BRPI0508600B1 - gerenciamento dinâmico de cartão inteligente - Google Patents

gerenciamento dinâmico de cartão inteligente Download PDF

Info

Publication number
BRPI0508600B1
BRPI0508600B1 BRPI0508600A BRPI0508600A BRPI0508600B1 BR PI0508600 B1 BRPI0508600 B1 BR PI0508600B1 BR PI0508600 A BRPI0508600 A BR PI0508600A BR PI0508600 A BRPI0508600 A BR PI0508600A BR PI0508600 B1 BRPI0508600 B1 BR PI0508600B1
Authority
BR
Brazil
Prior art keywords
ecm
restoration
security module
ecms
portable security
Prior art date
Application number
BRPI0508600A
Other languages
English (en)
Inventor
Le Floch Dominique
Maillard Michel
Original Assignee
Canal Tech
Nagra France Sas
Nagra Thomson Licensing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canal Tech, Nagra France Sas, Nagra Thomson Licensing filed Critical Canal Tech
Publication of BRPI0508600A publication Critical patent/BRPI0508600A/pt
Publication of BRPI0508600B1 publication Critical patent/BRPI0508600B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

gerenciamento dinâmico de cartão inteligente. método para proteger um módulo de segurança portátil para uso com um elemento decodificador, o módulo de segurança portátil e o elemento da decodificação permitindo o desembaralhamento da informação audiovisual embaralhada. o método compreende a análise, no módulo de segurança portátil, de uma seqüência de mesagens de comando, a mensagem de comando da seqüência sendo recebida no módulo de segurança portátil em tempos distintos.

