WO2015005133A1

WO2015005133A1 - 受信装置、受信方法、及び、送信方法

Info

Publication number: WO2015005133A1
Application number: PCT/JP2014/067078
Authority: WO
Inventors: 義治出葉
Original assignee: ソニー株式会社
Priority date: 2013-07-10
Filing date: 2014-06-26
Publication date: 2015-01-15
Also published as: MX358674B; CA2917120A1; JPWO2015005133A1; KR20160027951A; CN105359454A; MX2015017582A; US20160150296A1; BR112016000036B1; SG11201510809RA; US10469917B2; EP3021517A4; CN105359454B; EP3021517B1; BR112016000036A2; JP6457938B2; EP3021517A1; KR102447792B1; CA2917120C

Abstract

　本技術は、より柔軟性のあるアプリケーションの運用を可能にすることができるようにする受信装置、受信方法、及び、送信方法に関する。アプリケーション取得部は、AVコンテンツとともに動作するアプリケーションを取得し、アプリケーション制御部は、アプリケーションが信頼できるか否かの検証結果に応じて、アプリケーションの動作を制御する。これにより、信頼性が確保されたアプリケーションを動作させることができるため、より柔軟性のあるアプリケーションの運用を行うことができる。本技術は、例えば、テレビジョン受像機に適用することができる。

Description

受信装置、受信方法、及び、送信方法

　本技術は、受信装置、受信方法、及び、送信方法に関し、特に、より柔軟性のあるアプリケーションの運用を可能にした受信装置、受信方法、及び、送信方法に関する。

　デジタル放送の開始に伴い日本ではデータ放送が開始され、テレビ番組とともに動作するアプリケーションのサービスを提供する環境が整ってきた（例えば、特許文献１参照）。また欧州でも、HbbTV（Hybrid Broadcast Broadband TV）などのデータ放送サービスが開始され、日本と同様の環境ができている（例えば、特許文献２参照）。

　ここでいうアプリケーションとは、HTML（Hyper Text Markup Language）やJava（登録商標）などで記述されたコンピュータプログラムのことである。このアプリケーションは、パーソナルコンピュータなどで動作するアプリケーションとは異なり、放送波に含めて送られる信号に同期して振る舞いを変えることができる。

　また、アプリケーション自体は、放送波により送られるか、あるいは放送波に含めて送られるURL（Uniform Resource Locator）情報に従い、インターネット上のサーバにアクセスすることで取得される。

　ところで、インターネットは、基本的にオープンな環境で構築されているため、例えば勝手に選局を行ったり、ユーザ情報を抜き出したりするなどの悪意のあるアプリケーションが提供される可能性がある。そこで、セキュリティレベルを分けて、ある基準を満たさないアプリケーションの機能を制限するという方法が採用されている。

　例えば、日本のデータ放送の場合には、放送波で送られるアプリケーション内で指定されるサーバのドメインは１段階しか、受信機の全機能が使用できる状態にはならず、別のドメインに遷移すると、機能を使用することができない。また、近年、日本では、ハイブリットキャストサービスの導入が検討されているが、このサービスでは、信頼できるドメインを放送波で紐付いた情報から取得してリストとして管理し、このドメイン内であれば、受信機の機能を使用できるようにしている。

　また、欧州のHbbTVの場合には、放送波に含めて送られる信号から起動されるアプリケーションの範囲内でのみしか、受信機の機能を使用できないようにしている。

特開２０１２－１５６７１２号公報特開２０１３－９８７８１号公報

　しかしながら、上述した従来の技術では、放送波に何らかのかたちで、直接紐付けることによって、テレビ番組とともに動作するアプリケーションの信頼性を確保しているが、このような信頼性の確保の方法であると、放送波とは直接紐付かない状態では、アプリケーションが受信機の機能を用いることはできないことになる。

　そのため、従来のアプリケーションでは限定的な運用しか行うことができず、より柔軟性のある運用が可能なアプリケーションを提供することが求められていた。

　本技術はこのような状況に鑑みてなされたものであり、放送波と直接紐付けることなく、テレビ番組とともに動作するアプリケーションに信頼性を持たせることで、より柔軟性のあるアプリケーションの運用を行うことができるようにするものである。

　本技術の第１の側面の受信装置は、AVコンテンツを受信するコンテンツ受信部と、前記AVコンテンツとともに動作するアプリケーションを取得するアプリケーション取得部と、前記アプリケーションが信頼できるか否かの検証結果に応じて、前記アプリケーションの動作を制御するアプリケーション制御部とを備える。

　前記AVコンテンツは、放送波により送られる放送コンテンツであり、前記放送波により送られる、前記アプリケーションに付された電子署名を検証するための電子証明書を取得する電子証明書取得部と、前記電子証明書を用い、前記アプリケーションに付された電子署名を検証する電子署名検証部とをさらに備える。

　前記アプリケーション制御部は、前記アプリケーションが信頼できる場合にのみ、前記アプリケーションを起動して実行する。

　前記電子証明書は、各チャンネルで共通の証明書となる。

　前記電子証明書は、チャンネルごとに異なる証明書となる。

　前記放送波により送られる電子番組表は、チャンネルごとに前記電子証明書の識別子を関連付けており、前記電子証明書取得部は、前記電子番組表に基づき、前記アプリケーションに付された電子署名から得られる前記電子証明書の識別子に対応するチャンネルの放送波から、前記電子証明書を取得する。

　前記電子証明書は、同一のネットワーク内の他の電子機器と共有される。

　前記アプリケーション取得部は、ネットワークを介して所定のサーバから、前記アプリケーションを取得する。

　受信装置は、独立した装置であってもよいし、１つの装置を構成している内部ブロックであってもよい。

　本技術の第１の側面の受信方法は、本技術の第１の側面の受信装置に対応する受信方法である。

　本技術の第１の側面の受信装置及び受信方法においては、AVコンテンツが受信され、AVコンテンツとともに動作するアプリケーションが取得され、アプリケーションが信頼できるか否かの検証結果に応じて、アプリケーションの動作が制御される。

　本技術の第２の側面の送信方法は、AVコンテンツとともに動作するアプリケーションに付された電子署名を検証するための電子証明書を取得し、前記AVコンテンツとともに、前記電子証明書を送信し、前記電子署名が付された前記アプリケーションを取得し、前記アプリケーションを送信するステップを含む。

