-
GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft ein Verfahren der gesicherten Punkt-zu-Punkt-Datenübertragung
zwischen einem Verwaltungszentrum und einer von mehreren an dieses
Verwaltungszentrum angeschlossenen Benutzereinheiten.
-
Sie
betrifft gleichfalls einen elektronischen Modul, mit dem dieses
Verfahren umgesetzt werden kann.
-
STAND DER TECHNIK
-
Im
allgemeinen Fall der Punkt-zu-Punkt-Datenübertragung und insbesondere
der VOD-Übertragung
(VOD = Video On Demand: Video auf Abruf) werden Datendateien, die
zum Beispiel Bilder und Ton enthalten, in einer Datenbank gespeichert,
die „Verwaltungszentrum" oder „VOD-Server" genannt wird. Bei
diesen Daten bzw. Dateien handelt es sich namentlich um alle diejenigen,
die von allen an dieses Verwaltungszentrum angeschlossenen Benutzern
bestellt werden können.
Die Daten sind weiter auch Dateien, die gesendet werden können, und
insbesondere all diejenigen Informationen, die über Kanäle übertragen werden können, die
im Abonnement zugänglich
sind. Im nachfolgenden Text werden die zu übermittelnden Daten als Inhalt
bezeichnet.
-
Zwischenstationen
können
zwischen das Verwaltungszentrum und die Benutzereinheiten geschaltet
werden. Diese Zwischenstationen erledigen einen Teil der Operationen
bei der Datenübermittlung und
der Verifizierung der Rechte und dienen als eine Art von Umsetzern.
Im folgenden beziehen die Begriffe „Verwaltungszentrum" oder „VOD-Server" auch diese Zwischenstationen
ein. Solche Stationen werden namentlich in der Veröffentlichung
WO 00/11871 beschrieben.
-
Wie
der Fachmann weiss, kann der Inhalt der Datendateien unverschlüsselt oder
allgemeiner vorkodiert gespeichert werden. Diese Dateien enthalten einerseits
Videodaten, d. h. allgemein Bilder und Klang, und andererseits Dienstinformationen.
Diese Dienstinformationen sind Daten, die die Nutzung der Videodaten
zu verwalten gestatten, und umfassen namentlich einen Header. Diese
Informationen können
unverschlüsselt
oder teilweise kodiert sein.
-
Wenn
ein Benutzer den Inhalt einer Datei zu erhalten wünscht, um
zum Beispiel eine Videodatei zu betrachten, wird eine Bestellung
an das Verwaltungszentrum übermittelt,
das einerseits die Videodatei in Gestalt eines kodierten Datenstromes
und andererseits einen Datenstrom von Steuernachrichten, die eine
Dekodierung des Datenstromes gestatten, an einen Empfänger/Dekodierer
des Benutzers schickt. Dieser zweite Datenstrom wird als ECM-Datenstrom
(ECM = Entitlement Control Message: Berechtigungssteuernachricht)
bezeichnet und enthält „Steuerwörter" (control words cw),
die regelmässig erneuert
und für
die Dekodierung des durch das Verwaltungszentrum verschickten kodierten
Inhalts verwendet werden. Im ECM-Datenstrom sind die Steuerwörter allgemein
mit einem Schlüssel
kodiert, der dem System der Übermittlung
zwischen dem Verwaltungszentrum und einem mit dem Empfänger/Dekodierer
verbundenen Sicherheitsmodul eigen ist. Die Sicherheitsoperationen
werden nämlich
in einem Sicherheitsmodul ausgeführt,
der allgemein in Gestalt einer Chipkarte realisiert ist, die als
unverletzlich gilt. Diese Einheit kann entweder vom abnehmbaren
Typ sein oder direkt in den Empfänger
integriert werden.
-
Bei
der Kodierung einer Steuernachricht (ECM) wird im Sicherheitsmodul
verifiziert, ob die Rechte für
den Zugriff auf den betrachteten Inhalt vorliegen. Diese Rechte
können
durch Autorisierungsnachrichten (EMM = Entitlement Management Message:
Berechtigungsverwaltungsnachricht) verwaltet werden, die solche
Rechte in den Sicherheitsmodul laden. Weitere Möglichkeiten wie insbesondere
der Versand von besonderen Dekodierschlüsseln werden ebenfalls in Betracht
gezogen.
-
Die Übertragung
digitaler Daten mit bedingtem Zugriff wird schematisch auf drei
Moduln aufgeteilt. Der erste Modul hat die Aufgabe, die digitalen Daten
mit Steuerwörtern
cw zu kodieren und diese Daten zu senden.
-
Der
zweite Modul erstellt die Steuernachrichten ECM, die die Steuerwörter cw
sowie die Zugriffsbedingungen enthalten, und sendet sie an die Benutzer.
-
Der
dritte Modul schliesslich erstellt und übermittelt die Autorisierungsnachrichten
EMM, die die Aufgabe haben, die Empfangsrechte in den an die Empfänger angeschlossenen
Sicherheitsmoduln zu definieren.
-
Während die
ersten beiden Moduln allgemein von den Empfängern unabhängig sind, verwaltet der dritte
Modul die Gesamtheit der Benutzer und sendet Informationen an einen
Benutzer, eine Gruppe von Benutzern oder alle Benutzer.
-
Wie
oben erwähnt, ändern sich
in den meisten konkreten Ausgestaltungen heute die Steuerwörter in
regelmässigen
Zeitabständen
und sind für
alle Benutzer die gleichen. Ein Benutzer kann sich daher die Steuerwörter auf „herkömmliche" Weise verschaffen,
indem er ein Abonnement für
einen entsprechenden Dienst zeichnet oder für die Rechte bezahlt, die mit
der Zusendung von bestellten Informationen verbunden sind. Diese
Steuerwörter
können dann
an andere Benutzer verteilt werden, die nicht über die erforderlichen Rechte
verfügen.
Wenn gefälschte
Sicherheitsmoduln im Umlauf sind, erfolgt keine Verifizierung der
Rechte bzw. die Antwort auf diese Verifizierung ergibt immer ein
positives Ergebnis, indem ein solcher Sicherheitsmodul die Steuerwörter immer
unverschlüsselt
zurückgibt.
