EP1329050A2 - Module for secure transmission of data - Google Patents

Module for secure transmission of data

Info

Publication number
EP1329050A2
EP1329050A2 EP01988996A EP01988996A EP1329050A2 EP 1329050 A2 EP1329050 A2 EP 1329050A2 EP 01988996 A EP01988996 A EP 01988996A EP 01988996 A EP01988996 A EP 01988996A EP 1329050 A2 EP1329050 A2 EP 1329050A2
Authority
EP
European Patent Office
Prior art keywords
data packets
module
computer
interface
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP01988996A
Other languages
German (de)
French (fr)
Inventor
Christophe Genevois
Jean Luc Duhamel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Identiv GmbH
Original Assignee
SCM Microsystems GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SCM Microsystems GmbH filed Critical SCM Microsystems GmbH
Publication of EP1329050A2 publication Critical patent/EP1329050A2/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]

Abstract

The invention relates to a module for secure transmission of data in a computer network. The module has a bi-directional interface with a computer connected to the network enabling the module to exchange packets, commands and messages with the computer via said interface. The module also comprises an interface to a smart card containing an identification key. A filter logic circuit is arranged in the module. Said circuit filters out authorization messages from the data packets which are received by the computer via the network and transmitted to the module via the bi-directional interface. The module further comprises a processor having a memory for controlling the module and which calculates at least one cryptographic key by means of the authorization messages and the identification key contained in the smart card, in addition to a decryption logic circuit which can separate the header from the contents of the data packets, decode the contents of the data packets by means of the cryptographic key which is calculated by the processor and is associated with the decryption method carried out in the hardware of the logic circuit, and can reincorporate the header into the decrypted content of the data packets, whereby the data packets are redirected to the computer via the bi-directional interface.

