CN101529904B - 检测安全处理器的异常使用的方法 - Google Patents
检测安全处理器的异常使用的方法 Download PDFInfo
- Publication number
- CN101529904B CN101529904B CN2007800399325A CN200780039932A CN101529904B CN 101529904 B CN101529904 B CN 101529904B CN 2007800399325 A CN2007800399325 A CN 2007800399325A CN 200780039932 A CN200780039932 A CN 200780039932A CN 101529904 B CN101529904 B CN 101529904B
- Authority
- CN
- China
- Prior art keywords
- ecm
- safe processor
- date
- period
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/436—Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
- H04N21/4367—Establishing a secure communication between the client and a peripheral device or smart card
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种检测安全处理器的异常使用的方法,其中,由至少一个接收终端来调用所述安全处理器,以便对由至少一个运营商供应给所述接收终端的加扰的数字内容进行访问控制。该方法包括以下步骤:对在预设的观察时段Tobs期间的安全处理器的使用进行分析,基于所述分析,确定在所述观察时段Tobs期间,在每时间单位中的所述安全处理器的调用次数的平均值MECM,将所述平均值MECM与预设的阈值Smax进行比较,以及如果所述平均值MECM大于所述阈值Smax,则向所述终端应用严格性级别渐进增加的制裁。
Description
技术领域
本发明属于多媒体服务访问控制的领域,并且,更具体地涉及用于检测安全处理器的异常使用的方法,其中,由至少一个接收终端来调用该安全处理器,以便对加扰的数字内容进行访问控制,其中,该加扰的数字内容是由至少一个运营商向所述接收终端提供的。
本发明还涉及安全处理器,其用于对加扰的数字内容进行访问控制,其中,该加扰的数字内容是由至少一个运营商向至少一个接收终端提供的。
本发明的适用性与支持网络的类型或内容的类型(电视直播、视频点播VOD、个人视频录像机(PVR))无关。
背景技术
采用了访问控制的接收系统的两种非法使用是已知的。第一种非法使用的目的是通过向被用在接收机中的访问控制处理器呈现句法上错误的消息(例如,该消息具有错误的签名,或者不完整,或包括非法的命令字符串),来对该被用在接收机中的访问控制处理器的操作进行欺骗性地分析,第二种使用旨在对接收系统的有条件的访问资源进行非正常授权的使用。所述第二种使用可通过以下方式来实现:共享该接收系统,尤其是共享其安全处理器(典型地为卡共享),或者共享或重新分配控制字(CW共享)。
更特别地,在对接收系统资源进行共享使用的情况中,多个终端经由双向通信网络、通过向其安全处理器呈现句法上正确但在数量或多样性上过多的消息来调用所述其安全处理器。
本发明的目的是阻止上述各种形式的欺骗行为。
本发明具有当安全处理器和终端之间的接口未被保护时的特别的但非排他的应用。
文献EP 1447976A1描述了用于防止安全处理器被多个终端共享的方法。
该方法包括:测量分离两个连续的授权控制消息(ECM)的表示的时间,以及验证如此观测到的消息处理时间是否遵从了预设的速率模式。
该方法不允许ECM消息处理串中有任何干扰,这是因为事实上对安全处理器呈现ECM消息这一操作尤其取决于:
——如何来对将这些ECM消息附加到节目的操作进行组织,其取决于对节目的访问是否取决于一个总体访问条件,或取决于针对各个视频、音频或其它内容的多个访问条件,
——解码器所提供的用于处理单个节目或同时处理多个节目的能力(如同可允许记录一个节目的同时观看另一个节目的多调谐器接收机的情况),
——用户的习惯(用户通过反复地“转换频道(zapping)”造成了稳定的ECM消息处理串中的中断)。
本发明的另一个目的是克服上述现有技术的缺点。
发明内容
本发明介绍了一种方法,用于使得安全处理器能够检测超出正常授权使用范围的不合法地使用所述安全处理器的情况。
该方法包括以下步骤:
——对在预设的观察时段Tobs期间的安全处理器的使用进行分析,
——基于所述分析,确定在所述观察时段Tobs期间,在每时间单位中的所述安全处理器的调用次数的平均值MECM,
——将所述平均值MECM与预设的阈值Smax进行比较,以及
——如果所述平均值MECM大于所述阈值Smax,则向所述终端应用严格性级别渐进增加的制裁,其中,在所述观察时段Tobs期间,在所述安全处理器的活动时段TAct期间确定所述平均值MECM,所述活动时段TAct是通过累积由所述安全处理器的不活动的最小时段TInaMin所分隔的多个连续的活动时段来建立的。
鉴于比较步骤使用了每个时间单位中调用次数的平均值MECM,本发明的方法本质上是统计学意义的,并且不会在所处理的节目的时间结构中被本地化干扰伪造和被用户行为的改变伪造。
活动时段表示累积时隙,在该时隙期间,会以连续的时间跨度调用安全处理器。必须具有最小时段TActMin,以便确保可得到分析的重要特征。关于该最小时段,是指将安全处理器的偶尔重要的、正常和合法的使用检测为安全处理器的不适当使用的风险降低。
在本发明的方法的一个特定的实施例中,每次对安全处理器的调用包括向其呈现与加扰的内容有关的ECM访问控制消息,并且包括携带控制字CW和至少一个访问条件的描述。