In diesem Falle ist es anderen Personen möglich, die so erhaltenen Steuerwörter zu
nutzen, ohne im Besitz der entsprechenden Rechte zu sein, da diese
Steuerwörter
für alle
Benutzer identisch sind. Dies ist umso wichtiger, als die Punkt-zu-Punkt-Übertragung
zwischen dem Verwaltungszentrum und jedem an dieses Verwaltungszentrum
angeschlossenen Empfänger/Dekodierer
selten wirklich Punkt-zu-Punkt ist. Sehr oft erfolgt diese Übertragung
Punkt-zu-Punkt vom Verwaltungszentrum zu einem „Knotenpunkt" der Kommunikationen,
der zum Beispiel ein Gebäude
oder ein Wohnviertel bedient. Von diesem Knotenpunkt ausgehend sind
alle Empfänger/Dekodierer untereinander
durch ein „internes" Netz verbunden. Unter
bestimmten Bedingungen ist es daher möglich, alle Mitglieder dieses
internen Netzes in den Genuss der Rechte eines der Mitglieder kommen
zu lassen.
-
Im
Dokument
WO 01/50755 wird
ein Verfahren beschrieben, mit dem die Sicherheit bei der Übertragung
kodierter Inhalte erhöht
werden kann. Diesem Verfahren zufolge ist vorgesehen, dass zusätzlich zu
den herkömmlichen
ECM- Steuernachrichten und
EMM-Verwaltungsnachrichten die Dekodierer eine persönliche Steuernachricht
empfangen. Diese persönliche
Steuernachricht ist für
jeden Benutzer spezifisch, indem ein Benutzer, der nicht über die persönliche Steuernachricht
verfügt,
nicht auf den kodierten Inhalt zugreifen kann. Allerdings ist in
diesem Verfahren der Inhalt für
alle Dekodierer identisch. Wenn ein Benutzer über einen geklonten Modul verfügt, der
keine Verifizierung der Rechte ausführt, kann ein von einem Dekodierer
legal empfangener Inhalt an einen anderen Dekodierer übermittelt
werden, um dort illegal genutzt zu werden. Die Sicherheit dieses
Verfahrens ist also nicht optimal.
-
Die
heute in den Empfängern/Dekodierern verwendeten
elektronischen Moduln umfassen im Wesentlichen eine Recheneinheit,
Speicherplatz, einen Descrambler und einen Klang- und Bild-Dekompressor.
Diese Moduln sind in der Lage, Daten zu dekodieren, die lediglich
einmal verschlüsselt
worden sind. Das Ausgangssignal eines solchen Moduls ist ein Analogsignal,
das für
die Betrachtung der Datendatei verwendet werden kann. Zusätzlich zu
diesem Modul umfasst ein Empfänger/Dekodierer
einen Kabel-, Satelliten- oder Boden-Empfangsteil, der die Aufgabe hat, das
Signal auszuwählen
und zu empfangen und es zu formatieren.
-
Die
Arbeitsweise eines solchen Moduls wird durch eine Norm definiert,
die mit der DVB-Norm (DVB = Digital Video Broadcasting) oder anderen, proprietären Normen
(wie DirecTV) verbunden ist, und die Operationen, die er ausführen kann,
sind starr festgelegt. Dieser Modul ist nicht in der Lage, bestimmte
Operationen auszuführen,
die sich zufolge der eingesetzten Verfahren für die Datenübermittlung als unabdingbar
erweisen können.
-
ZIELE DER ERFINDUNG
-
Die
vorliegende Erfindung stellt sich das Ziel, die Nachteile der Verfahren
des Standes der Technik durch die Verwirklichung eines Verfahrens
zur Übermittlung
kodierter Daten abzustellen, bei dem die von einem der Benutzer
dekodierten Daten nicht durch einen anderen Benutzer verwendet werden
können.
-
Dieses
Ziel wird durch ein Verfahren der gesicherten Punkt-zu-Punkt-Datenübertragung
zwischen einem Verwaltungszentrum und einer von einer Mehrzahl von
Benutzereinheiten erreicht, die an ein Verwaltungszentrum angeschlossen
sind, wobei die Daten einen mit zumindest einem Steuerwort kodierten
Inhalt umfassen, jede Benutzereinheit zumindest einen Dekodierer/Empfänger umfasst,
der mit zumindest einem für
jede Benutzereinheit spezifischen Dekodierschlüssel versehen ist, und das
Verfahren dadurch gekennzeichnet ist, dass es die folgenden Schritte
umfasst:
- – Übermittlung
einer Anforderung von der Benutzereinheit zum Verwaltungszentrum,
in der die Zusendung eines spezifischen Inhalts verlangt wird,
- – Übermittlung
einer eindeutigen Kennung an das Verwaltungszentrum, wobei diese
Kennung in eindeutiger Weise die Benutzereinheit zu ermitteln gestattet,
die die Anforderung übermittelt
hat,
- – Ermittlung
des Schlüssels,
der der Benutzereinheit entspricht, die die Anforderung übermittelt hat,
aus einer mit dem Verwaltungszentrum verbundenen Datenbank,
- – Ermittlung
des oder der Steuerwörter,
die dem zu übermittelnden
Inhalt beigesellt sind,
- – Kodierung
dieser Steuerwörter
mit dem Schlüssel,
der der Benutzereinheit entspricht, die die Anforderung übermittelt
hat, in der Weise, dass kodierte Steuerwörter gewonnen werden,
- – Übermittlung
der kodierten Steuerwörter
an die Benutzereinheit, die die Anforderung übermittelt hat, und
- – Übermittlung
des kodierten Inhalts an die Benutzereinheit, die die Anforderung übermittelt
hat.
-
Dieses
Ziel wird ebenfalls durch ein Verfahren der gesicherten Punkt-zu-Punkt-Datenübertragung
zwischen einem Verwaltungszentrum und einer an dieses Verwaltungszentrum
angeschlossenen Benutzereinheit unter einer Mehrzahl solcher Einheiten erreicht,
wobei die Daten einen mit zumindest einem Steuerwort kodierten Inhalt
umfassen, jede Benutzereinheit zumindest einen Dekodierer/Empfänger umfasst,
der mit zumindest einem für
jede Benutzereinheit spezifischen Kodierschlüssel versehen ist, und das
Verfahren dadurch gekennzeichnet ist, dass es die folgenden Schritte
umfasst:
- - Übermittlung
einer Anforderung von der Benutzereinheit zum Verwaltungszentrum,
in der die Zusendung eines spezifischen Inhalts verlangt wird,
- – Übermittlung
einer eindeutigen Kennung an das Verwaltungszentrum, wobei diese
Kennung in eindeutiger Weise die Benutzereinheit zu ermitteln gestattet,
die die Anforderung übermittelt
hat,
- – Ermittlung
des Schlüssels,
der der Benutzereinheit entspricht, die die Anforderung übermittelt hat,
aus einer mit dem Verwaltungszentrum verbundenen Datenbank,
- – Ermittlung
des oder der Steuerwörter,
die dem zu übermittelnden
Inhalt beigesellt sind,
- – Kodierung
der zu übermittelnden
Daten in einer für
jede Benutzereinheit spezifischen Weise,
- – Übermittlung
des kodierten Inhalts an die Benutzereinheit, die die Anforderung übermittelt
hat,
- – Übermittlung
der kodierten Steuerwörter
an die Benutzereinheit, die die Anforderung übermittelt hat.
