WO2009157800A1 - System for protecting information in subscriber networks - Google Patents

System for protecting information in subscriber networks Download PDF

Info

Publication number
WO2009157800A1
WO2009157800A1 PCT/RU2008/000634 RU2008000634W WO2009157800A1 WO 2009157800 A1 WO2009157800 A1 WO 2009157800A1 RU 2008000634 W RU2008000634 W RU 2008000634W WO 2009157800 A1 WO2009157800 A1 WO 2009157800A1
Authority
WO
WIPO (PCT)
Prior art keywords
control
block
subscriber
dvb
keys
Prior art date
Application number
PCT/RU2008/000634
Other languages
French (fr)
Russian (ru)
Inventor
Юрий Михайлович БОЛОВИНЦЕВ
Татьяна Ивановна ЛОБОВА
Елена Евгеньевна ШУМАКОВИЧ
Original Assignee
Федеральное Государственное Унитарное Предприятие Ордена Трудового Красного Знамени Научно-Исследовательский Институт Радио (Фгуп Ниир)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное Государственное Унитарное Предприятие Ордена Трудового Красного Знамени Научно-Исследовательский Институт Радио (Фгуп Ниир) filed Critical Федеральное Государственное Унитарное Предприятие Ордена Трудового Красного Знамени Научно-Исследовательский Институт Радио (Фгуп Ниир)
Publication of WO2009157800A1 publication Critical patent/WO2009157800A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]

Definitions

  • the proposed technical solution relates to the field of communication, in particular to a DVB data transmission and processing system: DVB-S, DVB-C, DVB-T, MMDS, etc. and is intended for closing DVB channels and other information implemented according to the DVB standard.
  • DVD Digital Video Video Broadcast
  • option “DVB-S” Digital Video Broadcast - satellite) - the first generation of the standard for satellite systems
  • “DVB-C” Digital Video Broadcast - digital) option for a digital cable system
  • DVD-T Digital Video Video Broadcast - Terrestrial
  • MMDS Multi Distributed Distribution System
  • Multichannel Multipoint Distribution System Multichannel Multipoint Distribution System
  • a signal processing device is known from RF patent Ns 2253189, comprising a signal processing channel for processing a digital input signal including a first component of a scrambled signal and a second component of a scrambled signal. It also comprises means for coupling said input signal with a removable smart card assembly, the removable smart card assembly being configured to process the first component of the scrambled signal to obtain a first descrambled signal that is internal to said smart card assembly, the smart card assembly being reacting to the first descrambled signal is configured to process the second component of the scrambled signal for receiving the second descrambled signal and combining the first component of the scrambled signal of the input signal and the second descrambled signal to obtain the output signal, means for receiving the output signal from the node of the smart card and connected to the specified means
  • SUBSTITUTE SHEET (RULE 26) for receiving the output signal from the smart card node, means for processing the second descrambled signal and generating a signal adapted for display.
  • a delay means for the first component of the scrambled signal to obtain a delayed signal having a substantially predetermined synchronization ratio with respect to the second descrambled signal, and means for combining the delayed signal and the second descrambled signal to obtain an output signal.
  • the RF patent Ns 2253189 furthermore describes a signal processing method, according to which a digital input signal is received including a first component of a scrambled signal and a second component of a scrambled signal, characterized in that the input signal is connected to a removable smart card assembly for processing the first component of the scrambled signal and receiving the first descrambled signal, which is internal to the node of the smart card, and for processing when responding to vy descrambled signal to the second scrambled signal component for producing a second descrambled signal and for combining the first component of the scrambled input signal and a second descrambled signal to produce an output signal received from the smart card host output signal and processing the second signal is descrambled to form a signal adapted for display.
  • control signals requires the allocation of additional bandwidth in the overall digital stream.
  • the task is to create an effective system for protecting information in subscriber networks using the appropriate Poccrypt-M system.
  • SUBSTITUTE SHEET (RULE 26) (9), a control code analyzer (10), a descrambling unit (11), and a security processor (12).
  • the system comprises a block for scrambling the selected components and encrypting keys, including an element for generating a control word according to a random law using a set of switchable base keys; , a control code generation unit for each subscriber together with a control word and a password code as part of a personalized control message, and on the subscriber side, a subscriber base key call block in accordance with the received password and recovery of encrypted components using a control word received as a part of a personalized control message .
  • control code generation unit (1) contains a means for dividing a registered control message into a number of control packages and for their end-to-end numbering and with the simultaneous generation of an electronic signature for each package.
  • the scrambling unit for the selected components and key encryption (3) includes basic irreversible encryption elements for implementing an electronic non-volatile key of increased complexity of disclosure.
  • the system "Poccrypt-M” works as follows.
  • a control word is generated using a set of switchable basic keys, it encrypts selected components of the transport stream, a control code for each subscriber is generated, and it is transmitted along with the control word and password code as part of the name control message, and the subscriber base is called on the subscriber side the key in accordance with the accepted password and recover the encrypted components using a control word received as part of a personalized control message.
  • a personalized control message is divided into a number of management packages with the implementation of their end-to-end numbering and with the simultaneous generation of an electronic signature for each package;
  • elements of basic irreversible encryption are used to implement an electronic non-volatile key of increased complexity of disclosure
  • the correction of the values of the basic keys is carried out individually for various components of the same transport stream, or for various transport streams, while the absolute values of the offset codes, and their code expressions, are sent to the receiving side as part of the control packets, based on which, on the receiving side, in real scale time carry out the adjustment to the new resulting values of the base keys and offset keys;
  • the primary conversion of random control codes is carried out during the passage of any packets accompanying the transport stream and the subsequent encryption is used in real time with the issuance of restored components of the transport stream, regardless of their number;
  • the standard cycle of processes is analyzed first of all, on the receiving side, and, if deviations from the standard cycle are detected, external communications are disconnected.
  • the Poccrypt-M transmitting complex is entrusted with the main functions of the system:
  • the input “open” transport stream goes to the TP component allocation block (2) where, in accordance with the identifiers specified by the operator, the components that need to be scrambled are filtered, from the output of block 2, the selected components are sent to the key scrambling and encryption block (3), where, using the keys stored in the memory block of the group of secret keys (5), they are scrambled.
  • SUBSTITUTE SHEET (RULE 26) the network number specified in the control processor (6), according to which the scrambling algorithm for each network changes somewhat relative to the main one, which allows implementing the multi-network scrambling function and makes it possible to use one transmitting complex by various, unrelated telecom operators.
  • the scrambled components go to the output stream former (4), where they are multiplexed by open TP packets from the output of the TP component extraction block (2) and control packets from the output of the control packet generation block (1).
  • the scrambled stream enters the output of the transmitting complex.
  • the input stream enters the input stream demultiplexing unit (8), where scrambled packets that need to be descrambled, as well as auxiliary information: CW key, key number, and control commands for this subscriber are extracted from the entire input stream. From the output of block 8, the scrambled packets are sent to the descrambling block (11), where they are descrambled.
  • This key is selected from the group of keys by the key number allocated from the input stream in block 8;
  • the descrambled packets arrive at the block for generating the output stream (7) (where they are multiplexed with the input stream. From the output of block 7, the restored stream is sent to the output of the receiving part of the system.
  • FIG. 1 shows the implementation of the transmitting side:
  • Figure 2 shows the implementation of the receiving side