在此情况中,对安全处理器的使用的分析包括以下步骤:
——确定在所述活动时段Tact期间由所述安全处理器所处理的ECM消息的数量NEcm,
——计算平均值MECM=NEcm/TAct,
——比较所述平均值MECM和所述阈值Smax,
——如果所述平均值MECM大于所述阈值Smax,则应用所述制裁。
在此实施例中,对安全处理器的使用的分析包括以下操作:
在当前日期tc,
——如果日期tc-TDiff小于ECM消息的分配日期t,,则确定具有与所述当前日期tc处于同一时期的(contemporary)分配日期的ECM消息,并将所述ECM消息呈现给所述安全处理器,以用于内容的第一次使用;否则,则确定具有分配日期先前于所述当前日期tc的ECM消息,并将所述ECM消息呈现给所述安全处理器,以用于对内容进行重新使用,其中,TDiff表示先前指定的分隔所述日期t和所述日期tc的最小延时。
在一个实施例变型中,对成功处理的处在同一时期的ECM消息的数量NECM进行计数包括以下操作:
——将所述日期t与所述日期tc-TDiff进行比较,
——如果所述日期tc-TDiff小于所述日期t,则增加所述数量NECM,否则,将所述数量NECM维持在当前值,
——如果所述日期t在所述日期tc和日期tc+TInaMin之间,则将活动时段TAct增加值t-tc,否则,将所述活动时段TAct维持在当前值。
根据本发明另一个优势特征,根据以下步骤来渐进地应用所述制裁:
——首先,以严格性级别ni应用所述制裁预设的次数Ri次,
——其次,以下一个严格性级别ni+1应用所述制裁预设的次数Ri+1次,
——最后,当达到最后的级别nimax时,应用最大制裁。
在变化实施例中,所述制裁包括第一级别、第二级别和第三级别,所述第一级别包括临时对内容接收进行阻止,所述第二级别包括对内容接收进行阻止,并需要联系所述运营商来供应所述内容,以及所述第三级别包括永久地阻止所述内容的接收。
优选地,通过在所述安全处理器中内建的软件来分析安全处理器的使用。
为此,后者包括:
——第一模块,用于对在预设的观察时段Tobs期间的所述安全处理器的使用进行分析,
——第二模块,用于基于所述分析,确定在所述观察时段TObs期间、在每时间单位中的所述安全处理器的调用次数的平均值MECM,并且用于将所述平均值MECM与预设的阈值Smax进行比较,以及
——第三模块,用于在所述平均值MECM大于所述阈值Smax的情况下,向所述终端应用严格性级别渐进增加的制裁,其中,在所述观察时段Tobs期间,在所述安全处理器的活动时段TAct期间确定所述平均值MECM,所述活动时段TAct是通过累积由所述安全处理器的不活动的最小时段TInaMin所分隔的多个连续的活动时段来建立的。
附图说明
参考附图,通过作为非限制性实例的以下描述,本发明的其他特征和优点将会变得显而易见,在附图中:
——图1概略地示出在观察时段Tobs期间、在每时间单位中的所述安全处理器的调用次数的平均值的计数的流程图;
——图2概略地示出了根据本发明进行分析和制裁的步骤。
具体实施方式
将会在由条件访问系统(CAS)所保护的视听节目的运营商所进行的分配的上下文环境中描述本发明。意在将这些节目提供给多个订户终端,其中,每个订户终端都装备有安全处理器,通常是芯片卡。
在此上下文环境中,有运营商通过以下方式来控制对加扰的节目的访问:使内容的访问以“终端拥有控制字CW”为条件,以及使内容的访问以“商业授权是可用的”为条件。为此,运营商把访问条件附加到内容上,订户必须满足该接收条件才能访问所述内容。控制字CW和访问条件的描述被经由特定的授权控制消息(ECM)传输给订户终端。在每个终端中,向安全处理器呈现ECM消息,以便检查这些ECM消息的安全性。当安全处理器已检查过这些消息的有效性时,将这些消息所携带的访问条件与被存放在安全处理器的非易失性存储器中的访问资格进行比较。在其本身已知的某种方式中,终端经由授权管理消息(EMM)预先接收了这些访问资格。如果访问条件满足了这些访问资格中的一个,那么,安全处理器会通过解密来获得控制字CW并且将其提供给终端,由此来使得内容解扰。在其本身已知的某种方式中,ECM和EMM消息由加密方法来进行保护,利用了算法和密钥来确保所述消息的完整性、其可信性,以及其可能携带的敏感数据的机密性,并且,特定的安全EMM管理消息特别地对所述密钥进行更新。
根据依照上下文环境所选择的变量策略,习惯上以或大或小的频率修改控制字的随机值。例如,在常规的方式中,在广播电视或极端的情况下,可以针对由订户个人定制的每部只通过视频点播方式提供的影片,每十秒对控制字进行一次修改。
在此上下文环境中,实现本方法的目的是使安全处理器能够检测任何不适当的使用(安全处理器可能已被投入该使用)并且对其做出反应。这里所考虑的使用是对内容访问进行控制,因此,其是通过由安全处理器对ECM消息进行处理来表示的。
为了检测不适当的使用,对表示安全处理器的使用的参数进行统计学上的测量,并且,将该参数与预设的表示所述安全处理器的正常使用的阈值做比较。
对安全处理器的使用进行测量包括:分析在预设的观察时段Tobs期间对该安全处理器的调用,然后,以所述分析为基础,确定在所述观察时段Tobs期间每时间单位的调用次数的平均值MECM。
将所述平均值MECM与预设的阈值Smax做比较可使得安全处理器的任何不适当使用在所考虑的观察时段Tobs中被检测出来。
通过在重要的观察时段中检查用户的平均行为来确立阈值Smax。
为了由最终用户来覆盖接收终端的至少一个特征使用周期,在所述观察时段Tobs期间,指定安全处理器活动的时段,该时段表示一个时隙,在该时隙期间,会在连续的时间跨度内调用后者,而与是否合法无关。还指定了活动的最小时段TActMin,该时段表示由活动时段所获得的时段,以便确保在活动时段期间安全处理器的使用的分析的重要的特征。关于该最小时段,是指可将检测到卡的不适当使用的风险降到最低,尽管该卡总的来说都是正常的,但这种不适当使用有的时候是重要的。的确,通常在大量地“转换频道”的情况中,正常使用会呈现出临时的调用尖峰,这与在不适当使用的上下文环境中的卡调用的情况类似。