-
Diese
Erfindung stellt sich ausserdem das Ziel, die Nachteile der elektronischen
Moduln des Standes der Technik abzustellen, indem sie einen Modul
realisiert, der in der Lage ist, den für eine Benutzereinheit spezifischen
Datenstrom zu dekodieren.
-
Dieses
Ziel wird durch einen elektronischen Modul erreicht, der eine Recheneinheit,
Speicherplatz, einen Descrambler, einen Klang- und Bild-Dekompressor und
eine Dekodierstufe umfasst, die mit einem Schlüssel funktioniert, die für jede Benutzereinheit
spezifisch ist.
-
KURZE BESCHREIBUNG DER FIGUREN
-
Die
vorliegende Erfindung und ihre Vorteile werden sich besser unter
Bezugnahme auf verschiedene Ausführungsformen
der Erfindung verstehen lassen, in denen:
-
1 eine
Gesamtansicht der Vorrichtung für
die Umsetzung des erfindungsgemässen
Verfahrens ist;
-
2 eine
erste Ausführungsform
des Verfahrens der Erfindung darstellt;
-
3 eine
zweite Ausführungsform
des Verfahrens der Erfindung veranschaulicht;
-
4 eine
Variante des Verfahrens von 3 darstellt;
-
5 eine
Kombination der Ausführungsformen
der 2 und 3 darstellt;
-
6 eine
Kombination der Ausführungsformen
der 2 und 4 darstellt;
-
7 eine
besondere Ausführungsform
des erfindungsgemässen
Verfahrens veranschaulicht;
-
8 einen
elektronischen Modul gemäss der
vorliegenden Erfindung darstellt;
-
9 detailliert
eine erste Ausführungsform eines
Teils des erfindungsgemässen
Verfahrens veranschaulicht; und
-
10 der 9 ähnlich ist
und eine zweite Ausführungsform
eines Teils des erfindungsgemässen
Verfahrens veranschaulicht.
-
REALISIERUNGSARTEN DER ERFINDUNG
-
Die
Erfindung wird unter der Annahme beschrieben, dass die Punkt-zu-Punkt-Kommunikation zwischen
einem Server digitaler Daten, der für Video auf Abruf verwendet
wird, und einer Einheit aufgebaut wird, die bei einem Benutzer aufgestellt
ist und Benutzereinheit genannt wird. Die digitale Datei kann eine
Videodatei sein, die allgemein Bilder und Klang enthält und weitere
Informationen wie insbesondere Betriebsinformationen enthalten kann,
die die Verarbeitung der Daten ermöglichen.
-
1 stellt
einen Videoserver bzw. ein Verwaltungszentrum dar, das für Video
auf Abruf bestimmt ist und wo Dateien gespeichert sind, die Produkten
wie insbesondere Filmen oder Sportereignissen entsprechen und durch
die Benutzer bestellt werden können.
Sie veranschaulicht ebenfalls mehrere Benutzereinheiten 11,
die aus je einem Empfänger/Dekodierer 12 bestehen,
der möglicherweise
mit einem Sicherheitsmodul 13 verbunden ist, wobei jede
Einheit bei einem Benutzer aufgestellt ist. Jede Einheit besitzt,
wie schematisch in 1 veranschaulicht, eine einmalige
ID-Nummer (UA1, UA2, ...UAn) sowie einen ebenfalls einmaligen Schlüssel (K1, K2, ...Kn), der für
jede Einheit ein anderer ist. Dieser Schlüssel kann ein sogenannter symmetrischer Schlüssel oder
einer der Schlüssel
eines Paares asymmetrischer Schlüssel
sein. Im nachfolgenden Text wird der Ausdruck ,Schlüssel' unterschiedslos für die beiden
Möglichkeiten
verwendet, sofern nicht ausdrücklich
gesagt wird, um welchen Schlüsseltyp es
sich handelt. Der Sicherheitsmodul 13 kann zum Beispiel
in Gestalt einer herausnehmbaren Chipkarte im Empfänger/Dekodierer
realisiert oder in diesen integriert werden. Sie kann aber auch
ohne einen solchen Sicherheitsmodul existieren. Wenn ein Sicherheitsmodul
vorgesehen ist, umfasst dieser bevorzugt einen Schlüssel, der
eine Paarung zwischen dem Sicherheitsmodul und dem Empfänger/Dekodierer 12 zu
realisieren erlaubt. Der in die Benutzereinheit eingebrachte Schlüssel (K1, K2, ...Kn) kann je nachdem in den Empfänger oder
in den Sicherheitsmodul eingeführt
worden sein. Es ist auch möglich, einen Schlüssel in
jedem dieser Elemente vorzusehen. Wenn der Ort des Schlüssels nicht
vorgegeben ist, bedeutet dies, dass er entweder für den Fachmann offensichtlich
ist oder der Ort gleichgültig
ist.
-
In
analoger Weise kann die eindeutige ID-Nummer an den Empfänger, an
den Sicherheitsmodul oder an beide gebunden sein. Die einzige Einschränkung, die
ihr auferlegt ist, besteht darin, dass eine Benutzereinheit unter
den Einheiten, die an das Verwaltungszentrum angeschlossen sind,
eindeutig identifiziert werden kann.
-
2 veranschaulicht
eine Ausführungsform
des erfindungsgemässen
Verfahrens, bei der der Videoserver 10 eine digitale Datei
an eine der in 1 dargestellten Benutzereinheiten 12 schickt.
-
Das
unter Bezugnahme auf die 1 und 2 beschriebene
Verfahren funktioniert in folgender Weise.
-
Wenn
ein Benutzer, der im Besitz einer Einheit n ist, die eine eindeutige
ID-Nummer UAn besitzt, den Inhalt einer digitalen Datei
zu betrachten wünscht,
schickt er eine Anforderung an das Verwaltungszentrum 10 oder
an den VOD-Server.
Diese Anforderung enthält
insbesondere die eindeutige ID-Nummer UAn,
was dem VOD-Server die Möglichkeit
gibt, die Einheit zu identifizieren, die die Anforderung geschickt
hat.