Description

(54) Título: GERENCIAMENTO DINÂMICO DE CARTÃO INTELIGENTE (51) lnt.CI.: H04N 21/418; H04N 21/4367; H04N 7/16; H04N 7/167 (30) Prioridade Unionista: 11/03/2004 EP 04290656.0 (73) Titular(es): NAGRA FRANCE SAS (72) Inventor(es): MICHEL MAILLARD; DOMINIQUE LE FLOCH (85) Data do Início da Fase Nacional: 11/09/2006
Relatório Descritivo de Patente de Invenção para:
GERENCIAMENTO DINÂMICO DE CARTAO INTELIGENTE.
Antecedentes da Invenção
Campo da Invenção
A invenção se refere, de nm modo geral, a módulos de segurança portáteis adaptados para desembaralhar informação audiovisual embaralhada.
Estado da Técnica
A transmissão de dados criptografados, que é bem 10 conhecida no campo de sistemas de TV paga, onde informação audiovisual embaralhada é difundida, usualmente, por emissores terrestres, satélite ou através de uma rede a cabo para um número de assinantes, cada assinante possuindo um decodificador ou receptor/decodificador capaz de desembaralhar a informação audiovisual embaralhada para observação subsequente.
Em um sistema típico, a informação audiovisual embaralhada pode ser desembaralhada usando uma palavra de controle. A fim de tentar aperfeiçoar a segurança do sistema, a palavra de controle, usualmente, é mudada, mais ou menos, a cada dez segundos. A cada 10 segundos, cada assinante recebe, em uma ECM (Entitlement Control Message Mensagem de Controle de Habilitação), a palavra de controle necessária para desembaralhar a informação audiovisual embaralhada de modo a permitir a observação da transmissão.
A própria palavra de controle é criptografada por uma chave de exploração e transmitida na forma criptografada na ECM. A informação audiovisual embaralhada e a palavra de controle criptografada são recebidas por um decodificador, que, no caso de um assinante pago, tem acesso à chave de exploração armazenada em um módulo de segurança portátil, por exemplo, um cartão inteligente, inserido no decodificador. A palavra de controle criptografada é descriptografada, usando a chave de exploração pelo cartão inteligente. O cartão inteligente transmite a palavra de controle para o decodificador. A informação audiovisual embaralhada é desembaralhada usando a palavra de controle descriptografada pelo decodificador. O decodificador é, na verdade, poderoso o bastante para proporcionar um desembaralhamento em tempo real da informação audiovisual embaralhada.
A chave de exploração é, em si, mudada periodicamente, por exemplo, mais ou menos a cada mês. Uma EMM (Entitlement
Management Message - Mensagem de Gerenciamento de
Habilitação) é recebida mensalmente pelo decodificador e é transmitida no cartão inteligente. A EMM contém a chave de exploração na forma codificada. Uma chave de grupo atribuída ao cartão inteligente permite decodificar a chave de exploração codificada.
O decodificador, portanto, envia, regularmente, mensagens de comando para o cartão inteligente.
A mensagem de comando pode ser uma ECM, isto é, o decodificador transmite para o cartão inteligente uma palavra de controle em uma forma criptografada. O cartão inteligente descriptografa a palavra de controle, usando a chave de exploração. A transmissão da palavra de controle, tipicamente, ocorre a cada 10 segundos.
Se uma pessoa se move rapidamente de um primeiro canal para um segundo canal, o decodificador transmite para o cartão inteligente uma segunda palavra de controle em uma forma criptografada após uma transmissão de uma primeira palavra de controle em uma forma criptografada. A primeira palavra de controle e a segunda palavra de controle, respectivamente, correspondem ao primeiro canal e ao segundo canal. O cartão inteligente pode, portanto, receber
Mensagens de Controle de Habilitação mais frequentemente do 20 que a cada 10 segundos devido à mudança rápida de canais.
A mensagem de comando também pode ser uma EMM, isto é, o decodificador transmite para o cartão inteligente uma chave de exploração em uma forma codificada ou qualquer outra mensagem de comando do decodificador.
A figura 1 ilustra esquematicamente um cartão inteligente de acordo com a técnica anterior. O cartão inteligente 11 é ativado pelo recebimento de uma mensagem, por exemplo, uma Mensagem de Controle de Habilitação ECMn, de um decodificador (não representado): o decodificador atua como um mestre e o cartão inteligente 11 como um escravo. Uma unidade de processamento 12 do cartão inteligente apenas executa as mensagens de comando recebidas do decodificador. 0 cartão inteligente 11 compreende uma memória de parâmetros, por exemplo, uma
EEPROM 13, em que parâmetros são armazenados. A unidade de processamento 12 pode verificar que os parâmetros armazenados na EEPROM 13 estão corretos. Os parâmetros podem ser, por exemplo, um tamanho das Mensagens de
Controle de Habilitação a serem recebidas. A unidade de processamento pode verificar que a Mensagem de Controle de
Habilitação ECMn recebida tem um tamanho adequado, antes da descriptografação de uma palavra de controle criptografada, contida na Mensagem de Controle de Habilitação ECMn recebida.
Um cartão inteligente é destinado, em geral, a se comunicar com um decodificador único. Contudo, um usuário fraudulento pode tentar preparar um servidor entre um único cartão inteligente e uma pluralidade de decodificadores. 0 servidor pode ser um divisor que se comunica com a pluralidade de decodificadores diretamente, por exemplo, através de um fio elétrico. 0 servidor também pode ser um servidor de Palavra de Controle (Control Word), que se comunica com a pluralidade de decodificadores através de uma rede, por exemplo, uma rede de Internet.
A figura 2 ilustra, esquematicamente, um exemplo de uma configuração de divisor de acordo com a técnica anterior.
Um primeiro decodificador 24A recebe, continuamente, uma primeira informação audiovisual embaralhada EcwL (mx) , correspondendo a um primeiro canal. Um segundo decodificador 2 4B recebe, continuamente, uma segunda informação audiovisual embaralhada Ecw2(m2), correspondendo a um segundo canal. O primeiro decodificador 24A e o segundo decodificador 24B, respectivamente, permitem proporcionar um desembaralhamento em tempo real da primeira informação audiovisual embaralhada Ecwi(mi) e da segunda informação audiovisual embaralhada Ecw2 (m2) .
A primeira informação audiovisual embaralhada Ecwx (mi) e a segunda informação audiovisual embaralhada Ecw2(m2) são desembaralhadas, respectivamente, usando uma primeira palavra de controle CW1, armazenada em uma primeira memória
25A do primeiro decodificador 24A e uma segunda palavra de controle CW2 armazenada em uma segunda memória 25B do segundo decodificador 24B.
Em cada criptoperíodo, isto é, a cada 10 segundos, por exemplo, o primeiro decodificador 24A e o segundo decodificador 24B, respectivamente, recebem uma primeira
Mensagem de Controle de Habilitação ECM1 e uma segunda
Mensagem de Controle de Habilitação ECM2 .
I Em uma configuração de divisor, o primeiro decodificador 24A e o segundo decodificador 24B, respectivamente, transmitem a primeira Mensagem de Controle de Habilitação ECM1 e a segunda Mensagem de Controle de
Habilitação ECM2 para um único servidor, por exemplo, um divisor 22, durante um único criptoperíodo.
O divisor 22 envia uma das Mensagens de Controle de
Habilitação transmitidas, por exemplo, ECM1, para um módulo de segurança portátil único, por exemplo, um cartão inteligente 21. Usando uma chave de exploração armazenada em uma memória 2 6 de cartão inteligente, o cartão inteligente descriptografa a palavra de controle correspondente, por exemplo, CW1, mediante recebimento da
Mensagem de Controle de Habilitação (ECM1) enviada. A palavra de controle correspondente CW1 é transmitida para o divisor 22. Uma vez que o divisor 22 receba a palavra de controle CW1 transmitida, o divisor 22 envia uma Mensagem de Controle de Habilitação distinta entre as Mensagens de Controle de Habilitação transmitidas, por exemplo, ECM2, para o cartão inteligente 21. O cartão inteligente descriptografa a palavra de controle correspondente, por exemplo, CW2, mediante o recebimento da Mensagem de Controle de Habilitação (ECM2) enviada. A palavra de controle correspondente CW2 é transmitida para o divisor .
O divisor 22 envia as palavras de controle 10 descriptografadas CW1 e CW2, respectivamente, para o primeiro decodificador 24A e para o segundo decodificador
24B.
O servidor permite que uma pluralidade de decodificadores desembaralhem a informação audiovisual embaralhada com um cartão inteligente único.
Resumindo, um assinante pago, em geral, possui um único módulo de segurança portátil, por exemplo, um cartão inteligente. Contudo, um servidor como descrito para a preparação do usuário fraudulento, por exemplo, um divisor ou um servidor de Palavra de Controle, permite que uma pluralidade de decodificadores desembaralhem informação audiovisual embaralhada com um cartão inteligente único.
Portanto, é possível a um assinante pago proporcionar um acesso à informação audiovisual dedicada ao assinante pago para um ou mais usuários não autorizados, que não possuem qualquer cartão inteligente.
Hã uma necessidade de um método que permita desencorajar um uso de um servidor em uma configuração de divisor. Contudo, um assinante pago regular, possuindo um decodificador que se comunica diretamente com um cartão inteligente não enfrentará problemas.
Um primeiro método pode consistir na implementação de um software de redução de velocidade de um processamento de cada cartão inteligente. Os cartões inteligentes, portanto, podem não ser capazes de descriptograf ar mais de uma palavra de controle, durante um criptoperíodo, por exemplo, segundos.
Um segundo método pode consistir na emissão de 15 Mensagens de Controle de Habilitação em criptoperíodos mais curtos, por exemplo, a cada 3 segundos.
Ambos, o primeiro e o segundo método, permitem restringir o processamento para uma ECM única por criptoperíodo. Como uma conseqüência, o servidor, em geral, falhará em sincronizar as comunicações entre uma pluralidade de decodificador e um cartão inteligente único.
Apenas um decodificador único pode funcionar corretamente com o cartão inteligente único.
Contudo, se ura assinante pago regular, que possui um decodificador único, se move rapidamente de um canal para um outro canal, em uma taxa de movimentação relativamente alta, o cartão inteligente pode também pode falhar em descriptografar uma pluralidade de ECMs recebidas por criptoperíodo. O assinante pago regular pode, portanto, ser impedido de se mover rapidamente entre várias informações audiovisuais oferecidas. Tipicamente, uma tela do assinante pago regular pode ficar em branco em uma ação de movimentação, mesmo se o assinante for um assinante pago regular.
Sumário da Invenção