还指定了不活动的最小时段TInaMin,该时段代表了自上一个对ECM消息的成功处理之后已流逝的时间,并且认为在那之后先前的活动时段就结束了。
此外,将当前日期(date)与旧的ECM消息日期相分离的最小时段以参数TDiff表示,以便在与上一个对ECM消息进行的成功处理相对应的当前日期tc来确定以下两种消息:一方面,与所述当前日期tc处在同一时期的ECM消息,该消息被呈现给安全处理器,以进行内容的第一使用,另一方面,与日期tc相关的旧ECM消息,该消息被呈现给安全处理器,以进行内容的重新使用,并且考虑:如果该ECM消息的日期比tc提前了大于或等于TDiff的时段,那么将ECM消息呈现给安全处理器,以进行内容的重新使用。
应当注意:ECM消息的分配日期可以由其本身已知的不同的技术方案来确定。例如,可由ECM消息生成器(ECM-G)将访问条件和控制字存入该ECM消息中,并且,当该ECM消息被处理时,由安全处理器来进行提取。
将在下文中参考图1和图2描述本发明中的一些处理步骤。
图1示出了对ECM消息的数量NEcm进行计数(该ECM消息是由安全处理器在活动时段TAct期间来进行处理的)以及对所述活动时段Tact进行准同步测量的步骤。
参考图1,在始于时刻t0的观察时段Tobs期间的当前日期tc,安全处理器接收具有分配日期t的消息ECMt(步骤10)。
在步骤12中,安全处理器对消息ECMt的句法、可信性和完整性进行分析,然后,确定其日期t和访问标准。
在步骤14中,安全处理器对访问标准的有效性以及消息的可信性和完整性进行验证。
如果后者不满足或者消息不是可信的或完整的,那么,安全处理器会分析下一个ECM消息(箭头16)。
如果满足了接收标准(箭头18),那么,安全处理器会对消息ECMt进行处理,并且在步骤20中将消息ECMt的日期t与日期tc-Tdiff进行比较,以便确定消息ECMt是针对内容的第一使用还是针对在其被记录之后的重新使用而被呈现的。
如果tc-Tdiff小于t,换句话说,如果消息ECMt是有关于加扰的节目的第一使用的,那么,安全处理器会在步骤22中增加由一个单元所处理的ECM消息的数量。
如果消息ECMt的日期t是在日期tc和tc+TInaMin之间(步骤24),那么,安全处理器会断定:先前的活动时段还没结束,在步骤26中,会将活动的当前时段TAct的持续时间增加持续日期t-tc。
因此,确定活动时段TAct,并且由安全处理器所处理的ECM消息的数量NEcm被计数直到观察时段Tobs结束为止。
图2概略地示出了根据本发明对安全处理器的使用和制裁进行分析的步骤。
在步骤30中,安全处理器对关系MECM=MECM/Tact进行计算,其中,MEcm表示了所计数的ECM消息的数量,并且,TAct表示了在观察时段Tobs期间的活动时段的总持续时间。
在步骤32中,安全处理器检查TAct是否大于或等于预设的持续时间TActMin。此步骤的目的是检查活动时段TAct足以确保分析的重要的特征。
如果TAct小于TActMin,那么,安全处理器在步骤54中对包含在消息ECMt中的控制字进行解密,然后在步骤34中检查观察时段Tobs是否结束。
倘若出现肯定的答复,那么安全处理器会将值NEcm、Tact和t0重新初始化(步骤36)。
倘若出现否定的答复,那么所述值不会被重新初始化。
在这两种情况中,过程继续进行到步骤38,该步骤包括检查消息ECMt的日期t是否在当前日期tc之后。
如果是,则将日期t赋给为当前日期tc。
过程从计数步骤10(图1)继续进行。
如果TAct大于或等于TActMin,那么,安全处理器检查(步骤50)所计算的平均值MECM是否大于阈值Smax。
如果是,则应用制裁,并且制裁的数量n和/或所应用的制裁的水平被增加(步骤52),并且,值NECM、TAct、t0被重新初始化(步骤53)。
否则,控制字CW被解密并且被传输给终端,以使得内容能够被解扰(步骤54)。
然后,过程继续进行到步骤34,其包括检查持续时间(t-t0)是否大于观察时段的持续时间TObs。
倘若出现肯定的答复,那么安全处理器会将值NEcm、Tact和t0重新初始化(步骤36)。
倘若出现否定的答复,那么这些值不会被重新初始化。
在这两种情况中,过程继续进行到步骤38,该步骤包括检查消息ECMt的日期t是否在当前日期tc之后。
如果消息ECMt的分配日期t在日期tc之后,那么,在步骤40中,将日期t赋给当前日期tc,并且,过程从计数步骤10(图1)继续进行。
在步骤52中,制裁管理包括增加制裁的数量n和/或制裁级别。该制裁管理是本发明的特征。给定本方法基于以下将要描述的现有建模来对安全处理器的调用进行统计学分析,指定单个制裁并且一旦检测到不适当的使用就立即应用制裁是过度的,并可能会使得本发明最终无效。为了从通过统计学分析所带来的对不适当的处理器使用的检测的渐进性中获益,最合适的制裁管理以及因此该方法中所固有的特征是渐进性管理。所述管理定义了多个增加严格性和被按阶段渐进地进行应用的制裁级别。
例如,初始检测到对安全处理器的不适当使用通过阻止对内容访问的解扰来中断内容访问。当由于确认不适当使用而重复进行了特定次数的这种低严格性制裁时,应用另一个平均的严格性制裁,其包括临时阻止终端,这就需要用户联系他的运营商来对终端进行解阻止。当该第二制裁被应用特定次数的时候,如果不适当的使用还持续,则应用高严格性的最终制裁,其包括了永久地禁用安全处理器。
上述处理使用了参数,所述该参数在EEPROM类型(电可擦除可编程只读存储器)的安全处理器存储器中被频繁地更新,以便确保在发生安全处理器电源供应中断的情况下分析的连续性。
事实上,此类型的存储器支持有限次数的写操作。因此,为了弥补这一技术上的限制,最常被计算所调用的参数NECM、tc和TAct被存储在非永久存储器(RAM)中并且被定期地存入EEPROM存储器中。