-
Der
VOD-Server enthält
eine Datenbank 14, die als Informationen insbesondere die
eindeutigen ID-Nummern (UA1, UA2,
...UAn) jeder an den Server angeschlossenen
Einheit sowie einen mit dieser Einheit verbundenen Schlüssel (K1, K2, ...Kn) besitzt. Dieser Schlüssel kann ein symmetrischer
Schlüssel sein,
der also in der Einheit und in der Datenbank des VOD-Servers identisch
ist. Er kann ebenso ein asymmetrischer, sogenannter öffentlicher
Schlüssel
sein, der von einem Paar asymmetrischer Schlüssel stammt. Der andere Schlüssel des
Paares, nämlich der
sogenannte private Schlüssel,
ist in der Benutzereinheit gespeichert. Dieser Schlüssel kann
permanent zum Beispiel in einem elektronischen Modul oder Chip des
Dekodierers/Empfängers
gespeichert sein.
-
Der
symmetrische Schlüssel
bzw. das asymmetrische Schlüsselpaar
ist einmalig und für
jeden Empfänger
unterschiedlich.
-
MODUS MIT PERSONALISIERTEN
STEUERWÖRTERN
-
In
herkömmlicher
Weise wird der Inhalt (CT) der digitalen Datei mittels der Steuerwörter cw
entweder vor der Speicherung im VOD-Server oder „im Flug" kodiert, d. h. im Augenblick seiner Übertragung. Die
kodierte Datei wird an den Empfänger
geschickt, wo er in einem Massenspeicher 15 gespeichert
oder so dekodiert werden kann, dass er durch den Benutzer visualisierbar
gemacht wird.
-
Um
den Inhalt zu dekodieren, ist es erforderlich, über die Steuerwörter cw
zu verfügen.
Diese werden zuerst mit dem Schüssel
Kn kodiert, der in der Datenbank enthalten
und für
eine Benutzereinheit spezifisch ist. Dieser Schlüssel ist entweder der symmetrische
Schlüssel
oder der öffentliche
Schlüssel des
Paares asymmetrischer Schlüssel.
So werden kodierte Steuerwörter
cw' = Kn(cw)
gewonnen, die für jede
Benutzereinheit spezifisch sind. Diese kodierten Steuerwörter werden
auf herkömmliche
Art und Weise übermittelt,
indem sie zum Beispiel mit einem als Systemschlüssel SK bezeichneten Kodierschlüssel kodiert
werden, der für
alle an das Verwaltungszentrum angeschlossenen Benutzereinheiten
identisch ist. Diese Kodierung mit dem Systemschlüssel liefert die
Steuernachrichtendatei, die in Gestalt eines ECM-Datenstromes an
die Benutzereinheit n geschickt wird, die die Videodatei bestellt
hat. Da die Steuerwörter
mit einem Kodierschlüssel
Kn kodiert worden sind, der einmalig und
für jede
Benutzereinheit ein anderer ist, so sind sie ebenfalls einmalig
und für
jede Einheit andere.
-
Die
Benutzereinheit n, die dieser Datenstrom angeht, verfügt entweder über den
symmetrischen Schlüssel
oder über
den privaten asymmetrischen Schlüssel,
der dem öffentlichen
Schlüssel
entspricht, der für
die Kodierung der Steuerwörter
verwendet worden ist. Dadurch ist sie in der Lage, die Steuerwörter cw' zu dekodieren, indem
sie den Schlüssel
Kn auf diese Steuerwörter cw' anwendet, und sie unverschlüsselt zu
gewinnen.
-
Der
kodierte und im Empfänger
gespeicherte Videodatenstrom kann dann dekodiert werden, indem die
unverschlüsselten
Steuerwörter
verwendet werden.
-
Es
sei vermerkt, dass die Speicherung des Videodatenstromes im Voraus
erfolgen und eine beliebige Zeit zwischen der Speicherung und der
Betrachtung des Produkts verstreichen kann. Es ist ebenfalls möglich, die
Daten der Videodatei und die Steuerwörter ohne eine Speicherung
des Video-Datenstromes zu nutzen, indem „im Fluge" dekodiert wird.
-
Da
die Steuerwörter
cw mit einem Schlüssel Kn kodiert sind, der für einen gegebenen Empfänger spezifisch
ist, ergibt sich kein Zugriff auf Daten, die für eine Gruppe von Benutzern
nutzbar wären,
indem diese sich die Daten verschafft, die im ECM-Datenstrom enthalten
sind. Eine gefälschte
Karte, in der alle verfügbaren
Rechte als erworben erwähnt
sind, würde
also keine Visualisierung von Daten gestatten, die von einem anderen
Benutzer stammen. Der spezifische Schlüssel kann im Sicherheitsmodul
oder im Empfänger
residieren.
-
In
dieser Ausführungsform
können
die Daten unverschlüsselt
oder kodiert im Verwaltungszentrum 10 gespeichert sein,
wobei letztere Lösung
in der Praxis oft bevorzugt wird. Dadurch ändert sich vom Standpunkt des
Verfahrens aus nichts. Die einzige Einschränkung besteht darin, dass eine
genügend hohe
Rechenleistung verfügbar
sein muss, wenn die Daten im Fluge kodiert werden.
-
MODUS MIT DURCH STEUERWÖRTER PERSONALISIERTEM
INHALT
-
Die
in 3 veranschaulichte zweite Ausführungsform ist besonders gut
für den
Fall geeignet, wo die Empfänger 13 über eine
Dateienspeicherkapazität
verfügen,
die es ihnen gestattet, zumindest eine vollständige Videodatei zu speichern.
In dieser Ausführungsform
werden die Steuerwörter
cw zuerst mit dem Schlüssel
Kn der Benutzereinheit n kodiert. Dieser
Schlüssel,
der ein symmetrischer Schlüssel sein
muss, residiert in der Datenbank 14 des VOD-Servers. So
werden die kodierten Steuerwörter cw' = Kn(cw)
gewonnen. Der Inhalt der Videodatei wird dann mit den kodierten
Steuerwörtern
cw' kodiert. Dieser
Inhalt kann eventuell im Verwaltungszentrum 10 gespeichert
werden, was aber keine bevorzugte Lösung darstellt. Allgemeiner
wird er direkt an den Empfänger
n geschickt, für
den er bestimmt ist, um dort im Massenspeicher 15 gespeichert
oder direkt visualisiert zu werden.
-
Da
der Schlüssel
Kn, mit dem die Steuerwörter cw kodiert werden können, für jede Benutzereinheit
ein anderer ist, unterscheidet sich auch der kodierte Inhalt für jeden
Empfänger.
