DE10029643A1 - Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium - Google Patents
Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein RundfunkmediumInfo
- Publication number
- DE10029643A1 DE10029643A1 DE2000129643 DE10029643A DE10029643A1 DE 10029643 A1 DE10029643 A1 DE 10029643A1 DE 2000129643 DE2000129643 DE 2000129643 DE 10029643 A DE10029643 A DE 10029643A DE 10029643 A1 DE10029643 A1 DE 10029643A1
- Authority
- DE
- Germany
- Prior art keywords
- dvb
- service
- customer
- temporary
- identification number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04H—BROADCAST COMMUNICATION
- H04H60/00—Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
- H04H60/09—Arrangements for device control with a direct linkage to broadcast information or to broadcast space-time; Arrangements for control of broadcast-related services
- H04H60/14—Arrangements for conditional access to broadcast information or to broadcast-related services
- H04H60/15—Arrangements for conditional access to broadcast information or to broadcast-related services on receiving information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/235—Processing of additional data, e.g. scrambling of additional data or processing content descriptors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/238—Interfacing the downstream path of the transmission network, e.g. adapting the transmission rate of a video stream to network bandwidth; Processing of multiplex streams
- H04N21/2389—Multiplex stream processing, e.g. multiplex stream encrypting
- H04N21/23895—Multiplex stream processing, e.g. multiplex stream encrypting involving multiplex stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/435—Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/61—Network physical structure; Signal processing
- H04N21/6106—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
- H04N21/6143—Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving transmission via a satellite
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Die Erfindung bezieht sich auf ein Verfahren zur abhörsicheren Übertragung von Internet Protocol-Diensten, IP-Diensten, über ein Rundfunkmedium, bei dem die ankommenden IP-Daten in DVB-Transportpakete aufgeteilt werden. Die DVB-Transportpakete werden dann auf die Sendeseite von einem defizierten Gerät wie beispielsweise einem Multiplexer/MUX (4) oder einem separaten Scrambler verschlüsselt, über einen Satelliten (9) transportiert und auf der Empfangsseite von einem DVB-Empfangsgerät (6), wie beispielsweise einer Set-Top-Boc STB, einer PC-Steckkarte oder einem DVB-Server in einem LAN entschlüsselt. Die so erhaltenen IP-Daten werden dann an die entsprechenden Geräte/Applikationen wie einen PC (8), einen Router oder einen TCP/IP-Stack weitergegeben.
Description
Die Erfindung bezieht sich auf ein Verfahren zur abhörsicheren Übertragung von
Internet-Protocol-Diensten, IP-Diensten, über ein Rundfunkmedium gemäß dem
Oberbegriff des vorliegenden Patentanspruches.
Der Zugang eines Kunden zum Internet erfolgt heute in der Regel durch Einwahl über
eine Punkt-zu-Punkt-Verbindung (Modem, ISDN) in den mit Point of Presence, POP,
bezeichneten Zugang eines Internet Service Providers, ISP, wie zum Beispiel T-Online
der Deutschen Telekom AG mit Point to Point Protocoll, PPP. Nach Zuweisung einer
temporären IP-Adresse an den Kunden wird der gesamte IP-Verkehr von und zu dieser
IP-Adresse über die Punkt-zu-Punkt-Verbindung geroutet. Um die Performanz der
Anbindung des Kunden an das Internet zu erhöhen, werden einerseits neue Techniken
auf der Telefonleitung eingesetzt (z. B. ADSL, T-Online Speed, http:/ / www.t-
online.de/service/index/adssvxaa.htm), andererseits werden auch neue bereits vorhandene
Übertragungsmedien wie das Breitband Kabelnetz, BK-Kabelnetz und Satelliten
eingesetzt (z. B. high-Speed Internet über Satellit,
siehe: http:/ / www.astra.lu/multimedia/applications/commercial/high_speed_internet.htm.).
siehe: http:/ / www.astra.lu/multimedia/applications/commercial/high_speed_internet.htm.).
Das BK-Kabelnetz und Satelliten werden bereits in beträchtlichem Umfang zur
Verbreitung von digitalem Fernsehen nach den Digital Video Broadcasting-Standards,
DVB-Standards (bzw. äquivalenter Standards in den USA und anderen
außereuropäischen Staaten) genutzt. Eine besondere Rolle spielt hier Pay-TV. Bei
diesem entgeltpflichtigen Dienst werden die Inhalte mit einem
Verschlüsselungalgorithmus (z. B. DVB Scrambling Algorithmus, www.dvb.org, oder
DES) unter Kontrolle eines Sitzungsschlüssels ("Kontrollwort", CW) verschlüsselt
übertragen. Der Kunde benötigt eine Set-Top-Box STB mit einem "Conditional Access"-
System CA genannten Schlüsselmanagement, um diese Inhalte entschlüsseln zu können.