为此,指定了以下的新参数:
——自从参数NECM、tc和TAct最后一次被传输进EEPROM存储器之后,ECM消息被成功地处理的数量Nbuf。
——表示对EEPROM存储器中的参数NECM、tc和TAct进行更新的数量NBuf的最大阈值的数量Nmax。
之后,通过以下方式来对参数NECM、tc和TAct进行管理:
当安全处理器被供电,或者安全处理器的使用分析被激活时,参数NECM、tc和TAct被创建,并且如果这些参数先前还没被存入EEPROM存储器中,则将这些参数以其初始值存入。
在安全处理器被供电之后,或者当激活了所述安全处理器的使用的分析时:
——参数NECM、tc和TAct被载入RAM存储器
——这些参数的任何实现都在RAM存储器中进行
——如果NBuf>Nmax,则它们的值被在EEPROM存储器中额外地更新。
这样,每当在时段Tobs期间所成功处理的ECM消息的数量增加了预设的阈值Nmax时,参数NECM、tc、和TAct就被传输到EEPROM存储器中。
应当注意到:如果值NECM、tc、和TAct是已知的,有恶意的运营商就可以通过定期地使安全处理器下电来使本方法无效。之后,所存储的值丢失,这阻止了安全处理器的使用被分析,并且由此使得骗子可以将其共享而完全免受惩罚。
为了防止本方法以这样的方法被不合法地规避,一种解决方案是将阈值Nmax的新的较低值下载到安全处理器。另一个解决方案包括:在每次关闭电源之后,分别增加TAct和NECM以及TAct,ini(校正的活动时间)和NECM,ini(校正的被成功处理的ECM消息的数量)的值。
这相当于调低了阈值Nmax。
在优选的实施例中,运营商可以通过发送EMM消息来对分析的参数化(parameterisation)和激活进行编程。
该参数化还可以在卡定制阶段被实现。
其包括:
——从给定列表中选择每个平均和高严格性级别的制裁;
——设置低和平均严格性的制裁的重复次数。
另外,所述EMM消息携带以下参数中的至少一个:
——观察时段的持续时间Tobs,
——活动的最小时段TActMin,
——延时TDiff,
——非活动的最小时段TInaMin,
——阈值Smax,
——阈值Nbuf。
这些参数通过与方法的实现有关的以下参数来进行补充:
Nmax:表示为多个ECM消息的存储阈值,
TAct,ini:对以秒表示的活动时间的校正,
NECM,ini:对成功处理的ECM消息的数量的校正,
TSFA:以秒表示的在低严格性级别制裁条件下的不处理ECM的持续时间,
RSFA:低严格性级别制裁的重复次数,
RSMO:平均严格性级别制裁的重复次数。
以下描述通过对安全处理器的正常使用进行建模产生的这种参数化的例子。
考虑如下情形,用户的行为在一周中的每一天是不同的,但是从一周到下一周是重复的。
此外,该分析基于以下假设的:
——转换频道的假设:每次转换频道时的一个额外的ECM消息,
——低级别的转换频道:每小时20个额外的ECM消息,即每三分钟一个,
——中级别的转换频道:每小时60个额外的ECM消息,即每分钟一个,
——正常的转换频道:每小时120个额外的ECM消息,即每30秒一个,
——过量的转换频道:每小时1000个额外的ECM消息,即每3秒一个。
在将描述的实施例的示例中,在7天的观察时段中对分析进行测试,然后是15天的观察时段。在节目包括多个加扰的部分的情况下,只有主要ECM路径(例如与视频有关)被计数。
之后,设置以下值:
——最小非活动时间:15秒
——向后延时:5分钟,
——加密时段:10秒
——在接收系统中的调谐器的数量被限制到2,使得能够同时访问两个内容,一个直接显示,另一个记录在终端的大型存储装置上。
——观察时段:7到14天,
基于上述假设和已知的使用,已经绘示了接收系统的合法使用和不合法使用的多个概况。为了能够区别这两类使用概况,建模使得参数TObs、TActMin和SMax的以下值被确定:
——观察时段TObs是14天,即1209600秒。
——每秒调用0.22个ECM使得能够进行区分,这需要安全的余量,该安全的余量使得具有一个或两个调谐器的接收系统的合法用户的行为可以有广泛的行动自由。最大合法调用SMax被设置为该值。
——最小活动时间TActMin被设置为30小时,即108000秒。
本发明的方法通过安全处理器来实现,包括:
——第一模块,用于在预设的观察时段Tobs期间对其使用进行分析,
——第二模块,用于基于所述分析,确定在所述观察时段TObs期间、在所述安全处理器的每时间单位中的调用次数的平均值MECM,并且用于将所述平均值MECM与预设的阈值Smax进行比较,以及
——第三模块,用于在所述平均值MECM大于所述阈值Smax的情况下,向所述终端应用严格性级别渐进增加的制裁。
本安全处理器利用的软件包括:
——用于分析在预设的观察时段TObs期间的所述终端对所述芯片卡的使用的指令,
——用于基于所述分析,确定在所述观察时段TObs期间,所述终端在每时间单位中对所述芯片卡的调用次数的平均值MECM,并且用于将所述平均值MECM与预设的阈值Smax进行比较的指令,
——用于在所述平均值MECM大于所述阈值Smax的情况下,向所述终端应用严格性级别渐进增加的制裁的指令。
已在以下状况中描述了本方法:进行计数和分析的ECM是成功处理的ECM(即被识别为句法上正确的、可信的、完整的和满足特别授权的ECM),从而允许对内容进行访问。作为替代,本方法还可通过考虑被安全处理器认为是错误的(特别是在句法、可信性和/或完整性上是错误的)ECM来实现。这样,就可以将通过故意地反复呈现不正确的ECM来进行的暴力攻击的方式有效地集成到对不适当处理器使用的分析中。在这种情况中,不执行图中的步骤14,图1中的方法继续进行步骤20。
Claims (12)
1.一种检测安全处理器的异常使用的方法,其中,由至少一个接收终端来调用所述安全处理器,以便对由至少一个运营商供应给所述接收终端的加扰的数字内容进行访问控制,所述方法的特征在于包括以下步骤:
——对在预设的观察时段Tobs期间的安全处理器的使用进行分析,
——基于所述分析,确定在所述观察时段Tobs期间,在每时间单位中的所述安全处理器的调用次数的平均值MECM,
——将所述平均值MECM与预设的阈值Smax进行比较,以及
——如果所述平均值MECM大于所述阈值Smax,则向所述终端应用严格性级别渐进增加的制裁,
其中,在所述观察时段Tobs期间,在所述安全处理器的活动时段TAct期间确定所述平均值MECM,所述活动时段TAct是通过累积由所述安全处理器的不活动的最小时段TInaMin所分隔的多个连续的活动时段来建立的。
2.根据权利要求1所述的方法,其特征在于,对所述安全处理器的每次调用包括:向其呈现与加扰的内容有关的ECM访问控制消息,并且携带控制字CW和至少一个访问条件的描述,以便向所述终端供应所述控制字以用于对所述内容进行解扰,
并且,对安全处理器的使用的分析包括以下步骤:
——确定在所述活动时段TAct期间由所述安全处理器所处理的ECM消息的数量NEcm,
——计算平均值MECM=NEcm/TAct,
——比较所述平均值MECM和所述阈值Smax,
——如果MECM大于Smax,则应用所述制裁。
3.根据权利要求2所述的方法,其中,通过在所述安全处理器中内建的软件来分析安全处理器的使用。
4.根据权利要求1所述的方法,其中,根据以下步骤来渐进地应用所述制裁:
——首先,以严格性级别ni将所述制裁应用预设的次数Ri次,
——其次,以下一个严格性级别ni+1将所述制裁应用预设的次数Ri+1次,
——最后,当达到最后的级别nimax时,应用最大制裁。
5.根据权利要求4所述的方法,其中,所述制裁包括第一级别、第二级别和第三级别,所述第一级别包括临时对内容接收进行阻止,所述第二级别包括对内容接收进行阻止,并需要联系供应所述内容的所述运营商,以及所述第三级别包括永久地阻止所述内容的接收。
6.根据权利要求2所述的方法,其中,对所述安全处理器的使用的分析包括以下操作:
在当前日期tc,
——如果日期tc-TDiff小于ECM消息的分配日期t,则确定具有与所述当前日期tc处于同一时期的分配日期的ECM消息,所述ECM消息被呈现给所述安全处理器,以用于内容的第一次使用;否则,则确定具有先前于所述当前日期tc的分配日期的ECM消息,所述ECM消息被呈现给所述安全处理器,以用于对内容进行重新使用,
其中TDiff表示先前指定的分隔所述日期t和所述日期tc的最小延时。
7.根据权利要求6所述的方法,其中,在所述日期tc,对成功处理的处在同一时期的ECM消息的数量NECM进行计数包括以下操作:
——将所述日期t与所述日期tc-TDiff进行比较,
——如果所述日期tc-TDiff小于所述日期t,则增加所述数量NECM,否则,将所述数量NECM维持在当前值,
——如果所述日期t在所述日期tc和日期tc+TInaMin之间,则将活动时段TAct增加值t-tc,否则,将所述活动时段TAct维持在当前值。
8.根据权利要求6所述的方法,其中,在开始于时刻t0的观察时段期间,对安全处理器的使用的分析包括以下操作:
——计算平均值MECM=NECM/TAct,
——检查TAct是否大于或等于活动的最小时段TActMin以及MECM是否大于Smax,
如果是,
——应用所述制裁,
——增加所应用的所述制裁的数量n和/或制裁的级别,
——重新初始化NECM、TAct和t0的值,
否则,
——对所述控制字CW进行解密,
—如果持续时间t-t0大于所述观察时段TObs,
——则重新初始化NECM、TAct和t0的值,
—如果所述日期t大于所述日期tc,
——则用所述日期t替代所述日期tc。
9.根据权利要求8所述的方法,其中,当在所述时段TObs期间成功处理的ECM消息的数量已经增加了预设的阈值Nmax时,将所述参数NECM、tc和TAct传输到EEPROM存储器中。
10.根据权利要求6所述的方法,其中,可由运营商通过发送EMM消息来对分析的参数化和激活进行编程。
11.根据权利要求10所述的方法,其中,所述EMM消息携带以下参数中的至少一个:
——预设的观察时段TObs,
——活动的最小时段TActMin,
——所述延时TDiff,
——不活动的最小时段TInaMin,
——所述阈值Smax。
12.一种安全处理器,其用于对由至少一个运营商供应给至少一个接收终端的加扰的数字内容进行访问控制,所述安全处理器的特征在于包括:
——第一模块,用于对在预设的观察时段Tobs期间的所述安全处理器的使用进行分析,
——第二模块,用于基于所述分析,确定在所述观察时段TObs期间、在每时间单位中的所述安全处理器的调用次数的平均值MECM,并且用于将所述平均值MECM与预设的阈值Smax进行比较,以及
——第三模块,用于在所述平均值MECM大于所述阈值Smax的情况下,向所述终端应用严格性级别渐进增加的制裁,
其中,在所述观察时段Tobs期间,在所述安全处理器的活动时段TAct期间确定所述平均值MECM,所述活动时段TAct是通过累积由所述安全处理器的不活动的最小时段TInaMin所分隔的多个连续的活动时段来建立的。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0654599 | 2006-10-27 | ||
FR0654599A FR2907930B1 (fr) | 2006-10-27 | 2006-10-27 | Procede de detection d'une utilisation anormale d'un processeur de securite. |
PCT/EP2007/061470 WO2008049882A1 (fr) | 2006-10-27 | 2007-10-25 | Procédé de détection d'une utilisation anormale d'un processeur de sécurité |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101529904A CN101529904A (zh) | 2009-09-09 |