Abstract

The invention relates to communications, in particular to data transmitting and processing DVB systems such as : DVB-S, DVB-C, DVB-T, MMDS etc, which invention is used for closing DVB channels and other information implemented according to the DVB standard and is designed in the form of a system for protecting information in subscriber networks. Said system involves forming a check word according to a law of random by using a set of switchable base keys, subsequently encoding the selected components of a traffic flow, forming a control code for each subscriber and transmitting said code together with the check word and a password code by a personalised control message. On subscriber's side, said system involves calling the subscriber's base key according to the accepted password, and recovering the uncoded components according to the check word received in the personalised control message.

Description

Система защиты информации в абонентских сетях System for protecting information in subscriber networks
ОписаниеDescription
Предложенное техническое решение относится к области связи, в частности к системе передачи и обработки данных DVB: DVB-S, DVB-C, DVB-T, MMDS и т.п. и предназначена для закрытия каналов DVB и др. информации, реализованной по стандарту DVB.The proposed technical solution relates to the field of communication, in particular to a DVB data transmission and processing system: DVB-S, DVB-C, DVB-T, MMDS, etc. and is intended for closing DVB channels and other information implemented according to the DVB standard.
(«DVB»(Digital Vidео Вrоаdсаstiпд) - семейство европейских стандартов цифрового телевидения; вapиaнт«DVB-S»( Digitаl Vidео Вrоаdсаstiпд - sаtеllitе) - первое поколение стандарта для спутниковых систем; «DVB-C»( Digitаl Vidео Вrоаdсаstiпд - саblе) - вариант для цифровой кабельной системы; «DVB-T»( Digitаl Vidео Вrоаdсаstiпд - tеrrеstriаl) - стандарт для наземного вещания, MMDS (Мultiсhаппеl Мultiроiпt Distributiоп Sуstеm) - Многоканальная Многоточечная Распределительная система).(“DVB” (Digital Video Video Broadcast) - a family of European standards for digital television; option “DVB-S” (Digital Video Broadcast - satellite) - the first generation of the standard for satellite systems; “DVB-C” (Digital Video Broadcast - digital) option for a digital cable system; “DVB-T” (Digital Video Video Broadcast - Terrestrial) - standard for terrestrial broadcasting, MMDS (Multi Distributed Distribution System) - Multichannel Multipoint Distribution System).
Из патента РФ Ns 2253189 известно устройство обработки сигнала, содержащее канал обработки сигнала для обработки цифрового входного сигнала, включающего в себя первую составляющую скремблированного сигнала и вторую составляющую скремблированного сигнала. Оно также содержит средство для связывания упомянутого входного сигнала со съемным узлом интеллектуальной карты, причем съемный узел интеллектуальной карты выполнен с возможностью обработки первой составляющей скремблированного сигнала для получения первого дескремблированного сигнала, который является внутренним по отношению к упомянутому узлу интеллектуальной карты, причем узел интеллектуальной карты при реагировании на первый дескремблированный сигнал выполнен с возможностью обработки второй составляющей скремблированного сигнала для получения второго дескремблированного сигнала и объединения первой составляющей скремблированного сигнала входного сигнала и второго дескремблированного сигнала для получения выходного сигнала, средство для приема выходного сигнала от узла интеллектуальной карты и подключенное к указанному средствуA signal processing device is known from RF patent Ns 2253189, comprising a signal processing channel for processing a digital input signal including a first component of a scrambled signal and a second component of a scrambled signal. It also comprises means for coupling said input signal with a removable smart card assembly, the removable smart card assembly being configured to process the first component of the scrambled signal to obtain a first descrambled signal that is internal to said smart card assembly, the smart card assembly being reacting to the first descrambled signal is configured to process the second component of the scrambled signal for receiving the second descrambled signal and combining the first component of the scrambled signal of the input signal and the second descrambled signal to obtain the output signal, means for receiving the output signal from the node of the smart card and connected to the specified means
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) для приема выходного сигнала от узла интеллектуальной карты средство для обработки второго дескремблированного сигнала и формирования адаптированного для отображения сигнала.SUBSTITUTE SHEET (RULE 26) for receiving the output signal from the smart card node, means for processing the second descrambled signal and generating a signal adapted for display.
Также в этом устройстве предусмотрено средство задержки первой составляющей скремблированного сигнала для получения задержанного сигнала, имеющего, по существу, заданное отношение синхронизации в отношении ко второму дескремблированному сигналу, и средство объединения задержанного сигнала и второго дескремблированного сигнала для получения выходного сигнала.Also provided in this device is a delay means for the first component of the scrambled signal to obtain a delayed signal having a substantially predetermined synchronization ratio with respect to the second descrambled signal, and means for combining the delayed signal and the second descrambled signal to obtain an output signal.