Dazu wird das Sicherheitsmodul der Set-Top-Box STB (in der Regel eine Chipkarte) mit
einer speziellen Nachricht, einer sogenannten "Entitlement Management Message" EMM
freigeschaltet. Nach dieser Freischaltung kann dieses andere spezielle Nachrichten, die
sogenannten "Entitlement Control Messages" ECM entschlüsseln und die zum
Entschlüsseln der Inhalte benötigten Sitzungsschlüssel, die sogenannten "Control Words"
CW, ausgeben. (Vgl. auch J. Schwenk, "Conditional Access" oder Wie kann man den
Zugriff auf Rundfunksendungen kontrollieren? taschenbuch der telekom praxis 1996,
Hrsg. Bernd Seiler, Schiele & Schön, Berlin 1996, oder J. Schwenk, Sicherheit bei Pay-
TV. Proc. 2. ITG-Fachtagung Codierung für Quelle, Kanal und Übertragung.) Die
Verschlüsselung der Inhalte stellt dabei eine sogenannte Leitungsverschlüsselung (Link
Encryption) dar, bei der lediglich der Transportweg über Satellit verschlüsselt wird.
Innerhalb des Transportweges, wie beispielsweise eines Übertragungskanals, ist dabei
jedoch kein Schutz zwischen den auf den Übertragungskanal zugriffsberechtigten
Kunden selber gewährleistet, d. h. berechtigte Kunden können auf die Inhalte anderer
Kunden (private E-Mails, HTML-Seiten) zugreifen.
Die neuen Medien Satellit und BK-Netz (und auch andere Medien wie z. B. terrestrischer
Rundfunk, Passive optische Netze, PONs, . . .) arbeiten im Gegensatz zum Telefonnetz
nach dem Rundfunk-Prinzip, wobei Daten, die an einen Teilnehmer über diese Medien
gesendet werden, auch andere Teilnehmer, die über dieses Medium angeschlossen sind,
in gleicher Qualität erreichen. Im Folgenden soll der Übertragungsweg via Satellit
stellvertretend für alle anderen Übertragungswege stehen. CA-Verfahren sind heute die
einzigen praktisch eingesetzten Schlüsselmanagement-Verfahren, die in diesem
Rundfunk-Szenario funktionieren.
Bei Internet-Diensten wie WWW, Email und FTP ist bekannt, dass die übertragenen
Daten ungeschützt über das Internet übertragen werden. Bei sicherheitskritischen
Anwendungen setzt man daher verschiedene Sicherheitstechniken ein, z. B. das von der
Firma Netscape entwickelte "Secure Sockets Layer"-Protokoll für Homebanking, SSL.
Angriffe auf die ungeschützten Daten im Internet erfordern aber zumindest ein geringes
Expertenwissen und vor allem einen Zugang zu den Leitungen oder Vermittlungknoten
(Routern) im Internet. Diese Anforderungen werden nur von einem kleinen
Personenkreis erfüllt. Dadurch ist es möglich, Angriffe auf ungeschützte Daten unter
Strafe zu stellen.
Bei der Übertragung von Internet-Daten über ein Rundfunkmedium, beispielsweise
mittels Satellit, können die übertragenen Daten von nicht berechtigten Personen
mitgelesen werden. Geringe Kenntnisse über die Protokollschichten des Internet-
Protocolls, IP, genügen, um den gesamten IP-Verkehr mitzuschneiden. (Als Analogon
aus der bisherigen IP-Welt können die Sniffing-Angriffe auf den IP-Verkehr innerhalb
eines Ethernt-LAN's angesehen werden. Hier braucht man nur die Ethernet-Karte in den
"promiscous mode" umzuschalten und kann so den gesamten IP-Verkehr mitlesen. Die
dazu benötigten Sniffer-Programme sind frei erhältlich und äußerst leicht zu bedienen.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art
anzugeben, bei welchem der IP-Verkehr so über ein Rundfunkmedium übertragen wird,
dass unbefugte Personen, die ebenfalls Zugriff auf das betreffende Rundfunkmedium
bzw. den betreffenden Rundfunkkanal haben, den Dateninhalt nicht entschlüsseln
können.