Description

Modul zur sicheren Übertragung von Daten Module for the secure transmission of data
Die Erfindung betrifft ein Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind. Die Erfindung betrifft außerdem ein System zur sicheren Übertragung von Daten zwischen zwei Rechnern, die durch ein Rechner-Netzwerk miteinander verbunden sind. Die sichere Datenübertragung in Rechnernetzwerken gewinnt zunehmend an Bedeutung. Da die Grenzen zwischen den einzelnen Medienendgeräten wie Rundfunk- und Fernsehempfänger und PC immer mehr verschwimmen werden insbesondere für die Bereitstellung kostenpflichtiger Dienste etwa über das Internet, z.B. Digitales Fernsehen (DVB = Digital Video Broadcasting) Mög- lichkeiten gesucht, große Datenmengen weiträumig zu verbreiten, zu denen der Zugriff gezielt gestattet oder verweigert werden kann.The invention relates to a module for the secure transmission of data in a computer network, in which data is transmitted according to a network protocol, the data being organized in data packets, consisting of a header and a content that can be encrypted. The invention also relates to a system for the secure transmission of data between two computers which are connected to one another by a computer network. Secure data transmission in computer networks is becoming increasingly important. As the boundaries between the individual media terminals such as radio and television receivers and PCs are becoming increasingly blurred, in particular for the provision of chargeable services, for example via the Internet, e.g. Digital television (DVB = Digital Video Broadcasting) Wanted opportunities to distribute large amounts of data over a wide area, to which access can be specifically permitted or denied.
Aufgabe der Erfindung ist es, ein Modul zur sicheren Datenübertragung in einem Rechnernetzwerk zu schaffen, das ein Höchstmaß an Sicherheit bei hohem Datendurchsatz und einfachem Anschluß an bestehende Rechner bietet.The object of the invention is to provide a module for secure data transmission in a computer network, which offers the highest level of security with high data throughput and easy connection to existing computers.
Zu diesem Zweck ist bei einem ein Modul der eingangs genannten Art vorgesehen: eine bidirektionale Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner, wobei das Modul über die Schnittstelle mit dem RechnerFor this purpose, a module of the type mentioned at the beginning is provided: a bidirectional interface to a computer connected to the network, the module via the interface with the computer
Datenpakete, Befehle und Meldungen austauschen kann, eine Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Keimung wenigstens einen kryptographischen Schlüssel berechnet, eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden.A processor can exchange data packets, commands and messages, an interface to a smart card on which an identifier is stored, a filter logic circuit that filters out authorization messages from the data packets received from the computer via the network and forwarded to the module via the bidirectional interface with memory for controlling the module, which calculates at least one cryptographic key by means of the authorization messages and by means of the germination stored in the smart card, a decryption logic circuit which can separate the header from the content of the data packets, the content contained in the data packets by means of the processor calculated cryptographic key, which interacts with a decryption method implemented in the hardware of the logic circuit, can decrypt and attach the header again to the decrypted content of the data packets, the data packets then using the bid directional interface to the computer.
Ein derartiges Modul hat erhebliche Vorteile: Zum einen erfolgt die Entschlüsselung der Daten in einer Hardware-Logikschaltung sehr schnell, so daß große Datenmengen in kurzer Zeit verarbeitet werden können, was insbesondere bei DVB von wesentlicher Bedeutung ist. Zum anderen ist das Modul alsSuch a module has considerable advantages: On the one hand, the decryption of the data in a hardware logic circuit takes place very quickly, so that large amounts of data can be processed in a short time, which is particularly important in DVB. On the other hand, the module is as
Hardware gegenüber unberechtigten Zugriffen (Hacken) auf die verschlüsselten Daten und die Schlüssel selbst wesentlich besser abgesichert als ein Softwaredecoder in einer offenen ungesicherten Umgebung, wie sie ein Rechner darstellt.Hardware is secured much better against unauthorized access (hacking) to the encrypted data and the keys themselves than a Software decoder in an open, unsecured environment, as represented by a computer.
Die Aufgabe der Erfindung wird ebenfalls von einem Modul der eingangs genannten Art gelöst, bei dem vorgesehen ist: eine erste Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann, einer zweite Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann, - eine Schnittstelle zu einer Smart-Card auf der eine Kennung hinterlegt ist, eine Filterlogikschaltung, die aus den vom Netzwerk empfangenen und über die erste Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften heraus filtert, ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegtenThe object of the invention is also achieved by a module of the type mentioned at the outset, which provides: a first interface to a computer network, via which the module can receive data packets from the computer network, a second interface to a computer, via which the module can send data packets to the computer, - an interface to a smart card on which an identifier is stored, a filter logic circuit that filters authorization messages from the data packets received from the network and forwarded to the module via the first interface, a processor with Memory for controlling the module, using the authorization messages and the ones stored in the smart card
Kennung wenigstens einen kryptographischen Schlüssel berechnet, eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden. Bei dieser Ausgestaltung ist es möglich, das Modul auf einfache Weise in die Verbindung zum Rechner-Netzwerk einzuschalten, so daß keine zusätzliche Schnittstelle am Rechner erforderlich ist.Identifier calculates at least one cryptographic key, a decryption logic circuit that can separate the header from the content of the data packets, can decrypt the content contained in the data packets by means of the cryptographic key calculated by the processor, which interacts with a decryption method implemented in the hardware of the logic circuit Can attach the header again to the decrypted content of the data packets, the data packets then being routed to the computer via the second interface. With this configuration, it is possible to easily connect the module to the connection to the computer network, so that no additional interface on the computer is required.