В патенте РФ Ns 2253189 кроме того описан способ обработки сигнала, согласно которому принимают цифровой входной сигнал, включающий в себя первую составляющую скремблированного сигнала и вторую составляющую скремблированного сигнала, отличающийся тем, что связывают входной сигнал со съемным узлом интеллектуальной карты для обработки первой составляющей скремблированного сигнала и получения первого дескремблированного сигнала, который является внутренним по отношению к узлу интеллектуальной карты, и для обработки при реагировании на первый дескремблированный сигнал второй составляющей скремблированного сигнала для получения второго дескремблированного сигнала и для объединения первой составляющей скремблированного сигнала входного сигнала и второго дескремблированного сигнала для получения выходного сигнала, принимают от узла интеллектуальной карты выходной сигнал и обрабатывают второй дескремблированный сигнал для формирования адаптированного для отображения сигнала.The RF patent Ns 2253189 furthermore describes a signal processing method, according to which a digital input signal is received including a first component of a scrambled signal and a second component of a scrambled signal, characterized in that the input signal is connected to a removable smart card assembly for processing the first component of the scrambled signal and receiving the first descrambled signal, which is internal to the node of the smart card, and for processing when responding to vy descrambled signal to the second scrambled signal component for producing a second descrambled signal and for combining the first component of the scrambled input signal and a second descrambled signal to produce an output signal received from the smart card host output signal and processing the second signal is descrambled to form a signal adapted for display.
В этом способе при объединении первой составляющей скремблированного сигнала входного сигнала со вторым дескремблированным сигналом создают заданное отношение синхронизации между первой составляющей скремблированного сигнала и вторым дескремблированным сигналом в выходном сигнале.In this method, by combining the first component of the scrambled signal of the input signal with the second descrambled signal, a predetermined synchronization relationship is created between the first component of the scrambled signal and the second descrambled signal in the output signal.
Данная система имеет следующие недостатки:This system has the following disadvantages:
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) - при реализации двух этапов обработки не предусматривает передачу кодов ключей вместо их абсолютных значений, что создаёт возможность перехвата ключей и последующее несанкционированное использование информации;SUBSTITUTE SHEET (RULE 26) - when implementing two stages of processing, it does not provide for the transfer of key codes instead of their absolute values, which makes it possible to intercept keys and subsequent unauthorized use of information;
- при подаче сигналов управления по адресам абонентов возможна подмена этих сигналов, либо формирование новых, что также приводит к проблемам несанкционированного использования данных;- when applying control signals to the addresses of subscribers, it is possible to replace these signals, or generate new ones, which also leads to problems of unauthorized use of data;
- не оптимизирована структура сигналов управления, что отрицательно влияет на динамические параметры известного способа по управлению абонентской сетью. При этом для передачи сигналов управления требуется выделение дополнительной пропускной способности в общем цифровом потоке.- the structure of control signals is not optimized, which negatively affects the dynamic parameters of the known method for managing a subscriber network. At the same time, the transmission of control signals requires the allocation of additional bandwidth in the overall digital stream.
В известном способе попытки несанкционированного вскрытия сводятся исключительно к преодолению законов и кодов ключей шифровки и не используются дополнительные логические условия, обнаруживающие по характерным признакам эти попытки и прекращающие дальнейшее функционирование алгоритмов.In the known method, attempts of unauthorized opening are reduced solely to overcoming the laws and codes of encryption keys and do not use additional logical conditions that detect these attempts by characteristic signs and stop the further functioning of the algorithms.
Задачей является создание эффективной системы защиты информации в абонентских сетях с помощью соответствующей системы «Pocкpипт-M».The task is to create an effective system for protecting information in subscriber networks using the appropriate Poccrypt-M system.
Сущность технического решения заключается в системе защиты информации в абонентских сетях, которая состоит из:The essence of the technical solution lies in the information protection system in subscriber networks, which consists of:
- на передающей стороне блока выделения компонент транспортного потока (2), блока скремблирования выделенных компонент и шифрования ключей (3), блока памяти группы секретных ключей (5), управляющего процессора (6), блока формирования кодов управления (1) и блока выделения избыточной полосы транспортного потока (ТП) и формирования выходного потока (4);- on the transmitting side of the block of separation of the components of the transport stream (2), the block of scrambling of the selected components and encryption of keys (3), the memory block of the group of secret keys (5), the control processor (6), the block for generating control codes (1) and the block for allocating redundant strip transport stream (TP) and the formation of the output stream (4);