Em um primeiro aspecto, a invenção proporciona um método para prender um módulo de segurança portátil para uso com um elemento de decodificação, o módulo de segurança portátil e o elemento de decodificação permitindo desembaralhar informação audiovisual embaralhada. 0 método compreende o processamento, no módulo de segurança portátil, de Mensagens de Controle de Habilitação (ECMs) recebidas no módulo de segurança portátil para permitir o desembaralhamento da informação audiovisual embaralhada. O método ainda compreende a análise no módulo de segurança portátil de uma seqüência de ECMs, a seqüência de ECMs compreendendo uma nova ECM e uma ECM anterior recebida em um tempo anterior, as ECMs da seqüência sendo recebidas no módulo de segurança portátil em tempos distintos, a analise sendo realizada no recebimento da nova ECM. Um registrador de erro é incrementado na análise de um resultado determinado da análise e uma penalidade aplicada ao módulo de segurança portátil, dependendo de um valor do registrador de erro pela introdução de um tempo morto no processamento, de modo a reduzir a velocidade do processamento.
Em uma primeira modalidade preferida, as ECMs são substituídas por Mensagens de Gerenciamento de Habilitação (EMMs).
Em uma segunda modalidade preferida, o tempo morto tem uma duração que depende de um valor do registrador de erro.
Em uma terceira modalidade preferida, a duração do tempo morto é mais curta do que um valor de tempo máximo. O valor de tempo máximo é alto o bastante para impedir o módulo de segurança portátil de processar mais de uma
Mensagem de Controle de Habilitação durante um criptoperíodo único.
Em uma quarta modalidade preferida, cada Mensagem de
Controle de Habilitação compreende um identificador de canal. O identificador de canal está associado a um canal determinado. A análise da seqüência das ECMs compreende a
MM comparação do identificador de canal da nova ECM e o identificador de canal da ECM anterior.
Em uma quinta modalidade preferida, cada Mensagem de
Controle de Habilitação compreende uma primeira Palavra de
Controle criptografada e uma segunda Palavra de Controle criptografada. A primeira Palavra de Controle permite desembaralhar a informação audiovisual embaralhada durante um primeiro criptoperíodo e a segunda Palavra de Controle permite desembaralhar a informação audiovisual embaralhada, durante um segundo criptoperíodo, distinto do primeiro criptoperíodo. A análise da seqüência de ECMs compreende a comparação de uma segunda Palavra de Controle da ECM anterior com uma primeira Palavra de Controle da nova E C
M.
Em uma sexta modalidade preferida, a análise da seqüência de ECMs compreende a comparação de um conteúdo determinado de uma primeira ECM da seqüência de ECMs com um segundo conteúdo determinado de uma segunda ECM da seqüência de ECMs.
Em uma sétima modalidade preferida, um tempo morto reajustado ê introduzido com uma restauração em cada processamento das Mensagens de Controle de Habilitação. O tempo morto restaurado tem uma duração que depende de um número de Mensagens de Controle de Habilitação recebidas no
Mó módulo de segurança portátil após a restauração. A duração é igual a um primeiro valor de tempo de restauração em um primeiro processamento seguindo imediatamente a restauração. O primeiro valor de tempo de restauração é menor do que o valor de tempo máximo.
Em uma oitava modalidade preferida, a natureza de uma outra restauração é avaliada de acordo com um grupo intermediário de mensagens de comando intermediárias. O grupo intermediário compreende mensagens de comando recebidas após uma restauração anterior, precedendo a nova restauração.
Em uma nona modalidade preferida, o número das ECMs intermediárias é comparado com um número limite de restauração. Um resultado da comparação permite avaliar a natureza da restauração. Um registrador de erro de restauração é incrementado na restauração adicional, se a restauração adicional for avaliada como suspeita. 0 módulo de segurança portátil é bloqueado, se o registrador de erro de restauração tiver um valor que é maior do que um limite de erros de restauração.
De preferência, o módulo de segurança portátil é um cartão inteligente e o elemento de decodificação é um decodificador.
Em um segundo aspecto, a invenção proporciona um módulo de segurança portátil para uso com um elemento de decodificação, em que o módulo de segurança portátil e o elemento de decodificação permitem desembaralhar informação audiovisual embaralhada. 0 módulo de segurança portátil compreende meios de recebimento para receber Mensagens de
Controle de Habilitação (ECMs) e meios de processamento para processar uma ECM recebida no módulo de segurança portátil de modo a permitir o desembaralhamento da informação audiovisual embaralhada. O módulo de segurança portátil ainda compreende uma memória de mensagem de comando em que uma ECM anterior, recebida em um momento anterior, pode ser armazenada e meios de análise para analisar uma seqüência de ECMs, a seqüência de ECMs compreendendo uma nova ECM e a ECM anterior, as ECMs da seqüência sendo recebidas no módulo de segurança portátil em momentos distintos e a análise sendo realizada em cada recebimento de uma nova ECM. O módulo de segurança portátil ainda compreende meios para comparar a nova ECM e a ECM anterior da seqüência de ECMs, um registrador de erro, meios de incrementação para incrementar o registrador de erro dependendo de um resultado da comparação e meios de retardo para introduzir um tempo morto em cada processamento, de modo a reduzir a velocidade do processamento.
Em uma décima modalidade preferida, o meio de retardo também permite uma restauração para introduzir um tempo morto de restauração em cada processamento, seguindo a restauração. 0 tempo morto de restauração tem uma duração que depende de um número de processamentos, seguindo a restauração. A duração é igual a um primeiro valor de tempo de restauração em um primeiro processamento, imediatamente em seguida à restauração.
Em uma décima primeira modalidade preferida, o módulo de segurança portátil ainda compreende um registro de contagem, permitindo armazenar um número de ECMs intermediárias. As ECMs intermediárias são recebidas no módulo de segurança portátil após uma restauração prévia. O módulo de segurança portátil ainda compreende um flag. 0 flag tem um valor que depende de um resultado de uma comparação do registro de contagem com um número limite de restauração. Um registrador de erro de restauração é incrementado, dependendo do valor do flag em uma outra restauração. Meios de bloqueio permitem bloquear o módulo de segurança portátil de acordo com um valor do registrador de erro de restauração.
Figure BRPI0508600B1_D0001
Em uma décima segunda modalidade, as ECMs são substituídas por Mensagens de Gerenciamento de Habilitação (EMMs).
Em um terceiro aspecto, a invenção proporciona um software para uso dentro do módulo de segurança portátil. O software permite implementar o método do primeiro aspecto da presente invenção.
Em um quarto aspecto, a invenção proporciona um método para fixação de um módulo de segurança portátil. O método compreende a baixa de um software de acordo com o terceiro aspecto da presente invenção. A baixa compreende o recebimento no módulo de segurança portátil pelo menos uma mensagem de configuração do elemento de decodificação.
Outros aspectos e vantagens da invenção serão evidentes da descrição seguinte e das reivindicações anexas.
Breve Descrição dos Desenhos
A figura 1 ilustra, esquematicamente, um exemplo de um cartão inteligente de acordo com a técnica anterior.
A figura 2 ilustra, esquematicamente, um exemplo de uma configuração de divisor de acordo com a técnica anterior.
A figura 3 ilustra um exemplo de um módulo de segurança portátil de acordo com a presente invenção.
A figura 4 ilustra um exemplo de um algoritmo a ser executado por um cartão inteligente de acordo com a presente invenção.
As figuras 5A e 5B ilustram um exemplo de uma sequência de mensagens de comando recebidas por um módulo de segurança portátil de acordo com a presente invenção.
A figura 6A ilustra uma sequência possível de valores de um registrador de erro em um módulo de segurança portátil de acordo com a presente invenção.
A figura 6B ilustra uma seqüência possível de valores de uma duração de um tempo morto em um módulo de segurança portátil de acordo com a presente invenção.
A figura 6C ilustra um exemplo de uma seqüência de valores de uma duração de um tempo morto de um módulo de segurança portátil, de acordo com a presente invenção.
A figura 7 ilustra um exemplo de um algoritmo a ser implementado em um módulo de segurança portátil de acordo com a presente invenção.
Descrição Detalhada
Visão Geral da Invenção
A figura 3 ilustra um exemplo de um módulo de segurança portátil de acordo com a presente invenção. Um módulo de segurança portátil 31, por exemplo, um cartão inteligente, é destinado a ser usado com um elemento de decodificação (não representado), por exemplo, um decodificador. O módulo de segurança portátil e o elemento de decodificação permitem desembaralhar informação audiovisual embaralhada. 0 módulo de segurança portátil 31 recebe uma pluralidade de mensagens, por exemplo, Mensagens de Controle de Habilitação. 0 módulo de segurança portátil permite processar cada Mensagem de Controle de Habilitação
ECMn+1, de modo a extrair uma Palavra de Controle CWn+i a ser enviada para o decodificador.
Similar ao módulo de segurança portátil da técnica anterior, o cartão inteligente 31 de acordo com a presente invenção pode compreender uma unidade de processamento 32 que apenas processa as Mensagens de Controle de Habilitação ou outras mensagens recebidas no módulo de segurança portátil. O módulo de segurança portátil 31 pode compreender uma memória de parâmetros, por exemplo, uma
EEPROM 33, em que os parâmetros são armazenados. A unidade de processamento 32 pode verificar se os parâmetros armazenados na EEPROM 33 estão corretos.
O módulo de segurança portátil 31 da presente invenção compreende meios de análise 35 para analisar uma sequência de mensagens de comando (CMn+i, CMn) . As mensagens de comando da seqüência (CMn+i, CMn) são recebidas no módulo de segurança portátil 31 em tempos distintos.
5|
Tipicamente, a análise é realizada a cada vez que uma nova mensagem de comando CMn+i é recebida. A sequência de mensagens de comando compreende a nova mensagem de comando
CMn+i e uma mensagem de comando CM anterior, que pode, por exemplo, ser recebida imediatamente antes da nova mensagem de comando CMn+i. A sequência de mensagens de comando pode ainda compreender pelo menos uma outra mensagem de comando.
A análise pode compreender a comparação de um determinado conteúdo das mensagens de comando da sequência de mensagens de comando (CMn+L, CMn) . Um registrador de erro pode ser incrementado em um determinado resultado da comparação.
