-
Die vorliegende Erfindung bezieht
sich auf ein Verfahren und eine Vorrichtung zur Verschlüsselung von
Nachrichten zwischen zwei Vorrichtungen, beispielsweise einer Dekodiereinrichtung
und einem tragbaren Sicherheitsmodul in einem digitalen Fernsehsystem.
-
Die Übertragung verschlüsselter
Daten ist auf dem Gebiet der Pay-TV-Systeme bekannt, bei denen üblicherweise
verwürfelte
audiovisuelle Informationen über
Satellit zu einer Vielzahl von Teilnehmern rund gesendet werden,
wobei jeder Teilnehmer eine Dekodiereinrichtung zur Entwürfelung
des gesendeten Programms für
eine nachfolgende Betrachtung besitzt.
-
Bei einem typischen System werden
verwürfelte
Daten zusammen mit einem Steuerwort zur Entwürfelung von Daten gesendet,
wobei das Steuerwort selbst durch einen sogenannten Gewinnungscode
und in verschlüsselter
Form gesendet wird. Die verwürfelten
Daten und das verschlüsselte
Codewort werden dann von einer Dekodiereinrichtung mit Zugang zu
einem Äquivalent
des Gewinnungscode empfangen, der auf einem tragbaren Sicherheitsmodul
gespeichert ist, wie einer in die Dekodiereinrichtung eingefügten Smart-Card. Das
verschlüsselte
Steuerwort wird dann auf der Smart-Card entschlüsselt und daraufhin zu der
Dekodiereinrichtung zur Verwendung bei der Entwürfelung der gesendeten Daten übertragen.
-
Die
EP-A-0 817 485 beschreibt beispielsweise ein
bedingtes Zugangssystem, das einem Dienstanbieter die Bereitstellung
von Diensten lediglich für
solche Benutzer ermöglicht,
die einen Anspruch auf solche Dienste erworben haben. Die von einem Dienstanbieter
angebotenen Dienste bestehen aus einem durch Steuerworte verwürfelten
Element. Um die Steuerworte geheimzuhalten, werden sie nach ihrer
Verschlüsselung
mit einem Algorithmus mit einem Code K zugeführt. Die Ansprüche jedes
Benutzers werden in Entitlement Management Messages ("EMMs") weitergegeben.
Der Code K des Steuerwort-Verschlüsselungsalgorithmus
ist in den EMMs enthalten.
-
Zur Verbesserung der Sicherheit eines
derartigen Systems wird das Steuerwort üblicherweise ungefähr alle
10 Sekunden geändert.
Dies vermeidet die Situation bei einem statischen oder sich langsam ändernden
Steuerwort, in der das Steuerwort öffentlich bekannt werden kann.
Unter diesen Umständen
wäre es
für einen
betrügerischen
Benutzer relativ einfach, das bekannte Steuerwort der Entwürfelungseinheit
einer Dekodiereinrichtung zur Entwürfelung der Übertragung
zuzuführen.
-
Ungeachtet dieser Sicherheitsmaßnahme ist
in den vergangenen Jahren ein Problem entstanden, weil der während einer Übermittlung
gesendete Strom von Steuerworten durch Beobachtung von an der Schnittstelle
zwischen der Smart-Card und der Dekodiereinrichtung kommunizierten
Daten bekannt wird. Diese Informationen können von irgendeinem nicht
autorisierten Benutzer verwendet werden, der die immer noch verwürfelte Übermittlung
auf einem Videorekorder aufgezeichnet hat. Wird der Film gleichzeitig
mit der Zufuhr des Stroms der Steuerworte der Dekodiereinrichtung
wiedergegeben, wird eine Visualisierung der Übermittlung möglich. Dieses
Problem hat sich mit der Verbreitung des Internet weiter verschlimmert,
und es ist mittlerweile üblich,
dass eine beliebige Anzahl von Internetseiten gefunden wird, die
den während
einer gegebenen Übertragung
ausgegebenen Kodewortstrom auflistet.
-
Die Europäische Patentanmeldung PCT WO-97/3530
von Digco adressiert dieses Problem, indem es eine Lösung vorschlägt, bei
der der über
die Schnittstelle zwischen der Smart-Card und der Dekodiereinrichtung
geführte
Steuerwortstrom selbst mit einem Sitzungskode verschlüsselt ist.
Der Sitzungskode wird zufällig von
der Dekodiereinrichtung erzeugt und mit einem zweiten Kode verschlüsselt, der
in der Dekodiereinrichtung gespeichert wird und einem öffentlichen
Kode entspricht, der bei einem privaten/öffentlichen Verschlüsselungsalgorithmus
verwendet wird. Die zugehörige
Smart-Card besitzt den erforderlichen privaten Code zur Entschlüsselung
des Sitzungskodes, der danach von der Smart-Card zur Verschlüsselung
des Steuerwortstroms verwendet wird, der von der Smart-Card zur
der Dekodiereinrichtung gesendet wird.
-
Es ist ersichtlich, dass die Verwendung
eines lokal erzeugten Sitzungskodes zur Verschlüsselung des Steuerwortstroms
bedeutet, dass der verschlüsselte
Strom danach nicht einer anderen Dekodiereinrichtung zur Verwendung
bei der Entwürfelung
der Daten zugeführt
werden kann, da jede Dekodiereinrichtung einen anderen Sitzungskode
zur Verwendung bei der Entschlüsselung
des Steuerwortstroms besitzt, der von der Smart-Card gesendet wird.
-
Während
diese Lösung
ein höheres
Sicherheitsniveau als herkömmliche
Systeme bietet, gibt es trotzdem eine Anzahl von mit diesem System
verbundenen Nachteilen.
-
Die Verwendung eines öffentlichen/privaten
Kodealgorithmus ist in einem derartigen System effektiv zwingend,
da es aus Sicherheitsgründen
nicht gewünscht
wird, sowohl einen symmetrischen Kode als auch den zugehörigen Algorithmus
in der Dekodiereinrichtung auf Grund der Einfachheit zu speichern,
mit der diese Informationen aus einem Dekodierspeicher extrahiert
werden können.
Dieses Problem entsteht in dem Fall eines öffentlichen Kodes nicht, da
der Besitz dieses Kodes keine Entschlüsselung von mit einem privaten
Kode verschlüsselten
Nachrichten ermöglicht.
-
Der Erfindung liegt die Aufgabe zugrunde,
eine flexiblere Alternative zu dem vorstehenden bekannten System
auszubilden. Allerdings ist die Erfindung nicht auf das Gebiet der
Dekodiersicherheit beschränkt
und kann, wie nachstehend beschrieben, in einer Vielzahl anderer
Situationen angewendet werden, in denen eine sichere Kommunikation
von Daten erforderlich ist.
-
Gemäß einer ersten Ausgestaltung
der Erfindung ist ein Verfahren zur Verschlüsselung von Daten ausgebildet,
die zwischen einer ersten und einer zweiten Einrichtung übertragen
werden, gekennzeichnet durch die Schritte an der ersten Einrichtung
der Speicherung zumindest eines zuvor berechneten Kodepaares in
ihrem Speicher, wobei das zumindest eine Kodepaar einen Sitzungskode
und eine verschlüsselte
Version des Sitzungskodes umfasst, die unter Verwendung eines Transportkodes
ausgebildet wird, und der darauffolgenden Übertragung der verschlüsselten
Version des Sitzungskodes zur zweiten Einrichtung, die Schritte
an der zweiten Einrichtung der Entschlüsselung der von der ersten
Einrichtung empfangenen verschlüsselten
Version des Sitzungskodes unter Verwendung eines dem Transportkode äquivalenten
Kodes, der in ihrem Speicher gespeichert ist, und der Verschlüsselung
von zur ersten Einrichtung zu übertragenden
Daten unter Verwendung des entschlüsselten Sitzungskodes und den
Schritt an der ersten Einrichtung der Entschlüsselung der verschlüsselten
Daten unter Verwendung des gespeicherten Sitzungskodes.
-
Anders als das vorstehend angeführte Digco-System
vermeidet die Verwendung eines zuvor berechneten gespeicherten Wertepaars
das Erfordernis der Bereitstellung eines Verschlüsselungsalgorithmus in der ersten
Einrichtung (beispielsweise der Dekodiereinrichtung) zur Verschlüsselung
eines intern erzeugten Sitzungskodes. Infolgedessen muss der zur
Verschlüsselung
des Sitzungskodes gewählte
Algorithmus nicht auf einen öffentlichen/privaten
Kodealgorithmus beschränkt
sein, sondern kann bei Bedarf einem symmetrischen Algorithmus entsprechen.
Nichts desto weniger kann die Erfindung auch unter Verwendung von öffentlichen/privaten
Kodealgorithmen zur Verschlüsselung
des Sitzungskodes implementiert werden, was nachstehend näher beschrieben
ist.
-
Es ist von Vorteil, dass eine Vielzahl
von Kodepaaren im Speicher der ersten Einrichtung gespeichert ist,
wobei die erste Einrichtung einen oder mehrere Sitzungskodes zur
Erzeugung eines definitiven Sitzungskodes auswählt und verarbeitet und den
zugehörigen
verschlüsselten
Wert oder die Werte zu der zweiten Einrichtung zur Entschlüsselung
und Verarbeitung durch die zweite Einrichtung zur Erzeugung des
definitiven Sitzungskodes überträgt.
-
Die Bereitstellung einer Vielzahl
von Kodepaaren in der ersten Einrichtung ermöglicht der ersten Einrichtung
die Auswahl und Definition eines verschiedenen definitiven Sitzungskodes
für jede
Kommunikationssitzung. Bei einem Ausführungsbeispiel wird eine Untergruppe
einer Vielzahl gespeicherter Sitzungskodes durch die erste Einrichtung
zur Erzeugung des definitiven Sitzungskodes ausgewählt, wobei
die zugehörigen verschlüsselten
Werte dieser Untergruppen-Sitzungskodes
zu der zweiten Einrichtung zur Entschlüsselung und Verarbeitung kommuniziert
werden.
-
In Abhängigkeit von der angewendeten
Arbeitsweise kann der resultierende definitive Sitzungskode von
der Reihenfolge der Kombination der gewählten Sitzungskodes abhängen. Bei
einem derartigen Ausführungsbeispiel
werden diese Reihenfolgeninformationen zur zweiten Einrichtung kommuniziert,
um der zweiten Einrichtung die korrekte Erzeugung des definitiven
Sitzungskodes unter Verwendung der zugehörigen verschlüsselten
Werte zu ermöglichen.
-
Beispielsweise kann ein sowohl der
ersten als auch der zweiten Einrichtung bekannter anfänglicher Sitzungskodewert
wiederholt in beiden Einrichtungen durch eine geordnete Folge von
Sitzungskodes unter Verwendung eines Verschlüsselungsalgorithmus verschlüsselt werden,
der auf die Reihenfolge der Verschlüsselung anspricht, wie ein
symmetrischer DES-Algorithmus.
-
Verwendet die erste Einrichtung eine
ausgewählte
Untergruppe von Kodes zur Erzeugung des definitiven Sitzungskodes,
ist es natürlich
nicht unbedingt erforderlich, auch einen Reihenfolgen-abhängigen Algorithmus
zur Erzeugung eines veränderbaren
definitiven Sitzungskodes zu verwenden, und die Kodes können beispielsweise
unter Verwendung einer arithmetischen Operation kombiniert werden.
-
Bei einem bevorzugten Ausführungsbeispiel
kann der eine oder können
die mehreren vorab berechneten Kodepaarwerte aus einer größeren Gruppe
zuvor berechneter Kodepaarwerte vor der Speicherung in der ersten
Einrichtung ausgewählt
werden.
-
Beispielsweise kann der Betreiber
oder Systemverwalter eine große
Anzahl zuvor berechneter Kodepaare zum Hersteller der ersten Einrichtung
kommunizieren, wobei der Hersteller der Einrichtung danach zufällig die
in einer gegebenen Einrichtung zu speichernden Kodepaare auswählt.
-
Auf diese Weise ist das oder sind
die in der ersten Einrichtung eingebetteten Kodepaare für diese
Einrichtung einmalig, oder zumindest quasi-einmalig, wodurch das
Sicherheitsniveau für
das System ansteigt.
-
Des weiteren muss die für die Herstellung
der Einrichtung verantwortliche Größe den Algorithmus oder die
Kodes nicht besitzen, die zur Ausbildung der verschlüsselten
Sitzungskodewerte verwendet werden, sondern diese können einfach
mit einer Tabelle von Kodepaaren zugeführt werden.
-
Vorzugsweise enthält der verschlüsselte Kodewert
oder die Werte, die zu der zweiten Einrichtung kommuniziert werden,
auch einen Signaturwert, der durch die zweite Einrichtung zum Verifizieren
der Authentizität des
kommunizierten Wertes gelesen werden kann.
-
Dieser Signaturwert kann entsprechend
einem herkömmlichen
Signatursystem erzeugt und verifiziert werden, beispielsweise unter
Verwendung einer Kombination von Hash- und öffentlichen/privaten Kodealgorithmen,
wie MD5 und RSA, wobei diese Signatur zu den in der ersten Einrichtung
gespeicherten Kodepaarwerten hinzugefügt wird.
-
Geeigneterweise kann der Signaturwert
auch zum Zeitpunkt der Berechnung des verschlüsselten Kodewerts vorab berechnet
werden und demnach in der ersten Einrichtung gespeichert werden.
-
Bei einem besonders bevorzugten Ausführungsbeispiel
entsprechen der zur Verschlüsselung
und Entschlüsselung
des Sitzungskodes bzw. der Sitzungskodes verwendete Algorithmus
und Transportkode einem symmetrischen Algorithmus und einem zugehörigen symmetrischen
Kode. Die Verwendung eines symmetrischen Algorithmus ermöglicht eine
Verkürzung
der Verarbeitungszeit, die für
die zweite Einrichtung zur Entschlüsselung des Sitzungskodes erforderlich
ist, verglichen mit einem Vorgang unter Verwendung eines öffentlichen/privaten
Kodealgorithmus.
-
Während
einer der Vorteile der Erfindung in der Anpassungsfähigkeit
des vorliegenden Systems an die Verwendung eines symmetrischen Algorithmus
liegt, ist ersichtlich, dass dies nicht zwingend ist. Beispielsweise
kann der Sitzungskode bzw. können
die Sitzungskodes bei einem alternativen Ausführungsbeispiel durch einen öffentlichen
Kode vor der Speicherung in der ersten Einrichtung verschlüsselt und
durch einen äquivalenten
privaten Kode in der zweiten Einrichtung entschlüsselt werden.
-
Vorzugsweise entspricht der mit dem
Sitzungskode zur Verschlüsselung
und Entschlüsselung
von zwischen der ersten und zweiten Einrichtung (oder umgekehrt)
kommunizierten Daten verwendete Verschlüsselungsalgorithmus einem symmetrischen
Algorithmus. Die Wahl eines verwendeten Algorithmus kann von den Systemanforderungen
abhängen,
wie dem Erfordernis einer bidirektionalen Kommunikation zwischen
den Einrichtungen.
-
Geeignete symmetrische Algorithmen
können
DES oder sogar einen geeigneten eigenen Algorithmus umfassen. Geeignete öffentliche/private
Kodealgorithmen können
RSA oder ähnliche
Algorithmen umfassen.
-
Wie vorstehend angeführt ist
die Erfindung insbesondere auf dem Gebiet des Digitalfernsehens
anwendbar, und gemäß einem
bevorzugten Ausführungsbeispiel
entspricht die erste Einrichtung einer Dekodiereinrichtung und die
zweite Einrichtung einem tragbaren Sicherheitsmodul (oder umgekehrt).
-
Das tragbare Sicherheitsmodul kann
geeigneterweise eine Smart-Card umfassen. Wenn dem so ist, können die
mit dem Sitzungskode verschlüsselten
Daten einfachen Steuerwortinformationen entsprechen, die von der Dekodiereinrichtung
zum Entwürfeln übermittelter
Daten verwendet werden.
-
Das gleiche Prinzip kann auch im
Fall angewendet werden, wenn die Entwürfelungseinheit in der Dekodiereinrichtung
als entfernbares bedingtes Zugangsmodul oder CAM implementiert ist,
wobei Übermittlungsdaten
in dem bedingten Zugangsmodul entwürfelt und zur Dekodiereinrichtung
kommuniziert werden.
-
Bei diesem Ausführungsbeispiel kann die erste
Einrichtung einer Dekodiereinrichtung und die zweite Einrichtung
einem entfernbaren bedingten Zugangsmodul entsprechen. Wenn dem
so ist, entsprechen die mit dem Sitzungskode verschlüsselten
Daten normalerweise den durch das bedingte Zugangsmodul entwürfelten Daten,
beispielsweise dem Übermittlungsprogramm
selbst.
-
Bei einer bedingten Zugangsmodulimplementierung
kann eine Smart-Card auch einen Teil des Systems bilden, wobei diese
Karte in das bedingte Zugangsmodul zur Entschlüsselung des Steuerworts eingefügt ist.
Das dann zu dem bedingten Zugangsmodul zum Erlauben einer Entwürfelung
des Übermittlungsprogramms
geführt
wird. Wenn dem so ist, kann die erste Einrichtung einem bedingten
Zugangsmodul entsprechen, die zweite Einrichtung einer Smart-Card,
und die mit dem Sitzungskode verschlüsselten Daten Steuerwortdaten.
-
Auf dem Gebiet des Digitalfernsehens
kann die Erfindung auch bei der Kommunikation von Daten zwischen
einer Dekodiereinrichtung und anderen Einrichtung angewendet werden,
wie einem Fernseh- oder Videorekorder. Insbesondere entspricht die
erste Einrichtung bei einem Ausführungsbeispiel
einer ersten Dekodiereinrichtung und die zweite Einrichtung einer
zweiten Dekodiereinrichtung.
-
In Haushalten mit einer ersten und
einer zweiten Dekodiereinrichtung gibt es oft eine Anzahl von Problemen
hinsichtlich der Aufrechterhaltung einer Kommunikation zwischen
einer ersten oder "Master-Dekodiereinrichtung" und einer zweiten "Slave-Dekodiereinrichtung". Die Verwendung
einer sicheren verschlüsselten Leitung
zur Kommunikation audiovisueller Daten, Steuerwortdaten oder selbst
von Daten, die sich auf aktuelle Teilnehmerrechte und Gewinnungskodes
beziehen, kann sich in diesem Zusammenhang als nützlich erweisen.
-
Bei einer weiteren Realisierung kann
die Erfindung bei einem Heimnetzwerksystem angewendet werden, wobei
die erste und die zweite Einrichtung einer ersten und zweiten elektronischen
Kundeneinrichtung zur Übertragung
von Daten über
eine Kommunikationsverbindung (beispielsweise Funk, PLC, Infrarot,
usw.) entsprechen.
-
Die vorstehenden Ausführungsbeispiele
wurden bezüglich
eines Verfahrens der Verschlüsselung
von Daten beschrieben. Gemäß einer
anderen Ausgestaltung kann die Erfindung gleichermaßen bei
einer ersten und bei einer zweiten Einrichtung zur Ausführung eines
derartigen Verfahrens angewendet werden.
-
Gemäß einer anderen Ausgestaltung
der Erfindung ist ein System zur Ausbildung einer sicheren Übertragung
von Daten zwischen einer ersten und einer zweiten Einrichtung ausgebildet,
dadurch gekennzeichnet, dass die erste Einrichtung einen Speicher
zur Speicherung zumindest eines zuvor berechneten Kodepaars mit einem
Sitzungskode und einer verschlüsselten
Version des Sitzungskodes, der unter Verwendung eines Transportkodes
ausgebildet ist, und eine Übertragungseinrichtung
zur Übertragung
der verschlüsselten
Version des Sitzungskodes zur zweiten Einrichtung umfasst, und die
zweite Einrichtung einen Speicher zur Speicherung eines dem Transportkode äquivalenten
Kodes, eine Entschlüsselungseinrichtung
zur Entschlüsselung
der verschlüsselten
Version des Sitzungskodes unter Verwendung des äquivalenten Transportkodes
und eine Einrichtung zur Verschlüsselung
von zur ersten Einrichtung zu übertragenden
Daten unter Verwendung des Sitzungskodes umfasst, wobei die erste
Einrichtung eine Einrichtung zur Verwendung des gespeicherten Sitzungskodes
zur Entschlüsselung
der verschlüsselten
Daten umfasst.
-
Die vorstehend hinsichtlich des erfindungsgemäßen Verfahrens
beschriebenen Merkmale können auch
bei der Einrichtungs- oder Systemausgestaltung angewendet werden
und umgekehrt.
-
Die Ausdrücke "tragbares Sicherheitsmodul", "Smart-Card" und "bedingtes Zugangsmodul" können in ihrem
breitesten Sinn als Anwendung eines beliebigen tragbaren Mikroprozessors
und/oder einer Speicher-basierten Karte zur Ausführung der beschriebenen Funktionen
interpretiert werden.
-
Als bestimmte Beispiele derartiger
Einrichtungen kann eine Smart-Card einer Karteneinrichtung entsprechen,
die gemäß den bekannten
internationalen Standards ISO 7816-1, 7816-2 und 7816-3 aufgebaut
ist, während
das bedingte Zugangsmodul als PCMCIA- oder PC-Karte implementiert
sein kann, die dem durch die PCMCIA-Gruppe fixierten Standard entspricht.
Es sind natürlich
auch andere physikalische Formen und Ausgestaltungen möglich.
-
Die Ausdrücke "verwürfelt" und "verschlüsselt" und "Steuerwort" und "Kode" wurden in den verschiedenen
Textabschnitten aus sprachlichen Klarheitsgründen verwendet. Allerdings
ist ersichtlich, dass keine grundlegende Unterscheidung zwischen "verwürfelten
Daten" und "verschlüsselten
Daten" oder zwischen
einem "Steuerwort" und einem "Kode" gemacht wird.
-
Gleichermaßen soll keine Beschränkung entweder
auf symmetrische oder öffentliche/private
Algorithmen für
einen gegebenen Verschlüsselung-
und/oder Entschlüsselungsvorgang
gemacht werden, wenn es sich nicht aus dem Zusammenhang ergibt oder
angeführt
ist. Während
gleichermaßen
die bei der Verschlüsselung
und Entschlüsselung
von Informationen verwendeten Zusammenpassungskodes mit dem gleichen
Namen (beispielsweise "Transportkode", "Sitzungskode") bezeichnet werden,
ist ersichtlich, dass es sich dabei nicht um numerisch identische
Kodes handeln muss, solange sie ihre Funktionen erfüllen. Beispielsweise
haben die entsprechenden öffentlichen
und privaten Kodes zur Verschlüsselung
und Entschlüsselung
von Daten normalerweise numerisch unterschiedliche Werte.
-
Der hier verwendete Ausdruck "Empfänger/Dekodiereinrichtung" oder "Dekodiereinrichtung" kann einen Empfänger zum
Empfangen entweder kodierter oder nicht kodierter Signale miteinbeziehen,
beispielsweise Fernseh- und/oder
Radiosignale, die durch eine geeignete Einrichtung übermittelt
oder gesendet werden. Ausführungsbeispiele
derartiger Dekodiereinrichtungen können auch einen im Empfänger integrierten
Dekoder zum Dekodieren der empfangenen Signale umfassen, beispielsweise
in einer "Set-Top-Box", einer Dekodiereinrichtung,
die in Kombination mit einem physikalisch getrennten Empfänger funktioniert,
oder eine Dekodiereinrichtung mit zusätzlichen Funktionen, wie einen
Web-Browser, der mit anderen Einrichtungen integriert ist, wie einem
Videorekorder oder einem Fernseher.
-
Der hier verwendete Ausdruck "digitales Übertragungssystem" beinhaltet ein Übertragungssystem
zur Übertragung
oder zum Rundsenden beispielsweise primär audiovisueller oder digitaler
Multimediadaten. Obwohl die Erfindung insbesondere bei einem digitalen
Fernsehrundfunksystem anwendbar ist, kann die Erfindung auch bei
einem festen Telekommunikationsnetz für Multimedia-Internetanwendungen,
bei nicht öffentlichem
Fernsehen, usw. angewendet werden.
-
Der hier verwendete Ausdruck "digitales Fernsehsystem" beinhaltet beispielsweise
ein Satelliten-, terrestrisches, Kabel- oder anderes System.
-
Die Erfindung wird nachstehend anhand
von Ausführungsbeispielen
unter Bezugnahme auf die beiliegende Zeichnung näher beschrieben. Es zeigen:
-
1 als
Hintergrund die Gesamtarchitektur eines digitalen TV-Systems,
-
2 die
Architektur des bedingten Zugangssystems aus 1,
-
3 ein
Verfahren zur Verschlüsselung
von Daten zwischen einer Smart-Card und einer Dekodiereinrichtung
gemäß diesem
Ausführungsbeispiel
der Erfindung,
-
4 die
Erzeugung eines Sitzungskodes in einer Dekodiereinrichtung, die
gemäß dem Ausführungsbeispiel
in 3 arbeitet, und
-
5 die
Schritte bei der Vorbereitung eines Sitzungskodes in einer Smart-Card,
die eine Schnittstelle mit der Dekodiereinrichtung aus 4 bildet.
-
Die Erfindung beschreibt ein Verfahren
zur Verschlüsselung
von Daten, die insbesondere aber nicht ausschließlich bei der Verschlüsselung
von Daten über
der Schnittstelle zwischen einem tragbaren Sicherheitsmodul und
einer Dekodiereinrichtung in einem digitalen Fernsehsystem angewendet
werden kann. Als Hintergrund wird nun die Architektur eines bekannten
digitalen Fernsehsystems beschrieben.
-
Digitales
Fernsehsystem
-
Eine Übersicht über ein digitales Fernsehsystem 1 ist
in 1 gezeigt, das ein
Rundfunksystem 2 umfasst, das das MPEG-2-Kompressionssystem
zum Senden komprimierter digitaler Signale verwendet. Genauer gesagt
empfängt
eine MPEG-2-Kompressionseinrichtung 3 in
einer Rundfunkzentrale einen digitalen Signalstrom (beispielsweise
einen Strom von Audio- oder
Videosignalen). Die Kompressionseinrichtung 2 ist mit einem
Multiplexer und einer Verwürfelungseinrichtung 4 durch
eine Verbindung 5 verbunden. Der Multiplexer 5 empfängt eine
Vielzahl weiterer Eingangssignale, setzt einen oder mehrere Transportströme zusammen
und sendet komprimierte digitale Signale zu einem Sender 6 der
Rundfunkzentrale über
eine Verbindung 7, die natürlich viele verschiedene Formen
annehmen kann, einschließlich
Telekommunikationsverbindungen.
-
Der Sender 6 sendet elektromagnetische
Signale über
eine Aufwärtsverbindung 8 zu
einem Satellitentransponder 9, wo sie elektronisch verarbeitet
und über
eine fiktive Abwärts-Verbindung 10 zu
einem Bodenempfänger 11 herkömmlicherweise
in der Form einer Schüssel übermittelt
werden, die dem Endbenutzer gehört
oder von diesem gemietet ist. Die vom Empfänger 11 empfangenen
Signale werden zu einer integrierten Empfangs-/Dekodiereinrichtung 12 übertragen,
die dem Endbenutzer gehört
oder von diesem gemietet und mit dem Fernsehgerät 13 des Endbenutzers
verbunden ist. Die Empfangs-Dekodiereinrichtung
dekodiert das integrierte MPEG-2-Signal in ein Fernsehsignal für das Fernsehgerät 13.
-
Ein bedingtes Zugangssystem 20 ist
mit dem Multiplexer 4 und der Empfangs-/Dekodiereinrichtung 12 verbunden,
und befindet sich teilweise in der Rundfunkzentrale und teilweise
in der Dekodiereinrichtung. Es ermöglicht dem Endbenutzer den
Zugang zu digitalem Fernsehrundfunk von einem oder mehreren Rundfunkanbietern.
Ein tragbares Sicherheitsmodul in der Form einer Smart-Card zur
Entschlüsselung
von Nachrichten hinsichtlich Rundfunkprogrammen oder Daten kann
in die Empfangs-/Dekodiereinrichtung eingefügt sein.
-
Es kann ein interaktives System 17,
das auch mit dem Multiplexer 4 und der Empfangs-/Dekodiereinrichtung 12 verbunden
ist und sich wiederum teilweise in der Rundfunkzentrale und teilweise
in der Dekodiereinrichtung befindet, vorgesehen sein, um dem Endbenutzer
die Interaktion mit verschiedenen Anwendungen über einen Modem-Rückwärtskanal 16 zu
ermöglichen.
-
Das bedingte Zugangssystem 20 wird
nachstehend näher
beschrieben. Gemäß der in 2 gezeigten Übersicht
enthält
das bedingte Zugangssystem 20 ein Teilnehmerautorisierungssystem
("Subscriber Authorization
System", SAS) 21.
Das SAS 21 ist mit einem oder mehreren Teilnehmerverwaltungssystemen ("Subscriber Management
Systems", SMS) 22,
ein SMS für
jeden Rundfunkanbieter, beispielsweise durch eine jeweiligen TCP-IP-Verbindung 23 verbunden
(obwohl andere Verbindungstypen alternativ verwendet werden könnten).
Alternativ dazu könnte
ein SMS von zwei Rundfunkanbietern gemeinsam genutzt werden, oder ein
Anbieter könnte
zwei SMSs verwenden usw.
-
Erste Verschlüsselungseinheiten in der Form
von Verschlüsselungseinheiten 24 unter
Verwendung von "Mutter"-Smart-Cards 25 sind mit dem
SAS durch eine Verbindung 26 verbunden. Zweite Verschlüsselungseinheiten
wiederum in der Form von Verschlüsselungseinheiten 27,
die Mutter-Smart-Cards 28 verwenden, sind mit dem Multiplexer 4 durch
die Verbindung 29 verbunden. Die Empfangs-/ Dekodiereinrichtung 12 nimmt
ein tragbares Sicherheitsmodul auf, beispielsweise in der Form einer "Tochter"-Smart-Card 30.
Sie ist direkt mit dem SAS 21 durch Kommunikationsserver
("Communications
Servers") 31 über den
Modemrückwärtskanal 16 verbunden.
Das SAS sendet unter anderem auf Anfrage Teilnehmerrechte zu der
Tochter-Smart-Card.
-
Die Smart-Cards enthalten die Geheimnisse
eines oder mehrerer kommerzieller Betreiber. Die "Mutter"-Smart-Card verschlüsselt verschiedene
Arten von Nachrichten, und die "Tochter"-Smart-Cards entschlüsseln die
Nachrichten, wenn sie das Recht dazu haben.
-
Die ersten und zweiten Verschlüsselungseinheiten 24 und 27 umfassen
einen Gestellrahmen, eine elektrische VME-Karte mit einer auf einem
EEPROM gespeicherten Software, bis zu 20 elektronische Karten und
jeweils eine Smart-Card 25 und 28 für jede elektronische
Karte, eine Karte 28 zur Verschlüsselung der ECMs und eine Karte 25 zur
Verschlüsselung
der EMMs.
-
Die Arbeitsweise des bedingten Zugangssystems 20 des
digitalen Fernsehsystems wird nachstehend näher unter Bezugnahme auf die
verschiedenen Komponenten des Fernsehsystems 2 und des
bedingten Zugangssystems 20 beschrieben.
-
Multiplexer
und Verwürfler
-
Gemäß den 1 und 2 wird
das digitale Audio- oder Videosignal in der Rundfunkzentrale zuerst
unter Verwendung der MPEG-2-Kompressionseinrichtung 3 komprimiert
(bzw. wird die Bit-Rate verringert). Dieses komprimierte Signale
wird dann zu dem Multiplexer und der Verwürfelungseinrichtung 4 über die
Verbindung 5 zum Multiplexen mit anderen Daten, wie anderen
komprimierten Daten, gesendet.
-
Die Verwürfelungseinrichtung erzeugt
ein Steuerwort, das beim Verwürfelungsvorgang
verwendet und in den MPEG-2-Strom im Multiplexer aufgenommen wird.
Das Steuerwort wird intern erzeugt und ermöglicht der integrierten Empfangs-/Dekodiereinrichtung 12 des
Endbenutzers die Entwürfelung
des Programms.
-
Es werden auch Zugangskriterien zu
dem MPEG-2-Strom hinzugefügt,
die angeben, wie das Programm verwertet wird. Das Programm kann
entweder in einem Modus einer Vielzahl von "Teilnehmer"-Modi und/oder in einem Modus eine Anzahl
von "Pay per view" (PPV)-Modi oder
Ereignissen verwertet werden. Im Teilnehmermodus nimmt der Endbenutzer
an einem oder mehreren kommerziellen Angeboten oder "Bouquets" teil, wodurch er
die Rechte jedes Kanals in diesen Bouquets erhält. Bei dem bevorzugten Ausführungsbeispiel
können
bis zu 960 kommerzielle Angebote aus einem Kanalbouquet ausgewählt werden.
-
In einem Pay-per-View-Modus werden
dem Endbenutzer die Möglichkeiten
des Erwerbs von Ereignissen nach Wunsch geboten. Dies kann entweder
durch ein Vorabbuchen des Ereignisses zuvor erreicht werden ("Pre-book-Modus"), oder durch Kaufen
des Ereignisses, sobald es rundgesendet wird ("Impuls-Modus"). Bei dem bevorzugten Ausführungsbeispiel
sind alle Benutzer Teilnehmer, ob sie nun im Teilnehmer- oder PPV-Modus
fernsehen, jedoch müssen
PPV-Seher natürlich
nicht Teilnehmer sein.
-
Anspruchsteuernachrichten
("Entitlement Control
Messages")
-
Sowohl das Steuerwort als auch die
Zugangskriterien werden zum Bilden einer Anspruchsteuernachricht
bzw. Entitlement Control Message (ECM) verwendet. Dabei handelt
es sich um eine Nachricht, die in Bezug auf ein verwürfeltes
Programm gesendet wird; die Nachricht enthält ein Steuerwort (das die
Entwürfelung des
Programms ermöglicht)
und die Zugangskriterien des Rundfunkprogramms. Die Zugangskriterien
und das Steuerwort werden über
die Verbindung 29 zu der zweiten Verschlüsselungseinheit 27 gesendet.
In dieser Einheit wird eine ECM erzeugt und verschlüsselt und
zum Multiplexer und der Verwürfelungseinrichtung 4 weiter übertragen.
Während
einer Rundfunkübertragung ändert sich
das Steuerwort typischerweise in wenigen Sekunden, und deshalb werden
ECMs auch periodisch gesendet, um die Entwürfelung des sich ändernden
Kodeworts zu ermöglichen.
Für Redundanzzwecke
enthält
jede ECM typischerweise zwei Steuerworte; das aktuelle und das nächste Steuerwort.
-
Jede Dienstübermittlung von einem Rundfunkanbieter
in einem Datenstrom umfasst eine Anzahl verschiedener Komponenten;
beispielsweise enthält
ein Fernsehprogramm eine Videokomponente, eine Audiokomponente,
eine Untertitelkomponente, usw. Jede dieser Komponenten eines Dienstes
wird individuell für eine
folgende Übermittlung
zum Transponder 9 verwürfelt
und verschlüsselt.
Hinsichtlich jeder verwürfelten Komponenten
des Dienstes ist eine separate ECM erforderlich. Alternativ dazu
kann eine einzige ECM für
alle verwürfelten
Komponenten eines Dienstes erforderlich sein.
-
Eine Vielzahl von ECMs werden auch
in dem Fall erzeugt, in dem eine Vielzahl bedingter Zugangssysteme
den Zugang zum gleichen übertragenen
Programm steuern.
-
Anspruchverwaltungsnachrichten
("Entitlement Management
Messages", EMMs)
-
Die EMM ist eine Nachricht für einen
individuellen Endbenutzer (Teilnehmer) oder eine Gruppe von Endbenutzern.
Jede Gruppe kann eine gegebene Zahl von Endbenutzern umfassen. Diese
Organisation als Gruppe soll die Bandbreite optimieren. D.h., der
Zugang zu einer Gruppe kann das Erreichen einer großen Zahl
von Endbenutzern ermöglichen.
-
Es können verschiedene spezifische
Typen von EMMs verwendet werden. Individuelle EMMs zielen auf individuelle
Teilnehmer und werden typischerweise bei der Bereitstellung von
Pay-per-View-Diensten
verwendet; diese beinhalten den Gruppenidentifizierer und die Position
des Teilnehmers in dieser Gruppe.
-
Gruppenteilnehmer-EMMs zielen auf
Gruppen von beispielsweise 256 individuellen Benutzern und werden
typischerweise bei der Administration einiger Teilnehmerdienste
verwendet. Diese EMM hat einen Gruppenidentifizierer und ein Teilnehmergruppen-Bitmap.
-
Zuschauer-EMMs richten sich auf eine
gesamte Zuhörerschaft,
und können
beispielsweise von einem bestimmten Betreiber zur Bereitstellung
bestimmter gebührenpflichtiger
Dienste verwendet werden. Eine "Zuhörerschaft" ist die Gesamtheit
der Teilnehmer mit Smart-Cards, die den gleichen bedingten Zugangssystemidentifizierer
(CA ID) tragen. Schließlich
ist eine "eindeutige" EMM an einen eindeutigen
Identifizierer der Smart-Card adressiert.
-
EMMs können durch verschiedene Betreiber
zur Steuerung von Zugangsrechten bezüglich der durch die Betreiber
wie vorstehend angeführt
gesendeten Programme erzeugt werden. EMMs können auch allgemein durch den
bedingten Zugangssystemverwalter zum Konfigurieren von Aspekten
des bedingten Zugangssystem erzeugt werden.
-
Der Ausdruck EMM wird auch oft zur
Beschreibung bestimmter Konfigurationstypnachrichten verwendet,
die zwischen der Dekodiereinrichtung und anderen Elementen des Systems
kommuniziert werden, und wird beispielsweise nachstehend in dieser
Anmeldung zum Bezeichnen einer bestimmten Nachricht verwendet, die
von der Dekodiereinrichtung zu einer Smart-Card geführt wird.
-
Teilnehmerverwaltungssystem
("Subscriber Management
System", SMS)
-
Ein Teilnehmerverwaltungssystem (SMS) 22 enthält eine
Datenbank 32, die unter anderem alle Endbenutzerdateien,
kommerzielle Angebote, Teilnahmen, PPV-Einzelheiten und Daten hinsichtlich
Endbenutzerkunden und Endbenutzerautorisierung verwaltet. Das SMS
kann sich von dem SAS physikalisch entfernt befinden.
-
Jedes SMS 22 überträgt Nachrichten
zu dem SAS 21 über
eine jeweilige Verbindung 23, die auf Modifikationen oder
Erzeugungen von Entitlement Management Messages (EMMs) hinaus laufen,
die zu den Endbenutzern zu senden sind.
-
Das SMS 22 überträgt auch
Nachrichten zu dem SAS 21, die keine Modifikationen oder
Erzeugungen von EMMs mit sich bringen, sondern lediglich eine Änderung
eines Endbenutzerzustandes bewirken (der sich auf die dem Endbenutzer
bei der Bestellung von Produkten gegebene Autorisierung oder die
vom Endbenutzer geforderte Gebühr
bezieht).
-
Das SAS 21 sendet Nachrichten
(die typischerweise Informationen anfordern, wie eine Rückrufinformation
oder Bestellungsinformation) zu dem SMS 22, so dass ersichtlich ist,
dass die Kommunikationen zwischen beiden eine Zwei-Wege-Kommunikation ist.
-
Teilnehmerautorisierungssystem
("Subscriber Authorization
System", SAS)
-
Die durch das SMS 22 erzeugten
Nachrichten werden über
eine Verbindung 23 zu dem Subscriber Authorization System
(SAS) 21 geführt,
das wiederum Nachrichten erzeugt, die den Empfang der durch das SMS 21 erzeugten
Nachrichten bestätigen
und diese Bestätigungen
zum SMS 22 führt.
-
Als Überblick umfasst das SAS einen
Subscription Chain – Bereich
zum Vergeben von Rechten für einen
Teilnahmemodus und zum Erneuern der Rechte automatisch jeden Monat,
einen Pay-per-View-Chain-Bereich
zur Vergabe von Rechten von PPV-Ereignissen,
und einen EMM-Injektor zum Führen
von EMMs, die durch die Subscription- und PPV-Chain-Bereiche erzeugt
werden, zu dem Multiplexer und der Verwürfelungseinrichtung 4 und
somit zum Versorgen des MPEG-Stroms mit EMMs. Sollen andere Rechte
erzeugt werden, wie Pay-per-File (PPF)-Rechte im Fall des Herunterladens
von Computersoftware auf einen Personalcomputer des Benutzers, sind
auch andere ähnliche
Bereiche vorgesehen.
-
Eine Funktion des SAS 21 besteht
in der Verwaltung der Zugangsrechte zu Fernsehprogrammen, die als
kommerzielle Angebote im Teilnehmermodus verfügbar sind, oder als PPV-Ereignisse entsprechend
anderen Modi der Verwertung verkauft werden (Pre-Book-Modus, Impulsmodus).
Das SAS 21 erzeugt entsprechend diesen Rechten und den
vom SMS 22 empfangenen Informationen EMMs für den Teilnehmer.
-
Die EMMs werden zu der Verschlüsselungseinheit
("Ciphering Unit", CU) 24 zur
Verschlüsselung
hinsichtlich der Verwaltungs- und Gewinnungskodes geführt. Die
CU vervollständigt
die Signatur in der EMM und schickt die EMM zurück zu einer Nachrichterzeugungseinrichtung
("Message Generator", MG) im SAS 21,
wo ein Header hinzugefügt
wird. Die EMMs werden zu einer Nachrichtemissionseinrichtung ("Message Emitter", ME) als vollständige EMMs
geführt.
Die Nachrichtenerzeugungseinrichtung bestimmt die Übermittlungsbeginn-
und Endezeiten und die Emissionsrate der EMMs und führt diese
als geeignete Richtlinien zusammen mit den EMMs zur Nachrichtenemissionseinrichtung.
Die MG erzeugt lediglich einmal eine gegebene EMM; die ME führt eine
zyklische Übertragung
der EMMs durch.
-
Bei der Erzeugung einer EMM weist
die MG der EMM einen eindeutigen Identifizierer zu. Wenn die MG
die EMM zur ME schickt, schickt sie auch die EMM ID. Dies ermöglicht die
Identifizierung einer bestimmten EMM sowohl an der MG sowohl als
auch der ME.
-
Programmübertragung
-
Der Multiplexer 4 empfängt elektrische
Signale mit verschlüsselten
EMMs vom SAS 21, verschlüsselte ECMs von der zweiten
Verschlüsselungseinheit 27 und
komprimierte Programme von der Kompressionseinrichtung 3.
Der Multiplexer 4 verwürfelt
die Programme und sendet die verwürfelten Programme, die verschlüsselten
EMMs und die verschlüsselten
ECMs zu einem Sender 6 der Rundfunkzentrale über die
Verbindung 7. Der Sender 6 sendet elektromagnetische
Signale zu dem Satellitentransponder 9 über die Aufwärtsverbindung 8.
-
Programmempfang
-
Der Satellitentransponder 9 empfängt und
verarbeitet die von dem Sender 6 gesendeten elektromagnetischen
Signale und sendet die Signale über
die Abwärtsverbindung 10 zum
Bodenempfänger 11,
herkömmlicherweise
in der Form einer Schüssel,
die einem Endbenutzer gehört
oder von diesem gemietet ist. Die vom Empfänger 11 empfangenen
Signale werden zu der integrierten Empfangs-/Dekodiereinrichtung 12 übertragen,
die dem Endbenutzer gehört
oder von diesem gemietet ist, und die mit dem Fernsehgerät 13 des
Endbenutzers verbunden ist. Die Empfangs-/Dekodiereinrichtung 12 demultiplext
die Signale zum Erhalten verwürfelter
Programme mit verschlüsselten
EMMs und verschlüsselten
ECMs.
-
Ist das Programm nicht verwürfelt, d.h.,
es wurde keine ECM mit dem MPEG-2-Strom übertragen, dekomprimiert die
Empfangs-/Dekodiereinrichtung 12 die Daten und setzt das
Signal in ein Videosignal zur Übertragung
zum Fernsehgerät 13 um.
-
Ist das Programm verwürfelt, extrahiert
die Empfangs-/Dekodiereinrichtung 12 die entsprechende ECM
aus dem MPEG-2-Strom
und führt
die ECM zur "Tochter"-Smart-Card 30 des
Endbenutzers. Diese befindet sich in einem Schlitz in einem Gehäuse in der
Empfangs-/Dekodiereinrichtung 12. Die Tochter-Smart-Card 30 steuert,
ob der Endbenutzer das Recht zur Entschlüsselung der ECM und zum Zugang
zum Programm hat. Hat der Endbenutzer diese Rechte, wird die ECM
in der Smart-Card entschlüsselt
und das Steuerwort extrahiert.
-
Danach kommuniziert die Smart-Card
dann das Steuerwort zur Dekodiereinrichtung 12, die dann
das Programm unter Verwendung dieses Steuerworts entwürfelt. Bei
den herkömmlichsten
Systemen wird das Steuerwort über
die Smart-Card-Schnittstelle in einer klaren oder nicht verschlüsselten
Form kommuniziert, was zu den vorstehend in der Einleitung der Anmeldung
beschriebenen Sicherheitsproblemen führt. Nach der Entwürfelung
durch die Dekodiereinrichtung wird der MPEG-2- Strom komprimiert und in ein Videosignal
für eine
weitere Übertragung
zum Fernsehgerät 13 übersetzt.
-
In dem vorstehend beschriebenen System
wird die Entwürfelung
der MPEG-Daten in der Dekodiereinrichtung unter Verwendung der Steuerwortinformationen
ausgeführt,
die von der Smart-Card zur Dekodiereinrichtung kommuniziert werden.
-
Bei anderen Systemen kann die Entwürfelungsschaltung
in einem entfernbaren bedingten Zugangsmodul oder CAM implementiert
sein, das üblicherweise
in der Form einer PCMCIA- oder PC-Karte ausgeführt ist, die in eine Steckstelle
in der Dekodiereinrichtung einführbar
ist.
-
Das CAM-Modul kann selbst ferner
einen Schlitz zur Aufnahme einer Smart-Card enthalten. In derartigen
Systemen werden Steuerwortdaten in der Smart-Card entschlüsselt, die
zum CAM-Modul kommuniziert werden,
das dann den verwürfelten
MPEG-Datenstrom
entwürfelt,
um der Dekodiereinrichtung einen MPEG-Strom in Klartext zur Dekomprimierung
und nachfolgenden Anzeige zuzuführen.
-
Bei diesem Systemtyp können empfindliche
Daten zwischen der Smart-Card und dem CAM (Steuerwortdaten) und
zwischen dem CAM und der Dekodiereinrichtung (entwürfelte MPEG-Daten)
geführt
werden und Sicherheitsprobleme können
an jeder dieser Schnittstellen auftreten.
-
Datenverschlüsselung über eine
Schnittstelle
-
Unter Bezugnahme auf 3 wird nun ein Verfahren zur Datenverschlüsselung
gemäß einem
einfachsten Ausführungsbeispiel
der Erfindung beschrieben, wie es bei den Steuerwortdaten angewendet
wird, die zwischen einer Smart-Card und einer Dekodiereinrichtung
kommuniziert werden. Das gleiche Prinzip kann aber auch bei der
Verschlüsselung
von Steuerwortdaten zwischen einer Smart-Card und einem CAM, von
audiovisuellen MPEG-Daten zwischen einem CAM und einer Dekodiereinrichtung
oder natürlich
bei einem anderen Datentyp zwischen zwei derartigen Einrichtungen
angewendet werden.
-
Erfindungsgemäß wird eine Gruppe von Kodepaaren
in einem nicht-flüchtigen
Speicher der Dekodiereinrichtung gespeichert, beispielsweise in
einem FLASH-Speicher. Jedes Kodepaar entspricht einem Kodewert in
Klartext und einer verschlüsselten
Version des Kodes. Wie es nachstehend beschrieben ist, wird die verschlüsselte Version
des Kodes schließlich
in einer EMM-Nachricht kommuniziert, die zu einer in die Dekodiereinrichtung
eingefügten
Smart-Card gesendet wird.
-
Somit ist in der Dekodiereinrichtung
eine Gruppe von EMM-Nachricht/Kodepaaren
wie folgt gespeichert:
-
Der verschlüsselte Wert des in der EMM
gespeicherten Kodes wird außerhalb
der Dekodiereinrichtung unter Verwendung eines nicht in der Dekodiereinrichtung
vorhandenen Verschlüsselungsalgorithmus
berechnet. Bei diesem Beispiel entsprechen die Kodewerte Key (1),
Key (2), usw. symmetrischen Kodes, die bei einem symmetrischen
Verschlüsselungsalgorithmus
wie DES zu verwenden sind.
-
Der zur Ausbildung der verschlüsselten
DES-Kodewerte in den gespeicherten EMM-Nachrichten verwendete Verschlüsselungsalgorithmus
kann auch einem symmetrischen Verschlüsselungsalgorithmus entsprechen.
Für eine
erhöhte
Sicherheit wird ein eigener, von DES verschiedener symmetrischer
Algorithmus (PSA) zur Ausbildung der verschlüsselten Werte verwendet, obwohl
bei anderen Ausführungsbeispielen
DES zur Verschlüsselung
der Kodewerte verwendet werden kann.
-
Zusätzlich zu dem verschlüsselten
Wert des zugehörigen
Kodes kann die EMM-Nachricht auch einen Signaturwert enthalten,
der mit der Nachricht verknüpft
ist, und wie von einem beliebigen herkömmlichen Signaturausbildungsverfahren
ausgebildet ist. Beispielsweise kann eine Nachricht einer Hash-Funktion
unterzogen werden, wie MD5 gefolgt von einer Verschlüsselung
des Hash-Werts durch einen privaten Kode eines privaten/öffentlichen
Kodealgorithmus, wie RSA. Die Verifizierung der Signatur kann dann
am Empfangspunkt unter Verwendung eines MD5-Algorithmus und des
entsprechenden öffentlichen
Kodes des privaten/öffentlichen
Kodepaars ausgeführt
werden.
-
Die EMM-Nachricht enthält zusätzlich ein
Standard-Smart-Card-Header-Element
(wie durch den internationalen Standard ISO 7816-3 definiert), um
die Nachricht in ein Format zu bringen, das von einer Smart-Card
gelesen werden kann. Eine mit einem 8-Byte-Kode verbundene EMM hat
daher typischerweise die folgende Struktur:
Header | 5
Bytes |
Verschlüsselter
Kode | 10
Bytes |
Signatur | 9
Bytes |
-
Bei diesem Ausführungsbeispiel wird eine Gruppe
von 16 Kode-/Nachrichtenpaaren im Speicher der Dekodiereinrichtung
aufgenommen. Alternative Ausführungsbeispiele
sind gleichermaßen
möglich,
die mehr oder weniger Kode-/Nachrichtenpaare
verwenden, und die Erfindung kann sogar unter Verwendung eines einzigen
Kode-/Nachrichtenpaars implementiert werden. Obwohl ins Auge gefasst
wird, dass alle Dekodiereinrichtungen mit den gleichen Kode-/Nachrichtenpaaren
ausgestattet sind, wird aus Sicherheitsgründen bevorzugt, dass jede Dekodiereinrichtung
eine einzigartige Gruppe von Kode-/Nachrichtenpaaren hat. Beim Implementieren
des Ausführungsbeispiels
kann ein Betreiber einem Hersteller der Dekodiereinrichtung eine
Gruppe von 10000 oder mehr Kode-/Nachrichtenpaaren
geben, wobei der Hersteller der Dekodiereinrichtung eine Zufallsauswahl
von 16 Paaren während
der Personalisierung jeder Dekodiereinrichtung trifft.
-
Zur Steigerung der Sicherheit wird
eine unterschiedliche Untergruppe der in der Dekodiereinrichtung gespeicherten
Nachrichten-/Kodepaare während
jeder Sitzung verwendet. Eine Sitzung kann als jedem Zeitpunkt entsprechend
definiert werden, zu dem die Dekodiereinrichtung ein- und ausgeschaltet
wird, oder beispielsweise jedem Zeitpunkt entsprechend, zu dem die
Dekodiereinrichtung den Kanal wechselt.
-
Gemäß 3 wählt
ein Zufallszahlengenerator 40 in der Dekodiereinrichtung 8 aus
den 16 Nachrichten-/Kodepaaren aus, die in dieser Sitzung zu verwenden
sind. Die 8 ausgewählten
EMM-Nachrichten 41 der Paare werden dann zur Smart-Card 30 übertragen,
um verifiziert zu werden, und wie in 42 und 43 gezeigt
entschlüsselt
und verarbeitet zu werden, um den geeigneten Sitzungskode zu erhalten
(siehe unten). Der gleiche Kodeerzeugungsvorgang wird in der Dekodiereinrichtung
in 43 unter Verwendung der entsprechenden Kodewerte der
Paare zum Erhalten des gleichen Sitzungskodewerts ausgeführt.
-
Die Erzeugung des Sitzungskodes in
der Dekodiereinrichtung ist nachstehend anhand von 4 beschrieben.
-
Ein Basissitzungskodewert KeyS Inital 44,
der für
alle Dekodiereinrichtungen konstant ist, wird in 45 durch
den ersten Kode 46 der durch den Zufallsgenerator 40 gewählten Untergruppe
verschlüsselt.
Der resultierende Wert wird dann in 47 unter Verwendung
des zweiten Kodes 48 der Sitzungsuntergruppe verschlüsselt und
der Vorgang wird wiederholt, bis der letzte Verschlüsselungsvorgang 49 mit
dem letzten Kode 50 der Untergruppe ausgeführt ist,
um den Sitzungskodewert 51 zu erhalten.
-
Der Anfangssitzungskodewert KeyS
Initial kann ein universeller Wert sein, der in allen Dekodiereinrichtungen
und Smart-Cards enthalten ist, ein mit einem bestimmten Dekodiereinrichtung-/Smart-Card-Paar verbundener
Wert oder selbst ein zu Beginn jeder Sitzung in der Dekodiereinrichtung
erzeugter und danach zur Smart-Card übertragener Wert sein.
-
Im vorstehenden Beispiel wird der
Sitzungskode durch eine Folge wiederholter Vorgänge bei KeyS Initial unter
Verwendung des DES-Algorithmus und der ausgewählten Kodes 46, 48, 50,
usw. ausgebildet. Im Fall des DES-Algorithmus ist die Reihenfolge,
mit der die Kodes angewendet werden, wichtig, und muss beachtet
werden, um jedesmal den gleichen Kode zu erzeugen.
-
Obwohl der Sitzungskode KeyS selbst
ein numerischer Wert ist, der als DES-Kode beim folgenden Entschlüsselungsvorgang
verwendet werden wird (siehe unten), müssen die zur Erzeugung dieses
Kodewerts verwendeten Schritte aber nicht den DES- Verschlüsselungsschritten
entsprechen. Statt dessen kann die durch den Zufallszahlengenerator
gewählte
Untergruppe der Kodes miteinander auf beliebige Weise kombiniert
werden, um einen geeigneten Sitzungskodewert KeyS Final zu erhalten.
Beispielsweise können
die Kodes unter Verwendung einer Folge einfacher arithmetischer
Operationen kombiniert werden. In Abhängigkeit vom gewählten Verfahren
ist es nicht unbedingt nötig,
dass die Reihenfolge der Schritte bei der Ausbildung von KeyS zur
erneuten Erzeugung des gleichen Kodes beachtet wird.
-
Die Entschlüsselungs- und Verarbeitungsvorgänge 42 und 43,
die in der Smart-Card 30 ausgeführt werden, um den durch die
Smart-Card verwendeten Sitzungskode zu erzeugen, werden nachstehend
anhand von 5 beschrieben.
-
Beim Einführen der Smart-Card in die
Dekodiereinrichtung wird die Untergruppe der EMM-Nachrichten zur
Smart-Card gesendet, die mit den ausgewählten Kodewerten zusammenpassen.
Eine Authentisierung jeder EMM-Nachricht wird zuerst bezüglich des
angefügten
Signaturwerts und beispielsweise unter Verwendung eines vorstehend
beschriebenen Vorgangs vom MD5/RSA-Typ ausgeführt. Der Einfachheit halber
wurde dieser Schritt in 5 weggelassen.
-
Die erste EMM-Nachricht 60 wird
dann in 61 unter Verwendung eines Transportkodes 59 entschlüsselt, der
auf eine sichere und nicht lesbare Weise in der Smart-Card eingebettet
ist. Wie vorstehend angeführt kann
der bei der Entschlüsselung 61 der
EMM-Nachricht verwendete Algorithmus aus Sicherheitsgründen einem
eigenen Sicherheitsalgorithmus PSA entsprechen, der lediglich dem
Betreiber bekannt ist, der für
die Ausbildung der in der Dekodiereinrichtung verwendeten Nachrichten-/Kodepaare und der
Personalisierung der Smart-Card verantwortlich ist.
-
Der Transportkode KeyT 59 kann
ein Kodewert sein, der allen Smart-Cards im System gemeinsam oder
für eine
derartigen Karte einzigartig ist. Die Verwendung eines einzigartigen
Kodewertes KeyT erfordert, dass die in der Dekodiereinrichtung gespeicherte
Nachrichten-/Kodetabelle mit dem gleichen Kode wie dem in der Karte
ausgebildet ist, so dass Dekodiereinrichtung und Karte irreversibel
miteinander verbunden sind. In der Praxis mag dies unerwünscht sein.
-
Dann wird ein ähnlicher Entschlüsselungsvorgang
in 62 unter Verwendung des Transportkodes 59 bei der
nächsten
EMM-Nachricht 63 in
der Folge und 50 bis zum letzten Entschlüsselungsvorgang 64 bei
der endgültigen
EMM-Nachricht 65 ausgeführt.
-
Bei diesem Ausführungsbeispiel erzeugt die
Verschlüsselung
jeder EMM-Nachricht 60, 63, 65, Kodes 46, 48, 50,
die mit jenen identisch sind, die in der Nachricht-/Kodetabelle
in der Dekodiereinrichtung verknüpft sind
und zur Erzeugung des Sitzungskodes wie vorstehend beschrieben verwendet
werden. Aus diesem Grund wurden die gleichen Bezugszeichen für diese
Kodes und den Kodeerzeugungsvorgang 43 verwendet, der auch
in der Dekodiereinrichtung ausgeführt wird. Gleichermaßen wird
der gleiche Anfangssitzungskode 44 in der Dekodiereinrichtung
auch auf der Smart-Card gespeichert.
-
Der Anfangssitzungskode KeyS Initial 44 wird
dann in 45 durch den ersten Kode 46 verschlüsselt, das Ergebnis
wird in 47 durch den zweiten Kode 48 neu verschlüsselt, usw.,
bis der endgültige
Verschlüsselungsschritt
in 59 unter Verwendung des letzten Kodes 50 in
der Folge ausgeführt
ist, um den endgültigen
Sitzungskode 51 zu erhalten.
-
Sowohl die Dekodiereinrichtung als
auch die Smart-Card besitzen nun den gleichen Sitzungskodes KeyS,
der danach bei der Verschlüsselung
und Entschlüsselung
von Daten verwendet werden kann, die in einer beliebigen Richtung
zwischen den zwei Einrichtungen übertragen
werden.
-
Gemäß 3 empfängt die Smart-Card 30 eine
verschlüsselte
ECM-Nachricht mit dem Steuerwort, das zur Entwürfelung eines verbundenen Segments
audiovisueller MPEG-Daten oder anderer Daten erforderlich ist. Die
Smart-Card entschlüsselt
die ECM in 71 zum Erhalten des Steuerwortwerts CW.
-
Der zur Verschlüsselung von ECM-Nachrichten
für einen
Benutzer verwendete Algorithmus kann dem Proprietary-Security-Algorithmus entsprechen,
der zur Entschlüsselung
der EMM-Nachrichten
verwendet wird, die von der Smart-Card wie vorstehend beschrieben
empfangen werden.
-
Das entschlüsselte Kodewort wird dann in 72 unter
Verwendung des Sitzungskodes KeyS neu verschlüsselt, und der verschlüsselte Steuerkodewert
f(CW) wird über
die Dekodiereinrichtung-/Smart-Card-Schnittstelle wie gezeigt übertragen.
Der verschlüsselte
Wert f(CW) wird dann in 73 unter Verwendung des Sitzungskodes
KeyS entschlüsselt,
der in der Dekodiereinrichtung gespeichert ist, und der Klartextwert
des Steuerworts CW wird in 74 erhalten.
-
Da der Sitzungskode symmetrisch ist,
kann er gleichermaßen
bei der Verschlüsselung
von von der Dekodiereinrichtung zur Smart-Card übertragenen Daten verwendet
werden. Des weiteren können
die von der Smart-Card zu der Dekodiereinrichtung übertragenen
Daten von den einfachen Kodewortdaten verschiedene Daten sein.
-
Wie vorstehend angeführt kann
das gleiche Prinzip über
alle Schnittstellen in einem System mit einer Dekodiereinrichtung
angewendet werden, in der ein entfernbares CAM-Modul eingefügt ist (Dekoder-CAM-Schnittstelle,
CAM-/Smart-Card-Schnittstelle, usw.). Gleichermaßen kann das gleiche Prinzip
in einem Fall eines tragbaren Moduls angewendet werden (entweder
eines Moduls vom CAM-Typ oder einer Smart-Card), die in andere Einrichtungen
eingefügt
ist, wie einen Fernseher oder Videorekorder.
-
Tatsächlich kann das vorstehende
Verfahren des Aufbaus eines verschlüsselten Kommunikationskanals
bei einem beliebigen Paar von Einrichtungen angewendet werden, bei
dem eine sichere Datenkommunikation erforderlich ist. Insbesondere
kann das gleiche Prinzip bei einem Heimnetzwerksystem angewendet werden,
bei dem eine Vielzahl von Verbrauchereinrichtungen (Fernseher, Video,
PC, Dekoder, usw.) Daten, wie audiovisuelle Daten oder Computerdateien über eine
Kommunikationsverbindung übertragen.
Dabei kann es sich um eine RF-Verbindung, eine Infrarotverbindung,
einen dedizierten Bus, eine Stromleitungsverbindung, usw. handeln.
Beispielsweise kann die Übertragung
eines Steuerworts in anderen Daten in verschlüsselter Form zwischen einer
Dekodiereinrichtung und einem Fernseher oder zwischen einer Master-Dekodiereinrichtung
und einer Slave-Dekodiereinrichtung im gleichen Haushalt gewünscht werden.
-
Der Leser erkennt weitere Beispiele
von Systemen dieses Typs, bei denen eine sichere Kommunikationsverbindung
wünschenswert
wäre.