- на приёмной стороне блока демультиплексирования входного потока (8), блока формирования выходного потока (7), блока памяти секретных ключей- on the receiving side of the input stream demultiplexing unit (8), the output stream forming unit (7), the secret key memory unit
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) (9), анализатора кодов управления (10), блока дескремблирования (11) и процессора защиты (12).SUBSTITUTE SHEET (RULE 26) (9), a control code analyzer (10), a descrambling unit (11), and a security processor (12).
Система содержит блок скремблирования выделенных компонент и шифрования ключей, включающий элемент формирования по случайному закону контрольного слова с использованием набора переключаемых базовых ключей; , блок формирования кодов управления для каждого абонента вместе с контрольным словом и кодом пароля в составе именного управляющего сообщения, а на абонентской стороне блок вызова абонентского базового ключа в соответствии с принятым паролем и восстановления шифрованных компонент с помощью контрольного слова, принятого в составе именного управляющего сообщения.The system comprises a block for scrambling the selected components and encrypting keys, including an element for generating a control word according to a random law using a set of switchable base keys; , a control code generation unit for each subscriber together with a control word and a password code as part of a personalized control message, and on the subscriber side, a subscriber base key call block in accordance with the received password and recovery of encrypted components using a control word received as a part of a personalized control message .
Особенность системы состоит и в том, что блок формирования кода управления (1) содержит средство для разделения именного управляющего сообщения на ряд пакетов управления и осуществления их сквозной нумерации и с одновременным формированием электронной подписи для каждого пакета.A feature of the system lies in the fact that the control code generation unit (1) contains a means for dividing a registered control message into a number of control packages and for their end-to-end numbering and with the simultaneous generation of an electronic signature for each package.
Кроме того, блок скремблирования выделенных компонент и шифрования ключей (3) включает элементы базового необратимого шифрования для реализации электронного энергонезависимого ключа повышенной сложности раскрытия. Система «Pocкpипт-M» работает следующим образом.In addition, the scrambling unit for the selected components and key encryption (3) includes basic irreversible encryption elements for implementing an electronic non-volatile key of increased complexity of disclosure. The system "Poccrypt-M" works as follows.
По случайному закону формируют контрольное слово с использованием набора переключаемых базовых ключей, посредством его шифруют выбранные компоненты транспортного потока, формируют код управления для каждого абонента и передают его вместе с контрольным словом и кодом пароля в составе именного управляющего сообщения, а на абонентской стороне вызывают абонентский базовый ключ в соответствии с принятым паролем и восстанавливают шифрованные компоненты с помощью контрольного слова, принятого в составе именного управляющего сообщения.According to a random law, a control word is generated using a set of switchable basic keys, it encrypts selected components of the transport stream, a control code for each subscriber is generated, and it is transmitted along with the control word and password code as part of the name control message, and the subscriber base is called on the subscriber side the key in accordance with the accepted password and recover the encrypted components using a control word received as part of a personalized control message.
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) При этом производят следующие действия:SUBSTITUTE SHEET (RULE 26) At the same time, the following actions are performed:
- именное управляющее сообщение разделяют на ряд пакетов управления с осуществлением их сквозной нумерации и с одновременным формированием электронной подписи для каждого пакета;- a personalized control message is divided into a number of management packages with the implementation of their end-to-end numbering and with the simultaneous generation of an electronic signature for each package;
- используют структурную избыточность мультиплексированного транспортного потока для передачи пакетов управления без выделения (или с частичным выделением) дополнительных полос;- use the structural redundancy of the multiplexed transport stream to transmit control packets without allocation (or partial allocation) of additional bands;
- на передающей и приёмной стороне используют элементы базового необратимого шифрования для реализации электронного энергонезависимого ключа повышенной сложности раскрытия;- on the transmitting and receiving side, elements of basic irreversible encryption are used to implement an electronic non-volatile key of increased complexity of disclosure;
- коррекцию значений базовых ключей проводят индивидуально для различных компонент одного транспортного потока, либо для различных транспортных потоков, при этом на приёмную сторону в составе пакетов управления передают не абсолютные значения кодов смещения, а их кодовые выражения, на основании чего на приёмной стороне в реальном масштабе времени осуществляют перестройку на новые результирующие значения базовых ключей и ключей смещения;- the correction of the values of the basic keys is carried out individually for various components of the same transport stream, or for various transport streams, while the absolute values of the offset codes, and their code expressions, are sent to the receiving side as part of the control packets, based on which, on the receiving side, in real scale time carry out the adjustment to the new resulting values of the base keys and offset keys;
