“ MÓDULO DE SEGURANÇA ATUALIZÁVEL ” Campo da Invenção A presente invenção é relativa ao campo dos módulos de segurança eletrônicos, particularmente módulos de segurança destinados ao controle de acesso à transmissão de eventos e outras comunicações de massa.
Estado da Técnica As operações de segurança são geralmente executadas em um módulo de segurança associado à unidade multimídia ou ao decodificador. Referido módulo de segurança pode ser implementado, particularmente, de quatro formas diferentes. Uma delas é um cartão microprocessador protegido usualmente na forma de um ISO 7816, um "smart card1' ou, mais geralmente, um módulo eletrônico (na forma de uma chave, emblema...). Semelhantemente um módulo é geralmente separável de, e conectável ao decodificador. A forma envolvendo contatos elétricos é o mais usado, mas não exclui a conexão sem contato, por exemplo, o ISO 14443 ou uma combinação de tipos com e sem contato.
Uma segunda forma conhecida é a do pacote de circuito integrado, geralmente colocado no invólucro do decodificador de maneira irremovível e definitiva. Uma variante consiste de um circuito montado em uma base fusível ou conector tal como modulo SIM2.
Em uma terceira forma, o módulo de segurança é integrado em um pacote de circuito integrado tendo também outras funções, por exemplo, em um módulo decodificador/decifrador ou microprocessador decodificador.
Na prática, a evolução destes módulos de segurança entre os primeiros módulos usados em jogos de decodificador e esses instalados com o último decodificador é eminente. Várias gerações de módulos de segurança podem coexistir dentro de um mesmo jogo de um operador de distribuidor de mídia, por exemplo, via satélite, cabo ou internet.
Obviamente, as falhas de segurança podem ser detectadas, então, desta forma, a substituição dos módulos antigos pode ser executada. A diferença entre gerações de módulos é frequentemente relativa aos serviços que aceitam a unidade de usuário a qual eles são associados. Certamente, se uma versão de módulo não contiver a “ carteira" de função, será impossível deduzir de um crédito e, desta forma, autorizar a consumação do conteúdo sem um intercâmbio bidirecional com um centro de gerenciamento.
Desta forma, um módulo de certa geração proporcionará um número limitado de serviços.
Isto também é uma limitação para as unidades de usuários, para manter a compatibilidade com todos os módulos das gerações anteriores. O processo atualmente usado é a identificação do módulo de segurança por uma unidade de usuário. Esta identificação pode também ser bidirecional, quer dizer, o módulo de segurança solicita à unidade de usuário em vista de saber as características da mesma. A modificação de uma geração de módulo de segurança pode levar as modificações materiais, como por exemplo, pela disponibilidade de novos pontos de comunicação. Um exemplo de referido módulo de segurança é revelado na patente US 6,779,734.
Desta forma, é importante que o módulo de segurança possa adaptar-se a unidade de usuário e ajustar suas funcionalidades de acordo aos meios de comunicação da unidade de usuário.
Uma terceira parte malevolente poderia usar um decodificador modificado e tentar acessar serviços adicionais de grande valor, tentando parecer como um decodificador de última geração. Uma vez deste modo, ele/ela tentarão modificar a memória interna do módulo de segurança para obter vantagem. Ademais, a presença de um meio de comunicação avançado, tal como um UBS 2.0. em tal módulo permite a terceiros a multiplicar seus ataques por estes meios de comunicação de alta velocidade em comparação com outro meio de comunicação muito mais lento (ISO7816).
No pedido EP 1 486 907, um módulo de segurança é também configurável de acordo com o meio. O objetivo é realizar uma configuração automática de acordo com os sinais recebidos pelo dispositivo anfitrião. Desta forma, se um terceiro malevolente imitar um meio ambiente particular, o módulo se adaptará a ele mesmo se não for autorizado.