Die Erfindung wird nachfolgend anhand bevorzugter Ausfuhrungsformen ausführlicher beschrieben. Dabei wird Bezug genommen auf die beigefügten Zeichnungen, in denen:The invention is described in more detail below on the basis of preferred embodiments. Reference is made to the accompanying drawings, in which:
Fig. 1 ein Blockschaltbild einer ersten Ausfuhrungsform eines erfindungsgemäßen Modules;1 shows a block diagram of a first embodiment of a module according to the invention;
Fig. 2 ein Blockschaltbild für eine Anwendungsmöglichkeit des Modules aus Fig. 1 in einem Netzwerk;FIG. 2 shows a block diagram for an application of the module from FIG. 1 in a network; FIG.
Fig. 3 ein Blockschaltbild einer zweiten Ausführungsform eines erfindungsgemäßen Modules; und3 shows a block diagram of a second embodiment of a module according to the invention; and
Fig. 4 ein Blockschaltbild für eine Anwendungsmöglichkeit des Modules aus Fig.4 shows a block diagram for one possible application of the module from FIG.
3 in einem Netzwerk zeigen. In Fig. 1 ist ein erfindungsgemäßes Modul 10 zu sehen, das für den bedingten Zugriff (CA = Conditional Access) auf Medieninhalte aus einem Netzwerk, z.B. dem Internet, vorgesehen ist. In diesem Netzwerk werden Datenpakete gemäß einem Netzwerkprotokoll. z.B. dem bekannten Internetprotokoll (IP), transportiert, wobei die Medieninhalte in den Paketen verschlüsselt sein können. Das Modul 10 ist bei dieser Ausführungsform als Steckkarte für einen PCMCIA- Steckplatz in einem Rechner, vorteilhafterweise ein Laptop 12, ausgebildet, der an ein Rechner-Netzwerk 34 angeschlossen ist. Das Modul 10 selbst beinhaltet einen bidirektionalen Schnittstellen-Baustein 14, der im folgenden der Einfachheit halber als bidirektionale Schnittstelle 14 bezeichnet wird, einen Prozessor 20 mit Speicher und einen Schnittstellen-Baustein 22 zu einem (nicht dargestellten) Steckplatz 24 für eine Smart-Card 26, die im folgenden der Einfachheit halber als Schnittstelle für eine Smart-Card bezeichnet werden. Der Prozessor 20 steht über den Steuerleitungen 25 mit allen anderen Baugruppen des Moduls in Verbindung und steuert die Funktionen des Moduls 10. Die bidirektionale Schnittstelle 14 ist über den Bus 15 mit einem (nicht dargestellten) Schnittstellen-Baustein im Rechner 12 verbunden. Über den Bus 15 kann das Modul vom Rechner über das Netzwerk 34 empfangene Datenpakete erhalten und nach Entschlüsselung an den Rechner 12 weitergeben. Außerdem ist es denkbar, daß das Modul 10 über den Bus 15 mit dem Rechner 12 kommunizieren kann, wodurch die Möglichkeit besteht, das Modul 10 vom Rechner 12 aus zu bedienen. Die Schnittstelle 15 kann über eine Verbindung 30 Daten an eine Filterlogikschaltung 16 weitergeben und über eine zweite Verbindung 32 Daten mit einer Entschlüsselungslogikschaltung 18 austauschen.3 show in a network. 1 shows a module 10 according to the invention which is provided for conditional access (CA = Conditional Access) to media content from a network, for example the Internet. In this network, data packets are created according to a network protocol. eg the well-known Internet Protocol (IP), whereby the media content in the packets can be encrypted. In this embodiment, the module 10 is designed as a plug-in card for a PCMCIA slot in a computer, advantageously a laptop 12, which is connected to a computer network 34. The module 10 itself contains a bidirectional interface module 14, which for the sake of simplicity is referred to below as a bidirectional interface 14, a processor 20 with memory and an interface module 22 to a slot 24 (not shown) for a smart card 26 , which in the following are called the interface for a smart card for the sake of simplicity. The processor 20 is connected via the control lines 25 to all other modules of the module and controls the functions of the module 10. The bidirectional interface 14 is connected via the bus 15 to an interface module (not shown) in the computer 12. The module can receive data packets received from the computer via the network 34 via the bus 15 and, after decryption, pass them on to the computer 12. It is also conceivable that the module 10 can communicate with the computer 12 via the bus 15, which makes it possible to operate the module 10 from the computer 12. The interface 15 can forward data to a filter logic circuit 16 via a connection 30 and exchange data with a decryption logic circuit 18 via a second connection 32.
In Fig. 2 ist ein Ausschnitt aus einem Netzwerk 40 dargestellt, an welches der Rechner 12 angeschlossen ist. An das Netzwerk 40 ist der Rechner eines Diensteanbieters 42 angeschlossen, der in dieser Ausfuhrungsform digitales Fernsehen (DVB = Digital Video Broadcasting) bereitstellt.2 shows a section of a network 40 to which the computer 12 is connected. The computer of a service provider 42 is connected to the network 40 and in this embodiment provides digital television (DVB = Digital Video Broadcasting).
Im folgenden wird die Funktion des Modules 10 am Beispiel einer DVB- Übertragung vom Diensteanbieter 42 zum Rechner 12 des Kunden beschrieben. Der Diensteanbieter 42 stellt ein DVB-Signal 44 bereit. Dieses Signal soll über das Netzwerk 40 in Datenpaketen versandt werden, und zwar so, daß nur bestimmte, dazu berechtigte Kunden imstande sind, dieses Signal zu empfangen und zu lesen. Zu diesem Zwecke wird das Signal in bekannter Weise in Datenpakete verpackt und der Inhalt der Datenpakete in einem Encoder 46 (auch Scrambler genannt) mit wechselnden kryptographischen Schlüsselwörtern verschlüsselt, die in einem Wortgenerator 48 erzeugt werden. Die zur Entschlüsselung der Datenpakete notwendigen Informationen werden als sogenannte Zugangsberechtigungsbotschaften (Entitlement Control Message, ECM) und als Zugangsverwaltungsbotschaften (Entitlement Management Message, EMM) zusammen mit dem Signal in den Datenpaketen verschickt. Dabei enthalten die EMMs nutzerspezifische Daten, die einem bestimmten Kunden oder einem bestimmten Kundenkreis den Zugang zu bestimmten Programmen (Pay per Channel) oder zu bestimmten Sendungen (Pay per View) ermöglichen. Die