- на приёмной стороне осуществляют первичное преобразование случайных управляющих кодов во время прохождения любых сопровождающих транспортный поток пакетов и используют последующее шифрование в реальном масштабе времени с выдачей восстановленных компонент транспортного потока вне зависимости от их количества;- on the receiving side, the primary conversion of random control codes is carried out during the passage of any packets accompanying the transport stream and the subsequent encryption is used in real time with the issuance of restored components of the transport stream, regardless of their number;
- необходимые исходные пакеты, сопровождающие транспортный поток анализируют и преобразуют для решения задач шифрования компонент этого потока, и ввода в тот же поток путём замены исходных пакетов на вновь сформированные;- the necessary source packets accompanying the transport stream are analyzed and converted to solve the encryption problems of the components of this stream, and input into the same stream by replacing the original packets with the newly formed ones;
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) - используют метод «мacки» при реализации операций управления;SUBSTITUTE SHEET (RULE 26) - use the “mask” method when implementing control operations;
- случайные процессы формируют путём произвольной выборки кодов непосредственно из содержательной части транспортного потока;- random processes are formed by arbitrary selection of codes directly from the content of the transport stream;
- стандартный цикл процессов анализируют в первую очередь, на приёмной стороне и, в случае обнаружения отклонений от стандартного цикла, отключают внешние связи.- the standard cycle of processes is analyzed first of all, on the receiving side, and, if deviations from the standard cycle are detected, external communications are disconnected.
На передающий комплекс «Pocкpипт-M» возложены основные функции системы:The Poccrypt-M transmitting complex is entrusted with the main functions of the system:
- скремблирование потока;- stream scrambling;
- выделение избыточной полосы транспортного потока;- allocation of excess bandwidth of the transport stream;
- формирование кодов управления;- formation of control codes;
- передача кодов управления и ключей;- transfer of control codes and keys;
- взаимодействие с базой данных пользователя.- interaction with the user database.
Структурная схема передающего комплекса «Pocкpипт-M» представлена на Фиг.1.The structural diagram of the transmitting complex "Poccrypt-M" is presented in figure 1.
Входной «oткpытый» транспортный поток поступает на блок выделения компонент ТП (2) где, в соответствии с идентификаторами заданными оператором, происходит фильтрация компонент, которые необходимо скремблировать, с выхода блока 2, выделенные компоненты поступают на блок скремблирования и шифрования ключей (3), где, с использованием ключей хранящихся в блоке памяти группы секретных ключей (5), происходит их скремблирование.The input “open” transport stream goes to the TP component allocation block (2) where, in accordance with the identifiers specified by the operator, the components that need to be scrambled are filtered, from the output of block 2, the selected components are sent to the key scrambling and encryption block (3), where, using the keys stored in the memory block of the group of secret keys (5), they are scrambled.
Для скремблирования в блоке 3 используются следующие компоненты:The following components are used for scrambling in block 3:
- CW (Сопtrоl Wоrd), который устанавливается в управляющем процессоре (6);- CW (Soptrol Wrd), which is installed in the control processor (6);
- секретный ключ повышенной разрядности, который «зaшит» в блоке памяти секретных ключей (5). Этот ключ выбирается из группы ключей по номеру. Такая же группа ключей находится в блоке памяти секретных ключей 9 (фиг.2) на абонентской стороне.- secret key of increased capacity, which is “stitched” in the memory block of secret keys (5). This key is selected from the group of keys by number. The same group of keys is located in the secret key memory unit 9 (Fig. 2) on the subscriber side.
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) номер сети, задаваемый в управляющем процессоре (6), по которому алгоритм скремблирование для каждой сети несколько изменяется относительно основного, что позволяет реализовать функцию многосетевого скремблирования и даёт возможность использования одного передающего комплекса различными, несвязанными операторами связи. Далее с блока 3 скремблированные компоненты поступают на формирователь выходного потока (4), где происходит их мультиплексирование открытыми пакетами ТП с выхода блока выделения компонент ТП (2) и пакетами управления с выхода блока формирования пакетов управления (1). С блока 4 скремблированный поток поступает на выход передающего комплекса. На приёмной стороне входной поток поступает на блок демультиплексирования входного потока (8), где из всего входного потока производится выделение скремблированных пакетов, которые необходимо дескремблировать, а так же вспомогательной информации: ключа CW, номера ключа и команд управления, предназначенных для данного абонента. С выхода блока 8 скремблированные пакеты поступают на блок блок дескремблирования (11), где производится