Die technische Aufgabe wird durch die im Kennzeichen des Patentanspruches 1
angegebenen Verfahrensmerkmale gelöst.
Das erfindungsgemäße Verfahren basiert auf der gesicherten Übertragung des IP-
Verkehrs über Rundfunkmedien, wobei die ankommenden IP-Daten in DVB-
Transportpakete, wie MPEG-2 Transport-Pakete aufgeteilt werden. MPEG-2 ist ein
Internationaler Standard zur Kompression und Übertragung von digitalen Bewegtbildern
nach der Norm ISO/IEC 13818. Diese Pakete werden dann auf Sendeseite von einem
dedizierten Gerät, wie beispielsweise einem Multiplexer, MUX 4 oder einem separaten
Scrambler, verschlüsselt, über die Rundfunkstrecke übertragen und auf der
Empfangsseite von einem DVB-Empfangsgerät 6, wie beispielsweise einer Set-Top-Box
STB, einer PC-Steckkarte oder einem DVB-Server in einem LAN, entschlüsselt. Die so
erhaltenen IP-Daten werden dann an die entsprechenden Geräte/Applikationen wie
einen PC, einen Router oder einen TCP/IP-Stack) weitergegeben.
Das erfindungsgemäße Verfahren setzt das Vorhandensein eines Schlüsselmanagement-
Systems wie beispielsweise ein Conditional-Access-System, CA-System und ein DVB-
Empfangsgerät, wie beispielsweise eine Set-Top-Box oder entsprechenden PC-
Steckkarten beim Kunden voraus. Der Kunde empfängt den IP-Verkehr über die Set-
Top-Box oder die PC-Steckkarte beispielsweise von einem Satelliten 9. Der Rückkanal
kann über Satellit 9 (BK-Netz), über Modem oder über ISDN realisiert sein.
Erfindungsgemäß wird vor der Übertragung der IP-Daten zum Kunden die Zieladresse
(IP-Adresse bzw. TCP-Portnummer) des Anschlusses des Kunden
- - erstens mit einem DVB-Service, der in der Service Information (SI) von DVB signalisiert wird und
- - zweitens mit der eindeutigen Identifikationsnummer N der dem Kunden zugeordneten Empfangs-Komponente des CA-Systems 6a verknüpft.
Die Sende-Komponente des CA-Systems 3 sendet eine spezielle mit EMM (Entitle
Management Message) bezeichnete Nachricht zur Freischaltung des DVB-
Empfangsgerätes 6 des Kunden für den betreffenden DVB Service.
Der für die IP-Adresse ankommende IP-Verkehr wird vor der Übertragung über das
Rundfunkmedium von einem IP-Encapsulator 2 in DVB-Empfangspakete, vorzugsweise
MPEG-2-Transportpakete, aufgeteilt und mit den zugehörigen Kontrollnachrichten
ECM's verschlüsselt. Eine ECM (Entitlement Control Message) ist eine Nachricht, mit
der neue Kontrollwörter übertragen und so Empfangsberechtigungen überprüft werden.
Liegt eine Freischaltung für das DVB-Empfangsgerät 6 vor, so gibt das Sicherheitsmodul
das Kontrollwort zurück. Das DVB-Empfangsgerät 6 entschlüsselt die übertragenen
DVB-Transportpakete, entpackt sie und leitet sie zum bestimmungsgemäßen Empfänger,
wie beispielsweise einen PC 9, weiter.
Nachfolgend wird der konkrete Ablauf des Verfahrens näher erläutert:
- 1. Der PC 8 meldet sich über den Rückkanal bei einem IP-DVB-POP 5 an. Dabei muss er die eindeutige Identifikationsnummer N des CA-Sicherheitsmoduls 3 (d. h. der Chipkarte) mit angeben.
- 2. Vom IP-DVB-POP 5 erhält der PC sowohl eine temporäre IP-Adresse IPX als auch eine temporäre DVB Service Nummer IDY zugewiesen.
- 3. Der IP-DVB-POP 5 teilt dem IP-Encapsulator 2 das aus der temporären IP-Adresse IPx und der temporären DVB Service Nummer 117Y bestehende Paar (IPX, IDY) mit.
- 4. Der IP-Encapsulator 2 aktualisiert die von ihm generierten SI-Tabellen und weist der DVB Service Nummer IDY eine Paket Identifikations Nummer PIDZ zu. Der IP- Encapsulator 2 verpackt von nun an alle IP-Pakete mit Zieladresse IPX in DVB- Pakete mit der Paket Identifikations Nummer PIDZ.