Zuordnung zu einem bestimmten Kunden oder einem bestimmten Kundenkreis wird durch eine Kennung hergestellt, die beispielweise in der Smart-Card gespeichert sein kann. Der Diensteanbieter hält deshalb in einer Datenbank 50 die entsprechenden Kundendaten bereit, so daß die EMMs automatisch versandt werden können. Die ECMs hingegen enthalten programmspezifische Daten, nämlich die Schlüsselwörter mittels welchen die Datenpakete wieder entschlüsselt werden können. Damit ein unberechtigtes Aufbrechen der Verschlüsselung weiter erschwert ist, werden die Schlüsselwörter während der Sendung häufig geändert. Die ECMs werden sehr viel häufiger gesendet als die EMMs, da sich die nutzerspezifischen Daten ja im Vergleich zu den Schlüsselwörtern selten ändern.The function of the module 10 is described below using the example of a DVB transmission from the service provider 42 to the customer's computer 12. The service provider 42 provides a DVB signal 44. This signal is intended to be sent over the network 40 in data packets in such a way that only certain authorized customers are able to receive and read this signal. For this purpose, the signal is packaged in data packets in a known manner and the content of the data packets is encrypted in an encoder 46 (also called a scrambler) with changing cryptographic keywords that are generated in a word generator 48. The information required to decrypt the data packets is sent as so-called Entitlement Control Message (ECM) and as Entitlement Management Message (EMM) together with the signal in the data packets. The EMMs contain user-specific data that give a certain customer or a certain group of customers access to certain Enable programs (pay per channel) or for certain programs (pay per view). The assignment to a specific customer or a specific customer group is established by an identifier, which can be stored in the smart card, for example. The service provider therefore has the corresponding customer data in a database 50 so that the EMMs can be sent automatically. The ECMs, on the other hand, contain program-specific data, namely the key words by means of which the data packets can be decrypted again. To make it even more difficult to break up the encryption without authorization, the keywords are changed frequently during the broadcast. The ECMs are sent much more frequently than the EMMs, since the user-specific data rarely change compared to the keywords.
Die Datenpakete werden über das Netzwerk 40, welches beispielsweise das Internet, ein privates Netzwerk oder ein firmeninternes Intranet sein kann, versandt. Dabei werden sie vorher mit einem für das jeweilige Netzwerkprotokoll spezifischen Header versehen, der bestimmte für die Übertragung ins Netzwerk wichtige Informationen enthält. Beim Internet-Protokoll IP können das z.B.The data packets are sent via the network 40, which can be, for example, the Internet, a private network or a company-internal intranet. They are given a header specific to the respective network protocol, which contains certain information that is important for transmission to the network. With the Internet protocol IP this can e.g.
Informationen über die Version des Protokolls, die Header-Länge, die Art des Dienstes, die Gesamtlänge des Datenpakets, die Lebensdauer des Pakets, eineInformation about the version of the protocol, the header length, the type of service, the total length of the data packet, the lifespan of the packet, a
Prüfsumme, die Art des übergeordneten Transportprotokolls (z.B. TCP UDP), dieChecksum, the type of the higher-level transport protocol (e.g. TCP UDP), the
Rechner-Quelladresse und die Rechner-Zieladresse sein.Computer source address and the computer destination address.
Der Rechner 12, der z.B. über ein Modem 46, wie dargestellt, über eine Netzwerkkarte oder auf sonstige Weise an das Netzwerk angeschlossen sein kann, empfängt die Datenpakete und leitet diese zunächst ohne weitere Verarbeitung über die PCMCIA-Schnittstelle an das Modul 10 weiter. Die Datenpakete können sowohl an die Filterlogikschaltung 16 als auch an die Entschlüsselungslogikschaltung 18 weitergegeben werden. Die Filterlogikschaltung filtert die eventuell in den Daten enthaltenen EMMs und ECMs heraus und gibt diese über den Bus 25 an den Prozessor 20 weiter.The computer 12, which e.g. Via a modem 46, as shown, can be connected to the network via a network card or in some other way, receives the data packets and forwards them to module 10 without further processing via the PCMCIA interface. The data packets can be passed on both to the filter logic circuit 16 and to the decryption logic circuit 18. The filter logic circuit filters out any EMMs and ECMs contained in the data and passes them on to the processor 20 via the bus 25.
Wenn der Prozessor 20 eine EMM erhält, die für den durch die in der Smart-Card 26 enthaltenen Kennung identifizierten Kunden bestimmt ist, lädt er die darin enthaltene Information in den Speicher und hält sie dort so lange, bis sie durch aktuellere Informationen aus einer neuen EMM überschrieben werden kann. Diese Informationen umfassen beispielsweise die Berechtigung, auf eine bestimmte Sendung oder ein bestimmtes Programm zugreifen zu können. Erhält der Prozessor 20 dann ECMs, die diese bestimmte Sendung oder dieses Programm betreffen, dann kann er mit Hilfe dieser Informationen und der in der Smart-Card 26 hinterlegten Kennung aus den ECMs die kryptographischen Schlüssel zur Entschlüsselung des Inhaltes der Datenpakete, aus denen die Sendung besteht, berechnen. Die berechneten Schlüssel gibt der Prozessor 20 an die Entschlüsselungslogikschaltung 18 weiter. Die Entschlüsselungslogikschaltung 18 umfaßt eine nicht im einzelnen dargestellte Header-Logikschaltung, die denWhen the processor 20 receives an EMM which is intended for the customer identified by the identifier contained in the smart card 26, it loads the information contained therein into the memory and holds it there until it is replaced by more current information from a new one EMM can be overwritten. This information includes, for example, the authorization to be able to access a specific program or a specific program. If the processor 20 then receives ECMs relating to this particular program or program, it can use this information and the identifier stored in the smart card 26 from the ECMs to obtain the cryptographic keys for decrypting the content of the data packets from which the program is made exists, calculate. The processor 20 forwards the calculated keys to the decryption logic circuit 18. The decryption logic circuit 18 includes a header logic circuit, not shown in detail, that the