их дескремблирование.SUBSTITUTE SHEET (RULE 26) the network number specified in the control processor (6), according to which the scrambling algorithm for each network changes somewhat relative to the main one, which allows implementing the multi-network scrambling function and makes it possible to use one transmitting complex by various, unrelated telecom operators. Then, from block 3, the scrambled components go to the output stream former (4), where they are multiplexed by open TP packets from the output of the TP component extraction block (2) and control packets from the output of the control packet generation block (1). From block 4, the scrambled stream enters the output of the transmitting complex. On the receiving side, the input stream enters the input stream demultiplexing unit (8), where scrambled packets that need to be descrambled, as well as auxiliary information: CW key, key number, and control commands for this subscriber are extracted from the entire input stream. From the output of block 8, the scrambled packets are sent to the descrambling block (11), where they are descrambled.
Для осуществления дескремблирования в блоке 11 ( дескремблер DVB ) используются следующие компоненты:The following components are used for descrambling in block 11 (DVB descrambler):
- CW (Сопtrоl Wоrd), предварительно выделенный в блоке демультиплексирования входного потока (8);- CW (Soptrol Word), previously allocated in the demultiplexing unit of the input stream (8);
- секретный ключ повышенной разрядности, который «зaшит» в блоке памяти секретных ключей (9) Этот ключ выбирается из группы ключей по номеру ключа, выделенному из входного потока в блоке 8;- a secret key of increased capacity, which is “stored” in the secret key memory block (9) This key is selected from the group of keys by the key number allocated from the input stream in block 8;
- код разрешение/запрета, сформированный в анализаторе кодов управления (10) на основании информации управления, полученной с выхода блока 8;- enable / disable code generated in the control code analyzer (10) based on the control information received from the output of block 8;
- код подтверждения, сформированный в блоке процессор защиты (12) .- confirmation code generated in the block processor protection (12).
С выхода блока 11 дескремблированные пакеты поступают на блок формирования выходного потока (7) (, где происходит их мультиплексирование с входным потоком. С выхода блока 7 восстановленный поток поступает на выход приёмной части системы.From the output of block 11, the descrambled packets arrive at the block for generating the output stream (7) (where they are multiplexed with the input stream. From the output of block 7, the restored stream is sent to the output of the receiving part of the system.
Преимущество системы «Pocкpипт-M» заключается в использование Российского стандарта криптографической защиты. Она предусматриваетThe advantage of the Poccrypt-M system is the use of the Russian standard of cryptographic protection. She provides
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) несколько уровней защиты информации, невозможность вскрытия значений используемых ключей.SUBSTITUTE SHEET (RULE 26) several levels of information protection, the impossibility of opening the values of the keys used.
В ряде опциональных вариантов для выполнения функций управления сетью, передачи сигналов поддержки функций скремблирования на приемной стороне не требуется выделение дополнительных пропускных ресурсов канала DVB при передаче всех сигналов управления в том же транспортном потоке, что и ТВ программ.In a number of optional options for performing network management functions and transmitting scrambling function support signals at the receiving side, it is not necessary to allocate additional DVB channel bandwidth when transmitting all control signals in the same transport stream as TV programs.
В коммерческом варианте использования обеспечивается работа практически с неограниченным числом абонентов при организации подписки в реальном масштабе времени. Например, при численности абонентов до 1 млн. время подписки не превышает 20 секунд.In the commercial use case, work is provided with an almost unlimited number of subscribers when organizing a subscription in real time. For example, with the number of subscribers up to 1 million, the subscription time does not exceed 20 seconds.
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) Перечень позицийSUBSTITUTE SHEET (RULE 26) List of items
На фиг. 1 показана реализация передающей стороны:In FIG. 1 shows the implementation of the transmitting side:
1- блок формирования кодов управления1- control code generation unit
2- блок выделения компонент ТП2- block component selection TP
3- блок скремблирования выделенных компонент и шифрования ключей3- block scrambling selected components and encryption keys
4- блок выделения избыточной полосы ТП и формирователь выходного потока4 - block allocation of excess TP band and shaper output stream
5- блок память группы секретных ключей5- block memory group of private keys
6- управляющий процессор6- control processor
На фиг.2 показана реализация приёмной стороны:Figure 2 shows the implementation of the receiving side:
7- блок формирования выходного потока7- block output stream formation
8- блок демультиплексирования входного потока8- input stream demultiplexing unit
9- блок памяти секретных ключей 10-aнaлизaтop кодов управления 11-блoк дecкpeмблиpoвaния9- secret key memory unit 10-analyzer of control codes 11-unit of decompression
12- процессор защиты12- protection processor
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) SUBSTITUTE SHEET (RULE 26)