Es ist daher sinnvoll, den kodierten Inhalt im Speicher des Empfängers zu
speichern, statt diesen Inhalt im VOD-Server zu speichern, der ihn
nur für
einen einzigen Empfänger
ausnutzen kann.
-
Parallel
dazu werden die Steuerwörter
cw auf herkömmliche
Weise zum Beispiel mit einem Systemschlüssel SK kodiert, um eine ECM-Datei
zu erzeugen, die in Gestalt eines Datenstromes an den betreffenden
Empfänger
geschickt wird.
-
Wenn
der Empfänger
den Inhalt, den er gespeichert hat, dekodieren soll, muss er zuerst
auf herkömmliche
Weise die Steuerwörter
cw dekodieren, die ihm im ECM-Datenstrom geschickt worden sind.
Dafür benutzt
er die zur Kodierung mit dem Systemschlüssel SK umgekehrte Operation.
-
Die
Dekodierung des eigentlichen Inhalts erfolgt auf folgende Weise.
Die Steuerwörter
cw werden dekodiert, wie oben erwähnt. Sie werden dann mittels
des symmetrischen Schlüssels
Kn kodiert, der im VOD-Server verwendet
worden war, um die Steuerwörter
zu kodieren. So gewinnt man die kodierten Steuerwörter cw' = Kn(cw).
Durch Anwendung dieser kodierten Steuerwörter cw' auf den kodierten Inhalt gewinnt man
den unverschlüsselten
Inhalt CT.
-
In
dieser Ausführungsform
ist es wichtig, dass der Schlüssel
Kn symmetrisch ist. Die Videodatei CT ist
nämlich
mit bereits kodierten Steuerwörtern kodiert.
Es ist notwendig, dass die kodierten Steuerwörter im Verwaltungszentrum
die gleichen wie die in der Benutzereinheit kodierten sind, weil
andernfalls die Dekodierung der Datendatei nicht möglich ist.
-
Wie
in der vorhergehenden Ausführungsform
sind die vom VOD-Server 10 an die Benutzereinheiten 12 übermittelten
Daten für
jede Einheit unterschiedlich. Somit können Daten, die auf „herkömmliche" Weise von einem
Abonnenten erworben werden können,
nicht mit anderen Einheiten durch Personen, die die Rechte für den übermittelten
Inhalt nicht erworben haben, genutzt werden. Dies ermöglicht eine
wirksame Paarung zwischen dem VOD-Server und jeder Benutzereinheit
in dem Sinne, dass ein für
eine bestimmte Benutzereinheit bestimmter Inhalt ausschliesslich
durch diese Einheit und keine andere genutzt werden kann.
-
MODUS MIT INHALT, DER DURCH EINEN SPEZIFISCHEN
SCHLÜSSEL
PERSONALISIERT WIRD
-
In
der durch 4 veranschaulichten Ausführungsform
wird der Inhalt CT im Verwaltungszentrum 10 in vorkodierter
Weise gespeichert. In diesem Falle wird der unverschlüsselte Inhalt
(CT) zuerst mit einem Satz von Steuerwörtern cw kodiert. Dieser kodierte
Inhalt ist in der Figur als cw(CT) dargestellt. Er wird in der Form
gespeichert, die sich aus dieser Kodierung ergibt. Wenn er übermittelt
werden soll, dann wird der vorkodierte Inhalt zuerst mit dem Schlüssel Kn kodiert, der für die Benutzereinheit 12 spezifisch ist,
die die Zusendung der Datei verlangt hat. Der Inhalt ist in der
Figur als Kn(cw(CT)) dargestellt. In dieser
Gestalt wird er dann an die betreffende Benutzereinheit geschickt.
Das hat den Vorteil, dass es nicht notwendig ist, die Inhalte unverschlüsselt im
Verwaltungszentrum zu speichern, was von den Medieneigentümern in
der Praxis wenig geschätzt
würde.
-
Die
Steuerwörter
cw werden ausserdem auf herkömmliche
Weise kodiert und im ECM-Datenstrom an den Empfänger geschickt.
-
Für eine Dekodierung
des von der Benutzereinheit empfangenen Inhalts ist es in der Ausführungsform
der 4 zuerst erforderlich, die im ECM-Datenstrom empfangenen
Steuerwörter
ebenfalls auf herkömmliche
Weise zu dekodieren. Dann muss mit dem Schlüssel Kn der
vom Verwaltungszentrum 10 empfangene Inhalt Kn(cw(CT))
dekodiert werden. So erhält
man den Inhalt in der Gestalt, in der er im Verwaltungszentrum gespeichert
war, d. h. den vorkodierten Inhalt cw(CT). An diesem Punkt können die
vom ECM-Datenstrom stammenden, unverschlüsselten Steuerwörter cw
auf diese Daten angewendet werden. Dadurch gewinnt man dann den Inhalt
CT unverschlüsselt.
-
MODUS MIT PERSONALISIERTEN STEUERWÖRTERN WIE
IN 2 UND PERSONALISIERTEM INHALT WIE IN 3
-
5 veranschaulicht
eine Ausführungsform,
in der die Steuerwörter
cw auf ähnliche
Weise personalisiert werden, wie unter Bezugnahme auf 2 beschrieben,
während
der Inhalt auf ähnliche Weise
personalisiert wird, wie unter Bezugnahme auf 3 beschrieben.
Was die Steuerwörter
betrifft, so werden diese zuerst mit einem ersten Schlüssel K'n kodiert,
der für
die Benutzereinheit spezifisch. ist. Dieser Schlüssel kann symmetrisch oder
asymmetrisch sein. Man gewinnt kodierte Steuerwörter cw* = K'n(cw).
Diese werden ihrerseits auf herkömmliche Weise
mit dem Systemschlüssel
SK kodiert, um im ECM-Datenstrom
an die betroffene Benutzereinheit übermittelt zu werden. Indem
der symmetrische Schlüssel
oder, wenn der Schlüssel
K'n asymmetrisch ist,
der andere Schlüssel
des Schlüsselpaares
angewendet wird, können
die Steuerwörter
cw* dekodiert und diese Wörter
unverschlüsselt
gewonnen werden.
-
Parallel
dazu werden die Steuerwörter
cw mit einem Schlüssel
Kn kodiert, der notwendigerweise symmetrisch
und spezifisch für
die Benutzereinheit ist und aus der mit dem Verwaltungszentrum verbundenen
Datenbank 14 stammt. So werden die kodierten Steuerwörter cw' = Kn(cw)
gewonnen. Diese werden dann dazu verwendet, wie in der Ausführungsform
von 3 den zu übermittelnden
Inhalt zu kodieren. Der Inhalt wird dann an die betroffene Benutzereinheit 11 geschickt.
Die Dekodierung des Inhalts erfolgt, wie unter Bezugnmahme auf 3 erklärt. Genauer
werden die Steuerwörter
cw* mit dem Schlüssel
K'n dekodiert.
Sie werden dann mit dem Schlüssel
Kn erneut kodiert, wodurch die kodierten Steuerwörter cw' gewonnen werden
können.
Diese werden auf den vom Verwaltungszentrum empfangenen, kodierten
Inhalt cw'(CT) angewendet,
um so den unverschlüsselten
Inhalt CT wiederzufinden.
-
Es
muss vermerkt werden, dass in dieser Ausführungsform das Prinzip einer
vorkodierten Speicherung, das unter Bezugnahme auf 4 vorgestellt
worden war, analog anwendbar ist. Es ist somit in allen Fällen möglich, einen
vorkodierten Inhalt im Verwaltungszentrum zu speichern, dabei trotzdem entweder
den ECM-Datenstrom oder den Datenstrom oder auch beide zu personalisieren.
-
MODUS MIT PERSONALISIERTEN STEUERWÖRTERN WIE
IN 2 UND PERSONALISIERTEM INHALT WIE IN 4
-
6 ist
eine Variante des Verfahrens, bei dem die Steuerwörter cw
und der Datenstrom CT ebenfalls personalisiert sind. Die Steuerwörter werden
in der gleichen Weise personalisiert, wie unter Bezugnahme auf 5 beschrieben.
Sie werden mit einem ersten Schlüssel
K'n kodiert,
der für
die betroffene Benutzereinheit spezifisch ist, dann erneut, aber auf
herkömmliche
Weise, mit dem Systemschlüssel SK
kodiert, um im ECM-Datenstrom an die betroffene Benutzereinheit übermittelt
zu werden.
-
Der
Inhalt wird in der gleichen Weise personalisiert, wie in der Ausführungsform
von 4 beschrieben. Der unverschlüsselte Inhalt (CT) wird zuerst
mit den Steuerwörtern
cw kodiert. Vor seiner Übermittlung
wird der vorkodierte Inhalt zuerst mit dem Schlüssel Kn kodiert,
der für
die Benutzereinheit spezifisch ist, die die Zusendung des Inhalts
verlangt hat. Er wird dann an die betroffene Benutzereinheit geschickt.
-
Für die Dekodierung
des von der Benutzereinheit empfangenen Inhalts ist es zuerst erforderlich,
mit dem Systemschlüssel
SK und mit dem personalisierten Schlüssel K'n die im ECM-Datenstrom empfangenen
Steuerwörter
zu dekodieren.
-
Dann
muss mit dem Schlüssel
Kn der vom Verwaltungszentrum empfangene
Inhalt dekodiert werden. Man gewinnt so den Inhalt, wie er im Verwaltungszentrum
gespeichert war, also den vorkodierten Inhalt cw(CT). An diesem
Punkt können
die vom ECM-Datenstrom stammenden, unverschlüsselten Steuerwörter cw
auf diese Daten angewendet werden. So gewinnt man dann den unverschlüsselten
Inhalt CT.
-
Die
beiden oben beschriebenen Ausführungsformen
stellen gegenüber
den vorangegangenen Ausführungsformen
und gegenüber
denen des Standes der Technik eine erhöhte Sicherheit dar, weil die
beiden Datenströme,
die zwischen dem Verwaltungszentrum 10 und der betroffenen
Benutzereinheit 11 übermittelt
werden, für
diese Einheit spezifisch sind. Das bedeutet, dass eine nicht autorisierte Person,
selbst wenn sie in der Lage ist, einen der Datenströme zu dekodieren,
diesen nicht nutzen kann, ohne den anderen Datenstrom zu dekodieren.
-
In
diesen Ausführungsformen
können
die Schlüssel
K'n und
Kn verschieden sein. Wenn diese beiden Schlüssel symmetrisch
sind, dann ist es gleichfalls möglich,
einen einzigen, gleichen Schlüssel
für die
beiden Kodieroperationen zu verwenden. Gleichfalls ist es möglich vorzusehen,
dass sich einer der Schlüssel
im Empfänger/Dekodierer
befindet, während
sich der andere Schlüssel
im damit verbundenen Sicherheitsmodul befindet. Das ist deswegen besonders
interessant, weil man sich dadurch vergewissern kann, dass der Dekodierer
und der Sicherheitsmodul, die benutzt werden, richtig gepaart und dafür bestimmt
sind, miteinander zu kommunizieren.
-
ÜBERTRAGUNGSMODUS MIT MEHREREN
BENUTZEREINHEITEN
-
Die
obige Beschreibung stellt verschiedene Ausführungsformen eines Verfahrens
zur Datenübertragung
im Punkt-zu-Punkt-Modus vor. Es mag erwünscht sein, dass eine Benutzereinheit
für die
Umsetzung dieses Verfahrens ebenfalls für einen Radioempfang genutzt
werden könne,
in welchem Falle der Inhalt CT und die Steuerwörter cw dann für alle Benutzer
in gemeinsamer Weise kodiert werden. 7 beschreibt
eine Ausführungsform,
in der der Inhalt CT und die Steuerwörter cw für alle Benutzer in gemeinsamer
Weise kodiert werden. Das bedeutet, dass die Daten und die Steuerwörter allen
Empfängern
gemein sind, wodurch ermöglicht
wird, diese Ausführungsform
auf die Sendung anzuwenden.
-
In
herkömmlicher
Weise werden die CT-Daten mit den Steuerwörtern cw kodiert. Die Steuerwörter cw
ihrerseits werden mit dem Systemschlüssel SK kodiert. Der Inhalt
und der ECM-Datenstrom werden zum Empfänger übermittelt. Wenn der Inhalt
im Empfänger
empfangen worden ist, wird er mit einem Schlüssel K*n kodiert,
der vorteilhafterweise symmetrisch ist, wenn auch ein asymmetrischer
Schlüssel gleichfalls
benutzt werden kann. Dieser Schlüssel
K*n ist für die Benutzereinheit spezifisch.
Der Datenstrom kann im Massenspeicher 15 gespeichert werden. Wenn
der Inhalt dieses Speichers benutzt werden soll, wird er zuerst
mit dem Schlüssel
K*n dekodiert, dann ein zweites Mal dekodiert,
wobei die Steuerwörter
cw verwendet werden, um den Inhalt unverschlüsselt zu erhalten. Der Schlüssel K*n wird vorteilhafterweise in einem elektronischen
Modul wie einem Chip im Empfänger
gespeichert. Es sei daran erinnert, dass, während die Steuerwörter allgemein
in regelmässigen
Zeitabständen
geändert
werden, der Schlüssel
K*n eine deutlich längere Lebenszeit hat und zum
Beispiel definitiv und unwandelbar in der Benutzereinheit aufgezeichnet
werden kann.
-
Diese
Ausführungsform
bietet verschiedene Vorteile gegenüber einer herkömmlichen
gesicherten Datenübermittlung.
Weil der Inhalt vor seiner Speicherung in der Benutzereinheit mit
einem Schlüssel K*n kodiert wird, der dieser Einheit eigen
ist, kann ein Dritter, der diesen Inhalt entwendet, ihn nicht in
einer anderen Benutzereinheit benutzen als derjenigen, für die er
bestimmt ist. Selbst bei einer Dekodierung des Inhalts bei Ankunft
im Empfänger
wäre die
Benutzung dieses Inhalts in einem anderen Empfänger ergebnislos. Jeder Empfänger erwartet
nämlich
den Empfang eines Inhalts, der mit dem ihm eigenen Schlüssel K*n kodiert ist. Wenn ein unverschlüsselter Inhalt
in einen Empfänger
eingeführt
wird, der erwartet, einen kodierten Inhalt zu empfangen, dann schreitet
der Empfänger
zu einer Dekodierung der unverschlüsselten Daten und macht sie
also unbenutzbar.
-
Ein
weiterer Vorteil dieser Ausführungsform besteht
darin, dass das Kopieren einer Datei wie z. B. einer Videodatei
mit einem Empfänger/Dekodieren möglich ist,
dass aber diese Kopie nicht in einem anderen Empfänger/Dekodierer
benutzt werden kann. Die Kopie liefert nämlich den Inhalt mit Steuerwörtern cw
und mit dem persönlichen
Schlüssel
K*n kodiert. Da dieser persönliche Schlüssel für jeden
Empfänger/Dekodierer
ein anderer ist, ist eine Dekodierung der Kopie nicht möglich. Dadurch
wird also ein wirksamer Schutz gegen unerlaubtes Kopieren geboten.
-
In
der in 4 und 7 veranschaulichten Ausführungsform
ist es erforderlich, den Inhalt zweimal nacheinander zu dekodieren.
Im Falle der 4 ist die erste Dekodierung
die inverse Operation zum Kodieren mit den Steuerwörtern cw', die für eine der Benutzereinheiten
spezifisch sind, während
die zweite Dekodierung die inverse Operation zur Kodierung mit den
Steuerwörtern
cw ist, die allen Benutzereinheiten gemein sind. Eine Dekodierung
dieses Typs ist mit den heute existierenden elektronischen Chips nicht
möglich.
-
8 veranschaulicht
schematisch einen elektronischen Modul, der dafür ausgelegt ist, eine solche
Dekodierung auszuführen.
Unter Bezugnahme auf diese Figur umfasst der Modul (CD) der Erfindung
im Wesentlichen eine Recheneinheit (CPU), Speicher (ROM, RAM), einen
Descrambler (DESCR), einen Dekompressor für Klang und Bild (MPEG) sowie
eine Dekodierstufe (ETD). Die Dekodierstufe (ETD) dekodiert am Eingang
des Empfängers/Dekodierers
den Inhalt, der mit dem spezifischen Schlüssel K*n der
Ausführungsform
von 7 überkodiert
worden war.
-
Wenn
die Benutzereinheit im Radioempfangsmodus verwendet wird, dann wird
diese Überkodierung
offensichtlich nicht ausgeführt,
weil die Daten allen Empfängern/Dekodierern
gemein sind. Daher wird eine Kodierstufe (PE) aktiviert, in der
mit dem gleichen spezifischen Schlüssel K*n eine
Kodierung auf den Inhalt angewendet wird. Erst nach dieser Stufe
kann der Inhalt in der Massenspeichereinheit 15 gespeichert
werden, die wahlweise in einer solchen Benutzereinheit vorhanden
sein kann.
-
Diese
Kodierstufe (PE) besteht vorteilhaft aus einem einzigen Schaltkreis,
aus dem der spezifische Schlüssel
K*n schwer herauszuholen ist. Diese Schaltung
ist mit dem elektronischen Modul (CD) gepaart, weil der gleiche
Schlüssel
in diesen beiden Elementen residiert.
-
Wenn
man über
eine Benutzereinheit verfügen
möchte,
die mit dem Punkt-zu-Punkt-Modus
und mit dem Radioempfangsmodus verträglich ist, dann muss die Kodierstufe
(PE) umschaltbar sein. Wenn nämlich
der Inhalt sendeseitig mit dem spezifischen Schlüssel K*n kodiert
ist, dann muss diese Stufe abgeklemmt werden können. Das stellt kein Sicherheitsproblem
dar, weil die Dekodierstufe (ETD) im elektronischen Modul (CD) nicht
abgeklemmt werden kann. Wenn man also die Kodierstufe (PE) im Radioempfangsmodus
desaktiviert, dann kann der so an den elektronischen Modul (CD)
gelangende Inhalt nicht richtig dekodiert werden, weil die Dekodierstufe (ETD)
mit dem spezifischen Schlüssel
K*n einen Inhalt dekodiert, der nicht mit
diesem Schlüssel
kodiert worden war.
-
Die
mit der Kodierstufe (PE) identische Dekodierstufe (ETD) kann eine
verhältnismässig einfache
und schnelle Operation ausführen.
Zum Beispiel ist es möglich,
eine Exklusiv-ODER-Funktion zu verwenden, was praktisch keine Verzögerung in
der Übermittlung
des Inhalts verursacht. Für
Daten im seriellen Modus können
bekanntlich serielle Kodierstufen verwendet werden, die gemäss einer
spezifischen Sequenz initialisiert werden.
-
Es
sei bemerkt, dass die Dekodierstufe (PE) ebenfalls in den elektronischen
Modul integriert werden könnte,
solange dieser Modul über
einen Ausgang von der Kodierstufe verfügt, um den Inhalt in den Massenspeicher 15 zu
schicken, sowie über
einen Eingang in die Dekodierstufe, um den von diesem Speicher kommenden
Inhalt zu dekodieren.
-
PAARUNG
-
Allgemein
umfasst, wenn eine Benutzereinheit über einen Empfänger/Dekodierer
und über
einen Sicherheitsmodul verfügt,
jedes dieser beiden Elemente einen sogenannten Paarungsschlüssel K
p, der für
jede Benutzereinheit ein anderer ist und der symmetrisch oder asymmetrisch
sein kann. Der ECM-Datenstrom wird vom Sicherheitsmodul empfangen,
um dort dank des Systemschlüssels
SK dekodiert zu werden und um die Steuerwörter herauszuziehen. Die Übermittlung
der Steuerwörter
vom Sicherheitsmodul zum Empfänger/Dekodierer
erfolgt in kodierter Form entweder mit dem Paarungsschlüssel K
p oder mit einem von diesem Paarungsschlüssel abhängigen Sitzungsschlüssel. Dies
wird eingehend in der Veröffentlichung
WO 99/57901 beschrieben.
Im Dekodierer werden die Steuerwörter
mit einem Schlüssel
dekodiert, der dem für
die Kodierung verwendeten entspricht. Dadurch kann gewährleistet werden,
dass ein einziger Sicherheitsmodul mit einem einzigen Empfänger/Dekodierer
funktioniert und dass diese Elemente folglich gepaart sind.
-
In
der vorliegenden Erfindung ist es gleichfalls möglich, auf unterschiedliche
Weisen eine Paarung entweder zwischen dem Sicherheitsmodul und dem
Empfänger/Dekodierer
oder zwischen dem Verwaltungszentrum und dem Empfänger/Dekodierer
zu gewährleisten.
-
PAARUNG ZWISCHEN DEM SICHERHEITSMODUL
UND DEM EMPFÄNGER/DEKODIERER
-
9 veranschaulicht
eine Ausführungsform,
in der der Empfänger/Dekodierer
mit dem Sicherheitsmodul gepaart ist. Im dargestellten Fall verfügt die Benutzereinheit über zwei
Schlüssel,
nämlich einerseits
den Schlüssel
Kn, der für jede Benutzereinheit spezifisch
ist, und andererseits den Paarungsschlüssel Kp.
Aus Gründen
der Verträglichkeit
zwischen dem Punkt-zu-Punkt-Modus und dem Radioempfangsmodus wird
der spezifische Schlüssel
Kn ebenfalls im Sicherheitsmodul gespeichert.
-
RADIOEMPFANGSMODUS
-
Wenn
die Benutzereinheit im Radioempfangsmodus verwendet wird, wird der
ECM-Datenstrom, der die Steuerwörter
cw enthält,
in den Sicherheitsmodul eingeführt.
Die Steuerwörter
cw werden dann mit dem Systemschlüssel SK herausgezogen. Die
Steuerwörter
werden dann erneut kodiert, und zwar mit dem spezifischen Schlüssel Kn, wodurch die kodierten Steuerwörter cw' erhalten werden.
Diese werden dann ebenfalls im Sicherheitsmodul kodiert, und zwar
mit dem Paarungsschlüssel
KP, um dadurch cw'' =
Kn(cw')
zu erhalten. Sie werden in dieser Gestalt zum Empfänger/Dekodierer übermittelt.
Dort werden die kodierten Steuerwörter cw'' zuerst
mit dem Paarungsschlüssel
Kp dekodiert. Sie werden dann erneut dekodiert,
jetzt mit dem spezifischen Schlüssel
Kn, um dadurch diese Steuerwörter cw
unverschlüsselt
zu erhalten. Sie können
dann verwendet werden, um den Inhalt CT zu dekodieren.
-
In
der in 9 veranschaulichten Ausführungsform wird der spezifische
Schlüssel
im Descrambler gespeichert. Dieser Schlüssel kann dort definitiv (PROM,
ROM) eingeschrieben werden. Der Paarungsschlüssel kann ein ausserhalb des
Descramblers im Dekodierer gespeicherter Softwareschlüssel sein.
Beide Schlüssel
könnten
auch im Descrambler oder ausserhalb des Descramblers aufgezeichnet
sein.
-
PUNKT-ZU-PUNKT-MODUS
-
Wenn
die Benutzereinheit im Punkt-zu-Punkt-Modus benutzt wird, dann ist
der ECM-Datenstrom, der die Steuerwörter cw' enthält, im Verwaltungszentrum personalisiert
worden. Folglich ist eine Kodierung mit dem spezifischen Schlüssel Kn nicht erforderlich. Der ECM-Datenstrom
wird also mit dem Systemschlüssel
dekodiert, um daraus die Steuerwörter
herauszuziehen. Diese werden dann direkt mit dem Paarungsschlüssel Kp erneut kodiert, ehe sie zum Empfänger/Dekodierer
geschickt werden. Dort werden sie zuerst mit dem Paarungsschlüssel Kp, dann mit dem spezifischen Schlüssel Kn dekodiert. Dadurch können die Steuerwörter cw
unverschlüsselt
gewonnen werden.
-
PAARUNG ZWISCHEN DEM VERWALTUNGSZENTRUM
UND DEM EMPFÄNGER/DEKODIERER
-
Die
Ausführungsform
von 10 stellt ein Beispiel dar, wo die Paarung zwischen
dem Verwaltungszentrum und dem Empfänger/Dekodierer vorliegt. Die
Steuerwörter
werden mit dem spezifischen Schlüssel
Kn kodiert, wie es insbesondere unter Bezugnahme
auf 2 beschrieben worden war. Der ECM-Datenstrom, der diese
spezifischen kodierten Steuerwörter
cw' enthält, wird
entweder an den Sicherheitsmodul geschickt, der sie unverändert an den
Empfänger/Dekodierer
schickt, oder direkt an den Empfänger/Dekodierer,
ohne durch den Sicherheitsmodul geschickt zu werden. Sie werden
dann dort mit dem spezifischen Schlüssel Kn dekodiert,
um sie unverschlüsselt
zu gewinnen. Diese Ausführungsform
erlaubt eine Paarung zwischen dem Verwaltungszentrum und dem Empfänger/Dekodierer, weil
lediglich derjenige Empfänger/Dekodierer,
der den spezifischen Schlüssel
besitzt, der im Verwaltungszentrum gespeichert ist, ein verwendbares
Ergebnis liefert.
-
Wie
zuvor erwähnt,
können
die Schlüssel
unwandelbar sein und definitiv in einem Chip des Empfängers aufgezeichnet
werden. Sie können
ebenso im Sicherheitsmodul jeder Benutzereinheit aufgezeichnet werden.
Diese Schlüssel
können
auch vom Verwaltungszentrum aus zugeschickt und so modifiziert werden.
Eine Möglichkeit
dafür besteht
zum Beispiel darin, in einem hoch gesicherten, als „Master-ECM" bezeichneten Steuernachrichten-Datenstrom
einen neuen Schlüssel
zu übersenden.
Dadurch kann die Sicherheit noch weiter erhöht werden, weil es möglich ist,
den Schlüssel
nach einer gewissen Benutzungsdauer zu ändern.