Header der Datenpakete vom Inhalt abtrennt und den Header über den Bus 25 im Speicher ablegt. Die Header-Logikschaltung kann bei anderen Ausfuhrungsformen der Erfindung auch Bestandteil des Schnittstellen-Bausteins 14 sein, so daß auch die zur Filterlogikschaltung 16 über die Verbindung 30 Daten nur noch aus dem Inhalt der Datenpakete bestehen. Die Entschlüsselungslogikschaltung 18 benutzt die berechneten Schlüssel, um mittels eines in ihrer Hardware realisierten Verschlüsselungsverfahrens den Inhalt der Datenpakete zu entschlüsseln und den entschlüsselten Inhalt wieder an das Interface zurückzugeben. Die Header-Logikschaltung holt dann den abgespeicherten Header aus dem Speicher zurück und fügt ihn an den nunmehr entschlüsselten Inhalt des Datenpaketes, so daß das Paket wieder vollständig ist. und reicht dieses über den bidirektionalen Bus 15 an den Rechner 12 weiter, in dem die weitere Verarbeitung in üblicher Weise erfolgen kann. Der Inhalt von Datenpaketen, für die der Kunde keine Zugangsberechtigung besitzt, kann von der Entschlüsselungslogikschaltung 18 nicht entschlüsselt werden. Diese Datenpakete werden vom Interface entweder überhaupt nicht oder unverschlüsselt an denSeparates the header of the data packets from the content and stores the header on the bus 25 in the memory. The header logic circuit can be used with others Embodiments of the invention may also be part of the interface module 14, so that the data to the filter logic circuit 16 via the connection 30 only consist of the content of the data packets. The decryption logic circuit 18 uses the calculated keys to decrypt the content of the data packets using an encryption method implemented in their hardware and to return the decrypted content to the interface again. The header logic circuit then retrieves the stored header from the memory and adds it to the now decrypted content of the data packet, so that the packet is complete again. and forwards this via the bidirectional bus 15 to the computer 12, in which further processing can take place in the usual way. The content of data packets for which the customer does not have access authorization cannot be decrypted by the decryption logic circuit 18. These data packets are either not sent to the interface at all or are not encrypted
Rechner 12 weitergeleitet, so daß sie vom Rechner 12 nicht verarbeitet werden können.Computer 12 forwarded so that they can not be processed by the computer 12.
Im umgekehrten Weg kann die Schnittstelle 14 vom Rechner 12 über dessen nicht dargestellten Schnittstellen-Baustein und den Bus 15 im Rechner erzeugteIn the opposite way, the interface 14 can be generated by the computer 12 via its interface module (not shown) and the bus 15 in the computer
Datenpakete mit unverschlüsseltem Inhalt erhalten, diese Inhalte verschlüsseln und an den Rechner 12 über die Schnittstelle 14 und den Bus 15 zurücksenden, wobei der Rechner die Pakete dann über das Netzwerk sendet. Wie aus der Beschreibung hervorgeht, bietet die Erfindung den Vorteil einer bequemen Anwendbarkeit, da der Rechner mit der Zugriffsmöglichkeit auf die Angebote des Diensteanbieters ausgerüstet werden kann, ohne den Rechner zu öffnen oder dessen Hardware in einer sonstigen Weise zu verändern. Im Vergleich zu einer reinen Softwarelösung bietet die Erfindung durch die Hardwareimplementation der Verschlüsselungslogik den Vorteil, daß der Prozessor des Rechners nicht zusätzlich mit der Ent- oder Verschlüsselung belastet wird. Dies bedeutet auch einen erheblichen Geschwindigkeitsvorteil, der besonders bei den großen Datenmengen des DVB für eine flüssige Darstellung unerläßlich ist.Receive data packets with unencrypted content, encrypt this content and send it back to the computer 12 via the interface 14 and the bus 15, the computer then sending the packets over the network. As can be seen from the description, the invention offers the advantage of being easy to use, since the computer can be equipped with access to the offers of the service provider without opening the computer or changing its hardware in any other way. In comparison to a pure software solution, the hardware implementation of the encryption logic offers the advantage that the processor of the computer is not additionally burdened with decryption or encryption. This also means a considerable speed advantage, which is essential for a smooth display, especially with the large amounts of DVB data.
Außerdem ist ein derartiges Modul vom jeweiligen Betriebssystem des Rechners unabhängig, da es rein auf der Protokollebene des Netzwerkes arbeitet. Damit bietet sich für das Modul ein viel größerer Anwendungsbereich als für eine rein softwarebasiertes Entschlüsselungssystem.In addition, such a module is independent of the respective operating system of the computer, since it works purely at the protocol level of the network. This means that the module has a much larger application area than a purely software-based decryption system.
Der Hauptvorteil gegenüber bisherigen auf Software basierenden Sicherheitssystemen (z.B. in Software realisierten Conditional-Access-Systemen) besteht jedoch darin, daß die Schlüssel und Zugangsberechtigungsbotschaften (ECM, EMM) nicht über das Netzwerk von „Hackern" ausgespäht werden können.The main advantage over previous software-based security systems (e.g. in software-implemented conditional access systems) is that the keys and access authorization messages (ECM, EMM) cannot be spied on via the network of "hackers".
Eine zweite Ausführungsform der Erfindung ist in Fig. 3 dargestellt. Das Modul 100 verfügt über eine erste Schnittstelle 160 zu einem Rechner-Netzwerk 140 und eine zweite Schnittstelle 162 zu einem Rechner 1 12. Beide Schnittstellen arbeiten nach demselben Protokoll und auf derselben physikalischen Schicht, beispielsweise Ethernet, so daß das Modul 100 direkt in die Netzwerkleitung 150 zwischen dem Rechner-Netzwerk 140 und dem Rechner 1 12 eingeschaltet werden kann. Die Schnittstellen 160, 162 übernehmen im Modul 100 lediglich die Funktion der Verbindung zum Netzwerk, vergleichbar einer Netzwerkkarte in einem Rechner. Die Schnittstellen 160 und 162 sind mit einer IP- Weiche 164 verbunden, an welche eine CA-Einheit (CA = Conditional Access) 1 10 gekoppelt ist, die im wesentlichen dem im Zusammenhang mit der ersten Ausführungsform beschriebenen Modul 10 entspricht.A second embodiment of the invention is shown in FIG. 3. The module 100 has a first interface 160 to a computer network 140 and a second interface 162 to a computer 1 12. Both interfaces work according to the same protocol and on the same physical layer, for example Ethernet, so that the module 100 directly into the network line 150 the computer network 140 and the computer 1 12 can be switched on. The interfaces 160, 162 in the module 100 merely take on the function of connecting to the network, comparable to a network card in a computer. The interfaces 160 and 162 are connected to an IP switch 164, to which a CA unit (CA = Conditional Access) 110 is coupled, which essentially corresponds to the module 10 described in connection with the first embodiment.