Claims

Формула изобретения Claim
1. Система защиты информации в абонентских сетях, состоящая из:1. The information security system in subscriber networks, consisting of:
- на передающей стороне блока выделения компонент транспортного потока (2), блока скремблирования выделенных компонент и шифрования ключей (3), блока памяти группы секретных ключей (5), управляющего процессора (6), блока формирования кодов управления (1) и блока выделения избыточной полосы ТП и формирования выходного потока (4);- on the transmitting side of the block of separation of the components of the transport stream (2), the block of scrambling of the selected components and encryption of keys (3), the memory block of the group of secret keys (5), the control processor (6), the block for generating control codes (1) and the block for allocating redundant TP bands and output stream formation (4);
- на приёмной стороне блока демультиплексирования входного потока (8), блока формирования выходного потока (7), блока памяти секретных ключей (9), анализатора кодов управления (10), блока дескремблирования DVB и процессора защиты (12).- on the receiving side of the input stream demultiplexing unit (8), the output stream forming unit (7), the secret key memory unit (9), the control code analyzer (10), the DVB descrambling unit, and the protection processor (12).
2. Система по п.1 , отличающаяся тем, что содержит блок скремблирования выделенных компонент и шифрования ключей (3), включающий элемент формирования по случайному закону контрольного слова с использованием набора переключаемых базовых ключей; блок шифрования выбранных компонент транспортного потока, блок формирования кода управления (1) для каждого абонента вместе с контрольным словом и кодом пароля в составе именного управляющего сообщения, а на абонентской стороне блок вызова абонентского базового ключа в соответствии с принятым паролем и восстановления шифрованных компонент с помощью контрольного слова, принятого в составе именного управляющего сообщения.2. The system according to claim 1, characterized in that it contains a block for scrambling the selected components and encrypting keys (3), including an element for generating a control word according to a random law using a set of switchable base keys; an encryption unit for the selected components of the transport stream, a control code generation unit (1) for each subscriber together with a control word and a password code as part of the name control message, and on the subscriber side, a subscriber base key call block in accordance with the received password and recovery of the encrypted components using control word accepted as part of a registered control message.
3. Система по п.1 , отличающаяся тем, что блок формирования и передачи кода управления (1) содержит средство для разделения именного управляющего сообщения на ряд пакетов управления и осуществления их сквозной нумерации и с одновременным формированием электронной подписи для каждого пакета.3. The system according to claim 1, characterized in that the control code generation and transmission unit (1) comprises means for dividing the registered control message into a number of control packets and performing their end-to-end numbering and simultaneously generating an electronic signature for each packet.
4. Система по п.1 , отличающаяся тем, что блок скремблирования и шифрования выбранных компонент транспортного потока включает4. The system according to claim 1, characterized in that the scrambling and encryption unit of the selected components of the transport stream includes
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) элементы базового необратимого шифрования для реализации электронного энергонезависимого ключа повышенной сложности раскрытия.SUBSTITUTE SHEET (RULE 26) elements of basic irreversible encryption for the implementation of an electronic non-volatile key of increased complexity of disclosure.
ЗАМЕНЯЮЩИЙ ЛИСТ (ПРАВИЛО 26) SUBSTITUTE SHEET (RULE 26)
PCT/RU2008/000634 2008-06-25 2008-10-03 System for protecting information in subscriber networks WO2009157800A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2008125467 2008-06-25
RU2008125467 2008-06-25