CN101529904B true CN101529904B (zh) | 2012-07-18 |
Family
ID=38123725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800399325A Active CN101529904B (zh) | 2006-10-27 | 2007-10-25 | 检测安全处理器的异常使用的方法 |
Country Status (9)
Country | Link |
---|---|
US (1) | US20100017605A1 (zh) |
EP (1) | EP2082574B1 (zh) |
KR (1) | KR101433300B1 (zh) |
CN (1) | CN101529904B (zh) |
ES (1) | ES2675749T3 (zh) |
FR (1) | FR2907930B1 (zh) |
PL (1) | PL2082574T3 (zh) |
TW (1) | TWI442772B (zh) |
WO (1) | WO2008049882A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2947361B1 (fr) | 2009-06-29 | 2011-08-26 | Viaccess Sa | Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede |
EP2357783B1 (fr) | 2010-02-16 | 2013-06-05 | STMicroelectronics (Rousset) SAS | Procédé de détection d'un fonctionnement potentiellement suspect d'un dispositif électronique et dispositif électronique correspondant. |
FR2963191B1 (fr) | 2010-07-23 | 2012-12-07 | Viaccess Sa | Procede de detection d'une utilisation illicite d'un processeur de securite |
FR2967002B1 (fr) | 2010-10-27 | 2012-12-14 | Viaccess Sa | Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle |
US9503785B2 (en) | 2011-06-22 | 2016-11-22 | Nagrastar, Llc | Anti-splitter violation conditional key change |
US9392319B2 (en) * | 2013-03-15 | 2016-07-12 | Nagrastar Llc | Secure device profiling countermeasures |
US9203850B1 (en) * | 2014-02-12 | 2015-12-01 | Symantec Corporation | Systems and methods for detecting private browsing mode |
US10657022B2 (en) | 2017-02-20 | 2020-05-19 | Tsinghua University | Input and output recording device and method, CPU and data read and write operation method thereof |
US10572671B2 (en) | 2017-02-20 | 2020-02-25 | Tsinghua University | Checking method, checking system and checking device for processor security |
US10684896B2 (en) | 2017-02-20 | 2020-06-16 | Tsinghua University | Method for processing asynchronous event by checking device and checking device |
US10642981B2 (en) * | 2017-02-20 | 2020-05-05 | Wuxi Research Institute Of Applied Technologies Tsinghua University | Checking method, checking device and checking system for processor |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1134207A (zh) * | 1993-09-20 | 1996-10-23 | 特兰斯伟奇公司 | 异步数据传送和源业务量控制系统 |
CN1146673A (zh) * | 1995-06-28 | 1997-04-02 | 日本电气株式会社 | 存储非法访问无线单元的所述的无线单元系统和方法 |
EP1447976A1 (en) * | 2003-02-12 | 2004-08-18 | Irdeto Access B.V. | Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device |