Breve Descrição da Invenção O objetivo da presente invenção é proporcionar um módulo de segurança capaz de suportar as diferentes funcionalidades e configurações físicas da última geração e a conectividade das gerações anterioridades, ao mesmo tempo em que evira algum novo ataque possibilitado devido a esta adaptabilidade. O objetivo é obter pelo módulo de segurança compreendendo primeiro meio de comunicação ao dispositivo anfitrião, primeiro meio de armazenagem (MEM0) e primeiro meio de decodificação (ENC0), caracterizado pelo fato de incluir um módulo de estado (ME) e um segundo meio de comunicação (COM1 ), meios de ativação/desativação elétrica (TSB) do segundo meio citado. Estes meios de ativação/desativação sendo controlados por um módulo de estado (ME), e isto quer dizer que inclui meios de recepção de uma mensagem protegida permitindo a modificação do estado de mencionado módulo de estado.
Deste modo, de acordo com o estado armazenado na m e m ó ri a d o m ó d u l o d e e s ta d o , o se g u n d o m e io d e co m u nica çã o e s tá completamente inoperante e não pode ser usado por terceiros para propósitos desonestos. A ativação/desativação elétrica de um meio de comunicação é controlada por meio material, tal como três elementos estados (tri-estado) ou “ MOSFETs3 Bidirecionais de Alta Tensão” de acordo ao resultado de uma operação criptográfica. O mesmo vai para outras partes do módulo de segurança, tal como uma zona de memória. Esta memória pode conter dados, tais como chaves ou números de série, os quais são completamente desativados e assim impossibilitando o acesso de acordo com o estado da memória. Este estado memória envia sinais materiais fechados ou abertos que mesmo no caso de programas de hacker operar em tal módulo, não será possível acessar esta memória. O mesmo mecanismo pode aplicar aos outros elementos, tais como um mecanismo decodificador ou um módulo decifrador assimétrico. Há várias soluções para definir o modo de operação de um módulo de segurança. A. Pré-configuração No momento da fabricação do módulo de segurança, ou durante uma etapa de sua personalização, ele é pré-configurado para funcionar de acordo com um ambiente em particular. B. Ativação da Mensagem Na iniciação, o módulo está em um modo básico e apenas o meio de comunicação sendo comum para todos os dispositivos visitantes são ativados. De acordo a pré-configuração, pode ser em um modo particular considerando o propósito de tal módulo. Para mudança do estado de um módulo de segurança e, deste modo, ativar outras funcionalidades, o módulo espera pela recepção da mensagem protegida, a qual o autoriza a realizar tal mudança.
Apenas após ter decodificado tal mensagem e após verificação desta, o módulo mudará seu estado e, deste modo, abrirá o segundo meio de comunicação.
Breve Descrição dos Desenhos 3 MOSFET: O transistor MOSFET (acrônimo de Metal Oxide Semiconductor Field Effect Transistor, ou transistor de efeito de campo de semicondutor de óxido metálico), é, de longe, o tipo mais comum de transistores de efeito de campo em circuitos tanto digitais quanto analógicos. A palavra "metal" no nome é um anacronismo vindo dos primeiros chips, onde as comportas (gates) eram de metal. Os chips modernos usam comportas de polisilício, mas ainda são chamados de MOSFETs. Um MOSFET é composto de um canal de material semicondutor de tipo N ou de tipo P e é chamado respectivamente de NMOSFET ou PMOSFET. A invenção será melhor entendida com a ajuda da seguinte descrição detalhada, a qual se refere aos desenhos anexos que são dados como um exemplo não-restritivo, especialmente: - Figura 1 mostra um esquema global de um módulo de segurança. - Figura 2 mostra o controle de uma porta de entrada/saída.
Descrição Detalhada da Materialização da Invenção A figura 1 mostra um exemplo de módulo de segurança SM compreendendo a materialização da invenção. De acordo com este exemplo, este módulo inclui primeiro meio de comunicação COM0 e segundo meio de comunicação COM1 . Da mesma forma, o recurso da memória disponível é dividida em várias partes (aqui são 2) MEM0 e MEM1, sendo capaz de ser usada pelo programa do microprocessador.
De acordo com nosso exemplo, o módulo tem um primeiro módulo codificador/decodificador ENC0, bem como um segundo módulo codificador/decodificador ENC1 .
De acordo como o exemplo ilustrado na Figura 1, o módulo codificador/decodificador está associado com um barramento de comunicação de alta velocidade COM1 . Uma possível realização é a decodificação de fluxo de dados de áudio/vídeo de acordo com os padrões comuns do decodificador de DVB44 ou o decodificador do titular.
Os diferentes módulos são associados processador da CPU, o qual coordena as operações, inicializa os módulos, transmite os resultados de um módulo para outro etc.
Um módulo em particular chamado módulo de estado ME controlará a ativação e a desativação de certos módulos e mais geralmente o comportamento do módulo de segurança. De acordo com o exemplo em particular da Figura 1 , este módulo de estado ME controla o segundo meio de comunicação Com1, o segundo meio de 4 DVB: é a sigla de Digital Video Broadcasting - ( Transmissão de Vídeo Digital), às vezes chamado de televisão digital ou da sua sigla DTV (do inglês Digital Television). E o padrão adotado pelas principais operadoras privadas de TV por assinatura por satélite. (N.T.) codificação/decodificação ENC1, bem como a memória MEM1. Dependendo do estado desta memória, os sinais são independentemente transmitidos por um processador para ativar ou desativar os módulos.
Esta ativação é demonstrada na Figura 2, onde o módulo de estado ME está transmitindo um comando para o módulo de comunicação COM0. Este comando também atua sob sinais emitidos e recebidos por meio de um elemento fechado, tal como circuito dielétrico TSB, por exemplo Tri-Estado, “MOSFETs Bidirecionais de Alta Tensão ” ou algum outro elemento galvanicamente isolando a conexão física do módulo de segurança. Este elemento permite o isolamento de uma linha de comunicação por colocá-la em uma modalidade alta de impedância. O módulo de estado, deste modo, controla a ativação/desativação elétrica da comunicação COM0.
Quando o módulo de segurança tiver desativado o módulo de comunicação COM0, o módulo de estado ME continua supervisionando a atividade da porta de comunicação COM0. O módulo de estado ME pode emitir uma mensagem de aviso se continuar a averiguar a chegada de parasitas. Há outras maneiras para influenciar o módulo de estado ME. Como indicado no preâmbulo do pedido, o módulo de segurança determina, de acordo com os dados recebidos da unidade de usuário, a qual estado corresponde a esta unidade.
De acordo com a variante usando uma mensagem de segurança, pode causar a mudança do estado do módulo de estado assim que esta mensagem é recebida e verificada pelo módulo de segurança.
De acordo com esta variante, esta mensagem é decodificada e verificada pelo processador e o resultado é armazenado no módulo de estado ME. Deste modo, atua como uma memória partindo em direção de diferentes módulos relacionados e como um módulo supervisor, tendo em vista supervisionar a atividade de todos os caminhos de comunicação.
De acordo com outra alternativa, toda ou parte da mensagem é diretamente processada pelo módulo de estado ME. A mensagem pode ser previamente processada pelo processador, por exemplo por uma chave apropriada para o módulo de segurança contido na primeira memória MEM0, e então transmitida ao módulo de estado. Este último tem uma chave clean Ksm, a qual permitirá verificar o comando, contido na mensagem. Esta verificação pode ser feita de acordo com vários métodos conhecidos, tal como o uso de uma assinatura na mensagem gerada com uma chave assimétrica, outra chave assimétrica sendo a chave Ksm do módulo do estado memória. O microprocessador não pode acessar o estado memória sem conhecimento da chave ligada a este módulo de estado. Apenas o módulo de estado aceitará uma mensagem preparada pelo centro de gerenciamento.
Se a verificação está correta, o novo estado é carregado módulo de estado com consequências subsequentes nos outros módulos.
De acordo com um processo variante da invenção, o módulo de estado realiza as operações de supervisão do estado do módulo de estado. Recebe, por exemplo, uma fonte de alimentação positiva Vdd (geralmente 5V), a qual também vai na fonte de alimentação do módulo PS e observa riscos de comportamento, tais como uma mudança de tensão repentina, ou anomalamente alta ou de baixa tensão. De acordo com o critério definido, será capaz de mudar seus estados sem receber uma mensagem, por exemplo, por gerar uma mensagem de erro, ou por desativar certas funções de referido módulo. Os caminhos de comunicação (COM1, COM0) são supervisionados pelo módulo de estado ME. Por caminho de comunicação nós entendemos o caminho através do qual a entrada ou saída de dados passa de/para o módulo de segurança, tal como o caminho l/O, de acordo com o padrão ISO7816, ou o caminho USB ou outra porta de transferência de dados de alta velocidade, compreendendo infravermelhos, etc. Os caminhos de conexão, tal como, os outros caminhos os quais estão ligados com um módulo anfitrião, tal como fonte de alimentação (Vdd, Vss), relógio (CLK) ou reinicialização (RST).
Da mesma forma, se determinar que parasitas ou ruídos estão presentes nos meios de comunicação, tal como o primeiro meio de comunicação, pode também mudar seu estado ou inicializar seus contra-recursos. Ademais, o módulo de estado ME pode compreender um perfil supervisor, de um lado, específico para o caminho de comunicação ou conexão supervisionada e, de outro lado. de acordo com o estado do módulo de estado. Deste modo, os parâmetros de verificação da própria performance de um caminho de conexão podem variar de acordo com o estado do módulo de estado. Variações de voltagens de +/-10% serão aceitas em um estado, embora em outro estado apenas +/-5% serão aceitos. O mesmo vai para o número de parasitas, microcuts e outros. Estes parâmetros são programáveis e podem ser modificados pelo recebimento de uma mensagem de segurança.
Esta supervisão pode ser feita mesmo se o caminho de comunicação ou meio estiverem desativados. O módulo de estado ME pode também controlar os recursos internos do módulo de segurança. A segunda memória MEM1 pode ser parcialmente ou completamente desativada. Além disso, esta desativação pode ser feita tanto por um comando eletrônico (leitura e/ou escrita fechada) quanto pela ação diretamente na fonte de alimentação da referida memória. Esta memória pode ser definida, de acordo com o estado, como apenas leitura, escrita apenas ou leitura/escrita. O mesmo vai para os outros recursos do módulo de segurança, tal como módulos de codificação/decodificação (ENC0, ENC1). O módulo de estado (ME) pode controlar módulos e/ou funções que são autorizadas ou proibidas de acordo com o estado do módulo de estado. Estas funções são, por exemplo, um barramento porta de transferência de dados de alta velocidade ou um mecanismo de regulamento de relógio. Estes módulos são, por exemplo, um gerador de relógio, módulo codificado/decodificado, uma memória, um regulador de tensão por uma bomba de carregamento, etc. A mensagem recebida do módulo de segurança preferencialmente vem do centro de gerenciamento. Esta mensagem pode chegar ao módulo de segurança SM tanto pelo primeiro quanto pelo segundo meio de comunicação. No momento da inicialização na instalação do módulo de segurança e seu dispositivo anfitrião, mensagens são transmitidas via dispositivo anfitrião para o módulo de segurança. O centro de gerenciamento conhece as características de um aparelho anfitrião, bem como a subscrição do respectivo subscritor e formatar uma mensagem para o módulo de segurança contendo seu estado de funcionamento. Esta mensagem pode ser específica para cada módulo ou idêntica para todos os módulos de segurança, uma mensagem contendo uma versão da unidade de usuário e o nível de segurança do módulo de segurança. Deste modo, se existir 8 diferentes unidades de usuário, haverá oito mensagens no fluxo de transmissão, cada uma compreendendo uma versão da unidade de usuário e a configuração do módulo de segurança correspondente.
De acordo com outra materialização, cada dispositivo anfitrião, de acordo com suas características, armazena uma mensagem, a qual será transmitida subsequentemente ao módulo de segurança assim que este estiver conectado. O estado do módulo de segurança irá comparar as especificações do dispositivo anfitrião.
Uma vez que o módulo de segurança SM tiver determinado seu estado, ele preserva este estado e está, desta forma, fechado. Para que o módulo de segurança aceite uma nova inicialização, o centro de gerenciamento pode mandar uma mensagem que autorize um novo processo de configuração. Esta mensagem pode ser condicional, isto quer dizer, pode haver uma indicação da versão do módulo de segurança ou um estado do módulo de estado como uma condição de reinicialização.
REIVINDICAÇÕES