Publications (1)

Publication Number Publication Date
WO2009157800A1 true WO2009157800A1 (en) 2009-12-30

Family

ID=41444726

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2008/000634 WO2009157800A1 (en) 2008-06-25 2008-10-03 System for protecting information in subscriber networks

Country Status (1)

Country Link
WO (1) WO2009157800A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4993066A (en) * 1987-02-26 1991-02-12 Jenkins Henry H Method for television scrambling
WO2001076135A1 (en) * 2000-04-03 2001-10-11 Canal+ Technologies Societe Anonyme Authentication of data transmitted in a digital transmission system
RU2000111530A (en) * 1997-10-02 2002-05-27 Каналь+Сосьетэ Аноним METHOD AND DEVICE FOR ENCRYPTED DATA STREAM TRANSLATION
WO2003098919A1 (en) * 2002-05-21 2003-11-27 Koninklijke Philips Electronics N.V. Conditional access system
WO2005083917A1 (en) * 2004-02-23 2005-09-09 Logicacmg Uk Limited Improvements relating to digital broadcasting communications
WO2007001287A1 (en) * 2005-06-23 2007-01-04 Thomson Licensing Multi-media access device registration system and method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4993066A (en) * 1987-02-26 1991-02-12 Jenkins Henry H Method for television scrambling
US4993066C1 (en) * 1987-02-26 2001-04-24 Techsearch L L C Method for television scrambling
RU2000111530A (en) * 1997-10-02 2002-05-27 Каналь+Сосьетэ Аноним METHOD AND DEVICE FOR ENCRYPTED DATA STREAM TRANSLATION
WO2001076135A1 (en) * 2000-04-03 2001-10-11 Canal+ Technologies Societe Anonyme Authentication of data transmitted in a digital transmission system
WO2003098919A1 (en) * 2002-05-21 2003-11-27 Koninklijke Philips Electronics N.V. Conditional access system
WO2005083917A1 (en) * 2004-02-23 2005-09-09 Logicacmg Uk Limited Improvements relating to digital broadcasting communications
WO2007001287A1 (en) * 2005-06-23 2007-01-04 Thomson Licensing Multi-media access device registration system and method

Similar Documents

Publication Publication Date Title
CN100366083C (en) Method for operating conditional access system for broadcast applications
US4887296A (en) Cryptographic system for direct broadcast satellite system
EP1023795B1 (en) Control for a global transport data stream
US8300812B2 (en) Methods of scrambling and descrambling units of data
RU2433471C2 (en) Method and device for authorising access
KR100810318B1 (en) Digital multimedia broadcasting conditional access system and method thereof
US20110238991A1 (en) Content decryption device and encryption system using an additional key layer
US20080165962A1 (en) Multistream distributor and multi-descrambler
JP2007528668A (en) Secure data transmission via multi-channel permission management and control
CN101953160B (en) Controlled cryptoperiod timing to reduce decoder processing load
CN100442839C (en) Information transmitting method and apparatus for interactive digital broadcast television system
JPH04233345A (en) Method and apparatus for transfer control in broadcast equipment
US7224806B2 (en) Threshold cryptography scheme for conditional access systems
US20140115326A1 (en) Apparatus and method for providing network data service, client device for network data service
US20110280399A1 (en) Transmission, reception and identification methods, security processor and information recording medium for said methods
CN105791954A (en) Digital television terminal conditional access method and system and terminal
CN1143480C (en) Method, system and user equipment for information flow anti-theft separation
RU80297U1 (en) INFORMATION PROTECTION SYSTEM IN SUBSCRIBER NETWORKS
WO2009157800A1 (en) System for protecting information in subscriber networks
Jung et al. Design and implementation of a multi-stream cableCARD with a high-speed DVB-common descrambler
US20070186268A1 (en) Cross-encoding of information in independent channels
CN100379288C (en) CA module wireless connection relevancy mode for same account multi digital television receiving terminal
JP4374749B2 (en) Viewing control method
JPH10190646A (en) Security information distribution method, receiving device and transmitting device in digital network
KR20100112264A (en) Encoding/decoding method for preventing hacking(illegal watching) at cas(conditional access system) of satellite/terrestrial receiver

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08874825

Country of ref document: EP

Kind code of ref document: A1

DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 201100414

Country of ref document: EA

122 Ep: pct application non-entry in european phase

Ref document number: 08874825

Country of ref document: EP

Kind code of ref document: A1