O cartão inteligente da presente invenção permite extrair informação, por exemplo, um valor do registrador de erro 37, a informação extraída sendo em relação ás mensagens de comando que são recebidas antes da nova mensagem de comando CMn+i. Uma penalidade pode ser aplicada ao cartão inteligente 31, dependendo de um valor do registrador de erro 37. Esse método de acordo com a presente invenção permite, ao contrário do primeiro método e do segundo método, evitar prejudicar um assinante pago regular que possua um decodificador único que se movimenta de um canal para o outro em uma taxa de movimentação relativamente alta.
<5$ cartão inteligente 31 pode ainda compreender uma memória de mensagem de comando 3 6 em que pelo menos uma mensagem de comando entre as mensagens recebidas seqüencialmente pode ser armazenada. A memória de mensagem de comando 36 pode ser distinta de uma unidade central de processamento 34, que compreende a unidade de processamento e os meios de analise 35.
Alternativamente, a memória de mensagem de comando pode ser, por exemplo, uma parte dos meios de analise:
tipicamente, a memória de mensagem de comando pode ser um registrador único dos meios de análise ou de qualquer outro meio de processamento.
Os meios de análise 35 podem ser um dispositivo de hardware distinto da unidade de processamento 32, conforme representado na figura 3. De preferência, os meios de análise são um software de análise que é implementado no cartão inteligente. A unidade central de processamento
compreende um software de processamento e um software de
análise.
20 A figura 4 ilustra um exemplo de um algoritmo a ser
executado por um cartão inteligente de acordo com a
presente invenção. 0 cartão inteligente recebe uma mensagem. A mensagem recebida pode ser uma mensagem de comando, por exemplo, uma ECM, uma EMM ou qualquer outra
S3 mensagem determinada. Quando uma nova mensagem de comando CMn+i é recebida (caixa 401) , uma analise de uma seqüência de mensagens de comando é realizada. Tipicamente, a nova mensagem de comando CMn+1 é comparada com uma mensagem de comando CMn anterior, recebida mais cedo (caixa 4 02) . A comparação da nova mensagem de comando CMn+i com a mensagem de comando CMn anterior pode consistir na comparação de uma porção determinada de cada mensagem de comando (CMm, CMn+1) , por exemplo, um identificador. A comparação também pode consistir na comparação de uma informação extraída de cada mensagem de comando (CMm, CMn+χ) , por exemplo, uma palavra de controle descriptografada pelo cartão inteligente.
Um registrador de erro error_reg pode ser incrementado de acordo com um resultado da comparação (caixa 4 03) . O algoritmo ainda compreende a introdução de um tempo morto τ em cada processamento das Mensagens de Controle de
Habilitação recebidas no cartão inteligente (caixa 404) .
Essa penalidade de tempo morto permite reduzir a velocidade do cartão inteligente. No método da presente invenção, o tempo morto τ tem uma duração que depende de um valor do registrador de erro error__reg. Tipicamente, uma duração do tempo morto τ aumenta com o valor do registrador de erro error_reg.
Em caso de configuração de divisor, o cartão inteligente recebe mais de uma ECM por criptoperíodo. 0 cartão inteligente processa cada ECM recebida de modo a permitir um desembaralhamento da informação audiovisual embaralhada. Contudo, se a análise detecta um problema em cada criptoperíodo, por exemplo, a cada 10 segundos, o registrador de erro error_reg pode ter um valor relativamente alto. 0 tempo morto τ, portanto, tem uma duração relativamente alta, que pode impedir o cartão inteligente de processar mais de uma ECM em cada criptoperíodo, assim, interrompendo o desembaralhamento de uma pluralidade de programas de audiovisual difundidos com um único cartão inteligente.
Em caso de assinante pago regular, possuindo um sistema de decodificação regular, o assinante pago regular pode gerar, quando se movimentando de um canal para o outro, uns poucos incrementos do registrador de erro error_reg. Como uma conseqüência, o tempo morto τ é introduzido como uma penalidade, mas o tempo morto τ tem uma duração relativamente pequena. Esse tempo morto curto permite que o cartão inteligente processe uma única ECM regular de um decodificador único durante um criptoperíodo. 0 método de acordo com a presente invenção apenas ±2±5 interrompe o desembaralhamento com uma configuração não autorizada, por exemplo, configuração de divisor.
O valor do tempo morto τ pode ser armazenado em uma memória RAM. Se, no caso da configuração não autorizada, o desembaralhar for interrompido, um usuário não autorizado pode reajustar o cartão inteligente, de modo a reajustar o valor do tempo morto τ e permitir um desembaralhamento usual. 0 algoritmo pode, portanto, compreender que o valor do tempo morto τ é incrementado por um tempo morto reajustado T_reset (caixa 406) com uma restauração do cartão inteligente (caixa 405) . 0 tempo morto reajustado
T reset. pode ter uma duração que depende de um número de
ECMs recebidas no cartão inteligente, seguindo o
restauração. Em um primeiro processamento que segue,
15 imediatamente, a restauração, a duração do tempo morto
reajustado T_reset pode ser igual a um primeiro valor de tempo de restauração, que é relativamente alto. 0 usuário não autorizado que reajusta o cartão inteligente, assim, falha em obter o desembaralhamento regular.
Além da redução da velocidade do cartão inteligente, a aplicação de uma penalidade pode compreender um bloqueio do cartão inteligente. À medida que o cartão inteligente analisa as mensagens de comando anteriores, é possível adaptar a penalidade da introdução de um tempo morto relativamente pequeno ao bloqueio do cartão.
Além disso, um hacker pode atacar o cartão inteligente com um número elevado de mensagens de ataque de modo a extrair parâmetros essenciais. Na técnica anterior, o cartão inteligente falha em proporcionar a análise da sequência de mensagens de comando. Através do fornecimento de uma análise da sequência de mensagens de comando que são recebidas nos tempos anteriores, o método da presente invenção permite detectar esse ataque. As mensagens de ataque podem, na verdade, ser relativamente similares e o registrador de erro error_reg pode ter um valor relativamente alto, se uma análise adequada for realizada. As penalidades aplicadas ao cartão inteligente, por exemplo, a introdução do tempo morto τ ou o bloqueio do cartão inteligente, podem reduzir ou parar o ataque.
Análise de uma seqüência de ECMs
A figura 5A e a figura 5B ilustram um exemplo de uma seqüência de mensagens de comando recebidas por um módulo 20 de segurança portátil de acordo com a presente invenção. A seqüência ilustrada compreende duas Mensagens de Controle de Habilitação sucessivas. A seqüência de mensagens de comando da figura 5A é recebida por um módulo de segurança portátil, por exemplo, um cartão inteligente, sendo usado em uma configuração regular. A seqüência de mensagens de comando da figura 5B é recebida por um cartão inteligente sendo usado em uma configuração de divisor, ou por um cartão inteligente sendo usado em uma configuração regular, se um assinante pago regular se movimenta de um determinado canal i para um segundo canal j substancialmente após o recebimento de uma Mensagem de Controle de Habilitação ECMn anterior.
As Mensagens de Controle de Habilitação (54n, 54n+1) de ambas as figuras, 5A e 5B, compreendem uma primeira palavra de controle criptografada (52n, 52n+1) . 0 cartão inteligente permite descriptografar a primeira palavra de controle criptografada (52n, 52n+1) . A primeira Palavra de Controle
CWi[l] extraída da Mensagem de Controle de Habilitação ECMn anterior permite um desembaralhamento de informação audiovisual embaralhada do canal i determinado, durante um primeiro criptoperíodo.
Em uma primeira concretização da presente invenção, as
Mensagens de Controle de Habilitação (54n, 54n+1) ainda compreendem uma segunda palavra de controle criptografada (53nz 53n4_i) . O cartão inteligente permite descriptograf ar a segunda palavra de controle criptografada (53n, 53n+i) . A segunda Palavra de Controle CWi[2] extraída da Mensagem de
Controle de Habilitação ECMn permite um desembaralhamento ss>
de informação audiovisual embaralhada do determinado canal i, durante um segundo criptoperíodo distinto do primeiro criptoperíodo. O segundo criptoperíodo pode seguir, imediatamente, o primeiro criptoperíodo.
No caso da configuração regular, conforme ilustrado na figura 5A, se o assinante pago regular vê apenas programas do determinado canal, a segunda Palavra de Controle CWi[2], extraída da Mensagem de Controle de Habilitação ECMn anterior é similar a uma primeira Palavra de Controle
CWi[2] da nova Mensagem de Controle de Habilitação ECMn+1.
No caso de um movimento substancial entre o recebimento da Mensagem de Controle de Habilitação ECMn anterior e o recebimento de uma outra Mensagem de Controle de Habilitação ECMn+1, conforme ilustrado na figura 5B, o cartão inteligente recebe como uma outra Mensagem de
Controle de Habilitação ECM uma Mensagem de Controle de
Habilitação ECMn+x, que esta associada com o segundo canal j que é distinto do determinado canal i. A segunda Palavra de Controle CWi[2], extraída da Mensagem de Controle de
Habilitação ECMn anterior é, portanto, diferente da primeira Palavra de Controle CWi[l] da nova Mensagem de
Controle de Habilitação ECMn+i.
No caso de uma configuração de divisor, conforme ilustrado na figura 5B, o cartão inteligente recebe
Mensagens de Controle de Habilitação de uma pluralidade de decodificadores, cada decodificador permitindo desembaralhar um fluxo de informação audiovisual embaralhada de um canal correspondente. Se, por exemplo, o divisor permite que o cartão inteligente se comunique com dois decodificadores, os dois canais correspondentes, provavelmente, são distintos, visto que usuários distintos podem nem sempre ver os mesmos programas de TV.
Se os canais correspondentes são distintos, as
Palavras de Controle que permitem desembaralhar informação audiovisual embaralhada de cada canal correspondente são distintas. Portanto, a segunda Palavra de Controle CWi[2], extraída da Mensagem de Controle de Habilitação ECMn anterior, portanto, é diferente da primeira Palavra de
Controle CWi[l] da nova Mensagem de Controle de Habilitação
ECMn+1.
Na primeira modalidade, uma análise da sequência de mensagens de comando consiste, por exemplo, na comparação da segunda Palavra de Controle, extraída da Mensagem de
Controle de Habilitação ECM anterior, com a primeira
Palavra de Controle da nova Mensagem de Controle de
Habilitação. Essa análise pode ser realizada em cada recebimento de uma nova Mensagem de Controle de Habilitação ou periodicamente.
, 30
2.Ί
A Mensagem de Controle de Habilitação anterior com a qual a nova Mensagem de Controle de Habilitação é comparada, pode ser recebida imediatamente antes da nova
Mensagem de Controle de Habilitação. Alternativamente, em particular em caso de uma transmissão contínua dupla, a
Mensagem de Controle de Habilitação anterior pode ser escolhida de acordo com uma ordem pré-determinada.
