DE10053390A1 - Modul zur sicheren Übertragung von Daten - Google Patents
Modul zur sicheren Übertragung von DatenInfo
- Publication number
- DE10053390A1 DE10053390A1 DE10053390A DE10053390A DE10053390A1 DE 10053390 A1 DE10053390 A1 DE 10053390A1 DE 10053390 A DE10053390 A DE 10053390A DE 10053390 A DE10053390 A DE 10053390A DE 10053390 A1 DE10053390 A1 DE 10053390A1
- Authority
- DE
- Germany
- Prior art keywords
- data packets
- module
- computer
- interface
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 11
- 238000013475 authorization Methods 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 9
- 230000002457 bidirectional effect Effects 0.000 claims description 12
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N Silicium dioxide Chemical compound O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 claims 1
- 230000015572 biosynthetic process Effects 0.000 claims 1
- 238000005755 formation reaction Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/44—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
- H04N21/4405—Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/45—Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
- H04N21/462—Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
- H04N21/4623—Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
Die Erfindung betrifft ein Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk. Das Modul weist eine bidirektionale Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner auf, wobei das Modul über die Schnittstelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann. Darüber hinaus besitzt das Modul eine Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist. Im Modul befindet sich eine Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, ein Prozessor mit Speicher zur Steuerung des Moduls, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptographischen Schlüssel berechnet und eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann, und den Header wieder an den entschlüsselten Inhalt der Datenpakete wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden.
Description
Die Erfindung betrifft ein Modul zur sicheren Übertragung von
Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netz
werkprotokoll übertragen werden, wobei die Daten in Datenpake
ten, bestehend aus einem Header und einem Inhalt, der ver
schlüsselt sein kann, organisiert sind. Die Erfindung betrifft
außerdem ein System zur sicheren Übertragung von Daten zwi
schen zwei Rechnern, die durch ein Rechner-Netzwerk miteinan
der verbunden sind.
Die sichere Datenübertragung in Rechnernetzwerken gewinnt zu
nehmend an Bedeutung. Da die Grenzen zwischen den einzelnen
Medienendgeräten wie Rundfunk- und Fernsehempfänger und PC im
mer mehr verschwimmen werden insbesondere für die Bereitstel
lung kostenpflichtiger Dienste etwa über das Internet, z. B.
Digitales Fernsehen (DVB = Digital Video Broadcasting) Mög
lichkeiten gesucht, große Datenmengen weiträumig zu verbrei
ten, zu denen der Zugriff gezielt gestattet oder verweigert
werden kann.
Aufgabe der Erfindung ist es, ein Modul zur sicheren Daten
übertragung in einem Rechnernetzwerk zu schaffen, das ein
Höchstmaß an Sicherheit bei hohem Datendurchsatz und einfachem
Anschluß an bestehende Rechner bietet.
Zu diesem Zweck ist bei einem ein Modul der eingangs genannten
Art vorgesehen:
- - eine bidirektionale Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner, wobei das Modul über die Schnittstelle mit dem Rechner Datenpakete, Befehle und Meldungen austau schen kann,
- - eine Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist,
- - einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnitt stelle an das Modul weitergeleiteten Datenpaketen Berechti gungsbotschaften herausfiltert,
- - ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
- - eine Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die bidirektionale Schnitt stelle zum Rechner zurückgeleitet werden.
Ein derartiges Modul hat erhebliche Vorteile: Zum einen er
folgt die Entschlüsselung der Daten in einer Hardware-Logik
schaltung sehr schnell, so daß große Datenmengen in kurzer
Zeit verarbeitet werden können, was insbesondere bei DVB von
wesentlicher Bedeutung ist. Zum anderen ist das Modul als
Hardware gegenüber unberechtigten Zugriffen (Hacken) auf die
verschlüsselten Daten und die Schlüssel selbst wesentlich bes
ser abgesichert als ein Softwaredecoder in einer offenen unge
sicherten Umgebung, wie sie ein Rechner darstellt.
Die Aufgabe der Erfindung wird ebenfalls von einem Modul der
eingangs genannten Art gelöst, bei dem vorgesehen ist:
- - eine erste Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann,
- - einer zweite Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann,
- - eine Schnittstelle zu einer Smart-Card auf der eine Kennung hinterlegt ist,
- - eine Filterlogikschaltung, die aus den vom Netzwerk empfan genen und über die erste Schnittstelle an das Modul weiter geleiteten Datenpaketen Berechtigungsbotschaften herausfil tert,
- - ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
- - eine Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden.
Bei dieser Ausgestaltung ist es möglich, das Modul auf einfa
che Weise in die Verbindung zum Rechner-Netzwerk einzuschal
ten, so daß keine zusätzliche Schnittstelle am Rechner erfor
derlich ist.
Die Erfindung wird nachfolgend anhand bevorzugter Ausführungs
formen ausführlicher beschrieben. Dabei wird Bezug genommen
auf die beigefügten Zeichnungen, in denen:
Fig. 1 ein Blockschaltbild einer ersten Ausführungsform eines
erfindungsgemäßen Modules;
Fig. 2 ein Blockschaltbild für eine Anwendungsmöglichkeit des
Modules aus Fig. 1 in einem Netzwerk;
Fig. 3 ein Blockschaltbild einer zweiten Ausführungsform eines
erfindungsgemäßen Modules; und
Fig. 4 ein Blockschaltbild für eine Anwendungsmöglichkeit des
Modules aus Fig. 3 in einem Netzwerk
zeigen.
zeigen.
In Fig. 1 ist ein erfindungsgemäßes Modul 10 zu sehen, das für
den bedingten Zugriff (CA = Conditional Access) auf Medienin
halte aus einem Netzwerk, z. B. dem Internet, vorgesehen ist.
In diesem Netzwerk werden Datenpakete gemäß einem Netzwerkpro
tokoll, z. B. dem bekannten Internetprotokoll (IP), transpor
tiert, wobei die Medieninhalte in den Paketen verschlüsselt
sein können. Das Modul 10 ist bei dieser Ausführungsform als
Steckkarte für einen PCMCIA-Steckplatz in einem Rechner, vor
teilhafterweise ein Laptop 12, ausgebildet, der an ein Rech
ner-Netzwerk 34 angeschlossen ist. Das Modul 10 selbst bein
haltet einen bidirektionalen Schnittstellen-Baustein 14, der
im folgenden der Einfachheit halber als bidirektionale
Schnittstelle 14 bezeichnet wird, einen Prozessor 20 mit Spei
cher und einen Schnittstellen-Baustein 22 zu einem (nicht dar
gestellten) Steckplatz 24 für eine Smart-Card 26, die im fol
genden der Einfachheit halber als Schnittstelle für eine
Smart-Card bezeichnet werden. Der Prozessor 20 steht über den
Steuerleitungen 25 mit allen anderen Baugruppen des Moduls in
Verbindung und steuert die Funktionen des Moduls 10. Die bidi
rektionale Schnittstelle 14 ist über den Bus 15 mit einem
(nicht dargestellten) Schnittstellen-Baustein im Rechner 12
verbunden. Über den Bus 15 kann das Modul vom Rechner über das
Netzwerk 34 empfangene Datenpakete erhalten und nach Ent
schlüsselung an den Rechner 12 weitergeben. Außerdem ist es
denkbar, daß das Modul 10 über den Bus 15 mit dem Rechner 12
kommunizieren kann, wodurch die Möglichkeit besteht, das Modul
10 vom Rechner 12 aus zu bedienen. Die Schnittstelle 15 kann
über eine Verbindung 30 Daten an eine Filterlogikschaltung 16
weitergeben und über eine zweite Verbindung 32 Daten mit einer
Entschlüsselungslogikschaltung 18 austauschen.
In Fig. 2 ist ein Ausschnitt aus einem Netzwerk 40 darge
stellt, an welches der Rechner 12 angeschlossen ist. An das
Netzwerk 40 ist der Rechner eines Diensteanbieters 42 ange
schlossen, der in dieser Ausführungsform digitales Fernsehen
(DVB = Digital Video Broadcasting) bereitstellt.
Im folgenden wird die Funktion des Modules 10 am Beispiel ei
ner DVB-Übertragung vom Diensteanbieter 42 zum Rechner 12 des
Kunden beschrieben.
Der Diensteanbieter 42 stellt ein DVB-Signal 44 bereit. Dieses
Signal soll über das Netzwerk 40 in Datenpaketen versandt wer
den, und zwar so, daß nur bestimmte, dazu berechtigte Kunden
imstande sind, dieses Signal zu empfangen und zu lesen. Zu
diesem Zwecke wird das Signal in bekannter Weise in Datenpa
kete verpackt und der Inhalt der Datenpakete in einem Encoder
46 (auch Scrambler genannt) mit wechselnden kryptographischen
Schlüsselwörtern verschlüsselt, die in einem Wortgenerator 48
erzeugt werden. Die zur Entschlüsselung der Datenpakete not
wendigen Informationen werden als sogenannte Zugangsberechti
gungsbotschaften (Entitlement Control Message, ECM) und als
Zugangsverwaltungsbotschaften (Entitlement Management Message,
EMM) zusammen mit dem Signal in den Datenpaketen verschickt.
Dabei enthalten die EMMs nutzerspezifische Daten, die einem
bestimmten Kunden oder einem bestimmten Kundenkreis den Zugang
zu bestimmten Programmen (Pay per Channel) oder zu bestimmten
Sendungen (Pay per View) ermöglichen. Die Zuordnung zu einem
bestimmten Kunden oder einem bestimmten Kundenkreis wird durch
eine Kennung hergestellt, die beispielweise in der Smart-Card
gespeichert sein kann. Der Diensteanbieter hält deshalb in ei
ner Datenbank 50 die entsprechenden Kundendaten bereit, so daß
die EMMs automatisch versandt werden können. Die ECMs hingegen
enthalten programmspezifische Daten, nämlich die Schlüsselwör
ter mittels welchen die Datenpakete wieder entschlüsselt wer
den können. Damit ein unberechtigtes Aufbrechen der Verschlüs
selung weiter erschwert ist, werden die Schlüsselwörter wäh
rend der Sendung häufig geändert. Die ECMs werden sehr viel
häufiger gesendet als die EMMs, da sich die nutzerspezifischen
Daten ja im Vergleich zu den Schlüsselwörtern selten ändern.
Die Datenpakete werden über das Netzwerk 40, welches bei
spielsweise das Internet, ein privates Netzwerk oder ein fir
meninternes Intranet sein kann, versandt. Dabei werden sie
vorher mit einem für das jeweilige Netzwerkprotokoll spezifi
schen Header versehen, der bestimmte für die Übertragung ins
Netzwerk wichtige Informationen enthält. Beim Internet-Proto
koll IP können das z. B. Informationen über die Version des
Protokolls, die Header-Länge, die Art des Dienstes, die Gesamtlänge
des Datenpakets, die Lebensdauer des Pakets, eine
Prüfsumme, die Art des übergeordneten Transportprotokolls
(z. B. TCP/UDP), die Rechner-Quelladresse und die Rechner-Ziel
adresse sein.
Der Rechner 12, der z. B. über ein Modem 46, wie dargestellt,
über eine Netzwerkkarte oder auf sonstige Weise an das Netz
werk angeschlossen sein kann, empfängt die Datenpakete und
leitet diese zunächst ohne weitere Verarbeitung über die
PCMCIA-Schnittstelle an das Modul 10 weiter. Die Datenpakete
können sowohl an die Filterlogikschaltung 16 als auch an die
Entschlüsselungslogikschaltung 18 weitergegeben werden. Die
Filterlogikschaltung filtert die eventuell in den Daten ent
haltenen EMMs und ECMs heraus und gibt diese über den Bus 25
an den Prozessor 20 weiter.
Wenn der Prozessor 20 eine EMM erhält, die für den durch die
in der Smart-Card 26 enthaltenen Kennung identifizierten Kun
den bestimmt ist, lädt er die darin enthaltene Information in
den Speicher und hält sie dort so lange, bis sie durch aktuel
lere Informationen aus einer neuen EMM überschrieben werden
kann. Diese Informationen umfassen beispielsweise die Berech
tigung, auf eine bestimmte Sendung oder ein bestimmtes Pro
gramm zugreifen zu können. Erhält der Prozessor 20 dann ECMs,
die diese bestimmte Sendung oder dieses Programm betreffen,
dann kann er mit Hilfe dieser Informationen und der in der
Smart-Card 26 hinterlegten Kennung aus den ECMs die kryptogra
phischen Schlüssel zur Entschlüsselung des Inhaltes der Daten
pakete, aus denen die Sendung besteht, berechnen. Die berech
neten Schlüssel gibt der Prozessor 20 an die Entschlüsselungs
logikschaltung 18 weiter. Die Entschlüsselungslogikschaltung
18 umfaßt eine nicht im einzelnen dargestellte Header-Logik
schaltung, die den Header der Datenpakete vom Inhalt abtrennt
und den Header über den Bus 25 im Speicher ablegt. Die Header-
Logikschaltung kann bei anderen Ausführungsformen der Erfin
dung auch Bestandteil des Schnittstellen-Bausteins 14 sein, so
daß auch die zur Filterlogikschaltung 16 über die Verbindung
30 Daten nur noch aus dem Inhalt der Datenpakete bestehen.
Die Entschlüsselungslogikschaltung 18 benutzt die berechneten
Schlüssel, um mittels eines in ihrer Hardware realisierten
Verschlüsselungsverfahrens den Inhalt der Datenpakete zu ent
schlüsseln und den entschlüsselten Inhalt wieder an das Inter
face zurückzugeben. Die Header-Logikschaltung holt dann den
abgespeicherten Header aus dem Speicher zurück und fügt ihn an
den nunmehr entschlüsselten Inhalt des Datenpaketes, so daß
das Paket wieder vollständig ist, und reicht dieses über den
bidirektionalen Bus 15 an den Rechner 12 weiter, in dem die
weitere Verarbeitung in üblicher Weise erfolgen kann. Der In
halt von Datenpaketen, für die der Kunde keine Zugangsberech
tigung besitzt, kann von der Entschlüsselungslogikschaltung 18
nicht entschlüsselt werden. Diese Datenpakete werden vom In
terface entweder überhaupt nicht oder unverschlüsselt an den
Rechner 12 weitergeleitet, so daß sie vom Rechner 12 nicht
verarbeitet werden können.
Im umgekehrten Weg kann die Schnittstelle 14 vom Rechner 12
über dessen nicht dargestellten Schnittstellen-Baustein und
den Bus 15 im Rechner erzeugte Datenpakete mit unverschlüssel
tem Inhalt erhalten, diese Inhalte verschlüsseln und an den
Rechner 12 über die Schnittstelle 14 und den Bus 15 zurück
senden, wobei der Rechner die Pakete dann über das Netzwerk
sendet.
Wie aus der Beschreibung hervorgeht, bietet die Erfindung den
Vorteil einer bequemen Anwendbarkeit, da der Rechner mit der
Zugriffsmöglichkeit auf die Angebote des Diensteanbieters aus
gerüstet werden kann, ohne den Rechner zu öffnen oder dessen
Hardware in einer sonstigen Weise zu verändern. Im Vergleich
zu einer reinen Softwarelösung bietet die Erfindung durch die
Hardwareimplementation der Verschlüsselungslogik den Vorteil,
daß der Prozessor des Rechners nicht zusätzlich mit der Ent-
oder Verschlüsselung belastet wird. Dies bedeutet auch einen
erheblichen Geschwindigkeitsvorteil, der besonders bei den
großen Datenmengen des DVB für eine flüssige Darstellung uner
läßlich ist.
Außerdem ist ein derartiges Modul vom jeweiligen Betriebssy
stem des Rechners unabhängig, da es rein auf der Protokoll
ebene des Netzwerkes arbeitet. Damit bietet sich für das Modul
ein viel größerer Anwendungsbereich als für eine rein soft
warebasiertes Entschlüsselungssystem.
Der Hauptvorteil gegenüber bisherigen auf Software basierenden
Sicherheitssystemen (z. B. in Software realisierten Conditio
nal-Access-Systemen) besteht jedoch darin, daß die Schlüssel
und Zugangsberechtigungsbotschaften (ECM, EMM) nicht über das
Netzwerk von "Hackern" ausgespäht werden können.
Eine zweite Ausführungsform der Erfindung ist in Fig. 3 darge
stellt. Das Modul 100 verfügt über eine erste Schnittstelle
160 zu einem Rechner-Netzwerk 140 und eine zweite Schnitt
stelle 162 zu einem Rechner 112. Beide Schnittstellen arbeiten
nach demselben Protokoll und auf derselben physikalischen
Schicht, beispielsweise Ethernet, so daß das Modul 100 direkt
in die Netzwerkleitung 150 zwischen dem Rechner-Netzwerk 140
und dem Rechner 112 eingeschaltet werden kann. Die Schnitt
stellen 160, 162 übernehmen im Modul 100 lediglich die Funk
tion der Verbindung zum Netzwerk, vergleichbar einer Netzwerk
karte in einem Rechner. Die Schnittstellen 160 und 162 sind
mit einer IP-Weiche 164 verbunden, an welche eine CA-Einheit
(CA = Conditional Access) 110 gekoppelt ist, die im wesentli
chen dem im Zusammenhang mit der ersten Ausführungsform be
schriebenen Modul 10 entspricht.
Die aus dem Netzwerk 140 empfangenen Datenpakete werden durch
die IP-Weiche 164 geschleust. In der IP-Weiche 164 werden über
die erste Schnittstelle 160 empfangene Datenpakete, die auf
grund ihrer IP-Adresse für die CA-Einheit 110 bestimmt sind,
ausgefiltert und der CA-Einheit 110 zugeführt, welche den Da
teninhalt der Pakete wie vorher beschrieben entschlüsselt und
die Datenpakete wieder zurückgibt. Die anderen Datenpakete,
sowie die von der CA-Einheit 110 bereits entschlüsselten Da
tenpakete leitet die IP-Weiche 164 an die zweite Schnittstelle
162 weiter, welche dieselben über eine Netzwerkanschlußleitung
152 an den Rechner 112 sendet. Zusätzlich kann die CA-Einheit
110 eine Verbindung 166 zur zweiten Schnittstelle 162 aufwei
sen, mittels welcher das Modul 100 vom Rechner 112 über die
Netzwerkleitung 152 gesteuert werden kann.
Der Rechner erhält damit die vom Diensteanbieter 42 verschlüs
selt ausgesandten Datenpakete bereits entschlüsselt, so daß er
damit weiter verfahren kann, wie mit den in dem Netzwerk 140
ohne Zugangsbeschränkung verbreiteten Angeboten. Für die übri
gen Datenpakete kann das Modul 100 darüber hinaus völlig
transparent sein, d. h. die Netzwerkanbindung kann ungestört
ablaufen, als wäre das Modul 100 überhaupt nicht vorhanden.
Ein besonderer Vorteil dieser Ausführungsform liegt darin, daß
die sichere Zugriffsmöglichkeit noch einfacher geschaffen wer
den kann. Es ist keine zusätzliche Schnittstelle am Rechner
112 erforderlich, da das Modul 100 in die in jedem Fall beste
hende Netzwerkanschlußleitung 150 eingeschleift wird. Außerdem
kann auf diese Weise auch ein Teilnetz, also mehrere miteinan
der verbundene Rechner, mit der Zugriffsmöglichkeit versehen
werden.
Selbstverständlich ist die Anwendung der Erfindung nicht. auf
die Verwendung mit DVB beschränkt. Da jedes Modul sowohl den
Inhalt verschlüsselter Datenpakete entschlüsseln als auch un
verschlüsselte Inhalte verschlüsseln kann, lassen sich viel
mehr mit Hilfe der beschrieben Module prinzipiell beliebige zu
schützende Inhalte, also beispielsweise E-Mails, die in Pake
ten nach einem Netzwerk-Protokoll versandt werden, sicher zwi
schen zwei oder mehreren Rechnern, oder zwischen verschiedenen
Teilnetzen eines Netzwerkes sicher übertragen.
Eine beispielhafte Anordnung ist schematisch in Fig. 4 darge
stellt, wo die Module 200 als eine Art Schleuse zwischen einem
sicheren Teilbereich 270, z. B. dem firmeninternen Netzwerk ei
nes Unternehmens, und einem ungesicherten öffentlichen Bereich
272 des Netzwerkes wirken. In diesem Fall ist jeder Rechner
212 oder jeder Teilbereich des Netzwerkes 270, von dem aus Zu
griff auf die gesicherten Daten möglich sein soll, über ein
erfindungsgemäßes Modul an das öffentliche Teilnetzwerk ange
schlossen. Innerhalb der sicheren Teilbereiche 270 werden die
zu schützenden Daten unverschlüsselt versandt, außerhalb, also
im ungesicherten öffentlichen Bereich 272 des Netzwerkes sind
die Datenpakete nur mit verschlüsseltem Inhalt unterwegs. Das
erfindungsgemäße Modul erfüllt so in effizienter Weise die
Funktion eines "Hardware-Firewalls".
Claims (9)
1. Modul zur sicheren Übertragung von Daten in einem Rechner-
Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen
werden, wobei die Daten in Datenpaketen, bestehend aus einem
Header und einem Inhalt, der verschlüsselt sein kann, organi
siert sind, mit
einer bidirektionalen Schnittstelle zu einem mit dem Netz werk verbundenen Rechner, wobei das Modul über die Schnitt stelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann,
einer Schnittstelle zu einer Smart-Card, auf der eine Ken nung hinterlegt ist,
einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnitt stelle an das Modul weitergeleiteten Datenpaketen Berechti gungsbotschaften herausfiltert,
einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
einer Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die bidirektionale Schnitt stelle zum Rechner zurückgeleitet werden.
einer bidirektionalen Schnittstelle zu einem mit dem Netz werk verbundenen Rechner, wobei das Modul über die Schnitt stelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann,
einer Schnittstelle zu einer Smart-Card, auf der eine Ken nung hinterlegt ist,
einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnitt stelle an das Modul weitergeleiteten Datenpaketen Berechti gungsbotschaften herausfiltert,
einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
einer Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die bidirektionale Schnitt stelle zum Rechner zurückgeleitet werden.
2. Modul nach Anspruch 1, bei dem die Entschlüsselungslogik
schaltung derart ausgebildet ist, daß sie den Inhalt von Da
tenpaketen, die im Rechner generiert wurden und über die bidi
rektionale Schnittstelle vom Modul empfangen wurden, mit Hilfe
eines vom Prozessor mittels der in der Smart-Card hinterlegten
Kennung berechneten kryptographischen Schlüssels, der mit ei
nem in der Hardware der Logikschaltung realisierten Verschlüs
selungsverfahren zusammenwirkt, verschlüsseln kann, wobei die
Datenpakete dann über die bidirektionale Schnittstelle zum
Rechner zurückgeleitet werden, der sie mit einem Header ver
sieht und an das Netzwerk weitergibt.
3. Modul zur sicheren Übertragung von Daten in einem Rechner-
Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen
werden, wobei die Daten in Datenpaketen, bestehend aus einem
Header und einem Inhalt, der verschlüsselt sein kann, organi
siert sind, mit
einer ersten Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann,
einer zweiten Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann,
einer Schnittstelle zu einer Smart-Card, auf der eine Ken nung hinterlegt ist,
einer Filterlogikschaltung, die aus den vom Netzwerk empfan genen und über die erste Schnittstelle an das Modul weiter geleiteten Datenpaketen Berechtigungsbotschaften herausfil tert,
einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
einer Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden.
einer ersten Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann,
einer zweiten Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann,
einer Schnittstelle zu einer Smart-Card, auf der eine Ken nung hinterlegt ist,
einer Filterlogikschaltung, die aus den vom Netzwerk empfan genen und über die erste Schnittstelle an das Modul weiter geleiteten Datenpaketen Berechtigungsbotschaften herausfil tert,
einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptogra phischen Schlüssel berechnet,
einer Entschlüsselungslogikschaltung, die den Header vom In halt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wo bei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden.
4. Modul nach Anspruch 3, bei dem die erste und die zweite
Schnittstelle jeweils bidirektional sind und die Entschlüsse
lungslogikschaltung derart ausgebildet ist, daß sie den Header
vom Inhalt von Datenpaketen, die im Rechner generiert wurden
und über die zweite Schnittstelle empfangen wurden, trennen
kann, den in den Datenpaketen enthaltenen Inhalt mit Hilfe ei
nes vom Prozessor mittels der in der Smart-Card hinterlegten
Kennung berechneten kryptographischen Schlüssels, der mit ei
nem in der Hardware der Logikschaltung realisierten Verschlüs
selungsverfahren zusammenwirkt, verschlüsseln kann und den
Header wieder an den verschlüsselten Inhalt der Datenpakete
anfügen kann, wobei die Datenpakete dann über die erste
Schnittstelle an das Netzwerk geleitet werden.
5. Modul nach Anspruch 3 oder 4, bei dem zwischen dem Modul
und den beiden Schnittstellen eine Selektiervorrichtung vorge
sehen ist, die ein Datenpaket von einer der Schnittstellen an
das Modul weitergibt, wenn sie anhand der Informationen im
Header erkennt, daß das Datenpaket zur Ent- bzw. zur Ver
schlüsselung im Modul vorgesehen ist und die das Datenpaket an
die andere Schnittstelle weiterreicht, wenn sie anhand der In
formationen im Header erkennt, daß das Datenpaket nicht zur
Ent- bzw. zur Verschlüsselung im Modul vorgesehen ist.
6. Modul nach einem der vorhergehenden Ansprüche, für den Emp
fang eines digitalen Fernsehprogrammes (DVB), bei dem die von
der Filterlogikschaltung aus den Datenpaketen herausgefilter
ten Berechtigungsbotschaften zum einen Zugangsverwaltungsbot
schaften (EMM), welche benutzerspezifische Zugangsberechti
gungsinformationen enthalten, und zum anderen Zugangskontroll
botschaften (ECM), welche sendungsspezifische Zugangsberechti
gungsinformationen enthalten, umfassen und bei dem der Prozes
sor die im Speicher speichert und den kryptographischen
Schlüssel mittels der EMMs, der ECMs und der in der Smart-Card
hinterlegten Kennung berechnet.
7. Modul nach einem der vorhergehenden Ansprüche, das mit ei
nem Speicher für asynchron eintreffende Datenpakete versehen
ist und einen Taktgeber aufweist, mittels dessen es die ge
speicherten Datenpakete nach der Entschlüsselung oder der Ver
schlüsselung synchron weitergeben kann.
8. Modul nach einem der vorhergehenden Ansprüche, dadurch ge
kennzeichnet, daß die Datenpakete E-Mails sind.
9. System zur sicheren Übertragung von Daten zwischen Rech
nern, die durch ein Rechner-Netzwerk miteinander verbunden
sind, in dem Daten nach einem Netzwerkprotokoll übertragen
werden, dadurch gekennzeichnet, daß mindestens zwei Rechner
des Rechner-Netzwerks mit einem Modul nach einem der vorherge
henden Ansprüche verbunden sind.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10053390A DE10053390A1 (de) | 2000-10-27 | 2000-10-27 | Modul zur sicheren Übertragung von Daten |
| US10/415,141 US20040221156A1 (en) | 2000-10-27 | 2001-10-29 | Module for secure transmission of data |
| PCT/EP2001/012480 WO2002035763A2 (de) | 2000-10-27 | 2001-10-29 | Modul zur sicheren übertragung von daten |
| EP01988996A EP1329050A2 (de) | 2000-10-27 | 2001-10-29 | Modul zur sicheren übertragung von daten |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10053390A DE10053390A1 (de) | 2000-10-27 | 2000-10-27 | Modul zur sicheren Übertragung von Daten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE10053390A1 true DE10053390A1 (de) | 2002-05-08 |
Family
ID=7661330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE10053390A Withdrawn DE10053390A1 (de) | 2000-10-27 | 2000-10-27 | Modul zur sicheren Übertragung von Daten |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20040221156A1 (de) |
| EP (1) | EP1329050A2 (de) |
| DE (1) | DE10053390A1 (de) |
| WO (1) | WO2002035763A2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1645929A1 (de) * | 2004-10-11 | 2006-04-12 | Swisscom Mobile AG | Kommunikationskarte für mobile Netzwerkgeräte sowie Authentifikationsverfahren für Benutzer mobiler Netzwerkgeräte |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EE200000390A (et) * | 2000-11-02 | 2002-06-17 | Artec Design Group O� | Protokolli analüüsil baseeruv andmete krüpteerimisseade |
| FR2834154B1 (fr) * | 2001-12-21 | 2005-03-11 | Oberthur Card Syst Sa | Unite electronique incluant des moyens de cryptographie capables de traiter des informations a haut debit |
| US7822017B2 (en) * | 2004-11-18 | 2010-10-26 | Alcatel Lucent | Secure voice signaling gateway |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5521979A (en) * | 1994-04-22 | 1996-05-28 | Thomson Consumer Electronics, Inc. | Packet video signal inverse transport system |
| WO1997050207A1 (en) * | 1996-06-26 | 1997-12-31 | Telia Ab (Publ) | Improvements in, or relating to, internet communication systems |
| US5987606A (en) * | 1997-03-19 | 1999-11-16 | Bascom Global Internet Services, Inc. | Method and system for content filtering information retrieved from an internet computer network |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4797928A (en) * | 1987-01-07 | 1989-01-10 | Miu Automation | Encryption printed circuit board |
| US5644354A (en) * | 1992-10-09 | 1997-07-01 | Prevue Interactive, Inc. | Interactive video system |
| US5590202A (en) * | 1995-01-18 | 1996-12-31 | Zenith Electronics Corporation | Countdown system for conditional access module |
| US6040851A (en) * | 1998-01-20 | 2000-03-21 | Conexant Systems, Inc. | Small-format subsystem for broadband communication services |
| KR200184316Y1 (ko) * | 1998-04-08 | 2000-06-01 | 김용만 | 스마트 카드 리더기 |
| US6697489B1 (en) * | 1999-03-30 | 2004-02-24 | Sony Corporation | Method and apparatus for securing control words |
| WO2000059210A1 (en) * | 1999-03-30 | 2000-10-05 | Sony Electronics, Inc. | System for interfacing multiple conditional access devices |
| FR2799075B1 (fr) * | 1999-09-23 | 2001-11-23 | Thomson Multimedia Sa | Terminal numerique multimedia et module detachable cooperant avec ledit terminal comportant une interface protegee contre la copie |
-
2000
- 2000-10-27 DE DE10053390A patent/DE10053390A1/de not_active Withdrawn
-
2001
- 2001-10-29 WO PCT/EP2001/012480 patent/WO2002035763A2/de not_active Application Discontinuation
- 2001-10-29 EP EP01988996A patent/EP1329050A2/de not_active Withdrawn
- 2001-10-29 US US10/415,141 patent/US20040221156A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5521979A (en) * | 1994-04-22 | 1996-05-28 | Thomson Consumer Electronics, Inc. | Packet video signal inverse transport system |
| WO1997050207A1 (en) * | 1996-06-26 | 1997-12-31 | Telia Ab (Publ) | Improvements in, or relating to, internet communication systems |
| US5987606A (en) * | 1997-03-19 | 1999-11-16 | Bascom Global Internet Services, Inc. | Method and system for content filtering information retrieved from an internet computer network |
Non-Patent Citations (2)
| Title |
|---|
| BUER,Mark, WALLACE,Joe: Integrated Security For Digital Video Broadcast. In: IEEE Transactions On Consumer Electronics, Vol.42, No.3, Aug. 1996, S.500-503 * |
| SCHWENK,Jörg: Conditional Access für Business- TV. In: Fernseh- und Kino-Technik, 54.Jg., Nr.6, 2000, S.320-323 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1645929A1 (de) * | 2004-10-11 | 2006-04-12 | Swisscom Mobile AG | Kommunikationskarte für mobile Netzwerkgeräte sowie Authentifikationsverfahren für Benutzer mobiler Netzwerkgeräte |
| US8151334B2 (en) | 2004-10-11 | 2012-04-03 | Swisscom Ag | Communication card for mobile network devices and authentication method for users of mobile network devices |
| US8752155B2 (en) | 2004-10-11 | 2014-06-10 | Swisscom Ag | Communication card for mobile network devices and authentication method for users of mobile network devices |
Also Published As
| Publication number | Publication date |
|---|---|
| US20040221156A1 (en) | 2004-11-04 |
| WO2002035763A3 (de) | 2002-07-04 |
| WO2002035763A2 (de) | 2002-05-02 |
| EP1329050A2 (de) | 2003-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE60214015T2 (de) | Gerät, Datenverteilungssystem mit einem solchen Geräten, Verfahren zur Übertragung von Daten | |
| DE69723650T2 (de) | Verfahren zur Beglaubigung von Daten mittels Verschlüsselung und System zur Beglaubigung unter Verwendung eines solchen Verfahrens | |
| DE60217576T2 (de) | Vorrichtungen und Verfahren zur Übertragung und Implementierung von Steuerungsanweisungen zum Zugriff auf Empfängerfunktionalitäten | |
| DE69738628T2 (de) | Kontrolle für einen globalen datentransportstrom | |
| DE69719803T3 (de) | Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen | |
| DE69533024T2 (de) | Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer | |
| DE68928355T2 (de) | Reproduktion von geschützten Schlüsseln durch Erzeugungsdaten von verteilten Schlüsseln | |
| DE60131990T2 (de) | Vorrichtung und verfahren zur selektiven verschlüsselung von über ein netzwerk zu übertragenden multimediadaten | |
| DE60222012T2 (de) | System und verfahren für hybriden bedingten zugang für empfänger verschlüsselter übertragungen | |
| DE60026964T2 (de) | Adressenzuweisung in einem digitalen übertragungssystem | |
| DE60306835T2 (de) | Vorrichtung zur sicheren Mehrfachsendung | |
| DE69127171T2 (de) | System zur Bewahrung der Verschlüsselungssicherheit eines Nachrichtennetzes | |
| DE60014060T2 (de) | Globales kopierschutzverfahren für digitale hausnetzwerke | |
| EP2146285A1 (de) | Verfahren zum betrieb eines systems mit zugangskontrolle zur verwendung in computernetzen und system zum ausführen des verfahrens | |
| DE10212656A1 (de) | Selektive Verschlüsselung von Multimediadaten | |
| DE60034064T2 (de) | Vorrichtung und verfahren für digitales fernsehen | |
| DE69835670T2 (de) | Datenübertragungssystem | |
| DE69821183T2 (de) | Zugangskontrollverfahren für Hausnetz und Anordnung zu dessen Durchführung | |
| DE102005046462A1 (de) | Netzwerkkomponente für ein Kommunikationsnetzwerk, Kommunikationsnetzwerk und Verfahren zur Bereitstellung einer Datenverbindung | |
| DE60210799T2 (de) | System mit bedingtem zugriff und kopierschutz | |
| DE69836215T2 (de) | System um verschlüsselte Daten zu liefern, System um verschlüsselte Daten zu entschlüsseln und Verfahren um eine Kommunikationsschnittstelle in einem solchen System zur Verfügung zu stellen | |
| DE10053390A1 (de) | Modul zur sicheren Übertragung von Daten | |
| EP1668817B1 (de) | Verfahren und Vorrichtung zur Ver- und Entschlüsselung | |
| EP0740439A2 (de) | Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen | |
| DE10029643A1 (de) | Verfahren zur abhörsicheren Übertragung von IP-Diensten über ein Rundfunkmedium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
| 8139 | Disposal/non-payment of the annual fee |