名和散列值的方法的图。
[0044]图19是用于描述生成并验证电子签名和散列值的方法的修改示例的图。
【具体实施方式】
[0045]在下文中，将参照附图对本技术的实施例进行描述。
[0046]<第一实施例>
[0047][信息处理系统]
[0048]图1是示出本实施例的信息处理系统的概要的图。
[0049]本实施例的信息处理系统I包括广播设施100、诸如因特网的第一网络200、应用服务器300、XML-AIT服务器400、边缘路由器500、诸如LAN(局域网)的第二网络600以及信息处理设备700。
[0050]广播设施100经由例如通信介质(诸如地面波、卫星波以及IP(因特网协议)网络)发送数字广播信号。广播设施100对将视频、语音、字幕等的流被多路复用到其中的AV流(音频视频流)以及将伴随AV流的数据等叠加在其上的所谓广播流进行发送。伴随AV流的数据包括诸如HTML和BML的标记语言、在诸如Java (注册商标)脚本的脚本语言中描述的应用、由用于管理应用的信息构成的AIT(应用信息表)区段等。此处，由广播设施100广播的应用被称为“广播应用”。
[0051]应用服务器300能够被连接到第一网络200并且经由第一网络200向信息处理设备700提供与广播流一起处理的应用。此处，与广播流一起处理的应用包括与广播内容相关联的广播链接型应用以及不与广播内容相关联的非广播链接型应用。广播链接型应用是能够通过从广播获取诸如节目和数据的各种资源来进行呈现的应用。另一方面，非广播链接型应用不与广播内容相关联，因此是不访问广播资源的应用。
[0052]XML-AIT服务器400能够被连接到第一网络200并且经由第一网络200向信息处理设备700传递用于管理从应用服务器300提供的应用的XML(可扩展标记语言)-AIT。
[0053]请注意:应用服务器300和XML-AIT服务器400可以是一个服务器。[0054]边缘路由器500是用于连接第一网络200与第二网络600的路由器。第二网络600可以是有线或者无线的。
[0055]信息处理设备700是例如个人计算机、移动电话、智能手机、电视设备、游戏装置、平板终端、音频视频复制装置等，但是特定的产品形式是不确定的。
[0056]息处理设备700从广播设施100接收数字广播信号并且调制数字广播信号以获取传输流。信息处理设备700可以从该传输流中分离出广播流，并且对要被输出到连接到信息处理设备700的显示单元(未示出)和扬声器单元(未示出)或者记录设备(未示出)的广播流进行解码。
[0057]请注意:可以将显示单元、扬声器单元以及记录设备中的每一个并入到信息处理设备700，或者可以将其作为相互独立的装置直接地连接到信息处理设备700或者经由第二网络600连接到信息处理设备700。或者，可以将包括显示单元和扬声器单元的装置(未示出)直接地连接到信息处理设备700或者经由第二网络600连接到信息处理设备700。
[0058]此外，信息处理设备700可以从获取的传输流中提取应用和包括AIT区段的PSI/SI (节目特定信息/服务信息)，并且解释AIT区段以对应用进行控制。在应用是可视应用的情况下，信息处理设备700可以将通过该应用的执行而生成的视频信号与如上所述的广播内容的视频信号和字幕信号进行组合，以输出到显示单元。
[0059]此外，信息处理设备700可以经由第一网络200、边缘路由器500以及第二网络600从应用服务器300获取应用。相似地，信息处理设备700可以从XML-AIT服务器400获取XML-AIT的文件。信息处理设备700可以解释获取的XML-AIT以对从应用服务器300获取的应用或者经由广播获取的应用进行控制。
[0060][应用]
[0061 ] 这里，将对应用进行描述。应用被从广播设施100和应用服务器300提供到信息处理设备700。应用由例如HTML (超文本标记语言)文档、BML (广播标记语言)文档、MHEG (多媒体与超媒体信息编码)文档、Java(注册商标)脚本、静止图像文件以及运动图像文件构成。
[0062]应用可以是可视的或者不可视的。可视应用是可以由用户通过屏幕看见其状态的应用。不可视应用是用户不能通过屏幕看见其状态的应用。例如，构思了以下应用:当浏览器被激活时，在对用户不可视的透明状态下使用的应用；记录观看时间或者用于指定在信息处理设备中观看的广播内容的信息并且将该观看时间和信息传递给特定的服务器以用作收视率调查目的的应用；等。
[0063]此外，应用可以是能够根据信息处理设备700的用户的操作来改变呈现的信息或者功能的双向类型的应用，或者可以是用于单向地向用户呈现信息的应用。
[0064]此外，应用包括与广播内容相链接的广播链接型应用以及不与广播内容相链接的非广播链接型应用。
[0065][AIT区段和XML-AIT的数据结构]
[0066]这里，将对作为AIT区段从广播设施100发送的AIT的数据结构以及从应用服务器300提供的XML-AIT的数据结构进行描述。请注意:当本说明书简单地描述“AIT”时，意味着作为AIT区段从广播设施100发送的AIT。