- 5. Der IP-DVB-POP 2 teilt der Sende-Komponente des CA-Systems 3 das aus der DVB Service Nummer IDY und der Identifikationsnummer N des CA- Sicherheitsmoduls 2 (d. h. der Chipkarte) bestehende Paar (IDY, N) mit.
- 6. Die Sende-Komponente des CA-Systems 3 generiert eine Freischalt-EMM für die Identifikationsnummer des Sicherheitsmoduls N und den Service mit der DVB Service Nr. IDY. Die Freischalt-EMM (Entitle Management Message) ist eine spezielle Nachricht zur Freischaltung des DVB-Empfangsgerätes 6, beispielsweise einer internen DVB PC-Karte oder einer externen Set Top Box STB. Auf Anforderung des Multiplexers MUX 4 generiert die Sende-Komponente des CA- Systems 3 Kontrollnachrichten, ECM's für den Service mit der DVB Service Nr. Y. Eine ECM, Entitlement Control Message, ist eine Nachricht mit der neue Kontrollwörter übertragen und Empfangsbestätigungen überprüft werden.
- 7. Der PC 8 veranlasst das DVB-Empfangsgerät 6, auf die DVB Service Nummer IDY umzuschalten. Das DVB-Empfangsgerät 6 empfängt die Freischalte-Nachricht EMM. Von nun an kann das DVB-Empfangsgerät 6 alle Kontrollnachrichten ECM's für den Service mit der DVB Service Nr. Y und somit auch den Service Y entschlüsseln.
- 8. Beim Abmelden des PC 8 oder nach einer bestimmten Ruhezeit wird die Assoziation (X, Y) durch den IP-DVB-POP 5 aufgehoben. Dies wird der Sende-Komponente des CA-Systems 3 und dem IP-Encapsulator 2 mitgeteilt.
Die Erfindung wird anhand eines Ausführungsbeispiels näher erläutert.
Fig. 1 zeigt ein Blockschaltbild zur Erläuterung des Verfahrens.
Dem Ausführungsbeispiel liegt die Annahme zugrunde, dass ein Kunde beispielsweise
über das Internet ein sehr großes Software Paket mit einem Datenfile von ca. 100 MByte
erworben hat und es per Filetransfer FTP auf die Festplatte seines PC 8 laden möchte.
Mit einer ISDN-Verbindung (64 kbit/s) würde der Filetransfer von ca. 100 MByte etwa
3,472 Stunden dauern.
Wenn der Kunde den Filetransfer jedoch per Satellit 9 vornehmen würde, so könnte der
Download von ca. 100 Mbyte in ca. 3,4 Minuten abgeschlossen sein. Das liegt darin
begründet, dass dem Kunden zum Filetransfer per Satellit 9 kurzfristig eine
Übertragungsrate von 4 Mbit/s zur Verfügung steht.
Der Kunde besitzt einen PC mit Satellitentuner und MPEG-2-Demultiplexer auf einer
Einschubkarte. Der MPEG-2-Demultiplexer ist mit einer Satellitenantenne verbunden.
Bevor der Download startet, erscheint ein Dialog, bei dem der Kunde aufgefordert wird,
einen Übertragungsweg zu wählen. Wählt er den Übertragungsweg Satellit 9, wird er in
einem weiteren Fenster dazu aufgefordert, die Nummer seiner CA-Chipkarte einzugeben.
Die Nummer der CA-Chipkarte ist nicht geheim.
Auf der Sendeseite wird dem FTP-Download ein DVB-Service und diesem Service ein
Paket Identifikations Nummer PIDZ (Packet-Identifier) zugeordnet. Für diesen Service
wird eine Freischaltungs-EMM generiert und an die angegebene Chipkartennummer (per
Satellit 9 oder per Rückkanal) versandt: Optional kann hier Online noch einmal die
Ankunft der Freischaltungs-EMM überprüft werden.
Der IP-Encapsulator 2 verpackt die IP-Pakete des FTP-Downloads in MPEG-2-Pakete
mit der entsprechenden Paket Identifikations Nummer PIDZ. Die Sende-Komponente des
CA-Systems 3 verschlüsselt die Pakete mit der Paket Identifikations Nummer PIDZ und
generiert die zugehörigen Konrtrollnachrichten ECMs.
Die verschlüsselten Pakete werden per Satellit 9 übertragen. Durch die Verschlüsselung
ist sichergestellt, dass der kostenpflichtige Inhalt nicht von Dritten empfangen werden
kann.
Das setzt jedoch auch voraus, dass die Verschlüsselung für jeden Kunden individuell
erfolgen muss. Das heißt, es genügt nicht für alle Kunden die gleiche Verschlüsselung
einzusetzen, da alle anderen Kunden die Übertragung sonst einfach mitschneiden
könnten.
Auf der Einsteckkarte im PC 8 des Kunden wurde bereits ein Filter gesetzt, der die zu
dem DVB-Service gehörenden Kontrollnachrichten, ECM's filtert und an die Chipkarte
weiterleitet.
Die Chipkarte prüft, ob ein Recht zum Empfang dieses DVB-Service vorhanden ist und
gibt ggf den Sitzungsschlüssel an den Entschlüsselungsalgorithmus der PC-Steckkarte
aus. Diese entschlüsselt die MPEG-2-Pakete, entpackt die darin enthaltenen IP-Pakete
und leitet diese an den TCP/IP-Stack des PC 8 weiter.
Ab diesem Zeitpunkt kann der PC 8 nicht mehr unterscheiden, ob die IP-Pakete per
Satellit 9 geliefert wurden oder per ISDN-Leitung.
Eine zweckmäßige Ausgestaltung des Verfahrens besteht darin, dass die Freischaltung
per Freischaltungs EMM nicht länger als einen Tag gültig ist und dass eine DVB-
Service-Nummer ID nur einmal pro Tag benutzt werden kann. Diese Maßnahmen tragen
zur Erhöhung der Sicherheit des Verfahrens bei.
1
Internet
2
IP-Encapsulator
3
Sende-Komponente des CA-Systems (Schlüsselmanagement-System)
4
Multiplexer/MUX
5
IP-DVB-POP
6
DVB-Empfangsgerät
6
a Empfangs-Komponente des CA-Systems
7
Rückkanal
8
PC
9
Satellit
N Identifikationsnummer des Sicherheitsmoduls
IPX
N Identifikationsnummer des Sicherheitsmoduls
IPX
;temporäre IP-Adresse
IDY
IDY
temporäre DVB Service Nummer
PIDZ
PIDZ
Paket Identifikations Nummer (Nummer zur Identifikation der
Transportpakete)
ECM Kontrollnachricht (Nachricht mit der neue Kontrollwörter übertragen und Empfangsberechtigungen überprüft werden)
EMM Freischalte-Nachricht) (Nachricht mit der individuell neue Empfangsberechtigungen erteilt werden)
SI Service-Information des DVB
ECM Kontrollnachricht (Nachricht mit der neue Kontrollwörter übertragen und Empfangsberechtigungen überprüft werden)
EMM Freischalte-Nachricht) (Nachricht mit der individuell neue Empfangsberechtigungen erteilt werden)
SI Service-Information des DVB
Claims (2)
1. Verfahren zur abhörsicheren Bereitstellung vom IP-Diensten über ein Rundfunk
medium, bei dem der Kunde über ein DVB-Empfangsgerät (6) mit der Empfangs-
Komponente eines CA Systems (6a) verfügt,
dadurch gekennzeichnet, dass vor der Übertragung der IP-Daten
zum Kunden die aus einer IP-Adresse bzw. einer TCP- Portnummer bestehenden
Zieladresse des Anschlusses des Kunden
- a) mit einem DVB-Service, der in der Service Information (SI) vom DVB signalisiert wird und
- b) mit der eindeutigen Identifikationsnummer (N) der dem Kunden zugeordneten
Empfangs-Komponente des CA-Systems (6a) verbunden wird,
dass die Sende-Komponente des CA-Systems (3) mittels einer Freischalte- Nachricht (EMM) eine Freischaltung für diesen DVB Service an die eindeutige Nummer der Empfangs-Komponente des CA-Systems (6a) sendet,
dass der für die IP-Adresse des Kunden ankommende IP-Verkehr von einem IP- Encapsulator (2) in DVB-Transportpakete des DVB-Services verpackt und mit den zugehörigen Kontrollnachrichten (ECM' s) versehen zum Kunden übertragen wird,
dass nach Verarbeitung der Kontrollnachrichten (ECM's) und der Freischalte- Nachrichten (EMM's) das DVB-Empfangsgerät (6) die DVB-Transportpakete entschlüsselt, die IP-Pakete entpackt und die entpackten IP-Pakete an das bestimmungsgemäße Endgerät, PC (8) des betreffenden Kunden weiterleitet.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
dass der Kunde sich mittels seines PC (8) über den Rückkanal (7) beim IP-DVB- POP (5) unter Angabe der eindeutige Identifikationsnummer des Sicherheits moduls (N) der Empfangskomponente des CA-Systems (6a) anmeldet,
dass dem Kunden vom IP-DVB-POP (5) eine temporäre IP-Adresse (IPX) und eine temporäre DVB Service Nummer (IDY) zugewiesen werden,
dass der IP-DVB-POP (S) dem IP-Encapsulator (2) das aus der temporären IP- Adresse (IPX) und der temporären DVB Service Nummer (IDY) bestehende Wertepaar (IPX, IDY) mitteilt,
dass der IP-Encapsulator (2) die von ihm generierten SI-Tabellen aktualisiert, der DVB Service Nummer (IDY) eine Paket Identifikations Nummer (PIDZ) zuweist und ab diesem Zeitpunkt alle IP-Pakete mit der Zieladresse (IPX) in DVB- Transportpakete mit der Paket Identifikations Nummer (PIDZ) verpackt,
dass der IP-DVB-POP (2) der Sende-Komponente des CA-Systems (3) das aus der temporären DVB Service Nummer (IDY) und der Identifikationsnummer des Sicherheitsmoduls N bestehende Wertepaar Paar (IDY, N) mitteilt,
dass die Sende-Komponente des CA-Systems (3) eine Freischalte-Nachricht EMM für die Identifikationsnummer des Sicherheitsmoduls (N) und die temporäre DVB Service Nummer (IDY) generiert und dass auf Anforderung des Multiplexers (4) die Sende-Komponente des CA-Systems (3) Kontrollnachrichten (ECMs) für den Service mit der temporären DVB Service Nummer (IDY) generiert,
dass der PC (8) das als interne DVB PC-Karte bzw. als externe Set Top Box STB ausgebildete DVB-Empfangsgerät (6) veranlasst, auf die temporäre DMB Service Nummer (IDY) umzuschalten, und dass die interne DVB PC-Karte oder die externe Set Top Box die Freischalte-Nachricht (EMM) empfängt und damit in der Lage ist, alle Kontrollnachrichten (ECM's) zur DVB Service Nummer (IDY) und somit auch den Service mit der temporären DVB Service Nummer IDY zu entschlüsseln, und
dass beim Abmelden des PC (8) bzw. nach einer frei definierbaren Ruhezeit die Assoziation (IPX, IDY) durch den IP-DVB-POP (5) wieder aufgehoben wird, und
dass dieser Sachverhalt der Sende-Komponente des CA-Systems (3) und dem IP- Encapsulator (2) mitgeteilt wird.
dass der Kunde sich mittels seines PC (8) über den Rückkanal (7) beim IP-DVB- POP (5) unter Angabe der eindeutige Identifikationsnummer des Sicherheits moduls (N) der Empfangskomponente des CA-Systems (6a) anmeldet,
dass dem Kunden vom IP-DVB-POP (5) eine temporäre IP-Adresse (IPX) und eine temporäre DVB Service Nummer (IDY) zugewiesen werden,
dass der IP-DVB-POP (S) dem IP-Encapsulator (2) das aus der temporären IP- Adresse (IPX) und der temporären DVB Service Nummer (IDY) bestehende Wertepaar (IPX, IDY) mitteilt,
dass der IP-Encapsulator (2) die von ihm generierten SI-Tabellen aktualisiert, der DVB Service Nummer (IDY) eine Paket Identifikations Nummer (PIDZ) zuweist und ab diesem Zeitpunkt alle IP-Pakete mit der Zieladresse (IPX) in DVB- Transportpakete mit der Paket Identifikations Nummer (PIDZ) verpackt,
dass der IP-DVB-POP (2) der Sende-Komponente des CA-Systems (3) das aus der temporären DVB Service Nummer (IDY) und der Identifikationsnummer des Sicherheitsmoduls N bestehende Wertepaar Paar (IDY, N) mitteilt,
dass die Sende-Komponente des CA-Systems (3) eine Freischalte-Nachricht EMM für die Identifikationsnummer des Sicherheitsmoduls (N) und die temporäre DVB Service Nummer (IDY) generiert und dass auf Anforderung des Multiplexers (4) die Sende-Komponente des CA-Systems (3) Kontrollnachrichten (ECMs) für den Service mit der temporären DVB Service Nummer (IDY) generiert,
dass der PC (8) das als interne DVB PC-Karte bzw. als externe Set Top Box STB ausgebildete DVB-Empfangsgerät (6) veranlasst, auf die temporäre DMB Service Nummer (IDY) umzuschalten, und dass die interne DVB PC-Karte oder die externe Set Top Box die Freischalte-Nachricht (EMM) empfängt und damit in der Lage ist, alle Kontrollnachrichten (ECM's) zur DVB Service Nummer (IDY) und somit auch den Service mit der temporären DVB Service Nummer IDY zu entschlüsseln, und
dass beim Abmelden des PC (8) bzw. nach einer frei definierbaren Ruhezeit die Assoziation (IPX, IDY) durch den IP-DVB-POP (5) wieder aufgehoben wird, und
dass dieser Sachverhalt der Sende-Komponente des CA-Systems (3) und dem IP- Encapsulator (2) mitgeteilt wird.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2000129643 DE10029643A1 (de) | 2000-06-16 | 2000-06-16 | Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium |
PCT/EP2001/005343 WO2001097525A1 (de) | 2000-06-16 | 2001-05-10 | Verfahren zur abhörsicheren übertragung von ip-diensten über ein rundfunkmedium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2000129643 DE10029643A1 (de) | 2000-06-16 | 2000-06-16 | Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10029643A1 true DE10029643A1 (de) | 2001-12-20 |
Family
ID=7645924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2000129643 Withdrawn DE10029643A1 (de) | 2000-06-16 | 2000-06-16 | Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE10029643A1 (de) |
WO (1) | WO2001097525A1 (de) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003069482A2 (en) * | 2002-02-18 | 2003-08-21 | Ripple Effects Holdings Limited | System for preventing a computer virus accessing email addresses |
EP1359710A2 (de) * | 2002-05-02 | 2003-11-05 | Microsoft Corporation | Adressierte Rundfunknachrichtenübertragung |
GB2404766A (en) * | 2003-08-07 | 2005-02-09 | Radioscape Ltd | A method of displaying a message sent over a digital radio or tv wireless transmission network |
FR2888703A1 (fr) * | 2005-07-18 | 2007-01-19 | Udcast Sa | Systeme et methode pour convertir des donnees de diffusion video numerique |
EP1950965A1 (de) * | 2007-01-29 | 2008-07-30 | Samsung Electronics Co., Ltd. | Vorrichtung und Verfahren zum Senden von Multicast-Paketen in mobilen digitalen Rundfunksystemen |
US7779062B2 (en) | 2004-08-18 | 2010-08-17 | Ripple Effects Holdings Limited | System for preventing keystroke logging software from accessing or identifying keystrokes |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7584493B2 (en) | 2002-04-29 | 2009-09-01 | The Boeing Company | Receiver card technology for a broadcast subscription video service |
CN100344160C (zh) * | 2004-07-21 | 2007-10-17 | 华为技术有限公司 | 一种获取用户在线信息的实现方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19753933A1 (de) * | 1997-12-05 | 1999-06-10 | Cit Alcatel | Zugangskontrolleinrichtung für ein Service-on-demand System |
DE29919803U1 (de) * | 1999-11-11 | 2000-04-27 | Technisat Satellitenfernsehpro | Protokoll zur Satelliten-Datenübertragung |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI100684B (fi) * | 1995-11-30 | 1998-01-30 | Nokia Oy Ab | Pakettivälitteisen tiedonsiirtomuodon pakettitunnisteiden käyttö vasta anottajien osoittamiseen |
DE69916997D1 (de) * | 1998-01-14 | 2004-06-09 | Irdeto Access Bv | Vorrichtung zur datenübertragung zwischen einer kopfstation und mehreren empfängern |
EP1022884A1 (de) * | 1999-01-25 | 2000-07-26 | CANAL+ Société Anonyme | Addressenzuweisung in einem digitalen Übertragungssystem |
-
2000
- 2000-06-16 DE DE2000129643 patent/DE10029643A1/de not_active Withdrawn
-
2001
- 2001-05-10 WO PCT/EP2001/005343 patent/WO2001097525A1/de not_active Application Discontinuation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19753933A1 (de) * | 1997-12-05 | 1999-06-10 | Cit Alcatel | Zugangskontrolleinrichtung für ein Service-on-demand System |
DE29919803U1 (de) * | 1999-11-11 | 2000-04-27 | Technisat Satellitenfernsehpro | Protokoll zur Satelliten-Datenübertragung |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003069482A2 (en) * | 2002-02-18 | 2003-08-21 | Ripple Effects Holdings Limited | System for preventing a computer virus accessing email addresses |
WO2003069482A3 (en) * | 2002-02-18 | 2003-12-04 | Ripple Effects Holdings Ltd | System for preventing a computer virus accessing email addresses |
EP1359710A2 (de) * | 2002-05-02 | 2003-11-05 | Microsoft Corporation | Adressierte Rundfunknachrichtenübertragung |
EP1359710A3 (de) * | 2002-05-02 | 2004-01-21 | Microsoft Corporation | Adressierte Rundfunknachrichtenübertragung |
EP1657849A1 (de) * | 2002-05-02 | 2006-05-17 | Microsoft Corporation | Adressierte Rundfunknachrichtenübertragung |
GB2404766A (en) * | 2003-08-07 | 2005-02-09 | Radioscape Ltd | A method of displaying a message sent over a digital radio or tv wireless transmission network |
GB2404766B (en) * | 2003-08-07 | 2006-06-07 | Radioscape Ltd | Method of displaying a message sent over a digital radio wireless transmission network |
US7779062B2 (en) | 2004-08-18 | 2010-08-17 | Ripple Effects Holdings Limited | System for preventing keystroke logging software from accessing or identifying keystrokes |
FR2888703A1 (fr) * | 2005-07-18 | 2007-01-19 | Udcast Sa | Systeme et methode pour convertir des donnees de diffusion video numerique |
WO2007010130A1 (fr) * | 2005-07-18 | 2007-01-25 | Udcast Sa | Systeme et methode pour convertir des donnees de diffusion video numerique |
EP1950965A1 (de) * | 2007-01-29 | 2008-07-30 | Samsung Electronics Co., Ltd. | Vorrichtung und Verfahren zum Senden von Multicast-Paketen in mobilen digitalen Rundfunksystemen |
Also Published As
Publication number | Publication date |
---|---|
WO2001097525A1 (de) | 2001-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69738628T2 (de) | Kontrolle für einen globalen datentransportstrom | |
DE60026964T2 (de) | Adressenzuweisung in einem digitalen übertragungssystem | |
DE60214015T2 (de) | Gerät, Datenverteilungssystem mit einem solchen Geräten, Verfahren zur Übertragung von Daten | |
US6473858B1 (en) | Method and apparatus for broadcasting data with access control | |
DE69719803T3 (de) | Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen | |
DE60034064T2 (de) | Vorrichtung und verfahren für digitales fernsehen | |
DE69735528T2 (de) | Verfahren zum Schutz von Informationen übertragen von einem Sicherungselement nach einen Dekoder und Schutzsystem, das ein solches Verfahren verwendet | |
DE60217576T2 (de) | Vorrichtungen und Verfahren zur Übertragung und Implementierung von Steuerungsanweisungen zum Zugriff auf Empfängerfunktionalitäten | |
US20020034179A1 (en) | IP tunneling service without a return connection | |
DE3325858A1 (de) | Mehrebenen-verschluesselungssystem zum senden verschluesselter informationen | |
DE4424380C2 (de) | Verfahren und Anordnungen zur Übertragung einer Aufforderung zu einer Rundfunk-Sendeeinrichtung zur Sendung von Entschlüsselungsinformationen | |
DE69927581T2 (de) | Vernetzte einheit mit bedingtem zugriff | |
DE60020245T2 (de) | System und verfahren zur sicherung von auf-anfrage ablieferung von vorher verschlüssetem inhalt mit ecm unterdrückung | |
DE69835670T2 (de) | Datenübertragungssystem | |
DE10029643A1 (de) | Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium | |
DE602004010577T2 (de) | System und Verfahren zur individuellen Video-Verschlüsselung | |
WO2002037745A1 (de) | Verfahren zur sicheren datenübertragung zwischen zwei endgeräten und vorrichtung zur durchführung dieses verfahrens | |
EP0740439B1 (de) | Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen | |
US20070011735A1 (en) | Open standard conditional access system | |
EP1104598B1 (de) | Zustellung abgeforderter videosequenzen über satelliten | |
EP0822719B1 (de) | Verfahren und Anordnungen zur Vermeidung unberechtigter Benutzung von Verteilernetzen | |
DE19547604A1 (de) | Set-Top-Box | |
DE19941550A1 (de) | Verfahren zur Freischaltung von kundenrelevanten Berechtigungen auf Sicherheitsmodulen in Conditional Access für Pay-Dienste | |
DE102017218996A1 (de) | Powerline-Modul und Verfahren zur Kommunikation unter Verwendung von Powerline Communication sowie entsprechende Kommunikationseinheit und System | |
DE10244079A1 (de) | Verfahren zum Bereitstellen eines verschlüsselten IP-basierenden Gruppen-Dienstes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8141 | Disposal/no request for examination |