　前記AVコンテンツは、放送波により送信される放送コンテンツであり、前記電子証明書は、前記放送コンテンツともに、前記放送波により送信される。

　前記アプリケーションは、受信機からの要求に応じて、ネットワークを介して送信される。

　本技術の第２の側面の送信方法においては、AVコンテンツとともに動作するアプリケーションに付された電子署名を検証するための電子証明書が取得され、AVコンテンツとともに、電子証明書が送信され、電子署名が付されたアプリケーションが取得され、アプリケーションが送信される。

　本技術の第１の側面及び第２の側面によれば、より柔軟性のあるアプリケーションの運用を行うことができる。

本技術の概要を説明する図である。アプリケーションの提供方法の例を示す図である。信頼アプリケーションの起動方法の例を示す図である。テレビ番組とともに動作する信頼アプリケーションの表示例を示す図である。本技術を適用した放送通信連携システムの一実施の形態を示すブロック図である。本技術を適用した送信装置の一実施の形態を示すブロック図である。本技術を適用した受信装置の一実施の形態を示すブロック図である。制御部の詳細構成例を示すブロック図である。アプリケーションサーバの詳細構成例を示すブロック図である。送信処理を説明するフローチャートである。受信処理を説明するフローチャートである。初期化処理を説明するフローチャートである。アプリケーション取得処理を説明するフローチャートである。アプリケーション制御処理を説明するフローチャートである。電子署名検証処理を説明するフローチャートである。電子証明書取得処理を説明するフローチャートである。アプリケーション提供処理を説明するフローチャートである。コンピュータの構成例を示す図である。

　以下、図面を参照しながら本技術の実施の形態について説明する。

＜本技術の概要＞

　図１は、本技術の概要を説明する図である。

　図１に示すように、送信装置１０は、放送波により放送コンテンツとともに、電子証明書を伝送する（Ｓ１）。この電子証明書は、受信装置２０にて取得されるアプリケーションに付加された電子署名を検証するための証明書である。また、このアプリケーションは、放送コンテンツとともに動作するものであり、いわゆるサードパーティや放送事業者などにより制作され、取得される（Ｓ２）。そして、アプリケーションには、放送事業者により電子署名が付加されることで、信頼できるアプリケーションであることが証明される（Ｓ３）。

　電子署名が付されたアプリケーションは、アプリケーションサーバ３０に登録され、インターネットを介してダウンロード可能な状態となる（Ｓ４）。なお、図１には示していないが、インターネット上には、放送事業者による電子署名が付されていないアプリケーションが、他のアプリケーションサーバによりダウンロード可能な状態となっている。

　受信装置２０は、例えばテレビジョン受像機であり、送信装置１０からの放送コンテンツを視聴することが可能である。また、受信装置２０は、送信装置１０からの電子証明書を受信して保持する。受信装置２０は、ユーザの操作に応じた任意のタイミングで、アプリケーションサーバ３０にアクセスして、アプリケーションをダウンロードすることができる（Ｓ５）。ダウンロードしたアプリケーションは、受信装置２０内に保持される。

　ここでは、例えば、サードパーティや放送事業者などにより制作された複数のアプリケーションをアプリケーションストアによりまとめて提供されるようにすることができる。すなわち、例えば、受信装置２０がインターネット上のアプリケーションストアを提供するサーバにアクセスすることで、図２に示すように、アプリケーションストアにより提供されるアプリケーション一覧が提示される。これにより、ユーザは、アプリケーション一覧の中から、所望のアプリケーションを選択することができる。そして、受信装置２０は、ユーザにより選択されたアプリケーションをアプリケーションストアのサーバ等からダウンロードすることになる。

　ただし、図２のアプリケーション一覧の例では、信頼アプリケーションと、非信頼アプリケーションを分類して表示している。以下、放送事業者の許可を得て電子署名が付されたアプリケーションを、「信頼アプリケーション」と称し、放送事業者の許可を得た電子署名が付されていないアプリケーションを、「非信頼アプリケーション」と称して説明する。また、信頼アプリケーションと非信頼アプリケーションとを区別する必要がない場合には、単に「アプリケーション」と称するものとする。

　すなわち、図２のアプリケーションストアにおいて、ユーザは、放送事業者、若しくは放送事業者の許可を得たサードパーディにより制作された信頼アプリケーション、又は放送事業者の許可を得ていないサードパーディにより制作された非信頼アプリケーションのいずれかを選択して、受信装置２０にダウンロードすることができる。

　図１の説明に戻り、受信装置２０では、ダウンロード済みのアプリケーションの起動が指示された場合、電子署名検証処理が行われる（Ｓ６）。すなわち、起動が指示されたアプリケーションを、選局中のチャンネルの放送コンテンツとともに動作させることが可能かどうかを、選局中のチャンネル（放送事業者）用の電子証明書と、アプリケーションに付加された電子署名を用いて検証することになる。そして、起動が指示されたアプリケーションが、放送事業者により許可を得た信頼できるアプリケーションである場合には、信頼アプリケーションとして実行を継続することになる。一方、起動が指示されたアプリケーションが、放送事業者により許可を得ていない信頼できないアプリケーションである場合には、非信頼アプリケーションとして、例えば強制的に終了させることができる。

　なお、電子署名検証処理においては、例えば、署名情報要素を、正規化アルゴリズムで指定された正規化方式でシリアル化し、鍵情報等を用いて、鍵データを取得し、署名アルゴリズムで指定された方式を用いて、署名を検証することになる。ただし、電子証明書には、電子署名の検証に必要な公開鍵が含まれている。また、受信装置２０において、アプリケーションの起動方法であるが、例えば、図３に示すように、テレビ番組とともに、画面の所定の領域に表示されるアプリケーションランチャなどから起動させるようにすることができる。なお、アプリケーションランチャには、信頼アプリケーションのみを表示し、非信頼アプリケーションは表示しないようにすることもできる。

　そして、受信装置２０では、信頼アプリケーションの起動が指示された場合には、例えば、図４に示すように、テレビ番組とともに、信頼アプリケーションが実行されることになる。この例では、自動車レースの番組に、信頼アプリケーションとして、ユーザが事前に登録しておいたドライバに関する情報が重畳して表示されている。

　図１の説明に戻り、受信装置２０は、ホームネットワークを介して接続された端末装置４０と電子証明書を共有することができる（Ｓ７）。ここで、端末装置４０は、例えば、スマートフォン、携帯電話機、又はタブレット型の携帯端末などであり、通信機能を有している。受信装置２０は、端末装置４０との間で機器認証を行い、認証に成功した場合には、取得済みの電子証明書を端末装置４０に送信する。これにより、受信装置２０と端末装置４０との間で、電子証明書の共有がなされる。端末装置４０においては、アプリケーションをダウンロードして（Ｓ５）、そのアプリケーションを起動する場合に、共有している電子証明書を用いた電子署名検証処理が行われる（Ｓ８）。そして、端末装置４０は、電子署名検証処理の処理結果に応じて、アプリケーションを実行することになる。