Die aus dem Netzwerk 140 empfangenen Datenpakete werden durch die IP- Weiche 164 geschleust. In der IP- Weiche 164 werden über die erste Schnittstelle 160 empfangene Datenpakete, die aufgrund ihrer IP- Adresse für die CA-Einheit 1 10 bestimmt sind, ausgefiltert und der CA-Einheit 1 10 zugeführt, welche den Dateninhalt der Pakete wie vorher beschrieben entschlüsselt und die Datenpakete wieder zurückgibt. Die anderen Datenpakete, sowie die von der CA-Einheit 1 10 bereits entschlüsselten Datenpakete leitet die IP-Weiche 164 an die zweite Schnittstelle 162 weiter, welche dieselben über eine Netzwerkanschlußleitung 152 an den Rechner 1 12 sendet. Zusätzlich kann die CA-Einheit 1 10 eine Verbindung 166 zur zweiten Schnittstelle 162 aufweisen, mittels welcher das Modul 100 vom Rechner 1 12 über die Netzwerkleitung 152 gesteuert werden kann. Der Rechner erhält damit die vom Diensteanbieter 42 verschlüsselt ausgesandten Datenpakete bereits entschlüsselt, so daß er damit weiter verfahren kann, wie mit den in dem Netzwerk 140 ohne Zugangsbeschränkung verbreiteten Angeboten. Für die übrigen Datenpakete kann das Modul 100 darüber hinaus völlig transparent sein, d.h. die Netzwerkanbindung kann ungestört ablaufen, als wäre das Modul 100 überhaupt nicht vorhanden.The data packets received from the network 140 are passed through the IP switch 164. In the IP switch 164, data packets received via the first interface 160, which are intended for the CA unit 110 based on their IP address, are filtered out and fed to the CA unit 110, which decrypts the data content of the packets as previously described and returns the data packets. The other data packets, as well as the data packets already decrypted by the CA unit 110, are forwarded by the IP switch 164 to the second interface 162, which sends them to the computer 112 via a network connection line 152. In addition, the CA unit 1 10 can have a connection 166 to the second interface 162, by means of which the module 100 can be controlled by the computer 1 12 via the network line 152. The computer thus already receives the data packets transmitted in encrypted form by the service provider 42, so that it can proceed further as with the offers distributed in the network 140 without access restrictions. The module 100 can also be completely transparent to the other data packets, i.e. the network connection can run undisturbed, as if the module 100 were not present at all.
Ein besonderer Vorteil dieser Ausführungsform liegt darin, daß die sichere Zugriffsmöglichkeit noch einfacher geschaffen werden kann. Es ist keine zusätzliche Schnittstelle am Rechner 1 12 erforderlich, da das Modul 100 in die in jedem Fall bestehende Netzwerkanschlußleitung 150 eingeschleift wird.A particular advantage of this embodiment is that the secure access option can be created even more easily. There is no need for an additional interface on the computer 112, since the module 100 is looped into the existing network connection line 150.
Außerdem kann auf diese Weise auch ein Teilnetz, also mehrere miteinander verbundene Rechner, mit der Zugriffsmöglichkeit versehen werden.In addition, a subnetwork, that is to say a plurality of interconnected computers, can also be provided with the access option in this way.
Selbstverständlich ist die Anwendung der Erfindung nicht auf die Verwendung mit DVB beschränkt. Da jedes Modul sowohl den Inhalt verschlüsselterOf course, the application of the invention is not limited to use with DVB. Since each module both encrypted the content
Datenpakete entschlüsseln als auch unverschlüsselte Inhalte verschlüsseln kann, lassen sich vielmehr mit Hilfe der beschrieben Module prinzipiell beliebige zu schützende Inhalte, also beispielsweise E-Mails, die in Paketen nach einem Netzwerk-Protokoll versandt werden, sicher zwischen zwei oder mehreren Rechnern, oder zwischen verschiedenen Teilnetzen eines Netzwerkes sicher übertragen. Eine beispielhafte Anordnung ist schematisch in Fig. 4 dargestellt, wo die Module 200 als eine Art Schleuse zwischen einem sicheren Teilbereich 270, z.B. dem firmeninternen Netzwerk eines Unternehmens, und einem ungesicherten öffentlichen Bereich 272 des Netzwerkes wirken. In diesem Fall ist jeder Rechner 212 oder jeder Teilbereich des Netzwerkes 270, von dem aus Zugriff auf die gesicherten Daten möglich sein soll, über ein erfindungsgemäßes Modul an das öffentliche Teilnetzwerk angeschlossen. Innerhalb der sicheren Teilbereiche 270 werden die zu schützenden Daten unverschlüsselt versandt, außerhalb, also im ungesicherten öffentlichen Bereich 272 des Netzwerkes sind die Datenpakete nur mit verschlüsseltem Inhalt unterwegs. Das erfindungsgemäße Modul erfüllt so in effizienter Weise die Funktion eines „Hardware-Firewalls". Decrypting data packets as well as encrypting unencrypted content can be done with the help of the described modules, in principle any content to be protected, e.g. emails that are sent in packets according to a network protocol, securely between two or more computers, or between different computers Transfer subnets of a network safely. An exemplary arrangement is shown schematically in FIG. 4, where the modules 200 act as a kind of lock between a secure subarea 270, for example a company's internal network, and an unsecured public area 272 of the network. In this case, each computer 212 or each sub-area of the network 270 from which access to the saved data should be possible is connected to the public sub-network via a module according to the invention. The data to be protected is sent unencrypted within the secure subareas 270, outside, ie in the unsecured public area 272 of the network, the data packets are only on the way with encrypted content. The module according to the invention thus fulfills the function of a “hardware firewall” in an efficient manner.

Claims

Patentansprüche claims
1. Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind, mit einer bidirektionalen Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner, wobei das Modul über die Schnittstelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann, - einer Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten1. Module for the secure transmission of data in a computer network, in which data is transmitted according to a network protocol, the data being organized in data packets, consisting of a header and a content that can be encrypted, with a bidirectional interface a computer connected to the network, the module being able to exchange data packets, commands and messages via the interface with the computer, - an interface to a smart card, on which an identifier is stored, a filter logic circuit which consists of the data from the computer via the Network messages received and passed on to the module via the bidirectional data packets, filtering authorization messages, a processor with memory for controlling the module, which is stored by means of the authorization messages and by means of those stored in the smart card
Kennung wenigstens einen kryptographischen Schlüssel berechnet, einer Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden. Identifier calculates at least one cryptographic key, a decryption logic circuit that can separate the header from the content of the data packets, can decrypt the content contained in the data packets by means of the cryptographic key calculated by the processor, which interacts with a decryption method implemented in the hardware of the logic circuit Can attach the header again to the decrypted content of the data packets, the data packets then being returned to the computer via the bidirectional interface.
2. Modul nach Anspruch 1, bei dem die Entschlüsselungslogikschaltung derart ausgebildet ist, daß sie den Inhalt von Datenpaketen, die im Rechner generiert wurden und über die bidirektionale Schnittstelle vom Modul empfangen wurden, mit Hilfe eines vom Prozessor mittels der in der Smart-Card hinterlegten Kennung berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Verschlüsselungsverfahren zusammenwirkt, verschlüsseln kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden, der sie mit einem Header versieht und an das Netzwerk weitergibt. 2. Module according to claim 1, in which the decryption logic circuit is designed such that it contains the content of data packets that were generated in the computer and were received by the module via the bidirectional interface, with the aid of a stored by the processor in the smart card Identifier calculated cryptographic key, which interacts with an encryption method implemented in the hardware of the logic circuit, can encrypt, the data packets then being returned via the bidirectional interface to the computer, which provides them with a header and forwards them to the network.
3. Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind, mit einer ersten Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann, einer zweiten Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann, einer Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Netzwerk empfangenen und über die erste Schnittstelle an das Modul weitergeleiteten Datenpaketen3. Module for the secure transmission of data in a computer network, in which data are transmitted according to a network protocol, the data being organized in data packets, consisting of a header and a content that can be encrypted, with a first interface a computer network via which the module can receive data packets from the computer network, a second interface to a computer via which the module can send data packets to the computer, an interface to a smart card on which an identifier is stored, a filter logic circuit that consists of the data packets received from the network and forwarded to the module via the first interface
Berechtigungsbotschaften herausfiltert, einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptographischen Schlüssel berechnet, einer Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden.Filtered out authorization messages, a processor with memory for controlling the module, which by means of the Authorization messages and by means of the identifier stored in the smart card calculates at least one cryptographic key, a decryption logic circuit that can separate the header from the content of the data packets, the content contained in the data packets by means of the cryptographic key calculated by the processor, which is associated with a hardware decryption method implemented in the logic circuit cooperates, can decrypt and can attach the header again to the decrypted content of the data packets, the data packets then being routed to the computer via the second interface.
4. Modul nach Anspruch 3, bei dem die erste und die zweite Schnittstelle jeweils bidirektional sind und die Entschlüsselungslogikschaltung derart ausgebildet ist, daß sie den Header vom Inhalt von Datenpaketen, die im Rechner generiert wurden und über die zweite Schnittstelle empfangen wurden, trennen kann, den in den Datenpaketen enthaltenen Inhalt mit Hilfe eines vom Prozessor mittels der in der Smart-Card hinterlegten Kennung berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Verschlüsselungsverfahren zusammenwirkt, verschlüsseln kann und den Header wieder an den verschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die erste Schnittstelle an das Netzwerk geleitet werden.4. Module according to claim 3, in which the first and the second interface are each bidirectional and the decryption logic circuit is designed such that it can separate the header from the content of data packets that have been generated in the computer and received via the second interface, the content contained in the data packets with the help of a cryptographic key calculated by the processor using the identifier stored in the smart card, which interacts with an encryption method implemented in the hardware of the logic circuit, can encrypt and can attach the header to the encrypted content of the data packets again , the data packets then being routed to the network via the first interface.
5. Modul nach Anspruch 3 oder 4, bei dem zwischen dem Modul und den beiden Schnittstellen eine Selektiervorrichtung vorgesehen ist, die ein Datenpaket von einer der Schnittstellen an das Modul weitergibt, wenn sie anhand der Informationen im Header erkennt, daß das Datenpaket zur Ent- bzw. zur Verschlüsselung im Modul vorgesehen ist und die das Datenpaket an die andere Schnittstelle weiterreicht, wenn sie anhand der Informationen im Header erkennt, daß das Datenpaket nicht zur Ent- bzw. zur Verschlüsselung im Modul vorgesehen ist.5. Module according to claim 3 or 4, in which a selection device is provided between the module and the two interfaces, which forwards a data packet from one of the interfaces to the module when it recognizes on the basis of the information in the header that the data packet is to be removed. or is provided for encryption in the module and which forwards the data packet to the other interface if it recognizes from the information in the header that the data packet is not intended for decryption or encryption in the module.
6. Modul nach einem der vorhergehenden Ansprüche, für den Empfang eines digitalen Fernsehprogrammes (DVB), bei dem die von der Filterlogikschaltung aus den Datenpaketen herausgefilterten Berechtigungsbotschaften zum einen Zugangsverwaltungsbotschaften (EMM), welche benutzerspezifische Zugangsberechtigungsinformationen enthalten, und zum anderen Zugangskontrollbotschaften (ECM), welche sendungsspezifische Zugangsberechtigungsinformationen enthalten, umfassen und bei dem der Prozessor die im Speicher speichert und den kryptographischen Schlüssel mittels der EMMs, der ECMs und der in der Smart-Card hinterlegten Kennung berechnet.6. Module according to one of the preceding claims, for the reception of a digital television program (DVB), in which the authorization messages filtered by the filter logic circuit from the data packets, on the one hand, access management messages (EMM), which contain user-specific access authorization information, and on the other hand, access control messages (ECM), which contain shipment-specific access authorization information and in which the processor stores the information in the memory and calculates the cryptographic key using the EMMs, the ECMs and the identifier stored in the smart card.
7. Modul nach einem der vorhergehenden Ansprüche, das mit einem Speicher für asynchron eintreffende Datenpakete versehen ist und einen Taktgeber aufweist, mittels dessen es die gespeicherten Datenpakete nach der Entschlüsselung oder der Verschlüsselung synchron weitergeben kann.7. Module according to one of the preceding claims, which is provided with a memory for asynchronously arriving data packets and has a clock generator, by means of which it can pass on the stored data packets synchronously after decryption or encryption.
8. Modul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Datenpakete E-Mails sind. 8. Module according to one of the preceding claims, characterized in that the data packets are emails.
9. System zur sicheren Übertragung von Daten zwischen Rechnern, die durch ein Rechner-Netzwerk miteinander verbunden sind, in dem Daten nach einem Netzwerkprotokoll übertragen werden, dadurch gekennzeichnet, daß mindestens zwei Rechner des Rechner-Netzwerks mit einem Modul nach einem der vorhergehenden Ansprüche verbunden sind. 9. System for the secure transmission of data between computers which are connected to one another by a computer network in which data are transmitted according to a network protocol, characterized in that at least two computers of the computer network are connected to a module according to one of the preceding claims are.
EP01988996A 2000-10-27 2001-10-29 Module for secure transmission of data Withdrawn EP1329050A2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10053390 2000-10-27
DE10053390A DE10053390A1 (en) 2000-10-27 2000-10-27 Module for the secure transmission of data
PCT/EP2001/012480 WO2002035763A2 (en) 2000-10-27 2001-10-29 Module for secure transmission of data

Publications (1)

Publication Number Publication Date
EP1329050A2 true EP1329050A2 (en) 2003-07-23

Family

ID=7661330

Family Applications (1)

Application Number Title Priority Date Filing Date
EP01988996A Withdrawn EP1329050A2 (en) 2000-10-27 2001-10-29 Module for secure transmission of data

Country Status (4)

Country Link
US (1) US20040221156A1 (en)
EP (1) EP1329050A2 (en)
DE (1) DE10053390A1 (en)
WO (1) WO2002035763A2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EE200000390A (en) * 2000-11-02 2002-06-17 Artec Design Group O� Data encryption device based on protocol analysis
FR2834154B1 (en) * 2001-12-21 2005-03-11 Oberthur Card Syst Sa ELECTRONIC UNIT INCLUDING CRYPTOGRAPHIC MEANS CAPABLE OF PROCESSING HIGH-SPEED INFORMATION
EP1645929B1 (en) * 2004-10-11 2009-02-04 Swisscom (Schweiz) AG Communication card for mobile network devices and authentification method for users of mobile network devices
US7822017B2 (en) * 2004-11-18 2010-10-26 Alcatel Lucent Secure voice signaling gateway

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797928A (en) * 1987-01-07 1989-01-10 Miu Automation Encryption printed circuit board
US5644354A (en) * 1992-10-09 1997-07-01 Prevue Interactive, Inc. Interactive video system
US5521979A (en) * 1994-04-22 1996-05-28 Thomson Consumer Electronics, Inc. Packet video signal inverse transport system
US5590202A (en) * 1995-01-18 1996-12-31 Zenith Electronics Corporation Countdown system for conditional access module
SE509033C2 (en) * 1996-06-26 1998-11-30 Telia Ab Method for securely transmitting data information between Internet www servers and data terminals
US5987606A (en) * 1997-03-19 1999-11-16 Bascom Global Internet Services, Inc. Method and system for content filtering information retrieved from an internet computer network
US6040851A (en) * 1998-01-20 2000-03-21 Conexant Systems, Inc. Small-format subsystem for broadband communication services
KR200184316Y1 (en) * 1998-04-08 2000-06-01 김용만 Smart card reader
AU3631000A (en) * 1999-03-30 2000-10-16 Sony Electronics Inc. System for interfacing multiple conditional access devices
US6697489B1 (en) * 1999-03-30 2004-02-24 Sony Corporation Method and apparatus for securing control words
FR2799075B1 (en) * 1999-09-23 2001-11-23 Thomson Multimedia Sa MULTIMEDIA DIGITAL TERMINAL AND DETACHABLE MODULE COOPERATING WITH SAID TERMINAL PROVIDED WITH A COPY PROTECTED INTERFACE

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO0235763A2 *

Also Published As

Publication number Publication date
WO2002035763A3 (en) 2002-07-04
WO2002035763A2 (en) 2002-05-02
US20040221156A1 (en) 2004-11-04
DE10053390A1 (en) 2002-05-08

Similar Documents

Publication Publication Date Title
DE69738628T2 (en) CONTROL FOR A GLOBAL DATA TRANSPORT CURRENT
DE69723650T2 (en) Method of authentication of data using encryption and system of authentication using such a method
DE69533024T2 (en) Access control system for computers connected to a private network
DE60222012T2 (en) SYSTEM AND METHOD FOR HYBRID CONDITIONAL ACCESS TO RECEIVERS OF ENCRYPTED TRANSMISSIONS
DE60306835T2 (en) Device for secure multicasting
DE60217576T2 (en) Devices and methods for transmitting and implementing control instructions for accessing receiver functionalities
DE60214015T2 (en) Device, data distribution system with such devices, method of transmitting data
DE60131990T2 (en) DEVICE AND METHOD FOR THE SELECTIVE ENCRYPTION OF MULTIMEDIA DATA TO BE TRANSMITTED TO A NETWORK
DE60213650T2 (en) ACCESS TO ENCRYPTED ROUND END
DE69719803T3 (en) PREVENT PLAY ATTACKS FROM DIGITAL INFORMATION DISTRIBUTED BY NETWORK SERVICE PROVIDERS
DE69533953T2 (en) System for the unsigned transmission and reception of data packets between computer networks
DE69702310T3 (en) METHOD FOR THE SECURED TRANSMISSION BETWEEN TWO DEVICES AND THEIR APPLICATION
DE69735528T2 (en) A method of protecting information transmitted from a security element to a decoder and protection system using such a method
DE60127681T2 (en) Content protection and copy management system for a network
EP2146285A1 (en) Method for operating a conditional access system to be used in computer networks and a system for carrying out said method
DE69927581T2 (en) NETWORKED UNIT WITH CONDITIONAL ACCESS
DE69835670T2 (en) Data transfer system
DE69821183T2 (en) Access control procedure for house network and arrangement for its implementation
EP1668817B1 (en) Encryption and decryption method and device
EP1329050A2 (en) Module for secure transmission of data
EP0740439B1 (en) Method, system and subscriber equipment for manipulation-proof separation of message flows
DE10029643A1 (en) Interception-secure provision of internet protocol services via radio medium e.g. satellite by combining target address with unique identification number
EP2830277B1 (en) Method and system for tamper-proof transmission of data packets
DE10244079A1 (en) Method for preparing an encoded IP-based group service e.g. multi-cast service, involves sending safety data file at given times via IP-group address to subscribers
DE60103881T2 (en) CONTROLLING ACCESS TO DATA FROM A MULTIBAND NETWORK

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20030430

AK Designated contracting states

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

RIN1 Information on inventor provided before grant (corrected)

Inventor name: DUHAMEL, JEAN, LUC

Inventor name: GENEVOIS, CHRISTOPHE

17Q First examination report despatched

Effective date: 20040216

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20040827