[0067]图2是示出本实施例的AIT的数据结构的图。[0068]AIT是其中存储了关于应用的各种类型的信息、用于控制应用的应用控制代码等的表。具体而言，AIT存储了表ID、区段语法指示符、区段长度、应用形式、版本号、当前的下一个指示符、区段号、最后区段号、公共描述符循环长度、应用信息循环长度、应用标识符、应用控制代码11、应用描述符循环长度、应用描述符等。
[0069]图3是示出本实施例的XML-AIT的数据结构的图。
[0070]XML-AIT针对每个应用存储应用名称、应用标识符、应用描述符、应用类型、应用控制代码21、应用可视性、指示仅在当前服务中的有效性的标志、应用优先级、应用版本、符合平台简档的版本、图标、存储功能容量、传输协议描述符、应用位置描述符、应用边界描述符、应用特定的描述符、应用使用描述符、应用模式描述符22、应用散列描述符23等。
[0071]用于检测篡改的电子签名被附在XML-AIT上。作为电子签名，使用了例如XML签名。XML签名的形式可以是独立于XML-AIT的分离的签名、具有包含XML-AIT的形式的封装签名以及具有包含在XML-AIT中的形式的被封装的签名中的任何之一。请注意:为了抑制对XML-AIT的格式的影响，可能期望采用分离的签名。
[0072]信息处理设备700的应用控制器708根据核心验证的过程来验证XML签名，核心验证包括参考验证和签名验证。
[0073]参考验证是这样的方法:对资源(XML-AIT)实施标准化转换处理(转换，Transform)和摘要计算算法(摘要方法，DigestMethod)的方法，并由此验证参考(Reference)的摘要值(DigestValue)。当将通过参考验证获得的结果和登记的摘要值(DigestValue)进行相互比较并且彼此不符时,验证失败。
[0074]签名验证是这样的方法:通过由XML标准化算法(正规化方法，CanonicalizationMethod)指定的标准化方法来使签名信息(SignatureInfo)元素串行化，通过使用密钥信息(KeyInfo)等来获取密钥数据，并且通过使用由签名算法(SignatureMethod)指定的方法来验证签名。
[0075]在以上提及的XML-AIT的数据结构中，应用模式描述符22和应用散列描述符23是从根据本技术的实施例的系统新实现的信息。
[0076]图4是示出应用模式描述符22和应用散列描述符23的数据结构的图。
[0077]应用模式描述符22由用于标识应用模式描述符22、描述符长度、指示应用的模式的应用模式等描述符标签构成。
[0078]应用模式是用于控制对于应用可用的功能(AP1:应用程序接口)的信息。作为其使用取决于应用而受限的功能，例如，例示了访问并且呈现诸如广播节目和数据的各种广播资源的广播资源呈现功能。更具体而言，为广播链接型应用提供了应用模式的值，该应用模式的值被设定成能够使用广播资源呈现功能，并且为与广播无关(没有链接)的非广播链接型应用提供了应用模式的值，该应用模式的值被设定成不能使用广播资源呈现功能。请注意:取决于应用模式而在可用和不可用之间切换的功能不限于广播资源呈现功能。
[0079]此处，假设针对广播链接型应用而设定的应用模式是“模式I ”，针对非广播链接型应用而设定的应用模式是“模式2”。
[0080]在这种假设下，应用模式可以被用作为用于得知在信息处理设备中是否需要电子签名的验证的信息。也就是说，当应用模式是“模式I”时，信息处理设备确定不需要电子签名的验证，而当应用模式是“模式2”时，信息处理设备确定需要电子签名的验证。然而，这只是一个操作形式，并且可以确定也需要针对广播链接型应用的电子签名的验证。
[0081]应用散列描述符23由描述符标签、描述符长度、指示针对散列值的计算方法的散列算法、散列值长度、散列值等构成。散列值是应用的散列值，是由预定散列函数等根据应用的内容(substance)生成的值，并且可以说散列值是代表应用的值。后面将对使用散列值的方法进行描述。
[0082][应用控制代码的定义]
[0083]信息处理设备700分别基于存储在AIT区段和XML-AIT中的应用控制代码11和应用控制代码21对应用的生命周期动态地进行控制。
[0084]图5是示出存储在AIT区段和XML-AIT中的应用控制代码11和应用控制代码21的定义的图。
[0085]如图所示，作为应用控制代码，标准中存在“AUTOSTART”、“PRESENT”、“DESTROY”、“ KILL ”、“ PREFETCH ”、“ REMOTE ”、“ DISABLED ” 以及“ PLAYBACK_AUTOSTART ”。这些应用控制代码的定义如下。
[0086]“AUTOSTART”是连同服务的选择一起自动地激活应用的指令的代码。这不适用于已经在执行中的应用的情况。
[0087]“PRESENT”是当服务被选择时使应用处于可执行的状态的指令的代码。然而，目标应用不是连同服务的选择一起被自动地激活，而是在接收到来自用户的激活指令时被激活。
[0088]“DESTROY”是允许终止应用的指令的代码。
[0089]“KILL”是强制退出应用的指令的代码。
[0090]“PREFETCH”是对应用进行缓存的指令的代码。
[0091]“REMOTE”是指示不能在当前传输流中获取的应用的代码。这种应用可以从不同的传输流或者待使用的缓存处获取。
[0092]“DISABLED”是指示禁止激活应用的代码。
[0093]“PLAYBACK_AUT0START”是用于连同存储装置(记录设备)中记录的广播内容的复制一起激活应用的代码。
[0094][第一信息处理设备的配置]
[0095]图6是示出本实施例的信息处理设备700的配置的框图。
[0096]信息处理设备700包括广播接口 701、多路分配器702、输出处理单元703、视频解码器704、语音解码器705、字幕解码器706、通信接口 707以及应用控制器708 (控制器)。
[0097]广播接口 701包括天线和调谐器，并且接收由使用这些天线和调谐器的用户选择的频道的数字广播的信号。广播接口 701向多路分配器702输出传输流。该传输流是通过对接收的数字广播信号进行解调处理等而获得的。
[0098]多路分配器702从传输流中分离出广播内容的流分组、应用的分组以及AIT区段的分组。多路分配器702从广播内容的流分组中分离出视频ES(基本流，ElementaryStream)、语音ES以及字幕ES。多路分配器702向视频解码器704分发视频ES，向语音解码器705分发语音ES，向字幕解码器706分发字幕ES，并且向应用控制器708分发包括AIT区段的PSI/SI的分组和应用的分组。
[0099]视频解码器704将视频ES解码以生成视频信号，并且将生成的视频信号输出到输出处理单元703。语音解码器705将语音ES解码以生成语音信号，并且将生成的语音信号输出到输出处理单元703。
[0100]字幕解码器706将字幕ES解码以生成字幕信号，并且将生成的字幕信号输出到输出处理单元703。
[0101]广播接口 701、多路分配器702、输出处理单元703、视频解码器704、语音解码器705以及字幕解码器706对应于接收并且处理广播内容的广播内容处理单元。
[0102]通信接口 707是用于经由诸如LAN的第二网络600与外部装置通信的接口。通信接口 707可以进行无线通信或者有线通信。
[0103]应用控制器708是对应用的控制进行处理的控制器。
[0104]输出处理单元703将来自视频解码器704的视频信号、来自语音解码器705的语音信号、来自字幕解码器706的字幕信号以及来自应用控制器708的视频信号、语音信号等相互组合，并且将得到的信号输出给连接到信息处理设备700的记录设备(未示出)、显示单元以及扬声器单元(未示出)。
[0105]至少包括上述信息处理设备700的应用控制器708的配置的一部分或者全部可以由包括CPU(中央处理单元)和存储器以及程序的计算机来提供。
[0106][信息处理系统I的操作]
[0107]接着，将对本实施例的信息处理系统I的操作进行描述。
[0108]将按如下顺序对操作进行描述。
[0109]1.通过使用AIT区段来激活应用
[0110]2.通过使用XML-AIT来激活应用
[0111]3.根据广播BML数据来激活应用
[0112]4.非广播链接型应用的激活
[0113]5.根据应用启动器激活非广播链接型应用
[0114]6.电子签名和散列值的生成和验证
[0115](1.通过使用AIT区段来激活应用)
[0116]图7是示出通过使用AIT区段来激活应用的操作示例的图。
[0117]图8是图7中示出的操作示例的流程图。
[0118]信息处理设备700从广播设施100接收由用户通过使用遥控器等选择的频道的广播内容，并且对视频数据、语音数据、字幕数据等进行解码处理等，以向连接到信息处理设备700的显示单元和扬声器单元输出广播内容(步骤S101)。
[0119]具体而言，广播接口 701从广播设施100接收由用户选择的频道的广播内容的数字广播信号，并且将传输流输出给多路分配器702，传输流是由对数字广播信号进行解调处理等获得的。多路分配器702从传输流分离出广播内容的流分组并且进一步将广播内容的流分组分离成视频ES、语音ES以及字幕ES。分离出的视频ES、语音ES以及字幕ES分别在视频解码器704、语音解码器705以及字幕解码器706中被解码，并且在输出处理单元703中被结合，以输出到显示单元和扬声器单元。
[0120]在该示例中，在时间Tl处，其中存储了关于广播链接型应用Appl的AIT的MT区段被叠加在广播内容上，并且从广播设施100被发送。在该AIT区段中，存储了广播链接型应用Appl的位置信息以及指示激活的应用控制代码“AUTOSTART”。此处，假设广播链接型应用Appl是从应用服务器300获取的，因此，位置信息被用作为从应用服务器300获取广播链接型应用Appl所需的信息，并且位置信息由通信协议信息构成，通信协议信息诸如是HTTP (超文本传输协议)、URL (统一资源定位符)等。
[0121]多路分配器702从传输流中分离出广播链接型应用Appl的分组和AIT区段的分组，并且将分离出的分组供应给应用控制器708。在获取AIT区段(步骤S102)时，应用控制器708分析AIT区段(步骤S103)。
[0122]请注意:在本实施例中不需要电子签名的验证，因为由恶意第三方篡改AIT区段的可能性极低。
[0123]在该操作示例中，由于“AUTOSTART”被指定为用于AIT区段的应用控制代码，因此应用控制器708基于在AIT区段中描述的位置信息来访问应用服务器300以获取广播链接型应用Appl，并且激活广播链接型应用Appl (在步骤S104中为否，在步骤S105和步骤S106中为是)。激活的广播链接型应用Appl连同在显示单元上显示的广播节目A的视频一起被例如可视化(被呈现)。
[0124]随后，在时间T2处，假设发生了 AIT区段的更新。可以基于AIT区段的数据结构中的版本号将AIT区段发生更新通知给信息处理设备700的应用控制器708。此处，假设在更新的AIT区段中描述了指示终止广播链接型应用Appl的应用控制代码“DESTROY”或者“KILL”以及指示激活下一个广播链接型应用App2的应用控制代码“AUTOSTART”。
[0125]当获取新的AIT区段(步骤S102)时，信息处理设备700的应用控制器708根据在该AIT区段中描述的针对广播链接型应用Appl的应用控制代码“DESTROY”或者“KILL”终止广播链接型应用Appl (在步骤S104中为是并且结束)。此外，应用控制器708根据存储在AIT区段中作为针对广播链接型应用App2的应用控制代码的“AUTOSTART”来获取广播链接型应用App2 (在步骤S105和步骤S106在中为是)并且激活广播链接型应用App2 (步骤S105)。因此，广播链接型应用App2而不是广播链接型应用Appl被连同广播节目的视频一起呈现。
[0126]请注意:在获取的AIT区段中描述了“AUT0START”，“DESTR0Y”以及“KILL”以外的应用控制代码的情况下，在应用控制器708根据该应用控制代码进行诸如传输广播链接型应用的状态的处理(步骤S107)之后，应用控制器708等待下一个AIT区段。
[0127]在图7中，尽管在与广播节目的视频共用区域时被显示在L形中，但是广播链接型应用Appl和广播链接型应用App2中的每一个却不需要与广播节目的视频同时显示，而是可以显示在整个屏幕上。此外，如果广播链接型应用Appl和广播链接型应用App2中的每一个在与广播节目的视频共用区域时被显示，则广播链接型应用Appl和广播链接型应用App2中的每一个可以与广播节目的视频垂直地或者水平地分开显示。在应用被显示在整个屏幕上的情况下，不显示广播节目的视频，但是同样在该状态下，广播接口 701的调谐器处于频道被选择的状态，并且包括AIT区段的广播流的接收状态被继续。
[0128]如上所述，例如，例示了如下模式作为其中广播链接型应用随时间切换并且由信息处理设备700呈现的服务的特定的模式。
[0129]1.用于在示出整个歌手的音乐会的运动图像被作为主视频通过AV流进行发送的情况下，提供通过从不同角度拍摄音乐会的状况或者拉近歌手获得的子视频，以及关于歌手的信息、关于音乐会的角色数据等的应用。[0130]2.用于提供各国语言的体育实况的语音和字幕的应用。
[0131]3.用于针对视觉障碍者的用语音对通过AV流发送的视频的详情进行说明的音频描述的应用。
[0132](2.通过使用XML-AIT来激活应用)
[0133]图9是示出通过使用XML-AIT来激活应用的操作示例的图。
[0134]图10是图9中示出的操作示例的流程图。
[0135]从由使用遥控器的用户对广播的频道选择(步骤S201)到基于AIT区段来获取并且呈现广播链接型应用(步骤S208)的操作与“1.通过使用AIT区段来激活应用”相同。
[0136]在该操作示例中，假设了用于使信息处理设备700获取针对接着要呈现的广播链接型应用App2的XML-AIT的包含createApplication O (创建应用)函数的脚本等被并入正在被呈现的广播链接型应用Appl中的情况。在createApplication O函数中，关于访问针对广播链接型应用App2的XML-AIT、位置信息的XML-AIT等所需的通信协议的信息被作为参数进行描述。
[0137]在广播链接型应用Appl的呈现期间，当诸如来自用户的指令或者时间的预定条件被建立时(在步骤S209中为是)，执行以上提及的被并入广播链接型应用Appl中的脚本，由此信息处理设备700的应用控制器708从XML-AIT服务器400获取新的XML-AIT (步骤S210)，并且对新的XML-AIT进行分析(步骤S211)。
[0138]在该新的XML-AIT中，描述了关于正在执行的广播链接型应用Appl的信息以及关于接着要执行的广播链接型应用App2的信息。此处，指令终止广播链接型应用Appl和应用模式“模式I”的应用控制代码“DESTROY”或者“KILL”被描述为关于广播链接型应用Appl的信息，指示激活广播链接型应用App2和应用模式“模式I”的应用控制代码“AUTOSTART”被描述为关于广播链接型应用App2的信息。换言之，由于应用Appl和应用App2中的每一个是广播链接型应用，因此应用模式被设定成“模式I”。
[0139]由于在获取的XML-AIT中，应用Appl和应用App2中的每一个的应用模式都是“模式I ”，因此应用控制器708不需要电子签名的验证，并且根据XML-AIT中描述的应用控制代码开始对应用Appl和应用App2进行控制。
[0140]也就是说，根据针对在XML-AIT中描述的广播链接型应用Appl的应用控制代码“DESTROY”或者“KILL”，应用控制器708终止广播链接型应用Appl。此外，根据针对在XML-AIT中描述的广播链接型应用App2的应用控制代码“AUTOSTART” (在步骤S212中为是)，应用控制器708基于在该XML-AIT中描述的广播链接型应用App2的位置信息，从应用服务器300获取广播链接型应用App2并且激活广播链接型应用App2 (步骤S213)。在此时间处，由于广播链接型应用App2的应用模式被设定成“模式1”，因此应用控制器708在能够使用广播资源呈现功能等的模式下激活广播链接型应用App2。
[0141](3.根据广播BML数据来激活应用)
[0142]接着，将对在根据广播BML数据来激活应用的情况下的操作进行描述。
[0143]图11是示出在根据广播BML数据来激活应用的情况下的操作示例的图。
[0144]图12是图11中示出的的操作示例的流程图。
[0145]在该操作示例中，假设了用于使信息处理设备700获取针对广播链接型应用Appl的XML-AIT的脚本被并入BML数据广播中的情况。请注意:数据广播不限于BML数据广播。例如，也可以采用诸如MHEG(多媒体和超媒体专家组)的能够处理多媒体的另一标记语言的数据广播。
[0146]信息处理设备700从广播设施100接收由用户通过使用遥控器等选择的频道的广播内容，并且对视频数据、语音数据、字幕数据等进行解码处理等，以将AV内容(广播节目)输出给连接到信息处理设备700的显示单元和扬声器单元(步骤S301)。
[0147]在AV内容(广播节目)的输出期间，当由用户通过使用遥控器等输入复制数据广播的指令(步骤S303)时，伴随着正在被观看的AV内容(广播节目)而被发送的BML数据广播连同AV内容(广播节目)一起被呈现(步骤S304)。
[0148]在BML数据广播的呈现期间，当诸如来自用户的指令或者时间的预定条件被建立时(在步骤S305中为是)，执行以上提及的被并入BML数据广播中的脚本，由此信息处理设备700的应用控制器708从XML-AIT服务器400获取针对广播链接型应用Appl的XML-AIT (步骤 S306)并且分析 XML-AIT (步骤 S307)。
[0149]在该针对广播链接型应用Appl的XML-AIT中，“AUTOSTART”被指定为应用控制代码，并且“模式I”被描述为应用模式。
[0150]由于广播链接型应用Appl的应用模式是“模式1”，因此应用控制器708不需要电子签名的验证，基于在该XML-AIT中描述的位置信息来访问应用服务器300以获取广播链接型应用Appl并且激活广播链接型应用Appl (在步骤S308和步骤S309中为是)。此时，由于广播链接型应用Appl的应用模式是“模式1”，因此应用控制器708在能够使用广播资源呈现功能的模式下激活广播链接型应用Appl。
[0151]请注意:没有必要对是否需要电子签名的验证进行确定不仅是由于应用模式。例如，在获取的XML-AIT是基于在被篡改的可能性较小的BML文档中描述的URL而获取的情况下，确定不需要电子签名的验证。反之，在XML-AIT是经由广播以外的发送系统(诸如后面将要描述的应用启动器)而获取的情况下，则需要确定电子签名的验证。
[0152]之后，当在新获取的XML-AIT中描述了指示终止广播链接型应用Appl的应用控制代码“DESTROY”或者“KILL”的情况下，信息处理设备700的应用控制器708根据该应用控制代码终止广播链接型应用Appl (在步骤S302中为是)。
[0153]此夕卜，当在新获取的XML-AIT中描述了“AUTOSTART'“DESTROY”以及“KILL”以外的应用控制代码的情况下，在信息处理设备700的应用控制器708根据该应用控制代码进行诸如传输广播链接型应用Appl的状态的处理(步骤S310)之后，应用控制器708等待下一个 XML-AIT。
[0154](4.非广播链接型应用的激活)
[0155]接着，将对非广播链接型应用的激活的操作进行描述。
[0156]图13是示出在广播链接型应用Appl被激活之后，由XML-AIT激活非广播链接型应用App3的情况下的操作示例的图。
[0157]图14和图15中的每个图都是图13中示出的操作示例的流程图。
[0158]从通过遥控器的操作进行的广播的频道选择的操作(步骤S401)到基于AIT区段获取并且呈现广播链接型应用的操作(步骤S405)与“1.通过使用AIT区段来激活应用”相同。
[0159]在该操作示例中，假设了包含用于使信息处理设备700获取针对非广播链接型应用App3的XML-AIT的createApplication O函数的脚本被并入广播链接型应用Appl中的情况。
[0160]在广播链接型应用Appl的呈现期间，当诸如来自用户的指令或者时间的预定条件被建立(在步骤S407中为是)时，执行以上提及的被并入广播链接型应用Appl中的脚本，由此信息处理设备700的应用控制器708从XML-AIT服务器400获取针对非广播链接型应用App3的XML-AIT并且分析XML-AIT (步骤S408)。
[0161]此处，通常，非广播链接型应用是由不同于广播公司的应用提供商提供的。因此，“模式2”被设定成针对非广播链接型应用的XML-AIT的应用模式。因此，通常认为XML-AIT附有电子签名，并且当XML-AIT被用于信息处理设备700侧时，电子签名的验证是不可缺少的条件。
[0162]此外，在该XML-AIT中，指示终止广播链接型应用Appl和应用模式“模式I ”的应用控制代码“DESTROY”或者“KILL”被描述为关于正在被执行的广播链接型应用Appl的信息，并且指示激活非广播链接型应用App3和应用模式“模式2”的应用控制代码“AUTOSTART”被描述为关于接着要被执行的非广播链接型应用App3的信息。此外，在该XML-AIT中描述了非广播链接型应用App3的散列值(第一代表值)。
[0163]信息处理设备700的应用控制器708确定电子签名是否附着到获取的XML-AIT上(步骤S410)。在电子签名被附到XML-AIT的情况下，应用控制器708确定需要电子签名的验证并且验证电子签名(步骤S411)。
[0164]或者，电子签名没有被附到XML-AIT的情况下(在步骤S410中为否)，应用控制器708检查是否在XML-AIT中描述的应用模式是具有不需要电子签名的验证的模式的值的“模式I”(步骤S412)。当在该检查中应用模式是“模式I”的情况下，确定不需要电子签名的验证。
[0165]在电子签名的验证失败的情况下，显示错误(步骤S423)。在电子签名的验证成功(在步骤S411中为是)或者确定不需要电子签名的验证的情况下(在步骤S412中为是)，应用控制器708确定在XML-AIT中描述的应用控制代码是否为“AUTOSTART” (步骤S413)。在应用控制代码是“AUTOSTART”的情况下，应用控制器708确定在XML-AIT中是否描述了应用模式的值和散列值(步骤S414和步骤S415)。当在XML-AIT中没有设定应用模式的值的情况下，显示错误(步骤S423)。当在XML-AIT中描述了应用模式的值的情况下，应用控制器708保持(hold)在XML-AIT中描述的散列值(A)(第一代表值)(步骤S416)。
[0166]接着，应用控制器708基于在XML-AIT中描述的非广播链接型应用App3的位置信息，从应用服务器300获取非广播链接型应用App3，并且，通过指示计算在XML-AIT中描述的散列值的方法的散列算法来计算非广播链接型应用App3的散列值(B)(第二代表值)(步骤 S417)。
[0167]接着，应用控制器708比较散列值㈧与散列值⑶(步骤S418)。在散列值(A)与散列值⑶一致的情况下，由于非广播链接型应用App3的应用模式是“模式2”，因此应用控制器708在广播资源呈现功能不可用的模式下激活非广播链接型应用App3 (步骤S419)。在散列值(A)与散列值(B)不一致的情况下，显示错误(步骤S423)。之后，根据在新的XML-AIT中描述的应用控制代码，除了控制状态的转移(transfer)或者终止非广播链接型应用App3以外，还进行由用户对遥控器和由事件消息对事件处理的操作(步骤S420、步骤S421以及步骤S422)。
[0168](5.根据应用启动器激活非广播链接型应用)
[0169]接着，将对在根据应用启动器激活非广播链接型应用的情况下的操作进行描述。
[0170]图16是示出在根据应用启动器激活非广播链接型应用的情况下的操作示例的图。
[0171]图17是图16中示出的操作示例的流程图。
[0172]信息处理设备700显示由用户通过使用遥控器等选择的应用启动器屏幕。应用启动器屏幕是由在信息处理设备700中实现的HTML浏览器或者所谓驻留应用呈现的HTML5等中的文档得到的。在应用启动器屏幕上显示了应用菜单等(步骤S501)。用户可以通过使用例如遥控器来选择期望呈现的应用。在应用的各个菜单中并入了用于使信息处理设备700获取针对与该菜单对应的应用的XML-AIT的脚本。
[0173]当在启动器屏幕上显示的应用菜单上，可选的非广播链接型应用App3被使用遥控器的用户的操作选择时(步骤S502)，执行以上提及的与该应用对应的脚本，由此，信息处理设备700的应用控制器708从XML-AIT服务器400获取针对该应用的XML-AIT，并且分析 XML-AIT (步骤 S503)。
[0174]此处，通常，可以从应用启动器屏幕选择的非广播链接型应用是由不同于广播公司的应用提供商提供的。因此，针对非广播链接型应用的XML-AIT，“模式2”被设定成应用模式。因此，通常假设电子签名被附到XML-AIT，并且当XML-AIT被用于信息处理设备700侧时，验证该电子签名是不可缺少的条件。
[0175]此外，在该XML-AIT中，指示激活非广播链接型应用App3和应用模式“模式2”的应用控制代码“AUTOSTART”被描述为关于非广播链接型应用App3的信息。此外，在该XML-AIT中，描述了非广播链接型应用App3的散列值。
[0176]信息处理设备700的应用控制器708确定电子签名是否被附到获取的XML-AIT (步骤S504)。在电子签名被附到XML-AIT的情况下，应用控制器708确定需要电子签名的验证。随后的操作与“4.非广播链接型应用的激活”中的操作一样。
[0177](6.电子签名和散列值的生成和验证)
[0178]接着，将对电子签名和散列值的生成和验证进行描述。
[0179]XML-AIT服务器400和应用服务器300可以是一个服务器或者是单独的服务器。此处，XML-AIT服务器400和应用服务器300被总称为“服务器”。服务器是具有典型的计算机的配置的装置。因此，服务器由CPU、主存储器、诸如HDD的存储装置、诸如鼠标和键盘的输入装置、诸如液晶显示器的显示单元等构成。主存储器和存储装置存储OS (操作系统)、用于服务器的诸如应用程序的软件、为信息处理设备700提供的应用(广播链接型应用、非广播链接型应用)、针对每个应用的XML-AIT文件、签名生成密钥等。作为用于服务器的应用程序，包括用于生成电子签名和散列值等的程序。
[0180]图18是用于描述在服务器中生成电子签名和散列值的方法以及在信息处理设备700中验证电子签名和散列值的方法的图。
[0181]服务器包括AIT生成单元350。AIT生成单元350具体是由用于生成电子签名和散列值的程序得到的，该程序被加载到主存储器以及执行该程序的CPU中。
[0182]AIT生成单元350进行如下处理。[0183]1.AIT生成单元350根据应用351的内容(substance) (二进制代码)，使用预定散列计算器352计算散列值353。作为散列算法，例示了例如在FIPS PUB180-1和180-2中被标准化的SHA-1、SHA-2等。
[0184]2.AIT生成单元350将散列值353与应用351的XML-AIT362组合(354)并且生成添加了散列值的XML-AIT355。
[0185]3.AIT生成单元350使用针对签名的散列函数，在签名生成器356中生成针对添加了散列值的XML-AIT355的摘要，用签名生成密钥(秘密密钥)357来对摘要进行加密，并且生成XML签名358。
[0186]4.AIT生成单元350将XML签名358添加(359)到添加了散列值的XML-AIT355并且生成添加了电子签名的XML-AIT360。
[0187]5.随后，将添加了电子签名的XML-AIT360提供给信息处理设备700。
[0188]信息处理设备700的控制器708进行如下处理。
[0189]1.控制器708从获取自签名生成器753中的服务器的添加了电子签名的XML-AIT360中提取XML签名，并且用签名验证密钥(公共密钥)754来验证XML签名以获取签名验证结果755。
[0190]2.在成功验证XML签名的情况下，控制器708使用预定散列计算器751 (散列函数)，根据获取自服务器的应用351的内容(substance) (二进制代码)计算散列值752。这里使用的散列函数需要与服务器的AIT生成单元350的散列计算器352的散列功能相同。因此，控制器708检查获取自服务器的添加了电子签名的XML-AIT360中描述的散列算法，并且确定是否该散列算法与散列计算器751 (散列函数)的散列算法具有一致性。如果确定散列算法不一致，则控制器708切换散列计算器751(散列函数)，以使散列算法与服务器的AIT生成单元350的散列计算器352的散列算法一致。
[0191]3.控制器708使用散列比较器756，将从获取自服务器的添加了电子签名的XML-AIT360中提取的散列值353与散列值752进行比较，并且获得一致/不一致的结果757。
[0192]4.在XML签名的验证失败的情况下，或者在成功验证XML签名，但是导致散列值353与散列值752之间的不一致的情况下，则认为处理错误并且将其终止。
[0193][实施例的效果等]
[0194]在本实施例中，获得了如下效果。
[0195]1.例如，在通过诸如因特网网络的通信路径来发送XML-AIT和应用的服务中，可以在保持其可靠性的情况下将XML-AIT和应用发送到信息处理设备700。这可以防止XML-AIT和应用被恶意第三方篡改，并且能够使应用在信息处理设备700中被安全地使用。
[0196]2.更具体而言，由于在XML-AIT中描述了应用的散列值，并且给信息处理设备700提供该散列值，因此信息处理设备700可以通过将针对获取自应用服务器300的应用而计算的散列值与由XML-AIT发送的散列值进行比较来确定应用的正确性。
[0197]3.此外，因为电子签名被附到包含散列值的XML-AIT，并且如果信息处理设备700没有成功验证该电子签名，则信息处理设备700不能获取应用，所以可以防止通过对XML-AIT等的篡改而在信息处理设备700中执行未经授权的应用。
[0198]4.由于可以在XML-AIT中描述应用模式，因此可以控制对于应用可用的功能。此夕卜，信息处理设备700可以基于在XML-AIT中描述的应用模式等唯一地得知是否需要电子签名的验证。因此，例如，视针对由广播公司生成的应用的XML-AIT而定，可以跳过电子签名的验证，由此可以预期总速度的提高。
[0199]〈修改的示例等〉
[0200]请注意:尽管在上述实施例中将散列功能用于计算应用的散列值，但是作为其修改示例，如图19所示，例示了使用HMAC(用于消息认证的带密钥散列)计算器352A和751A的方法。HMAC计算器352A和HMAC计算器751A结合秘密共用密钥(散列密钥)361A和758A，使用SHA-1和SHA-2等散列函数来计算散列值353A和752A。其它处理与如上所述的实施例中的处理相同。
[0201]此外，在如上所述的实施例中，对将散列值用作应用的代表值的情况进行了描述。然而，只要可以由预定计算从应用的二进制代码获得该值，也可以采用散列计算以外的方法。
[0202]已经对其中假设了 HbbTV的标准的实施例进行了描述，但是本技术不限于该HbbTV的标准的假设。
[0203]除了上述内容以外，本技术不限于以上提及的实施例，并且可以在不脱离本发明的主旨和本质特征的情况下进行各种修改。
[0204]附图标记的描述
[0205]I信息处理系统
[0206]11，21应用控制代码
[0207]22应用模式描述符
[0208]23应用散列描述符
[0209]100广播设施
[0210]200 第一网络
[0211]300应用服务器
[0212]350 AIT生成单元
[0213]351 应用
[0214]352散列计算器
[0215]353散列值
[0216]355 AIT
[0217]356签名生成器
[0218]357签名生成密钥
[0219]358 XML 签名
[0220]360 AIT
[0221]400 AIT 服务器
[0222]600 第二网络
[0223]700信息处理设备
[0224]701 广播接口
[0225]702多路分配器
[0226]703输出处理单元[0227]704视频解码器
[0228]705语音解码器
[0229]706字幕解码器
[0230]707通信接口
[0231]708应用控制器
[0232]751散列计算器
[0233]752散列值
[0234]753签名生成器
[0235]754签名验证密钥
[0236]755签名验证结果
[0237]756散列比较器
【权利要求】
1.一种信息处理设备,包括: 广播内容处理单元，其接收和处理广播内容；以及 控制器，其能够获取应用信息表，所述应用信息表附有电子签名并存储有获取与所述广播内容一起处理的应用所需的位置信息，所述控制器能够验证所述电子签名，并且能够在至少所述验证成功的情况下基于所述位置信息来获取所述应用。
2.根据权利要求1所述的信息处理设备，其中， 在所述应用信息表中存储有通过预定计算根据所述应用计算出的、代表所述应用的第一代表值，以及 所述控制器通过所述预定计算来计算所获取的应用的第二代表值，所述第二代表值代表所述应用，并且所述控制器将所述第一代表值与所述第二代表值进行比较以验证所述应用。
3.根据权利要求2所述的信息处理设备，其中， 在所述应用信息表中存储有模式信息，以及 所述控制器基于在所述应用信息表中描述的所述模式信息来控制对于所述应用可用的功能。
4.根据权利要求3所述的信息处理设备，其中， 所述控制器基于在所述应用信息表中描述的所述模式信息来确定是否需要所述电子签名的所述验证。
5.一种服务器设备，包括 生成单元，其生成应用信息表，所述应用信息表附有电子签名并存储有使信息处理设备获取与广播内容一起处理的应用所需的位置信息，并且所述生成单元响应于来自所述信息处理设备的对所述应用信息表的获取请求而作出响应。
6.根据权利要求5所述的服务器设备，其中， 所述生成单元将第一代表值添加到所述应用信息表，所述第一代表值是通过预定计算根据所述应用计算出的，并且代表所述应用。
7.根据权利要求6所述的服务器设备，其中， 所述生成单元将模式信息添加到所述应用信息表，所述模式信息控制对于所述应用可用的功能。
8.—种信息处理方法,包括:由控制器， 获取应用信息表，所述应用信息表附有电子签名并存储有获取与广播内容一起处理的应用所需的位置信息； 验证所述电子签名；以及 在至少所述验证成功的情况下基于所述位置信息来获取所述应用。
9.一种服务器处理方法，包括: 由生成单元生成应用信息表，所述应用信息表附有电子签名并且存储有使信息处理设备获取与广播内容一起处理的应用所需的位置信息；以及 响应于来自所述信息处理设备的对所述应用信息表的获取请求而作出响应。
10.一种程序，使计算机作用为: 广播内容处理单元，其接收和处理广播内容；以及控制器，其能够获取应用信息表，所述应用信息表附有电子签名并存储有获取与所述广播内容一起处理的应用所需的位置信息，所述控制器能够验证所述电子签名，并且能够在至少所述验证成功的情况 下基于所述位置信息来获取所述应用。
【文档编号】G06F21/64GK103988210SQ201280061925
【公开日】2014年8月13日 申请日期:2012年11月8日 优先权日:2011年12月21日
【发明者】北原淳, 北里直久 申请人:索尼公司