　以上のように、本技術では、放送波と直接紐付けることなく、テレビ番組とともに動作するアプリケーションに信頼性を持たせることができるので、より柔軟性のあるアプリケーションの運用を行うことが可能となる。

　すなわち、従来、放送波に含めて送られる信号を直接利用しないと、受信機内ではアプリケーションを実行できなかったが、本技術では、放送波に含めて送られる信号に直接紐付けるのではなく、いわば間接的に紐付けることで、アプリケーションに信頼性を持たせて、例えば信頼アプリケーションのみを実行するなどの運用を行うことが可能となる。また、例えば、事前にインストールされているアプリケーションであっても、その信頼性を検証結果に応じて実行させることが可能となる。また、サードパーティが独自に提供するアプリケーションであっても、放送事業者から許可を得て電子署名を付加することで、信頼アプリケーションとして提供することが可能となるので、アプリケーション運用の幅を広げることができる。

＜放送通信連携システムの構成＞

　図５は、本技術を適用した放送通信連携システムの一実施の形態を示すブロック図である。図５に示すように、放送通信連携システム１は、送信装置１０、受信装置２０、アプリケーションサーバ３０、及び、端末装置４０から構成される。また、図５において、アプリケーションサーバ３０と、受信装置２０及び端末装置４０とは、インターネット９０を介して相互に接続されている。さらに、受信装置２０と端末装置４０とは、ユーザ宅２内でホームネットワークを通じて接続されている。

　送信装置１０は、テレビ番組等の放送コンテンツを、デジタル放送信号によって送信する。また、送信装置１０は、アプリケーションに付加された電子署名を検証するための電子証明書を放送信号に含めて送信する。

　受信装置２０は、テレビジョン受像機などの受信機である。受信装置２０は、送信装置１０からの放送信号を受信して、放送コンテンツの映像をディスプレイに表示し、映像に対応する音声をスピーカから出力する。また、受信装置２０は、送信装置１０からの電子証明書を受信して保持する。

　アプリケーションサーバ３０は、アプリケーションを提供するサーバである。アプリケーションサーバ３０は、受信装置２０からの要求に応じて、アプリケーションを、インターネット９０を介して受信装置２０に提供する。ただし、アプリケーションサーバ３０により提供されるアプリケーションには、放送事業者による電子署名が付加されているものと、電子署名が付加されていないものがある。なお、図２に示したように、アプリケーションは、アプリケーションストアを介して提供されるようにしてもよいし、アプリケーションサーバ３０から直接提供されるようにしてもよい。

　受信装置２０は、アプリケーションサーバ３０から提供されるアプリケーションを取得する。受信装置２０は、保持している電子証明書を用いて、アプリケーションに対する電子署名検証処理を行い、当該アプリケーションが信頼できる場合には、信頼アプリケーションとして実行する。

　端末装置４０は、例えば、スマートフォン等の情報端末であり、通信機能を有している。端末装置４０は、ユーザ宅２内のホームネットワークを介して受信装置２０と接続されることで、受信装置２０から送信される電子証明書を受信して、共有することができる。

　また、端末装置４０は、アプリケーションサーバ３０から提供されるアプリケーションを取得する。端末装置４０は、受信装置２０と共有している電子証明書を用いて、アプリケーションに対する電子署名検証処理を行い、当該アプリケーションが信頼できる場合には、信頼アプリケーションとして実行する。

　なお、図５では、説明を簡略化するため、１台の受信装置２０のみを図示しているが、実際には、放送通信連携システム１は、複数台の受信装置２０を含むようにして構成され、各受信装置２０が、送信装置１０からの放送コンテンツを受信することになる。また、アプリケーションサーバ３０は、提供されるアプリケーションごとに複数設けることができる。

　放送通信連携システム１は、以上のように構成される。

＜各装置の構成例＞

　次に、図６乃至図９のブロック図を参照して、図５の放送通信連携システム１を構成する各装置の構成例について説明する。

（送信装置の構成例）
　図６は、図５の送信装置１０の詳細構成例を示すブロック図である。図６において、送信装置１０は、電子証明書取得部１０１、ビデオデータ取得部１０２、ビデオエンコーダ１０３、オーディオデータ取得部１０４、オーディオエンコーダ１０５、マルチプレクサ１０６、送信部１０７、及び、アンテナ１０８により構成される。

　電子証明書取得部１０１は、アプリケーションに付加された電子署名を検証するための電子証明書を生成することにより取得し、マルチプレクサ１０６に供給する。また、電子証明書取得部１０１は、電子証明書の電子証明書IDを取得し、チャンネルに対応させて電子番組表（EPG：Electronic Program Guide）に含ませる。つまり、電子番組表には、チャンネルごとの電子証明書IDが含まれることになる。

　ビデオデータ取得部１０２は、内蔵するHDD（Hard Disk Drive）や、外部のサーバ、カメラ等から、例えばテレビ番組のビデオデータを取得し、ビデオエンコーダ１０３に供給する。ビデオエンコーダ１０３は、ビデオデータ取得部１０２から供給されるビデオデータを、MPEG（Moving Picture Experts Group）等の符号化方式に準拠して符号化し、マルチプレクサ１０６に供給する。

　オーディオデータ取得部１０４は、内蔵するHDDや、外部のサーバ、マイクロフォン等から、例えばテレビ番組のオーディオデータを取得し、オーディオエンコーダ１０５に供給する。オーディオエンコーダ１０５は、オーディオデータ取得部１０４から供給されるオーディオデータを、MPEG等の符号化方式に準拠して符号化し、マルチプレクサ１０６に供給する。

　マルチプレクサ１０６は、ビデオエンコーダ１０３からのビデオデータと、オーディオエンコーダ１０５からのオーディオデータを多重化してトランスポートストリームを生成し、送信部１０７に供給する。ただし、トランスポートストリームには、電子証明書取得部１０１からの電子証明書のデータや、チャンネルごとの電子証明書IDが含まれる電子番組表のデータ等の各種の情報も適宜多重化される。