CN1571949A (zh) * | 2001-09-05 | 2005-01-26 | 数据编码体系有限公司 | 控制解密密钥的传播的装置和方法 |
EP1575293A1 (en) * | 2004-03-11 | 2005-09-14 | Canal+ Technologies | Dynamic smart card management |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5509075A (en) * | 1994-04-21 | 1996-04-16 | Grube; Gary W. | Method of detecting unauthorized use of a communication unit in a secure communication system |
US7073069B1 (en) * | 1999-05-07 | 2006-07-04 | Infineon Technologies Ag | Apparatus and method for a programmable security processor |
US7257844B2 (en) * | 2001-07-31 | 2007-08-14 | Marvell International Ltd. | System and method for enhanced piracy protection in a wireless personal communication device |
US7743257B2 (en) * | 2002-06-27 | 2010-06-22 | Nxp B.V. | Security processor with bus configuration |
US8909926B2 (en) * | 2002-10-21 | 2014-12-09 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
US7370210B2 (en) * | 2002-11-18 | 2008-05-06 | Arm Limited | Apparatus and method for managing processor configuration data |
WO2004046916A2 (en) * | 2002-11-18 | 2004-06-03 | Arm Limited | Exception types within a secure processing system |
GB2395583B (en) * | 2002-11-18 | 2005-11-30 | Advanced Risc Mach Ltd | Diagnostic data capture control for multi-domain processors |
US7322042B2 (en) * | 2003-02-07 | 2008-01-22 | Broadon Communications Corp. | Secure and backward-compatible processor and secure software execution thereon |
US7818574B2 (en) * | 2004-09-10 | 2010-10-19 | International Business Machines Corporation | System and method for providing dynamically authorized access to functionality present on an integrated circuit chip |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7663479B1 (en) * | 2005-12-21 | 2010-02-16 | At&T Corp. | Security infrastructure |
-
2006
- 2006-10-27 FR FR0654599A patent/FR2907930B1/fr active Active
-
2007
- 2007-10-25 CN CN2007800399325A patent/CN101529904B/zh active Active
- 2007-10-25 US US12/444,559 patent/US20100017605A1/en not_active Abandoned
- 2007-10-25 KR KR1020097007851A patent/KR101433300B1/ko active IP Right Grant
- 2007-10-25 EP EP07821833.6A patent/EP2082574B1/fr active Active
- 2007-10-25 ES ES07821833.6T patent/ES2675749T3/es active Active
- 2007-10-25 PL PL07821833T patent/PL2082574T3/pl unknown
- 2007-10-25 WO PCT/EP2007/061470 patent/WO2008049882A1/fr active Application Filing
- 2007-10-26 TW TW096140354A patent/TWI442772B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1134207A (zh) * | 1993-09-20 | 1996-10-23 | 特兰斯伟奇公司 | 异步数据传送和源业务量控制系统 |