Em uma segunda modalidade da presente invenção, que está ilustrada nas figuras 5A e 5B, as Mensagens de
LO Controle de Habilitação (54n, 54n+1) recebidas compreendem um identificador de canal (51n, 51n+i) - O identificador de canal 51n da Mensagem de Controle de Habilitação 54n anterior esta associado com o determinado canal que a primeira Palavra de Controle CWi[l] permite desembaralhar.
No caso da configuração regular, conforme ilustrado na figura 5A, se o assinante pago regular não se movimenta substancialmente entre o recebimento da Mensagem de
Controle de Habilitação ECMn anterior e o recebimento de uma nova Mensagem de Controle de Habilitação ECMn+1, a informação audiovisual embaralhada do determinado canal é desembaralhada. O identificador de canal 51n da Mensagem de
Controle de Habilitação ECMn anterior é, portanto, similar ao identificador de canal 51n+1 da nova Mensagem de Controle de Habilitação ECMn+i.
No caso de um movimento substancial entre o recebimento da Mensagem de Controle de Habilitação ECMn e o recebimento de uma outra Mensagem de Controle de
Habilitação ECMn+1, conforme ilustrado na figura 5B, o cartão inteligente recebe como uma outra Mensagem de
Controle de Habilitação uma Mensagem de Controle de
Habilitação ECMn+i, que esta associada com o segundo canal j, que é distinto do determinado canal i. O identificador de canal 51n da Mensagem de Controle de Habilitação ECMn anterior, portanto, é diferente do identificador de canal
51n+i da nova Mensagem de Controle de Habilitação ECMn+i.
No caso de uma configuração de divisor, também ilustrada na figura 5B, o cartão inteligente, provavelmente, recebe Mensagens de Controle de Habilitação associadas a pelo menos dois canais distintos, conforme explicado em um parágrafo acima. O identificador de canal
51n da Mensagem de Controle de Habilitação ECMn anterior é, assim, diferente do identificador de canal 51n+1 da
Mensagem de Controle de Habilitação ECMn+i.
Na segunda modalidade, uma análise da seqüência de mensagens de comando consiste, por exemplo, na comparação do identificador de canal da Mensagem de Controle de
Habilitação anterior com o identificador de canal da nova
Mensagem de Controle de Habilitação. Essa análise pode ser realizada em cada recebimento de uma nova ECM ou periodicamente. A Mensagem de Controle de Habilitação anterior, com a qual a nova Mensagem de Controle de
Habilitação ECM é comparada, pode ser recebida imediatamente antes da nova Mensagem de Controle de
Habilitação ECM.
Em caso de uma transmissão contínua dupla, a segunda modalidade permite detectar a mudança de identificador de canal na configuração regular e pelo menos uma mudança do identificador de canal na configuração de divisor. Nessa última configuração, durante um criptoperíodo, o cartão inteligente recebe pelo menos:
uma primeira ECM A, associada com um primeiro decodificador e a uma primeira transmissão contínua;
- uma segunda ECM A’ , associada com o primeiro decodificador e a uma segunda transmissão continua;
uma terceira ECM B, associada com um segundo decodificador e ã primeira transmissão contínua;
uma quarta ECM B' , associada com o segundo decodificador e à segunda transmissão contínua.
A primeira ECM, a segunda ECM, a terceira ECM e a quarta ECM podem ser recebidas na seguinte ordem: A, A', B,
Β'. A análise detecta pelo menos uma mudança de identificador de canal. A análise detecta pelo menos três mudanças do identificador de canal, se a primeira ECM, a segunda ECM, a terceira ECM e a quarta ECM são recebidas na seguinte ordem: A, B, A', B’.
No caso da dupla transmissão contínua na configuração regular, sem movimentação rápida, apenas a primeira ECM A e a segunda ECM A1 são recebidas e nenhuma mudança de identificador de canal é detectada. Nesse último caso, um método de acordo com a primeira modalidade da presente invenção detecta uma mudança entre a segunda Palavra de
Controle da Mensagem de Controle de Habilitação e a primeira Palavra de Controle da nova Mensagem de Controle de Habilitação. É necessário levar em consideração a dupla transmissão contínua na análise: a Mensagem de Controle de
Habilitação anterior é escolhida de acordo com uma ordem pré-determinada. A segunda modalidade permite evitar essa precaução.
Contudo, se um hacker atacar o cartão inteligente com um alto número de Mensagens de Controle de Habilitação de ataque, que são relativamente similares, o método de acordo com a primeira modalidade permite detectar um alto número de mudanças entre a segunda Palavra de Controle da Mensagem de Controle de Habilitação anterior e a primeira Palavra de
Controle da nova Mensagem de Controle de Habilitação. O método da segunda modalidade pode não detectar mudanças nos identificadores de canais.
Conforme ilustrado na figura 5A e na figura 5B, as
Mensagens de Controle de Habilitação recebidas podem compreender ambos, o identificador de canal (51n, 51n+i) e a segunda Palavra de Controle criptografada (53n, 53n+x) . A comparação da primeira modalidade e a comparação da segunda modalidade podem ser ambas realizadas como uma análise da seqüência de mensagens de comando.
A análise pode ser realizada em quaisquer outras mensagens recebidas no cartão inteligente, por exemplo,
EMMs ou mensagens de restauração. A análise pode consistir na comparação de um determinado conteúdo, por exemplo, um identificador de canal 51n ou uma informação extraída, por exemplo, uma palavra de controle, de duas mensagens de comando. Se os determinados conteúdos/informação extraída comparados são diferentes, um registrador de erro pode ser incrementado. Uma penalidade pode ser aplicada, dependendo de um valor do registrador de erro. A aplicação de uma penalidade, tipicamente, compreende a introdução de um tempo morto em cada processamento de uma Mensagem de
Controle de Habilitação.
Gerenciamento de Tempos Mortos
A figura 6A ilustra uma seqüência possível de valor de um registrador de erro em um módulo de segurança portátil, de acordo com a presente invenção.
A figura 6B ilustra uma possível seqüência de valores de uma duração de um tempo morto em um módulo de segurança portátil de acordo com a presente invenção. A seqüência de tempos mortos da figura 6B corresponde à seqüência do registrador de erro da figura 6A.
Ambas as seqüências são plotadas como uma função de um número de Mensagens de Controle de Habilitação recebidas após um restauração.
As seqüências ilustradas podem ser observadas em uma configuração de divisor, ou em um comportamento de alta movimentação de um assinante pago regular. Uma análise das
Mensagens de Controle de Habilitação recebidas permite detectar diferenças em determinados conteúdos/informação extraída comparados das Mensagens de Controle de
Habilitação recebidas em seqüência. Durante uma primeira fase 61, seguindo a restauração, o registrador de erro é, portanto, incrementado regularmente, por exemplo, em cada recebimento de uma Mensagem de Controle de Habilitação.
No exemplo ilustrado na figura 6A e na figura 6B, o tempo morto tem uma duração igual a zero, se o valor do registrador de erro for menor do que um valor limite mínimo
C_min_thr, de modo a evitar prejudicar o assinante pago regular que se movimenta de um canal para o outro canal.
Durante uma segunda fase 62, o valor do registrador de erro se torna igual ao limite mínimo C_min__thr; a duração do tempo morto, portanto, não é nula e aumenta com o valor do registrador de erro. Contudo, a duração do tempo morto permanece menor do que um valor de tempo máximo x_max, correspondente a um valor limite máximo C_max_thr do registrador de erro. 0 valor limite máximo C__max_thr é alto o bastante para impedir o cartão inteligente de processar mais de uma Mensagem de Controle de Habilitação durante um único criptoperíodo. Em caso de uma dupla transmissão contínua, em que um dado decodificador envia um dado número de Mensagens de Controle de Habilitação em cada criptoperíodo, o valor de tempo máximo T_max tem um valor I que é alto o bastante para impedir o processamento do dado número de Mensagens de Controle de Habilitação de uma pluralidade de decodificadores. Tipicamente, o cartão inteligente pode processar apenas um dado número de
Mensagens de Controle de Habilitação por criptoperíodo.
Se o tempo morto tem uma duração que é substancialmente igual ao valor de tempo máximo, o cartão inteligente falha em permitir o desembaralhamento de uma pluralidade de informação audiovisual embaralhada de uma pluralidade de decodificadores. Pelo menos um usuário não autorizado, ou um assinante pago, que compartilha seu cartão inteligente com o(s) usuário(s) não autorizado(s) , pode ver uma tela em branco.
Um assinante pago regular, que se movimenta bastante de um canal para um outro canal pode gerar um aumento do tempo morto e pode ver a tela em branco, durante um criptoperíodo, após uma movimentação rápida adicional. O assinante pago regular pode atribuir a tela em branco a um problema de difusão e pode tentar ver outro canal, assim, aumentando o valor do registrador de erro. No exemplo ilustrado na figura 6A, o valor do registrador de erro sempre pode estar abaixo de um valor máximo C_max, de modo a evitar punir em excesso o cartão inteligente. Contudo, parâmetros, tais como um valor de tempo máximo t_max , o valor limite mínimo C_min_thr, etc, podem ser escolhidos judicialmente, de modo a evitar que os assinantes pagos regulares vejam as telas em branco.
O registrador de erro pode seguir aumentando durante uma terceira fase 63, mesmo se a duração do tempo morto for igual ao valor de tempo máximo pjnax, particularmente no caso da configuração de divisor.
O registrador de erro pode ser baseado em um princípio circular: incrementos iniciais que são gerados pelas
Mensagens de Controle de Habilitação antigas são apagados.
Por exemplo, um registrador circular, tendo um tamanho determinado, pode ser usado para avaliar o registrador de erro. Cada vez que a análise é realizada, valores binários do registrador circular são desviados para a esquerda. O valor binário em uma localização anterior em uma extremidade esquerda do registrador circular, portanto, é apagado. Um novo valor binário, que depende de um resultado da análise é escrito em uma localização agora vazia, em uma exclusivamente direita do registrador circular.
Tipicamente, um '1' pode ser escrito, se uma diferença entre determinados conteúdos/informação extraída comparados das Mensagens de Controle de Habilitação analisadas for detectada e um '0' pode ser escrito, caso a dita diferença não seja detecdada.
O registrador de erro pode ter um valor que é igual a uma soma dos valores binários do registrador circular. O valor do registrador de erro é, portanto, sempre menor ou igual a um máximo, que corresponde ao tamanho do registrador circular: se igual, todas as localizações do registrador circular são preenchidas com ’1’. 0 máximo pode ser o valor máximo C_max, representado na figura 6A.
O valor do registrador de erro também pode diminuir, se as diferenças entre os determinados conteúdos/informação extraída comparados das Mensagens de Controle de
Habilitação analisadas não são mais detectadas, conforme representado na figura 6A. A diminuição pode ser devida â varias razões. No caso de uma configuração de divisor, os usuários não autorizados podem desligar seus decodificadores. O assinante pago regular pode não mais se movimentar, etc.
Alternativamente, o registrador de erro pode ser um inteiro único, que é incrementado ou decrementado, dependendo de um resultado da análise da sequência de mensagens de comando.
Desde que o valor do registrador de erro seja maior do que um limite de diminuição, por exemplo, o valor limite máximo C_max_thr, a duração do tempo morto permanece igual ao valor de tempo máximo T_max.
Quando, em uma quarta fase 64, o valor do registrador de erro se torna menor do que o valor limite máximo
C_max__thr, a duração do tempo morto começa a diminuir.
No caso da configuração de divisor, se o usuário não autorizado mantém seu decodificador na terceira fase 63, a duração do tempo morto permanece no valor de tempo máximo qmax. Se o usuário não autorizado liga seu decodificador na quarta fase 64, o registrador de erro começa a aumentar mais uma vez (seqüência não representada).
O usuário não autorizado também pode reajustar o cartão inteligente na terceira fase, de modo a reajustar o valor da duração do tempo morto. O valor da duração do tempo morto e o valor do registrador de erro podem, na verdade, ser armazenados em um memória volátil, que é apagada com uma restauração.
A figura 6C ilustra um exemplo de uma seqüência de valores de uma duração de um tempo morto de um módulo de segurança portátil de acordo com a presente invenção. A seqüência é plotada como uma função de um número de
Mensagens de Controle de Habilitação recebidas após uma restauração. Ao contrário da seqüência de exemplo ilustrada na figura 6B, a seqüência de exemplo da figura 6C tem um valor não nulo imediatamente após a restauração. Um tempo morto de restauração pode ser introduzido em cada processamento de uma Mensagem de Controle de Habilitação após a restauração. O tempo morto de restauração tem uma duração que depende de um número de Mensagens de Controle de Habilitação recebidas no cartão inteligente, após a restauração. A duração do tempo morto de restauração é igual a um primeiro valor de tempo de restauração
T_jreset_max em um primeiro processamento, que segue imediatamente a restauração e diminui com o número de
Mensagens de Controle de Habilitação recebidas.
A introdução do tempo morto de restauração e a introdução do tempo morto podem ser implementadas em um único programa de software: um tempo morto total pode ser igual à soma do tempo morto de restauração, que pode ser lido em uma EEPROM e do tempo morto que é avaliado de um registrador circular armazenado em uma memória volátil.
O processamento de cartão inteligente, portanto, é reduzido pelo tempo morto de restauração mediante uma restauração.
O primeiro valor de tempo de restauração presetjnax é, de preferência, menor do que um valor de tempo máximo
T_max do tempo morto, de modo a evitar prejudicar um assinante pago regular após uma restauração regular, por exemplo, uma restauração devido a um corte de energia.
Como o primeiro valor de tempo de restauração
T_reset_max é menor do que o valor de tempo máximo T_max, um usuário não autorizado pode tentar restaurar o cartão inteligente cada vez que o desembaralhamento da informação audiovisual embaralhada falha em funcionar corretamente. Um hacker pode mesmo gerar uma restauração do cartão inteligente em cada criptoperíodo ou assim, a fim de permitir um desembaralhamento correto ou com uma finalidade de ataque.
Bloqueio de Cartão Inteligente
A figura 7 ilustra um exemplo de um algoritmo a ser implementado em um módulo de segurança portátil de acordo com a presente invenção. O algoritmo da figura 7 permite avaliar a natureza de uma outra restauração de acordo com um grupo intermediário de mensagens de comando intermediárias. O grupo intermediário compreende uma seqüência de mensagens de comando, por exemplo, Mensagens de Controle de Habilitação, recebidas após uma restauração anterior, precedendo a outra restauração.
Quando uma mensagem é recebida no cartão inteligente, o cartão inteligente testa se a mensagem é uma ECM ou não (caixa 71). Se a mensagem for uma ECM, o cartão inteligente processa a Mensagem de Controle de Habilitação, por exemplo, o cartão inteligente descriptografa uma palavra de controle criptografada compreendida dentro da Mensagem de
Controle de Habilitação. Um número de mensagens de comando intermediárias é contado pela incrementação de um registrador de contagem nb_ECM, após cada processamento (caixa 72).
O número de mensagens de comando intermediárias é comparado com um número limite de restauração nb_ECM_min (caixa 73) . Um resultado da comparação permite avaliar a natureza da outra restauração: se o registrador de contagem nb_ECM iguala o número limite de restauração nb_ECM_min, um flag, que tem um valor NOK, por exemplo, ’0’, após cada restauração (caixa 75) ser ajustada para um valor OK, por exemplo, '1' (caixa 74).
Se o registrador de contagem nb_ECM é maior do que o número limite de restauração nb_ECM_min, o flag já tem um valor de OK. Se o registrador de contagem nb_ECM é menor do que o número limite de restauração nb_ECM_min, o flag tem um valor de NOK. 0 valor do flag, portanto, indica se o número de mensagens de comando intermediárias é maior do que a número limite de restauração nb_ECM_min ou não. O valor do flag é armazenado em uma memória não volátil.
Quando ocorre a restauração adicional (caixa 76) , o valor do flag é lido e é comparado ao valor de NOK (caixa 77).
Se o valor do flag é OK, isto é, se o cartão inteligente recebeu mais de um número limite de restauração nb_JECM_min de Mensagens de Controle de Habilitação desde a restauração anterior, a restauração adicional é avaliada como regular. O flag é restaurado para o valor de NOK mais uma vez (caixa 75) e o cartão inteligente aguarda por uma nova mensagem (caixa 78). Cada nova ECM é processada (caixa
72) e o flag mantém o valor de NOK até nm número limite de restauração nb_ECM_min de Mensagens de Controle de
Habilitação ser recebido e processado, como descrito em um parágrafo anterior.
Se o valor do flag for NOK, isto é, o número de mensagens de comando intermediárias é menor do que o número limite de restauração nb__ECM_min, desde a restauração anterior, a restauração adicional é avaliada como suspeita.
Um registro de erro de restauração nb__reset_of f é incrementado (caixa 79) e seu valor é comparado com um limite de erros de restauração reset__max (caixa 710).
Se o valor do registro de erro de restauração nb__reset_of f iguala-se ao limite de erros de restauração reset_max, o cartão inteligente é bloqueado (caixa 711) . Se o valor do registro de erro de restauração nb_reset_off for menor do que o limite de erros de restauração reset_max, o cartão inteligente aguarda por uma mensagem (caixa 78) e ainda conta mensagens de comando intermediárias. 0 valor do registro de erro de restauração nb_reset_off pode não ser maior do que o limite de erros de restauração reset_max, desde que o cartão inteligente seja bloqueado quando o valor do registro de erro de restauração nb_reset_off iguala-se ao limite de erros de restauração reset max.
Esse algoritmo permite penalizar um usuário não autorizado que restaura o cartão inteligente cada vez que a informação audiovisual embaralhada é desembaralhada incorretamente ou que restaura automaticamente o cartão inteligente após um número pequeno de criptoperíodos.
O algoritmo também permite bloquear um cartão inteligente que recebe comandos de ataque com uma restauração entre eles.
Parâmetros, tais como limite de erros de restauração reset_max, o número limite de restauração nb_ECM_min, etc. podem ter valores adequados, que são adaptados a possíveis comportamentos de um assinante pago regular, de um usuário não autorizado e de um hacker.
Qualquer outro algoritmo para gerenciamento de penalidades pode ser aplicado no cartão inteligente: por exemplo, o cartão inteligente pode ser bloqueado, quando o valor do registrador de erro alcança um valor limite, o valor limite sendo maior do que o valor limite máximo
C_max_thr.
A análise da seqüência de mensagens de comando pode, de preferência, consistir na comparação de uma nova
Mensagem de Controle de Habilitação com uma Mensagem de
Controle de Habilitação anterior. Alternativamente, EMMs, mensagens de restauração ou qualquer outra mensagem recebida no cartão inteligente podem ser analisadas. A análise da seqüência das mensagens de comando também pode consistir na contagem de um número de mensagens de comando intermediárias entre duas restaurações de modo a avaliar uma natureza de uma restauração anterior.
A análise pode, de preferência, ser uma combinação das análises descritas acima: por exemplo, cada nova Mensagem de Controle de Habilitação é comparada com uma Mensagem de Controle de Habilitação anterior e um número de Mensagens de Controle de Habilitação entre duas restaurações é contado, de modo a reforçar uma segurança do cartão inteligente. Um outro exemplo de uma combinação das análises descritas acima consiste na comparação de cada nova ECM com uma ECM anterior, cada nova EMM com uma EMM anterior e cada nova outra mensagem de comando com uma outra mensagem de comando anterior. As ECMs, as EMMs e as outras mensagens de comando podem ser contadas para avaliar restaurações. De preferência, três meios de contagem distintos são implementados, de modo a proporcionar uma compreensão completa de um comportamento de um usuário e, portanto, aplicar uma penalidade adequada.
De preferência, a penalidade que é aplicada no cartão inteligente permite interromper o processamento das ECMs. A penalidade também pode permitir interromper um
Figure BRPI0508600B1_D0002
processamento de EMM, um recebimento de mensagens no cartão inteligente ou qualquer outra ação do cartão inteligente.
Um software que permite implementar o método de acordo com a presente invenção também é compreendido dentro do escopo da presente invenção.
O software pode ser baixado em uma fabricação do módulo de segurança portátil. Alternativamente, pelo menos uma mensagem de configuração é recebida no módulo de segurança portátil, quando já em uso por um assinante, desse modo, permitindo baixar o software. Ambos os métodos são compreendidos dentro do escopo da presente invenção.
Embora a invenção tenha sido descrita com relação a um número limitado de modalidades, aqueles habilitados na técnica, tendo o benefício desta exposição, apreciarão que outras modalidades podem ser consideradas, as quais não se afastam do escopo da invenção, como aqui divulgado.
Consequentemente, o escopo da invenção estará limitado apenas pelas reivindicações anexas.
1/6

Claims (13)

  1. REIVINDICAÇÕES
    1. Método para proteger um módulo de segurança portátil para uso com um elemento de decodificação, o módulo de segurança portátil e o elemento de decodificação permitindo o desembaralhamento da informação audiovisual embaralhada
    organizada em uma pluralidade de canais , o método compreendendo: processamento no módulo de segurança portátil as mensagens de controle de habilitação (ECMs) recebidas no módulo de segurança portátil para permitir o
    desembaralhamento da informação audiovisual embaralhada;
    o método sendo caracterizado pelo fato de que compreende ainda:
    analisar (402), no módulo de segurança portátil uma sequência de ECMs, a sequência de ECMs compreendendo uma ECM nova e uma ECM anterior recebidas em um tempo anterior, as ECMs da sequência sendo recebidas no módulo de segurança portátil em tempos distintos, a análise sendo executada na recepção da nova ECM e determinando se a nova ECM e a ECM anterior pertencem a um canal diferente;
    em caso positivo, incrementar na análise um registrador de erro;
    aplicar uma penalidade ao módulo de segurança portátil, dependendo de um valor do registrador de erro, introduzindo um tempo morto no processamento para retardar o processamento (404) .
  2. 2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o tempo morto tem uma duração que depende do valor do registrador de erro (404) .
    Petição 870180039108, de 11/05/2018, pág. 29/46
    2/6
  3. 3. Método, de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que a duração do tempo morto é menor do que um valor máximo de tempo;
    o valor máximo de tempo é alto o suficiente para impedir que o módulo de segurança portátil (31) processe mais de uma ECM durante um único criptoperíodo.
  4. 4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que:
    cada ECM (54n, 54n+1) compreende um identificador de canal (51n, 51n+i) , o identificador de canal sendo associado a um canal determinado;
    a análise da sequência de ECMs compreende a comparação do identificador de canal 51n+i da nova ECM 54n+i e o identificador de canal 51n da ECM 54n anterior.
  5. 5. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que:
    cada ECM (54n, 54n+1) compreende uma primeira palavra de controle criptografada (52n, 52n+i) e uma segunda palavra de controle criptografada (53n, 53n+i) ;
    a primeira palavra de controle permite desembaralhar as informações audiovisuais embaralhadas durante um primeiro criptoperíodo;
    a segunda palavra de controle permite desembaralhar a informação audiovisual embaralhada durante um segundo criptoperíodo imediatamente após o primeiro criptoperíodo;
    a análise da sequência de ECMs compreende a comparação de uma segunda palavra de controle 53n da ECM 54n anterior a uma primeira palavra de controle 52n da nova ECM 54n+i.
    Petição 870180039108, de 11/05/2018, pág. 30/46
    3/6
  6. 6. Método, de acordo com qualquer uma das reivindicações 1 a 5, caracterizado pelo fato de que compreende ainda:
    introduzir após uma restauração um tempo morto de restauração em cada processamento das ECMs, em que:
    o tempo morto de restauração tem uma duração que depende de um número de ECMs recebidas no módulo de segurança portátil após a restauração, a duração sendo igual a um primeiro valor de tempo de restauração em um primeiro processamento imediatamente após a restauração;
    o primeiro valor de tempo de restauração é menor que o valor máximo de tempo.
  7. 7. Método, de acordo com qualquer uma das reivindicações 1 a 6, caracterizado pelo fato de que compreende ainda:
    avaliar a natureza de uma restauração adicional de acordo com um grupo intermediário de ECMs intermediárias, o grupo intermediário compreendendo as ECMs recebidas após uma restauração anterior que precede a restauração adicional.
  8. 8. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que compreende ainda:
    contar o número de ECMs intermediárias (72); comparar o número de ECMs intermediárias com um número de limite de restauração (73) , em que um resultado da comparação permite avaliar a natureza da restauração adicional;
    incrementar após a restuaração adicional um registrador de erro de restauração (79) se a restauração adicional for avaliada como suspeita;
    Petição 870180039108, de 11/05/2018, pág. 31/46
    4/6 bloquear o módulo de segurança portátil (711) se o registrador de erro de restauração tiver um valor que seja maior do que um limite de erros de restauração.
  9. 9. Módulo de segurança portátil (31) para o uso com um elemento de decodificação, em que o módulo de segurança portátil e o elemento de decodificação permitem desembaralhar a informação audiovisual embaralhada organizada em uma pluralidade de canais, o módulo de segurança portátil compreendendo:
    meios de recebimento para receber mensagens de controle de habilitação (ECMs);
    meios de processamento (32) para processar uma ECM recebida no módulo de segurança portátil de modo a permitir o desembaralhamento da informação audiovisual embaralhada;
    o módulo de segurança portátil caracterizado pelo fato de que compreende ainda:
    uma memória de mensagens de comando (36) na qual pelo menos um identificador pertencente a um determinado canal de uma ECM anterior (ECMn) recebida em um tempo anterior pode ser armazenado;
    meio de análise (35) para analisar uma sequência de ECMs, a sequência de ECMs compreendendo uma nova ECM e uma ECM anterior recebida em um tempo anterior, as ECMs da sequência sendo recebidas no módulo de segurança portátil em tempos distintos e a análise sendo realizada em cada recepção de uma nova ECM (ECMn+i) ;
    meio de comparação para determinar se a ECM e a ECM anterior pertencem a um canal diferente;
    um registrador de erro (37);
    Petição 870180039108, de 11/05/2018, pág. 32/46
    5/6 meio de incremento para incrementar o registrador de erro no caso de ambas as ECMs estarem relacionadas a um canal diferente;
    meio de retardo para introduzir um tempo morto em cada processamento para retardar o processamento.
  10. 10. Módulo de segurança portátil (31), de acordo com a reivindicação 9, caracterizado pelo fato de que:
    o meio de retardo também permite após uma restauração introduzir um tempo morto de restauração em cada processamento após a restauração;
    o tempo morto de restauração tem uma duração que depende de um número de processamento após a restauração, a duração sendo igual a um primeiro valor de tempo de restauração em um primeiro processamento imediatamente após a restauração.
  11. 11. Módulo de segurança portátil (31), de acordo com a reivindicação 9 ou 10, caracterizado pelo fato de que compreende ainda:
    um registrador de contagem que permite armazenar um certo número de ECM intermediárias, as ECMs intermediárias sendo recebidas no módulo de segurança portátil após uma restauração anterior;
    um indicador, o indicador tendo um valor que depende de um resultado de comparação do registrador de contagem para um número limite de restauração;
    um registrador de erro de restauração que é incrementado dependendo do valor do indicador após uma restauração adicional;
    Petição 870180039108, de 11/05/2018, pág. 33/46
    6/6 meio de bloqueio para bloquear o módulo de segurança portátil de acordo com um valor do registrador de erro de restauração.
  12. 12. Módulo de segurança portátil (31), de acordo com qualquer uma das reivindicações 9 a 11, caracterizado pelo fato de que a determinação de que duas ECMs pertencem ao mesmo canal é baseada em um identificador de canal extraído da ECM.
  13. 13. Módulo de segurança portátil, de acordo com qualquer uma das reivindicações 9 a 11, caracterizado pelo fato de que a determinação de que duas ECMs pertencem ao mesmo canal é baseada na palavra de controle extraída da ECM.
    Petição 870180039108, de 11/05/2018, pág. 34/46
    1/8
    Técnica Anterior ^£>
    FIGURA 1
    2/8
    3/8 eo
    FIGURA 3 s\
    FIGURA 4
    1 «
    5/8
    51η 52η
    53η
    51 η+1 52η+1
    53η+1 t
    54η t
    54η+1 /
    ECM η \
    ECM η+1
    FIGURA 5Α
    51η 52η
    53η
    51η+1 52η+1
    53η+1 t
    54η t
    54η+1 /
    ECM η
    ECM η+1
    FIGURA 5Β
    6/8
    FIGURA 6A τ
    FIGURA 6B
    Ί/3
    Τ reset
    Τ jOset_max >
    numero de ECMs recebidas após uma restauração
    FIGURA 6C
BRPI0508600A 2004-03-11 2005-02-18 gerenciamento dinâmico de cartão inteligente BRPI0508600B1 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04290656A EP1575293A1 (en) 2004-03-11 2004-03-11 Dynamic smart card management
PCT/EP2005/050720 WO2005091633A1 (en) 2004-03-11 2005-02-18 Smartcard dynamic management

Publications (2)

Publication Number Publication Date
BRPI0508600A BRPI0508600A (pt) 2007-07-31
BRPI0508600B1 true BRPI0508600B1 (pt) 2018-10-23

Family

ID=34814421

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0508600A BRPI0508600B1 (pt) 2004-03-11 2005-02-18 gerenciamento dinâmico de cartão inteligente

Country Status (8)

Country Link
US (1) US7684567B2 (pt)
EP (2) EP1575293A1 (pt)
JP (1) JP2007528170A (pt)
KR (1) KR101120689B1 (pt)
CN (1) CN100592786C (pt)
BR (1) BRPI0508600B1 (pt)
ES (1) ES2434326T3 (pt)
WO (1) WO2005091633A1 (pt)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1382973A1 (en) * 2002-07-19 2004-01-21 Thomson Licensing S.A. Method and test adapter for testing an appliance having a smart card reader
EP1742474A1 (fr) 2005-07-07 2007-01-10 Nagracard S.A. Méthode et dispositif de contrôle d'accès à des données chiffrées
EP1887729A3 (en) * 2006-03-21 2011-07-13 Irdeto Access B.V. Method of providing an encrypted data stream
WO2007145366A1 (en) * 2006-06-15 2007-12-21 Kabushiki Kaisha Toshiba Portable electronic device and control method thereof
FR2907930B1 (fr) * 2006-10-27 2009-02-13 Viaccess Sa Procede de detection d'une utilisation anormale d'un processeur de securite.
JP2008135981A (ja) * 2006-11-28 2008-06-12 Toshiba Corp 情報処理装置
FR2931972A1 (fr) * 2008-05-27 2009-12-04 France Telecom Controle d'acces a un contenu audiovisuel.
FR2935817B1 (fr) * 2008-09-11 2011-12-09 Oberthur Technologies Procede de traitement de donnees et dispositif associe.
FR2947361B1 (fr) 2009-06-29 2011-08-26 Viaccess Sa Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede
FR2954875B1 (fr) * 2009-12-28 2012-01-27 Viaccess Sa Procedes de dechiffrement, de transmission et de reception de mots de controle, support d'enregistrement et serveur pour ces procedes
EP2357783B1 (fr) 2010-02-16 2013-06-05 STMicroelectronics (Rousset) SAS Procédé de détection d'un fonctionnement potentiellement suspect d'un dispositif électronique et dispositif électronique correspondant.
FR2963191B1 (fr) 2010-07-23 2012-12-07 Viaccess Sa Procede de detection d'une utilisation illicite d'un processeur de securite
FR2967002B1 (fr) 2010-10-27 2012-12-14 Viaccess Sa Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle
US8584167B2 (en) 2011-05-31 2013-11-12 Echostar Technologies L.L.C. Electronic programming guides combining stored content information and content provider schedule information
US9503785B2 (en) 2011-06-22 2016-11-22 Nagrastar, Llc Anti-splitter violation conditional key change
US8447170B2 (en) 2011-08-23 2013-05-21 Echostar Technologies L.L.C. Automatically recording supplemental content
US8660412B2 (en) 2011-08-23 2014-02-25 Echostar Technologies L.L.C. System and method for dynamically adjusting recording parameters
US8763027B2 (en) 2011-08-23 2014-06-24 Echostar Technologies L.L.C. Recording additional channels of a shared multi-channel transmitter
US8437622B2 (en) 2011-08-23 2013-05-07 Echostar Technologies L.L.C. Altering presentation of received content based on use of closed captioning elements as reference locations
US9185331B2 (en) 2011-08-23 2015-11-10 Echostar Technologies L.L.C. Storing multiple instances of content
US8627349B2 (en) 2011-08-23 2014-01-07 Echostar Technologies L.L.C. User interface
US9357159B2 (en) 2011-08-23 2016-05-31 Echostar Technologies L.L.C. Grouping and presenting content
US8850476B2 (en) 2011-08-23 2014-09-30 Echostar Technologies L.L.C. Backwards guide
US8959566B2 (en) 2011-08-23 2015-02-17 Echostar Technologies L.L.C. Storing and reading multiplexed content
US9621946B2 (en) 2011-08-23 2017-04-11 Echostar Technologies L.L.C. Frequency content sort
US8819722B2 (en) 2012-03-15 2014-08-26 Echostar Technologies L.L.C. Smartcard encryption cycling
US8959544B2 (en) * 2012-03-15 2015-02-17 Echostar Technologies L.L.C. Descrambling of multiple television channels
US9489981B2 (en) 2012-03-15 2016-11-08 Echostar Technologies L.L.C. Successive initialization of television channel recording
US8989562B2 (en) 2012-03-15 2015-03-24 Echostar Technologies L.L.C. Facilitating concurrent recording of multiple television channels
US8793724B2 (en) 2012-11-08 2014-07-29 Eldon Technology Limited Image domain compliance
US9392319B2 (en) * 2013-03-15 2016-07-12 Nagrastar Llc Secure device profiling countermeasures
EP2802152B1 (en) 2013-05-07 2017-07-05 Nagravision S.A. Method for secure processing a stream of encrypted digital audio / video data
US9628838B2 (en) 2013-10-01 2017-04-18 Echostar Technologies L.L.C. Satellite-based content targeting
US9756378B2 (en) 2015-01-07 2017-09-05 Echostar Technologies L.L.C. Single file PVR per service ID
CN106203578B (zh) * 2015-05-08 2019-03-01 北京数码视讯科技股份有限公司 一种智能卡、智能卡应用的安全服务调用方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL107967A (en) * 1993-12-09 1996-12-05 News Datacom Research Ltd Apparatus and method for securing communication systems
ID23380A (id) * 1997-03-21 2000-04-20 Canal & Siciete Anonyme Metode dan aparatus untuk mencegah akses yang curang dalam sistem akses bersyarat
EP0964572A1 (en) * 1998-06-08 1999-12-15 CANAL+ Société Anonyme Decoder and security module for a digital transmission system
EP1111924A1 (en) * 1999-12-22 2001-06-27 Irdeto Access B.V. Method for controlling the use of a program signal in a broadcast system, and control device for a receiver for carrying out such a method
KR100962420B1 (ko) * 2002-01-14 2010-06-14 이르데토 아인드호벤 비.브이. 암호화된 정보의 분배
EP1447976B1 (en) * 2003-02-12 2019-06-19 Irdeto B.V. Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device
US7472337B2 (en) * 2005-03-22 2008-12-30 Cummins, Inc. Method and system for detecting faults in an electronic engine control module

Also Published As

Publication number Publication date
BRPI0508600A (pt) 2007-07-31
EP1575293A1 (en) 2005-09-14
US7684567B2 (en) 2010-03-23
US20080298585A1 (en) 2008-12-04
KR101120689B1 (ko) 2012-03-23
CN1930879A (zh) 2007-03-14
CN100592786C (zh) 2010-02-24
KR20060135808A (ko) 2006-12-29
JP2007528170A (ja) 2007-10-04
ES2434326T3 (es) 2013-12-16
EP1730961B1 (en) 2013-08-21
WO2005091633A1 (en) 2005-09-29
EP1730961A1 (en) 2006-12-13

Similar Documents

Publication Publication Date Title
BRPI0508600B1 (pt) gerenciamento dinâmico de cartão inteligente
EP2394434B1 (en) Method to upgrade content encryption
US8831219B2 (en) Method of transmitting an additional piece of data to a reception terminal
AU2006268683B2 (en) Method and device for controlling access to encrypted data
US5461675A (en) Apparatus and method for access control
US7647641B2 (en) Method and system for conditional access applied to protection of content
CN107925795B (zh) 用于解密经加密的媒体内容的设备及控制解密的服务器
KR102497208B1 (ko) 사전 자격 수행
WO2007096416A1 (en) Method for the transmission of management data
JP2005514874A (ja) 時間依存条件付きアクセスを供給するシステム
US8885816B2 (en) Method for detecting an illicit use of a security processor
RU2547230C2 (ru) Способ приема контента мультимедиа, скремблированного с применением управляющих слов
MXPA06010181A (en) Smartcard dynamic management
KR102202813B1 (ko) Iptv 디바이스, 서버, 및 그 동작 방법
WO2006003109A1 (en) Buffer protection in a portable security module
JP2007036380A (ja) 受信装置、casモジュール、配信方法
BRPI0407202B1 (pt) Payed television system, method for revoking rights in such system and message transmitted to decoder
DE102005060287A1 (de) Verfahren und Anordnung zum Betrieb eines Systems mit bedingtem Zugang
KR20110044603A (ko) 디지털 방송 수신기의 단말기 인증 시스템 및 방법

Legal Events

Date Code Title Description
B06G Technical and formal requirements: other requirements [chapter 6.7 patent gazette]

Free format text: APRESENTE DOCUMENTO QUE ESCLARECA DEVIDAMENTE, A DIVERGENCIA ENTRE O NOME QUE CONSTA NO CAMPO INTERESSADO DA PETICAO 020080053658/RJ DE 10/04/2008 E O NOME DO DEPOSITANTE DO PEDIDO, POIS, SEGUNDO O PARAGRAFO UNICO DO ART. 33, APENAS O DEPOSITANTE PODE REQUERER O DESARQUIVAMENTO DO PEDIDO.

B25D Requested change of name of applicant approved

Owner name: NAGRA THOMSON LICENSING (FR)

Free format text: ALTERADO DE: CANAL + TECHNOLOGIES

B25G Requested change of headquarter approved

Owner name: NAGRA THOMSON LICENSING (FR)

Free format text: SEDE ALTERADA CONFORME SOLICITADO NA PETICAO NO 020070127132/RJ DE 11/09/2007.

B25A Requested transfer of rights approved

Owner name: NAGRA FRANCE SAS (FR)

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Ipc: H04N 21/418 (2011.01), H04N 21/4367 (2011.01), H04

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 23/10/2018, OBSERVADAS AS CONDICOES LEGAIS.