　送信部１０７は、マルチプレクサ１０６から供給されるトランスポートストリームを、アンテナ１０８を介して放送信号として送信する。

　送信装置１０は、以上のように構成される。

（受信装置の構成例）
　図７は、図５の受信装置２０の詳細構成例を示すブロック図である。図７において、受信装置２０は、アンテナ２０１、チューナ２０２、デマルチプレクサ２０３、ビデオデコーダ２０４、合成部２０５、ディスプレイ２０６、オーディオデコーダ２０７、スピーカ２０８、ブラウザ２０９、制御部２１０、操作部２１１、メモリ２１２、及び、通信部２１３により構成される。

　アンテナ２０１は、送信装置１０からの放送信号を受信して、チューナ２０２に供給する。チューナ２０２は、制御部２１０の制御に従い、アンテナ２０１からの放送信号から、所定のチャンネルの放送信号を選局（復調）し、その結果得られるトランスポートストリームを、デマルチプレクサ２０３に供給する。

　デマルチプレクサ２０３は、チューナ２０２から供給されるトランスポートストリームを、ビデオデータ、オーディオデータ、各種の情報などに分離する。デマルチプレクサ２０３は、ビデオデータをビデオデコーダ２０４に供給し、オーディオデータをオーディオデコーダ２０７に供給する。また、各種の情報は、制御部２１０に供給される。

　ビデオデコーダ２０４は、制御部２１０からの制御に従い、デマルチプレクサ２０３から供給されるビデオデータを、ビデオエンコーダ１０３（図６）に対応する方式でデコードし、合成部２０５に供給する。合成部２０５は、制御部２１０の制御に従い、ビデオデコーダ２０４から供給されるビデオデータと、ブラウザ２０９から供給されるビデオデータを合成し、ディスプレイ２０６に供給する。また、合成部２０５は、制御部２１０からの制御に従い、OSD（On Screen Display）等の画像のビデオデータを、ディスプレイ２０６に供給する。ディスプレイ２０６は、合成部２０５から供給されるビデオデータに基づいて、放送コンテンツの映像等を表示する。

　オーディオデコーダ２０７は、制御部２１０からの制御に従い、デマルチプレクサ２０３から供給されるオーディオデータを、オーディオエンコーダ１０５（図６）に対応する方式でデコードし、スピーカ２０８に供給する。スピーカ２０８は、オーディオデコーダ２０７からのオーディオデータに対応する音声、すなわち、ディスプレイ２０６に表示された放送コンテンツの映像に対応する音声を出力する。

　ブラウザ２０９は、制御部２１０からの制御に従い、アプリケーションを実行する。アプリケーションのビデオデータは、合成部２０５に供給される。

　制御部２１０は、操作部２１１からの操作信号等に応じて、各種の処理を行うとともに、受信装置２０を構成する各ブロックを制御する。

　また、制御部２１０は、デマルチプレクサ２０３から供給される各種の情報に基づいて、ビデオデコーダ２０４、合成部２０５、オーディオデコーダ２０７、及び、ブラウザ２０９を制御する。なお、制御部２１０の詳細構成は、図８を参照して後述する。

　操作部２１１は、ユーザによって操作され、その操作に対応する操作信号を、制御部２１０に供給する。なお、図示はしていないが、受光部により、ユーザによるリモートコントローラの操作に対応する操作信号が制御部２１０に供給される。メモリ２１２は、制御部２１０からの制御に従い、各種の情報を記憶（保持）する。通信部２１３は、制御部２１０からの制御に従い、インターネット９０やユーザ宅２内のホームネットワークなどの各種のネットワークに接続された機器との間で通信を行う。

　受信装置２０は、以上のように構成される。

（制御部の機能的構成例）
　図８は、図７の制御部２１０における、アプリケーションに関する処理を行う部分の機能的構成例を示すブロック図である。図８において、制御部２１０は、電子証明書取得部２５１、アプリケーション取得部２５２、電子署名検証部２５３、及び、アプリケーション制御部２５４を有する。

　電子証明書取得部２５１は、デマルチプレクサ２０３により分離された電子証明書のデータを取得し、メモリ２１２に保持させる。

　アプリケーション取得部２５２は、通信部２１３を制御して、インターネット９０を介してアプリケーションサーバ３０にアクセスし、アプリケーションを取得する。アプリケーション取得部２５２は、取得したアプリケーションを、メモリ２１２に保持させる。

　電子署名検証部２５３は、メモリ２１２に保持されている電子証明書を用いて、アプリケーションに付された電子署名が信頼できるか否かの検証処理を行う。電子署名検証部２５３は、電子署名検証処理の結果を、アプリケーション制御部２５４に供給する。

　アプリケーション制御部２５４は、電子署名検証部２５３からの電子署名検証処理の結果に従い、ブラウザ２０９を制御して、アプリケーションの動作を制御する。

　制御部２１０は、以上のように構成される。

（アプリケーションサーバの構成例）
　図９は、図５のアプリケーションサーバ３０の詳細構成例を示すブロック図である。図９において、アプリケーションサーバ３０は、制御部３０１、アプリケーション取得部３０２、アプリケーション保持部３０３、及び、通信部３０４により構成される。

　制御部３０１は、アプリケーションサーバ３０の各部の動作を制御する。アプリケーション取得部３０２は、制御部３０１からの制御に従い、アプリケーションを取得し、アプリケーション保持部３０３に記録する。

　制御部３０１は、通信部３０４を常時監視して、受信装置２０からアプリケーションが要求された場合に、アプリケーション保持部３０３からアプリケーションを読み出して取得する。通信部３０４は、制御部３０１からの制御に従い、アプリケーションを、インターネット９０を介して、受信装置２０に送信する。

　アプリケーションサーバ３０は、以上のように構成される。

＜各装置で行われる具体的な処理の内容＞

　次に、図１０乃至図１７のフローチャートを参照して、図５の放送通信連携システム１を構成する各装置で行われる具体的な処理の内容について説明する。

（送信処理）
　まず、図１０のフローチャートを参照して、図５の送信装置１０が実行する送信処理について説明する。

　ステップＳ１１１において、電子証明書取得部１０１は、アプリケーションに付された電子署名を検証するための電子証明書を生成することにより取得し、マルチプレクサ１０６に供給する。また、電子証明書取得部１０１は、電子証明書IDをチャンネルに対応させて電子番組表に含ませる。

　ただし、電子証明書は、各放送事業者（チャンネル）で共通の証明書とするか、又は放送事業者（チャンネル）ごとに異なる証明書とすることができる。例えば、各チャンネルで共通の証明書とした場合、この証明書により信頼できるとされたアプリケーションは、全てのチャンネルのテレビ番組とともに動作することが可能となる。この場合、信頼アプリケーションは、複数のチャンネルにまたがったサービスを提供することができる。一方、チャンネルごとに異なる証明書とした場合、この証明書により信頼できるとされたアプリケーションは、特定の放送事業者のチャンネルのテレビ番組に対してのみ動作することが可能となる。

　ステップＳ１１２において、ビデオデータ取得部１０２は、例えば、テレビ番組のビデオデータを取得し、ビデオエンコーダ１０３に供給する。また、ステップＳ１１３において、ビデオエンコーダ１０３は、ビデオデータ取得部１０２からのビデオデータを符号化し、マルチプレクサ１０６に供給する。

　ステップＳ１１４において、オーディオデータ取得部１０４は、例えばテレビ番組のオーディオデータを取得し、オーディオエンコーダ１０５に供給する。また、ステップＳ１１５において、オーディオエンコーダ１０５は、オーディオデータ取得部１０４からのオーディオデータを符号化し、マルチプレクサ１０６に供給する。

　ステップＳ１１６において、マルチプレクサ１０６は、ビデオエンコーダ１０３からのビデオデータと、オーディオエンコーダ１０５からのオーディオデータを多重化してトランスポートストリームを生成する。ただし、トランスポートストリームには、電子証明書のデータや、チャンネルごとの電子証明書IDが含まれる電子番組表のデータ等の各種の情報も適宜多重化される。

　ステップＳ１１７において、送信部１０７は、マルチプレクサ１０６から供給されるトランスポートストリームを、アンテナ１０８を介して放送信号として送信し、送信処理を終了する。

　以上で、送信処理の説明を終了する。

（受信処理）
　次に、図１１のフローチャートを参照して、図５の受信装置２０が実行する受信処理について説明する。この受信処理は、受信装置２０が起動され、ユーザによるリモートコントローラの操作により、所望のチャンネルが選局されたときなどに行われる。

　ステップＳ２１１において、チューナ２０２は、アンテナ２０１を介して放送信号を受信して、復調する。ステップＳ２１２において、デマルチプレクサ２０３は、チューナ２０２により復調されたトランスポートストリームを、ビデオデータと、オーディオデータなどに分離する。

　ステップＳ２１３において、ビデオデコーダ２０４は、デマルチプレクサ２０３により分離されたビデオデータを復号する。また、ステップＳ２１４において、オーディオデコーダ２０７は、デマルチプレクサ２０３により分離されたオーディオデータを復号する。

　ステップＳ２１５において、ディスプレイ２０６は、ビデオデコーダ２０４からのビデオデータに対応する映像を表示する。また、スピーカ２０８は、オーディオデコーダ２０７からのオーディオデータに対応する音声を出力する。これにより、テレビ番組の映像とその映像に対応する音声が出力され、ユーザは所望のテレビ番組を視聴することができる。ステップＳ２１５の処理が終了すると、受信処理は終了する。

　以上で、受信処理の説明を終了する。

（初期化処理）
　次に、図１２のフローチャートを参照して、図７の制御部２１０により実行される初期化処理について説明する。この初期化処理は、例えば、受信装置２０の購入時の初回起動時や、受信装置２０の初期化操作がなされたときなどに行われる。従って、この初期化処理が、アプリケーションの取得時や実行時などにその都度行われることはない。

　制御部２１０は、ステップＳ２３１において、チャンネルを指定するための変数iをリセットしたあと、ステップＳ２３２において、チューナ２０２を制御して、チャンネルリスト[i]のチャンネルを選局する。

　ステップＳ２３３において、制御部２１０は、メモリ２１２を参照して、選局チャンネルの最新の電子証明書が受信機内に存在するか否かを判定する。ステップＳ２３３において、メモリ２１２に選局チャンネルの最新の電子証明書が保持されていない場合、処理はステップＳ２３４に進められる。

　ステップＳ２３４において、電子証明書取得部２５１は、デマルチプレクサ２０３により分離された電子証明書のデータを取得し、メモリ２１２に保持する。これにより、選局チャンネルの放送波から電子証明書が取得されたことになる。一方、ステップＳ２３３において、メモリ２１２に選局チャンネルの最新の電子証明書が保持されている場合、再度電子証明書を取得する必要はないので、ステップＳ２３４はスキップされる。

　そして、ステップＳ２３５において、iの値がインクリメントされたあと、ステップＳ２３６において、次のチャンネルリスト[i]が存在するか否かが判定される。ステップＳ２３６において、チャンネルリスト[i]が存在すると判定された場合、処理はステップＳ２３２に戻り、それ以降の処理が繰り返される。そして、ステップＳ２３６において、チャンネルリスト[i]が存在しないと判定された場合、初期化処理は終了する。

　これにより、ある地域で受信可能なチャンネルのスキャンが行われ、チャンネルごとの電子証明書が取得され、メモリ２１２に保持されることになる。ただし、電子証明書が放送事業者（チャンネル）ごとに異なる場合には、このように電子証明書が取得されるが、各放送事業者（チャンネル）で共通の電子証明書が用いられる場合には、選局チャンネルごとに電子証明書を取得する必要はなく、例えば代表のチャンネルから共通の電子証明書を１つだけ取得すればよいことになる。

　以上で、初期化処理の説明を終了する。

（アプリケーション取得処理）
　次に、図１３のフローチャートを参照して、図７の制御部２１０により実行されるアプリケーション取得処理について説明する。このアプリケーション取得処理は、図１１の受信処理によって、ユーザがテレビ番組を視聴しているとき、あるいはテレビ番組の視聴とは関係なく行われる。

　ステップＳ２４１において、制御部２１０は、ユーザによるリモートコントローラの操作等により、アプリケーションの取得が指示されたか否かを判定する。ステップＳ２４１においては、アプリケーションの取得が指示されるのを待って、処理はステップＳ２４２に進められる。

　ステップＳ２４２において、アプリケーション取得部２５２は、通信部２１３を制御して、インターネット９０を介してアプリケーションサーバ３０にアクセスする。ステップＳ２４３において、アプリケーション取得部２５２は、通信部２１３を制御して、アプリケーションサーバ３０からアプリケーションをダウンロードする。ダウンロードしたアプリケーションは、メモリ２１２に保持される。

　また、例えば、図２に示したように、アプリケーションをアプリケーションストアから取得する場合には、ユーザは、アプリケーションストアにより提供されるアプリケーション一覧を表示させて、その一覧の中から、所望のアプリケーションを選択してダウンロードすることになる。

　以上で、アプリケーション取得処理の説明を終了する。

（アプリケーション制御処理）
　次に、図１４のフローチャートを参照して、図７の制御部２１０により実行されるアプリケーション制御処理について説明する。例えば、このアプリケーション制御処理は、図１３のアプリケーション取得処理により、アプリケーションがダウンロードされてメモリ２１２に保持されたあと、図１１の受信処理により、ユーザがテレビ番組を視聴しているときなどに行われる。

　ステップＳ２５１において、制御部２１０は、ユーザによるリモートコントローラの操作等により、アプリケーションの実行が指示されたか否かを判定する。ステップＳ２５１においては、アプリケーションの実行が指示されるのを待って、処理はステップＳ２５２に進められる。例えば、図３に示したように、テレビアプリランチャに表示されたアイコンが選択された場合、そのアイコンに対応するアプリケーションの実行が指示されたことになる。

　ステップＳ２５２において、アプリケーション制御部２５４は、メモリ２１２から、実行が指示されたアプリケーションを読み出す。そして、ステップＳ２５３において、電子署名検証部２５３は、対象のアプリケーションに電子署名が付加されているか否かを判定する。ステップＳ２５２において、対象のアプリケーションに電子署名が付加されていないと判定された場合、処理は、ステップＳ２５４に進められる。

　ステップＳ２５４において、アプリケーション制御部２５４は、その電子署名が付加されていないアプリケーションを、非信頼アプリケーションとして実行する。この非信頼アプリケーションの扱いであるが、例えば、その利用できる機能を信頼アプリケーションと比べて制限するほか、起動自体せずに強制的に終了させてもよい。

　一方、ステップＳ２５３において、対象のアプリケーションに電子署名が付加されていると判定された場合、処理はステップＳ２５５に進められる。ステップＳ２５５において、電子署名検証部２５３は、電子署名検証処理を行う。この電子署名検証処理では、対象のアプリケーションに付された電子署名が信頼できるか否かの検証が行われる。なお、電子署名検証処理の詳細な内容については、図１５のフローチャートを参照して後述する。

　電子署名検証処理が終了すると、処理はステップＳ２５６に進められる。ステップＳ２５６において、アプリケーション制御部２５４は、ステップＳ２５５の電子署名検証処理の処理結果に従い、対象のアプリケーションを実行する。すなわち、アプリケーション制御部２５４は、対象のアプリケーションが信頼アプリケーションである場合、利用できる機能を制限せずに、対象のアプリケーションを実行する。例えば、信頼アプリケーションは、受信装置２０のリソースとして、選局機能や電子番組表の機能などを利用することができる。一方、アプリケーション制御部２５４は、対象のアプリケーションが非信頼アプリケーションである場合には、対象のアプリケーションの利用できる機能を制限するか、あるいは強制的に終了させる。

　以上で、アプリケーション制御処理の説明を終了する。

（電子署名検証処理）
　次に、図１５のフローチャートを参照して、図１４のステップＳ２５５に対応する電子署名検証処理の詳細な内容について説明する。

　ステップＳ２７１において、電子署名検証部２５３は、メモリ２１２を参照して、対象のアプリケーションの署名に必要な電子証明書が受信機内に存在するか否かを判定する。ステップＳ２７１において、電子証明書が受信機内に存在しないと判定された場合、処理はステップＳ２７２に進められる。

　ステップＳ２７２において、電子証明書取得部２５１は、電子証明書取得処理を行う。この電子証明書取得処理では、放送波から対象のアプリケーションの電子証明書が取得される。なお、電子証明書取得処理の詳細な内容については、図１６のフローチャートを参照して後述する。また、上述した図１２の初期化処理により各チャンネルの電子証明書は取得済みであるため、基本的には電子証明書はメモリ２１２に保持されているが、何らかの原因で初期化処理時に電子証明書の取得を行わなかった場合や、最新の電子証明書が取得できなかった場合などに、ステップＳ２７２の電子証明書取得処理が行われる。

　また、ステップＳ２７１において、電子証明書が既に受信機内に存在すると判定された場合、電子証明書を再度取得する必要はないので、ステップＳ２７２をスキップして、処理はステップＳ２７３に進められる。ステップＳ２７３において、電子署名検証部２５３は、電子証明書を用い、対象のアプリケーションに付された電子署名の検証を行い、電子署名の検証ができたかどうかを判定する（Ｓ２７４）。

　ステップＳ２７４において、対象のアプリケーションに付された電子署名の検証ができた、すなわち、認証に成功したと判定された場合、対象のアプリケーションは信頼できるので、処理はステップＳ２７５に進められる。ステップＳ２７５において、電子署名検証部２５３は、対象のアプリケーションを、信頼アプリケーションとする。

　一方、ステップＳ２７４において、対象のアプリケーションに付された電子署名の検証ができなかった、すなわち、認証に失敗したと判定された場合、対象のアプリケーションは信頼できないので、処理はステップＳ２７６に進められる。ステップＳ２７６において、電子署名検証部２５３は、対象のアプリケーションを、非信頼アプリケーションとする。

　この電子証明書取得処理の処理結果は、アプリケーション制御部２５４に通知される。そして、処理は、図１４のステップＳ２５５に戻り、それ以降の処理が実行される。

　以上で、電子署名検証処理の説明を終了する。

（電子証明書取得処理）
　次に、図１６のフローチャートを参照して、図１５のステップＳ２７２に対応する電子証明書取得処理について説明する。

　ステップＳ２９１においては、チャンネルを指定するための変数iが0に設定される。ステップＳ２９２において、電子証明書取得部２５１は、電子署名の検証に必要な電子証明書の電子証明書ID（= X）を、対象のアプリケーションに付加された電子署名から取得する。

　電子証明書取得部２５１は、ステップＳ２９３において、電子番組表に含まれる電子証明書ID[i]を取得し、ステップＳ２９４において、電子証明書ID[i] = Xとなるかどうかを判定する。ステップＳ２９４において、電子証明書ID[i] = Xであると判定された場合、電子署名の検証に必要な電子証明書を取得可能なチャンネルが特定されたので、処理は、ステップＳ２９５に進められる。

　ステップＳ２９５において、制御部２１０は、チューナ２０２を制御して、電子証明書ID[i]に対応するチャンネルを選局する。そして、ステップＳ２９６において、電子証明書取得部２５１は、選局チャンネルの放送波から電子証明書を取得する。これにより、対象のアプリケーションに付加された電子署名の検証に必要な電子証明書が取得されたことになる。

　また、ステップＳ２９４において、電子証明書ID[i] = Xではないと判定された場合、処理はステップＳ２９７に進められる。ステップＳ２９７においては、iの値がインクリメントされ、ステップＳ２９８において、電子番組表に、次の電子証明書ID[i]が存在するか否かが判定される。ステップＳ２９８において、電子証明書ID[i]が存在すると判定された場合、ステップＳ２９３に戻り、それ以降の処理が繰り返され、電子証明書ID[i] = Xとなった場合に、所定のチャンネルの放送波から電子証明書が取得される。

　そして、ステップＳ２９６にて電子証明書が取得されるか、あるいはステップＳ２９８にて電子番組表に、次の電子証明書ID[i]が存在しないと判定された場合、処理は、図１５のステップＳ２７２に戻り、それ以降の処理が実行される。

　なお、上述した説明では、電子番組表に電子証明書IDとチャンネルとの対応を含ませる例を説明したが、受信装置２０にて図１２の初期化処理の実行時に、選局チャンネルと電子証明書IDの対応をとることができるため、その対応関係をデータベースとして、メモリ２１２に保持しておくようにしてもよい。要は、チャンネルと電子証明書IDとの対応関係を認識できればよいのであって、その対応関係の取得方法は任意である。

　以上で、電子証明書取得処理の説明を終了する。

（アプリケーション提供処理）
　最後に、図１７のフローチャートを参照して、図５のアプリケーションサーバ３０が実行するアプリケーション提供処理について説明する。

　ステップＳ３１１において、アプリケーション取得部３０２は、制御部３０１からの制御に従い、アプリケーションを取得する。また、ステップＳ３１２において、アプリケーション取得部３０２は、制御部３０１からの制御に従い、取得したアプリケーションを、アプリケーション保持部３０３に登録する。

　ステップＳ３１３において、制御部３０１は、新たなアプリケーションを登録するか否かを判定する。ステップＳ３１３において、新たなアプリケーションを登録すると判定された場合、処理は、ステップＳ３１１に戻り、新たなアプリケーションが取得され、登録される。一方、ステップＳ３１３において、新たなアプリケーションを登録しないと判定された場合、処理は、ステップＳ３１４に進められる。

　ステップＳ３１４において、制御部３０１は、通信部３０４を監視することで、受信装置２０からアプリケーションの要求がされたか否かを判定する。ステップＳ３１４において、アプリケーションの要求がされていないと判定された場合、処理は、ステップＳ３１３に戻り、上述した処理が繰り返される。一方、ステップＳ３１４において、アプリケーションが要求されたと判定された場合、処理は、ステップＳ３１５に進められる。

　ステップＳ３１５において、制御部３０１は、受信装置２０からの要求に応じたアプリケーションを、アプリケーション保持部３０３から読み出す。ステップＳ３１６において、通信部３０４は、制御部３０１からの制御に従い、アプリケーション保持部３０３から読み出されたアプリケーションを、要求元の受信装置２０に提供（送信）する。ステップＳ３１６の処理が終了すると、処理はステップＳ３１３に戻り、それ以降の処理が繰り返される。

　以上で、アプリケーション提供処理の説明を終了する。

　なお、上述した説明では、受信装置２０は、送信装置１０から送信される放送コンテンツを受信するとして説明したが、インターネット９０上に設けられた配信サーバ（不図示）により配信される通信コンテンツを受信して、ストリーミング再生を行うようにしてもよい。この場合、アプリケーションは、通信コンテンツとともに動作することになる。例えば、通信コンテンツは、VOD（Video On Demand）により配信される、放送済のテレビ番組や公開済みの映画、オリジナルの映像番組などのAV（Audio Visual）コンテンツである。すなわち、放送コンテンツと通信コンテンツは、AVコンテンツの一例である。

　また、インターネット９０上に、アプリケーションに付された電子署名の検証処理を行う専用の検証サーバ（不図示）を設けて、受信装置２０は、図１５の電子署名検証処理は行わずに、検証サーバからの電子署名検証処理の処理結果に従い、アプリケーションの動作を制御するようにしてもよい。

＜本技術を適用したコンピュータの説明＞

　上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウェアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどが含まれる。

　図１８は、上述した一連の処理をプログラムにより実行するコンピュータのハードウェアの構成例を示すブロック図である。

　コンピュータ９００において、CPU（Central Processing Unit）９０１，ROM（Read Only Memory）９０２，RAM（Random Access Memory）９０３は、バス９０４により相互に接続されている。バス９０４には、さらに、入出力インタフェース９０５が接続されている。入出力インタフェース９０５には、入力部９０６、出力部９０７、記録部９０８、通信部９０９、及びドライブ９１０が接続されている。

　入力部９０６は、キーボード、マウス、マイクロフォンなどよりなる。出力部９０７は、ディスプレイ、スピーカなどよりなる。記録部９０８は、ハードディスクや不揮発性のメモリなどよりなる。通信部９０９は、ネットワークインタフェースなどよりなる。ドライブ９１０は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブルメディア９１１を駆動する。

　以上のように構成されるコンピュータ９００では、CPU９０１が、例えば、記録部９０８に記憶されているプログラムを、入出力インタフェース９０５及びバス９０４を介して、RAM９０３にロードして実行することにより、上述した一連の処理が行われる。

　コンピュータ９００（CPU９０１）が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブルメディア９１１に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線又は無線の伝送媒体を介して提供することができる。

　コンピュータ９００では、プログラムは、リムーバブルメディア９１１をドライブ９１０に装着することにより、入出力インタフェース９０５を介して、記録部９０８にインストールすることができる。また、プログラムは、有線又は無線の伝送媒体を介して、通信部９０９で受信し、記録部９０８にインストールすることができる。その他、プログラムは、ROM９０２や記録部９０８に、あらかじめインストールしておくことができる。

　なお、コンピュータ９００が実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。

　ここで、本明細書において、コンピュータ９００に各種の処理を行わせるためのプログラムを記述する処理ステップは、必ずしもフローチャートとして記載された順序に沿って時系列に処理する必要はなく、並列的あるいは個別に実行される処理（例えば、並列処理あるいはオブジェクトによる処理）も含むものである。また、プログラムは、１のコンピュータにより処理されるものであってもよいし、複数のコンピュータによって分散処理されるものであってもよい。さらに、プログラムは、遠方のコンピュータに転送されて実行されるものであってもよい。

　さらに、本明細書において、システムとは、複数の構成要素（装置、モジュール（部品）等）の集合を意味し、すべての構成要素が同一筐体中にあるか否かは問わない。したがって、別個の筐体に収納され、ネットワークを介して接続されている複数の装置、及び、１つの筐体の中に複数のモジュールが収納されている１つの装置は、いずれも、システムである。

　なお、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。例えば、本技術は、１つの機能を、ネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。

　また、上述のフローチャートで説明した各ステップは、１つの装置で実行する他、複数の装置で分担して実行することができる。さらに、１つのステップに複数の処理が含まれる場合には、その１つのステップに含まれる複数の処理は、１つの装置で実行する他、複数の装置で分担して実行することができる。

　なお、本技術は、以下のような構成をとることができる。

（１）
　AVコンテンツを受信するコンテンツ受信部と、
　前記AVコンテンツとともに動作するアプリケーションを取得するアプリケーション取得部と、
　前記アプリケーションが信頼できるか否かの検証結果に応じて、前記アプリケーションの動作を制御するアプリケーション制御部と
　を備える受信装置。
（２）
　前記AVコンテンツは、放送波により送られる放送コンテンツであり、
　前記放送波により送られる、前記アプリケーションに付された電子署名を検証するための電子証明書を取得する電子証明書取得部と、
　前記電子証明書を用い、前記アプリケーションに付された電子署名を検証する電子署名検証部と
　をさらに備える（１）に記載の受信装置。
（３）
　前記アプリケーション制御部は、前記アプリケーションが信頼できる場合にのみ、前記アプリケーションを起動して実行する
　（１）又は（２）に記載の受信装置。
（４）
　前記電子証明書は、各チャンネルで共通の証明書となる
　（２）又は（３）に記載の受信装置。
（５）
　前記電子証明書は、チャンネルごとに異なる証明書となる
　（２）又は（３）に記載の受信装置。
（６）
　前記放送波により送られる電子番組表は、チャンネルごとに前記電子証明書の識別子を関連付けており、
　前記電子証明書取得部は、前記電子番組表に基づき、前記アプリケーションに付された電子署名から得られる前記電子証明書の識別子に対応するチャンネルの放送波から、前記電子証明書を取得する
　（２）又は（３）に記載の受信装置。
（７）
　前記電子証明書は、同一のネットワーク内の他の電子機器と共有される
　（２）乃至（６）のいずれか一項に記載の受信装置。
（８）
　前記アプリケーション取得部は、ネットワークを介して所定のサーバから、前記アプリケーションを取得する
　（１）乃至（７）のいずれか一項に記載の受信装置。
（９）
　受信装置の受信方法において、
　前記受信装置が、
　AVコンテンツを受信し、
　前記AVコンテンツとともに動作するアプリケーションを取得し、
　前記アプリケーションが信頼できるか否かの検証結果に応じて、前記アプリケーションの動作を制御する
　ステップを含む受信方法。
（１０）
　AVコンテンツとともに動作するアプリケーションに付された電子署名を検証するための電子証明書を取得し、
　前記AVコンテンツとともに、前記電子証明書を送信し、
　前記電子署名が付された前記アプリケーションを取得し、
　前記アプリケーションを送信する
　ステップを含む送信方法。
（１１）
　前記AVコンテンツは、放送波により送信される放送コンテンツであり、
　前記電子証明書は、前記放送コンテンツともに、前記放送波により送信される
　（１０）に記載の送信方法。
（１２）
　前記アプリケーションは、受信機からの要求に応じて、ネットワークを介して送信される
　（１０）又は（１１）に記載の送信方法。

　１　放送通信連携システム，　１０　送信装置，　２０　受信装置，　３０　アプリケーションサーバ，　４０　端末装置，　９０　インターネット，　１０１　電子証明書取得部，　１０７　送信部，　２０２　チューナ，　２１０　制御部，　２１２　メモリ，　２１３　通信部，　２５１　電子証明書取得部，　２５２　アプリケーション取得部，　２５３　電子署名検証部，　２５４　アプリケーション制御部，　３０１　制御部，　３０２　アプリケーション取得部，　３０４　通信部，　９００　コンピュータ，　９０１　CPU

Claims

　AVコンテンツを受信するコンテンツ受信部と、
　前記AVコンテンツとともに動作するアプリケーションを取得するアプリケーション取得部と、
　前記アプリケーションが信頼できるか否かの検証結果に応じて、前記アプリケーションの動作を制御するアプリケーション制御部と
　を備える受信装置。
　前記AVコンテンツは、放送波により送られる放送コンテンツであり、
　前記放送波により送られる、前記アプリケーションに付された電子署名を検証するための電子証明書を取得する電子証明書取得部と、
　前記電子証明書を用い、前記アプリケーションに付された電子署名を検証する電子署名検証部と
　をさらに備える請求項１に記載の受信装置。
　前記アプリケーション制御部は、前記アプリケーションが信頼できる場合にのみ、前記アプリケーションを起動して実行する
　請求項２に記載の受信装置。
　前記電子証明書は、各チャンネルで共通の証明書となる
　請求項３に記載の受信装置。
　前記電子証明書は、チャンネルごとに異なる証明書となる
　請求項３に記載の受信装置。
　前記放送波により送られる電子番組表は、チャンネルごとに前記電子証明書の識別子を関連付けており、
　前記電子証明書取得部は、前記電子番組表に基づき、前記アプリケーションに付された電子署名から得られる前記電子証明書の識別子に対応するチャンネルの放送波から、前記電子証明書を取得する
　請求項３に記載の受信装置。
　前記電子証明書は、同一のネットワーク内の他の電子機器と共有される
　請求項３に記載の受信装置。
　前記アプリケーション取得部は、ネットワークを介して所定のサーバから、前記アプリケーションを取得する
　請求項１に記載の受信装置。
　受信装置の受信方法において、
　前記受信装置が、
　AVコンテンツを受信し、
　前記AVコンテンツとともに動作するアプリケーションを取得し、
　前記アプリケーションが信頼できるか否かの検証結果に応じて、前記アプリケーションの動作を制御する
　ステップを含む受信方法。
　AVコンテンツとともに動作するアプリケーションに付された電子署名を検証するための電子証明書を取得し、
　前記AVコンテンツとともに、前記電子証明書を送信し、
　前記電子署名が付された前記アプリケーションを取得し、
　前記アプリケーションを送信する
　ステップを含む送信方法。
　前記AVコンテンツは、放送波により送信される放送コンテンツであり、
　前記電子証明書は、前記放送コンテンツともに、前記放送波により送信される
　請求項１０に記載の送信方法。
　前記アプリケーションは、受信機からの要求に応じて、ネットワークを介して送信される
　請求項１１に記載の送信方法。