CN1146673A (zh) * | 1995-06-28 | 1997-04-02 | 日本电气株式会社 | 存储非法访问无线单元的所述的无线单元系统和方法 |
CN1571949A (zh) * | 2001-09-05 | 2005-01-26 | 数据编码体系有限公司 | 控制解密密钥的传播的装置和方法 |
EP1447976A1 (en) * | 2003-02-12 | 2004-08-18 | Irdeto Access B.V. | Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device |
EP1575293A1 (en) * | 2004-03-11 | 2005-09-14 | Canal+ Technologies | Dynamic smart card management |
Also Published As
Publication number | Publication date |
---|---|
ES2675749T3 (es) | 2018-07-12 |
TWI442772B (zh) | 2014-06-21 |
TW200829019A (en) | 2008-07-01 |
US20100017605A1 (en) | 2010-01-21 |
PL2082574T3 (pl) | 2018-12-31 |
EP2082574A1 (fr) | 2009-07-29 |
FR2907930A1 (fr) | 2008-05-02 |
KR101433300B1 (ko) | 2014-08-22 |
WO2008049882A1 (fr) | 2008-05-02 |
CN101529904A (zh) | 2009-09-09 |
FR2907930B1 (fr) | 2009-02-13 |
EP2082574B1 (fr) | 2018-05-16 |
KR20090073169A (ko) | 2009-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101529904B (zh) | 检测安全处理器的异常使用的方法 | |
EP1730961B1 (en) | Smartcard dynamic management | |
EP1762096B1 (fr) | Procede de controle distant par un operateur de l'utilisation d'un equipement recepteur | |
US8831219B2 (en) | Method of transmitting an additional piece of data to a reception terminal | |
RU2199832C2 (ru) | Способ и устройство для предотвращения нечестного доступа в системе условного доступа | |
US20080209232A1 (en) | Method and Device for Controlling Access to Encrypted Data | |
US20090199003A1 (en) | Smart card and method for using a smart card | |
EP2357783A1 (fr) | Procédé de détection d'un fonctionnement potentiellement suspect d'un dispositif électronique et dispositif électronique correspondant. | |
US7995755B2 (en) | Method for management of access means to conditional access data | |
US8782417B2 (en) | Method and processing unit for secure processing of access controlled audio/video data | |
US8464357B2 (en) | Methods and systems for fingerprint-based copyright protection of real-time content | |
CN103428530B (zh) | 一种防止跳过广告的方法、系统及媒体播放客户端 | |
US20040123128A1 (en) | Remote deactivation of decoders for accessing multimedia digital data | |
US9584872B2 (en) | Method to bind the use of a television receiver to a particular network | |
JP3420667B2 (ja) | デコーダ用icカード及びスクランブルシステム | |
US10701455B2 (en) | Selectively delaying control word delivery for piracy identification | |
CN112019885A (zh) | 基于数字电视的ecm数据校验方法、装置和计算机设备 | |
CN101753966A (zh) | 收视控制方法及其装置 | |
JPH04363990A (ja) | 有料放送視聴装置 | |
KR20110044603A (ko) | 디지털 방송 수신기의 단말기 인증 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |