ES2240751T3

ES2240751T3 - Dispositivos y metodos de seguridad para proteccion e identificacion de mensajes.

Info

Publication number: ES2240751T3
Application number: ES02735376T
Authority: ES
Inventors: Laurent Lesenne; Frederic Pasquier; Ralf Schaefer
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2001-05-23
Filing date: 2002-05-22
Publication date: 2005-10-16
Anticipated expiration: 2022-05-22
Also published as: KR20040004628A; AU2002310832A1; FR2825209A1; CN1315281C; EP1402679B1; KR100875289B1; DE60203509T2; DE60203509D1; US20040162980A1; CN1526217A; EP1402679A2; MXPA03010564A; WO2002096016A3; WO2002096016A2; JP2004527188A

Abstract

Dispositivo de seguridad (3) para proteger mensajes (MSG) destinados a ser enviados a través de una red desde un emisor (1) hasta, al menos, un receptor (2), que incluye medios para control de identificación (21) de mensajes (MSG) mediante una clave de identificación vigente modificable (K¿, , K¿, , j), consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicios e incluyendo dicho dispositivo de seguridad (3): - una unidad para control de cifrado (11) de, al menos, una parte de dicho mensaje (MSG) mediante una clave de cifrado vigente modificable (K, , K, j); - medios de control (11A, 11A¿) para añadir, a cada uno de dichos mensajes (MSG), una firma (SGN) consistente en un resultado del cifrado de dicha parte de dicho mensaje mediante dicha clave de cifrado vigente (K¡, Kqq); - y una unidad (13) para registrar en dicho mensaje (MSG) un identificador de clave (KeyID) que permite al receptor (2) seleccionar la clave de identificación vigente (K¿, , K¿, j) a partir de un conjunto predeterminado (26, 86) de claves de identificación disponibles (K¿, ... K¿s: K¿, , , ... K¿, , , , , , ), permitiendo dicho identificador de clave (KeyID) que dicho receptor (2) modifique la clave de identificación vigente (K¿, , K¿, j) de forma que dicha clave de identificación vigente (K¿, , K¿, j) se corresponda con la clave de cifrado vigente (K, , K, j), caracterizado porque dicho dispositivo de seguridad (3) incluye una unidad para cambiar (12) dicha clave de cifrado vigente (K, , K, j) que esta diseñada para seleccionar dicha clave (K, , K, j) a partir de un conjunto predeterminado (16, 76) de claves de cifrado disponibles (K1 ... K, , : K1, 1... K, , , , , , ) asociadas a dicho emisor (1) y que se corresponden con dicho conjunto predeterminado (26, 86) de claves de identificación disponibles (K¿, ... K¿s: K¿, , , ... K¿, , , , , , ), autorizando dicha unidad de cambio un cambio de clave cuando se envía cualquier mensaje o cualquier mensaje de un tipo dado.

Description

Dispositivos y métodos de seguridad para protección e identificación de mensajes.

La presente invención se refiere a la protección e identificación seguras de mensajes en una red, así como a los correspondientes dispositivos.

Para poder asegurar el flujo de mensajes en una red no segura, tanto sí dicho flujo se logra específicamente mediante emisiones de radio, por cable o a través de una red interna, el método convencional consiste en utilizar claves de cifrado, también denominadas claves de cifrado. En general, el transmisor de los mensajes dispone de dicha clave de cifrado y el receptor dispone de una correspondiente clave de identificación. Las claves pueden ser privadas o públicas, en función de las aplicaciones previstas. Por ejemplo, un transmisor utiliza un par de claves, de las cuales transmite una clave de cifrado pública, que hace posible cifrar mensajes, y mantiene para sí una clave de descifrado privada.

El cifrado de mensajes tiene dos tipos principales de aplicaciones:

-: autentificación de mensajes, para la cual se incorporan a los mensajes los resultados del cifrado en forma de firma; la clave de identificación puede ser tanto una clave de descifrado como una clave de cifrado;

-: cifrado de mensajes, para el cual los resultados del cifrado sustituyen a porciones del mensaje cifrado; la clave de identificación será una clave de descifrado.

En ambos tipos de aplicaciones resulta aconsejable reducir al mínimo los riesgos de interceptación y de descifrado fraudulento de los mensajes por parte de un tercero, o de falsificación mediante la inclusión fraudulenta de una firma. Por lo tanto, se han propuesto diversos sistemas para complicar las posibilidades de cifrado o descifrado no autorizados.

Así pues, se han desarrollado técnicas que permiten la modificación a intervalos regulares de las correspondientes claves de cifrado e identificación. Algunas de estas técnicas se basan en el envío de nuevas claves de identificación a través de la red de comunicaciones, haciendo que dichas claves sean difíciles de reconocer (por ejemplo, cifrando las claves), especialmente cuando estas últimas son claves privadas. No obstante, estas técnicas son vulnerables a la intercepción de las claves enviadas y su utilización, a pesar de las precauciones adoptadas. Además, cuando se efectúa el envío de una nueva clave, esta requiere su reconocimiento e instalación por el receptor, lo que probablemente vaya en detrimento de la eficacia de dicha clave.

El documento EP-0506637 describe un sistema para la validación y verificación de estaciones móviles pertenecientes a una red celular de comunicaciones por radio. El sistema incluye una clave fija y una clave modificable, a la que se denomina clave rodante, tanto en la red como en las estaciones móviles. Estas claves se aplican como entradas de un algoritmo de autentificación, y una comparación de las respuestas generadas por la red y en cada estación móvil permite la identificación de fraudes. La clave rodante se actualiza simultáneamente en la red y en la estación móvil en el momento de cada autentificación bilateral, en función de la información de autentificación histórica común a ambas.

La seguridad de los intercambios puede mejorarse de este modo debido a que las claves se modifican en intervalos regulares sin tener que desplazarse a través de la red. Sin embargo, un inconveniente de este tipo de sistemas es que requiere el cálculo de una nueva clave rodante al efectuar cada autentificación bilateral. Además, surgen problemas de falta de sincronización en presencia de una disfunción técnica, pudiendo de este modo inutilizar la autentificación. Para solventar este problema deben incorporarse mecanismos específicos, lo que complica los sistemas y genera el riesgo de reducir la fiabilidad de la autentificación.

La patente US-6105133 describe un sistema bilateral para autentificación y cifrado de las estaciones emisoras/receptoras. Los intercambios entre cualesquiera dos de estas estaciones están protegidos de forma segura mediante autentificación y cifrado, y mediante el uso de una clave de cifrado modificada en el momento de cada conexión entre dichas estaciones. Esta clave se calcula independientemente en cada una de las estaciones, basándose en el identificador de la otra estación, de los parámetros grabados de forma fija en ambas estaciones y de un valor de cambio comunicado desde una estación a la otra.

Esta técnica mejora la fiabilidad del sistema, permitiendo la modificación frecuente de la clave de cifrado, evitando la transferencia de esta clave a través de la red y garantizando la sincronización de las actualizaciones de las claves en las estaciones emisoras y receptoras. Sin embargo, cuando se efectúa cada actualización se requiere el cálculo de una nueva clave en el emisor y en el receptor. El tiempo requerido para estos cálculos podría perjudicar la rapidez en la ejecución de las operaciones tras la recepción de los mensajes. En particular, estos tiempos son la causa de un mal funcionamiento cuando los mensajes a descifrar y/o autentificar van seguidos de otro mensaje cuyo procesamiento requiere un conocimiento de los mensajes anteriores, y cuando el tiempo transcurrido entre los mensajes anteriores y los mensajes posteriores es insuficiente para adquirir dicho conocimiento.

La patente US-5301233 describe un método para la transmisión y recepción de programas personalizados. Cada programa consiste en elementos cifrados y contiene para cada uno de sus elementos un identificador del receptor previsto. Solamente este último está autorizado a acceder a los elementos correspondientes. Un mensaje de control de acceso permite al receptor reconstruir una palabra de control utilizada para el cifrado de los elementos previstos para ello. Este mensaje incluye, en particular, un "identificador de clave de servicio" y opcionalmente, una firma obtenida utilizando la clave de servicio identificada. Esta posible firma aplicada a la palabra de control hace posible estar seguro de la validez de dicha palabra, e ignorar el programa recibido si la respuesta fuese negativa. La técnica de identificación de clave, no especificada, se basa en un lote de información para la generación de claves, estando dicho lote incluido en el identificador de clave, abarcando este último, por ejemplo, tres octetos para una firma de ocho octetos (col. 5.1.42-52)

La patente US-5222137 se refiere a la selección dinámica de claves de cifrado para transmisiones de radio cifradas. Durante el funcionamiento, una radio que disponga de identificadores de clave y de las claves correspondientes se comunica con otras radios idénticas. Transmite y recibe señales cifradas que incluyen identificadores de clave descifrados. Antes de cada transmisión, la radio emisora selecciona automáticamente uno de los identificadores de clave y utiliza la clave de cifrado correspondiente para cifrar el mensaje a transmitir. Las radios receptoras determinan la clave de cifrado utilizada mediante el identificador de clave recibido y la utilizan para descifrar el mensaje. De este modo, se mejora el nivel de seguridad, ya que este método hace posible garantizar una protección dinámica de los contenidos, permitiendo la modificación de la clave utilizada en el momento de cada envío.

Sin embargo, esto requiere un volumen operativo y espacio en memoria suficientes para procesar cada uno de los mensajes recibidos. En aquellos casos en que la información deba estar disponible con rapidez, y cuando el tamaño de los mensajes puede ser importante, en particular en el caso del envío de servicios a receptores individuales, esta situación puede causar demoras, e incluso desencadenar los mecanismos de borrado de la memoria, lo cual puede tener como consecuencia pérdidas de información.

El documento WO-00179734 se refiere a un sistema y a un método para recibir, a través de una red, una transmisión originada desde una fuente de transmisión. Una de las principales novedades descritas es un anuncio que incluye una descripción de la sesión y, opcionalmente, una cabecera de autentificación, contando preferiblemente el anuncio de la sesión con un componente de autentificación e integridad.

No se determina ningún mecanismo específico para mejorar la fiabilidad del cifrado y de la autentificación.

En el artículo "A Security Analysis of the NTP Protocol Version 2" de Matt Bishop, Computer Security Applications Conference, 1990, Proceedings of the sixth annual Tucson, Ariz., USA 3-7 Dic. 1990, IEEE Comput. Soc., US, 3 Dic. 1990, pp. 20-29, ISBN: 0-8186-2105-2, se hace referencia a un procedimiento para proporcionar un servicio de tiempo preciso en Internet a través del protocolo Network Time Protocol [Protocolo de Tiempo de Red] (NTP), y describe específicamente unos mecanismos de seguridad adecuados. Más específicamente, se describen el mecanismo de autentificación de origen y el mecanismo de integridad de los paquetes. De acuerdo con ello, los mensajes de sincronización que se envían a través de la red desde un emisor a un receptor, ambos de la misma categoría, pueden incluir índices que hacen referencia a las claves y algoritmos de autentificación cuando se selecciona un modo de autentificación. Cada uno de ellos está asociado a una clave única o a ninguna. El emisor puede entonces utilizar, o bien esa clave facilitada en determinados casos, o la clave del receptor, en otros casos determinados, o de lo contrario, una clave por defecto dada, si la clave del elemento activo no estuviese disponible.

Dicho método de cambio de la clave predeterminada es bastante importante para la sincronización en Internet, pero carece de flexibilidad en otras ocasiones, especialmente, para la emisión de mensajes.

La solicitud de patente WO98/43431 describe un método para la descarga de datos desde diversas fuentes a un receptor/decodificador MPEG, en el cual las aplicaciones interactivas pueden descargarse y ejecutarse en él. El código de la aplicación está organizado de forma modular para cada aplicación, y el envío preliminar de una tabla de directorio permite especificar identificadores de tabla de los módulos. Esta tabla de directorio incluye también una firma cifrada, así como un identificador de clave correspondiente a una clave privada utilizada por la fuente emisora en cuestión para el cifrado de la firma. Dado que en el receptor/decodificador se almacenan múltiples claves públicas de cifrado, pueden crearse aplicaciones a partir de diferentes fuentes.

Esta descripción es interesante en el caso de los receptores que se adaptan flexiblemente a múltiples fuentes para autentificar los mensajes recibidos. Sin embargo, no se facilita ningún mecanismo para mejorar la fiabilidad de la autentificación para cada una de estas fuentes.

La presente invención se refiere a un dispositivo de seguridad para protección de mensajes destinados a ser enviados a través de una red, y basándose en el uso de una clave de cifrado modificable, el dispositivo de seguridad permite modificar dicha clave de forma flexible, sin que tenga que desplazarse a través de la red para sincronizar las actualizaciones de las claves en el emisor y en el receptor de los mensajes, y para ejecutar con gran rapidez los cambios de clave, al tiempo que permite también evitar demoras o requisitos de espacio de memoria perjudiciales.

Además, el dispositivo de la invención puede llevarse a cabo de forma económica, sin recurrir a algoritmos sofisticados para la actualización de las claves.

La invención hace también referencia a un dispositivo para identificación de los mensajes recibidos a través de una red, permitiendo beneficiarse de las ventajas citadas anteriormente.

La invención también es de aplicación a un emisor de mensajes que incluye uno o más dispositivos de seguridad de acuerdo con la invención, a un receptor de mensajes que incluye uno o más dispositivos de identificación de acuerdo con la invención, a un programa informático, a un mensaje, y a los correspondientes métodos de seguridad e identificación.

En los siguientes párrafos, las siguientes palabras tendrán los siguientes significados:

-: "autentificación" es un método relativo a una garantía del origen y de la integridad de los mensajes que se desplazan a través de la red, basándose en el uso de firmas digitales incluidas en los mensajes y generadas a partir de claves con anterioridad al envío de los mensajes.

-: "cifrado" es un método para sustituir un texto inteligible por un texto ininteligible, que no puede utilizarse según está.

-: "descifrado" es un método para sustituir un texto cifrado por un texto inteligible obtenido mediante la conversión del texto cifrado a su formato inicial.

-: "cifrado" es un método para obtener un texto cifrado a partir de un mensaje o de una porción de un mensaje, utilizándose este texto cifrado bien como sustitución de un texto inteligible (operación de cifrado) o como firma (autentificación).

-: "descifrado" es un método para reconstruir de forma parcial un texto inteligible a partir de un texto cifrado, bien para certificar el origen y la integridad del mensaje que contiene el texto (autentificación) o para sustituir el texto cifrado por un texto inteligible (operación de descifrado).

-: "aseguramiento" es un método para cifrar un mensaje o una parte de un mensaje, con fines de autentificación o cifrado,

-: "identificación" es un método para utilizar un texto cifrado recibido en un mensaje para identificar este mensaje, bien por su origen y su integridad (autentificación) o por su contenido (descifrado).

La invención se emplea, en general, en métodos de seguridad que utilizan firma electrónica/autentificación y/o utilizan sistemas de cifrado/descifrado. Se basa en el uso de claves de cifrado en la transmisión y de claves de cifrado y/o descifrado en la recepción, implementándose claves de descifrado para el descifrado y claves de descifrado y/o claves de cifrado para la autentificación.

Un ámbito preferido de aplicación de la invención es la televisión digital, especialmente para la emisión de datos audiovisuales, PSI (Program Specific Information [Información Específica de Programas]), SI (Service Information [Información de Servicio]), datos interactivos, datos de señalización o datos privados. Específicamente, ciertas redes de transmisión digitales y ciertas redes con canales de retorno, en especial redes terrestres y de microondas, son vulnerables a la piratería, y en especial, al spoofing, o la creación de tramas TCP/IP utilizando una dirección IP falseada. La piratería puede consistir en interceptar datos, modificarlos y transmitir e inyectar los datos modificados en la red. En especial, las aplicaciones útiles se refieren al comercio electrónico y al banco en ca-
sa.

A estos efectos, el objeto de la invención consiste en un dispositivo de seguridad para protección de mensajes destinados a ser enviados a través de una red desde un emisor al menos hasta un receptor que incluye medios para control de identificación de mensajes mediante una clave de identificación vigente modificable. Dicho dispositivo de seguridad incluye:

-: una unidad para controlar el cifrado de al menos una parte de cada uno de los mensajes, mediante una clave de cifrado vigente modificable,

-: una unidad para cambiar la clave de cifrado vigente diseñada para seleccionar esta clave a partir de un conjunto predeterminado de claves de cifrado disponibles asociadas a dicho emisor, autorizando esta unidad que efectúa el cambio un cambio de clave en el momento del envío de cualquier mensaje o de cualquier mensaje de un tipo determinado,

-: y una unidad para grabar en el mensaje un identificador de clave que permite al receptor seleccionar la clave de identificación vigente a partir de un conjunto predeterminado de claves de identificación disponibles correspondientes a este conjunto predeterminado de las claves de cifrado disponibles, permitiendo al receptor este identificadores de clave modificar la clave de identificación vigente, de forma que dicha clave de identificación vigente se corresponda con la clave de cifrado vigente.

El dispositivo de seguridad incluye medios de control para añadir a cada uno de los mensajes una firma consistente en el resultado del cifrado de esta parte del mensaje mediante la clave de cifrado vigente, y los mensajes son mensajes de anuncio de servicios.

La expresión "mensajes de anuncio de servicios" significa un mensaje enviado hacia un nivel superior dentro del marco de un servicio, facilitando información e instrucciones relativas al envío posterior de uno o más mensajes de este servicio. Estos últimos mensajes son portadores de contenidos ("mensajes de contenidos") o de instrucciones de ejecución inmediata ("activadores"). En formas ventajosas de la realización, el mensaje de anuncio de servicios incluye una cabecera en formato SAP (Session Announcement Protocol) y datos útiles en formato SDP (Session Description Protocol).

Las especificaciones ATVEF (es decir, de acuerdo con el Advanced Television Enhancement Forum Standard) facilitan la presencia opcional de un campo de autentificación en los mensajes de anuncio de servicios. Esto también se describe en el documento WO-00/79734.

Como se ha indicado anteriormente, la expresión "claves de identificación" designa claves de descifrado o cifrado que se asocian, respectivamente, con claves de cifrado utilizadas por el dispositivo de seguridad. Para el descifrado, el conjunto de claves de identificación es un conjunto de claves de descifrado, teniendo cada clave de descifrado la misma longitud que la clave de cifrado correspondiente utilizada para el cifrado.

Para la autentificación, este conjunto consiste en claves de descifrado, claves de cifrado o una combinación de ambos tipos de claves, generadas, respectivamente, a partir de las correspondientes claves de cifrado en la transmisión. Cada clave de identificación, y más especialmente, la clave de cifrado, utilizadas por el receptor tienen preferiblemente una longitud que es sustancialmente inferior a la de la clave de cifrado correspondiente utilizada por el dispositivo de seguridad para generar la firma. Específicamente, no es necesario descifrar ni reconstruir la firma en su totalidad: una coincidencia parcial es suficiente para garantizar la autenticidad del mensaje. De ese modo, las operaciones de autentificación se simplifican, y en el caso de las claves de autentificación consistentes en claves de cifrado, los riesgos de una producción fraudulenta de firmas se reducen al no emitirse las claves de cifrado completas utilizadas en la transmisión a los receptores.

El envío de un simple identificador es suficiente para obtener en el receptor precisamente la clave de identificación deseada en una forma casi instantánea. Este resultado se logra mediante una grabación previa de los dos conjuntos correspondientes de claves disponibles, respectivamente en la transmisión y en la recepción, y en el indexado de estas claves. Inesperadamente, la protección de la información transmitida no se basa, sin embargo, en el cifrado de los mensajes de contenidos, ni en la presencia de uno y del mismo conjunto de claves en sistemas idénticos de envío/recepción (radios), como en el caso del documento anterior US 5222137. El dispositivo de seguridad de la invención implementa, de hecho, un método de autentificación aplicado a mensajes de anuncio de servicios entre los dispositivos de envío y recepción, que pueden ser totalmente disimétricos.

El dispositivo de la invención resulta todavía más inesperado, debido a que los formatos utilizados en el mundo de la televisión interactiva, en especial en el caso de las normas ATVEF y MHP (Multimedia Home Platform) no soportan la posibilidad de integrar en los mensajes de anuncio de servicios un identificador de clave que permita calcular la firma del mensaje de anuncio. De este modo, en el ejemplo de ATVEF, el documento RFC (Request for Comment) en curso de elaboración, en relación con el Session Announcement Protocol, RFC 2974, estipula que es posible firmar los mensajes de anuncio de servicios calculando la firma en un mensaje de anuncio desprovisto de cualquier información relativa a su autentificación.

La norma MHP especifica por su parte la forma en que deben autentificarse las aplicaciones y los datos de transmisión, y la forma en que deben protegerse los datos transferidos a un canal de retorno. Sin embargo, no facilita ninguna autentificación de mensajes de señalización, cumpliendo estos últimos la función de mensajes de anuncio de servicio.

Por tanto, el dispositivo de la invención actúa fundamentalmente contrarrestando el conocimiento recibido sobre el asunto.

Esta solución hace que sea posible evitar, para el receptor, un margen innecesario para mensajes de un servicio anunciado, para mensajes de contenidos o para los del tipo activador, cuando este servicio no es válido. De este modo, los receptores son menos voluminosos y se ahorra un consumo superfluo de operaciones y espacio de memoria, sin comprometer la fiabilidad y la seguridad del sistema.

Además, el cifrado de los mensajes de contenidos permite una posibilidad adicional, que puede ser deseable en ciertos casos, pero que en la mayoría de las situaciones no es indispensable. Los costes de procesamiento y los costes de espacio de memoria, no sólo en relación con servicios no autorizados (mensaje de anuncio de servicios no autentificado), sino también en relación con servicios validados, se evitan en ausencia de dicho cifrado.

El dispositivo de la invención autoriza un cambio de clave en el momento del envío de cualquier mensaje o de cualquier mensaje de un tipo dado. En una primera forma de indicación de claves se adjunta el identificador de clave a cualquier mensaje que pueda ser objeto de una modificación de su clave. La clave correspondiente a este indicador en la recepción se selecciona sistemáticamente de acuerdo con el identificador, y se utiliza con fines de identificación. En una segunda forma de identificación de claves, el identificador de clave se complementa mediante un indicador binario de modificación de claves. En el momento de la recepción, la clave de identificación vigente se mantiene en memoria hasta que el indicador de cambio de clave señala un cambio de la clave. En una tercera forma de identificación de claves, el identificador de clave se especifica únicamente en el caso de un cambio efectivo de la clave. De lo contrario, el identificador de clave se sustituye por un valor por defecto (por ejemplo 0), señalando que la clave previamente utilizada sigue siendo válida. Esta tercera forma económica es beneficiosa en el caso de enviarse mensajes a un grupo de receptores que siempre se encuentran a la escucha de mensajes y no pierden ninguno. En particular, es de aplicación al multicasting a través de la web.

El identificador de clave puede determinarse de varias formas tanto en lo que respecta a la frecuencia de cambio como a la selección de clave realizada. De este modo, en una primera forma de cambio, el identificador de las claves se cambia cuando así lo solicite un usuario a lo largo de una transmisión, el cual puede así determinar tanto las veces que se producen cambios como las nuevas claves seleccionadas. En una segunda forma de cambio, el identificador de cambios se modifica periódicamente de acuerdo con un período seleccionado por el usuario, y el nuevo identificador se obtiene de manera aleatoria. En una tercera forma de cambio, el identificador se modifica de acuerdo con un conjunto de valores predeterminados en unos momentos elegidos de manera aleatoria, pero separados por duraciones que oscilan entre una duración mínima y una duración máxima. En la segunda y en la tercera formas de cambio, resulta preferible que el usuario emplee el sistema a fin de poder modificar la clave vigente en cualquier forma y en cualquier momento.

Las claves, en el momento de la transmisión y de la recepción pueden ser privadas o públicas. Preferiblemente, las claves, en el momento de la transmisión, son privadas, a fin de garantizar la identidad de la parte transmisora, siendo ventajosas las claves públicas en la recepción. Adicionalmente, en el caso de una seguridad suplementaria que utilice encriptación de posteriores mensajes de contenidos del servicio, las claves en el momento de la recepción para este cifrado son preferiblemente privadas, a fin de garantizar la confidencialidad de los mensajes.

Preferiblemente, la unidad de control de cifrado invoca una librería de cifrado, en la cual se almacenan las claves de cifrado disponibles.

El conjunto predeterminado de claves de identificación disponibles es preferiblemente un conjunto de claves de descifrado.

Además, preferiblemente, la parte del mensaje a cifrar consiste en el mensaje completo menos la firma, incluyendo el identificador de clave. De este modo, la autentificación corresponde no sólo a la identidad de la parte transmisora y a los datos útiles del mensaje, sino también más en general a toda la información recogida en el mensaje, incluyendo la elección de la clave de identificación y cualquier parámetro operativo respecto al receptor.

En una forma ventajosa de realización, el dispositivo de seguridad de la invención puede codificar los mensajes, aplicándose esta funcionalidad preferiblemente a los mensajes de contenidos posteriores a los mensajes autentificados de anuncio de servicios. Por lo tanto, resulta beneficioso para la clave de cifrado que se identifique de acuerdo a un modo similar al empleado para la autentificación de los mensajes de anuncio de servicios. Preferiblemente, cada uno de los mensajes a cifrar incluye una cabecera y unos datos útiles, estando diseñada la unidad de control de cifrado para controlar:

-: el cifrado de la parte del mensaje a cifrar mediante una clave vigente de cifrado, incluyendo esta parte al menos una porción de datos útiles,

-: y una sustitución en el mensaje de esta parte mediante información cifrada consistente en el resultado del cifrado de esta parte mediante la clave vigente de cifrado.

En una variante de este tipo de realización se realiza de la forma siguiente un cifrado a dos niveles de los mensajes del servicio a cifrar posteriores a los mensajes autentificados de anuncio de servicios:

-: cifrado con una clave de cifrado vigente seleccionada a partir de un primer conjunto de claves disponibles,

-: firma con una clave vigente de autentificación seleccionada a partir de un segundo conjunto de claves disponibles, aplicándose preferiblemente el cifrado para la autentificación de todo el mensaje menos la firma, incluyendo la parte cifrada.

De acuerdo con un tipo preferido de realización, los mensajes de anuncio de servicios se seleccionan al menos entre los mensajes de anuncio ATVEF y/o mensajes de anuncio del sistema.

Cada mensaje de anuncio ATVEF de un servicio va seguido al menos por un mensaje de contenidos HTTP (de acuerdo con el método Hyper-Text Transfer Protocol), y después por uno o más activadores del servicio. Los mensajes de anuncio del sistema de un servicio, generalmente privados y del tipo multicast, van seguidos por su parte por un archivo binario del servicio. Los últimos mensajes de anuncio tienen preferiblemente una forma similar a la de los mensajes de anuncio ATVEF. Una descripción detallada correspondiente al uso de mensajes de anuncio de servicios distintos de los mensajes de anuncio ATVEF pueden encontrarse en la solicitud de patente europea presentada el 23 de octubre de 2000, bajo el número de expediente 00402921.1 y su extensión PCT, bajo el número de expediente EP/01/12333.

Cada uno de los mensajes de anuncio de servicio tiene un campo de autentificación de longitud variable, estando la unidad de grabación preferiblemente diseñada para grabar el identificador de clave en este campo de autentificación. Esta realización es ventajosa debido a su simplicidad, dado que permite una utilización muy flexible de un campo ya incluido en el mensaje de anuncio de servicio, sin necesidad de tener que añadir un campo específico.

En un tipo preferido de aplicación distinto de la ATVEF y de los mensajes de anuncio del sistema, los mensajes de anuncio de servicios se eligen al menos entre los mensajes de señalización MHP.

De acuerdo con un primer modo de reconocimiento de claves, cada uno de los identificadores de clave está asociado con una determinada de las claves de cifrado disponibles y con una determinada de las claves de identificación disponibles correspondientes a esta clave de cifrado.

Las claves que se van a utilizar en el momento de la recepción se facilitan una a una a través del identificador de clave seleccionado. Esta realización permite garantizar con rapidez el origen y la integridad del mensaje.

De acuerdo con un segundo modo de reconocimiento de claves, cada uno de los identificadores de clave está asociado a un bloque determinado de claves de cifrado, de entre el conjunto disponible de claves de cifrado, y con un bloque determinado de claves de identificación correspondiente, respectivamente, a las claves de cifrado de entre el conjunto de claves de identificación disponibles.

El identificador de clave seleccionado no permite por tanto al receptor conocer inmediatamente la clave de identificación a utilizar. Tiene que realizar pruebas sucesivas con diferentes claves del bloque deseado hasta que se alcanza la clave apropiada. Este tipo de realización ofrece por tanto una protección adicional contra la piratería, con la contrapartida de una mayor complejidad y una mayor duración de la autentificación o descifrado.

Ventajosamente, la unidad de registro está diseñada para seleccionar el identificador de clave entre un número de valores (posiblemente correspondientes a claves o a bloques de claves) que oscila entre 8 y 12, y que preferiblemente es igual a 10. En otras realizaciones que garantizan una mayor seguridad, este número de valores asciende a 256 (codificación de identificador de 1 octeto) o incluso 65536 (codificación de 2 octetos).

Adicionalmente, las claves se pueden actualizar preferiblemente en el momento de la transmisión y de la recepción. Por ejemplo, el conjunto de claves de identificación está diseñado para ser modificado a distancia, mediante la conexión de receptores a servidores, la identificación de los receptores y una recuperación segura de una tabla de claves de identificación a través de la red.

La invención también es de aplicación a un transmisor de mensajes. De acuerdo con la invención, dicho transmisor incluye al menos un dispositivo de seguridad de acuerdo con cualquiera de los tipos de realización de la invención, y está preferiblemente diseñado para enviar los mensajes mediante difusión general.

La expresión "transmisión" designa la transmisión de datos idénticos a un conjunto de destinos, independientemente de que se realice mediante difusión general por radio, cable o Internet.

La invención también es de aplicación a un dispositivo para identificación de los mensajes recibidos a través de una red, incluyendo cada uno de los mensajes una parte cifrada mediante una clave de cifrado vigente modificable. Este dispositivo de identificación incluye:

-: una unidad de control de identificación de la parte cifrada mediante una clave de identificación vigente modificable,

-: y una unidad para extraer de este mensaje un identificador de clave que permite seleccionar la clave de identificación vigente a partir de un conjunto predeterminado de claves de identificación disponibles correspondientes a un conjunto predeterminado de claves de cifrado disponibles, de forma que esta clave de identificación vigente corresponde a la clave de cifrado vigente.

La unidad de control de identificación es una unidad para control de autentificación de la parte cifrada, siendo dicha parte cifrada una firma vigente, y los mensajes, mensajes de anuncio de servicios.

Además, el dispositivo de identificación cumple la reivindicación 13 o la reivindicación 14.

Este dispositivo para identificación de mensajes es preferiblemente capaz de identificar los mensajes protegidos de forma segura mediante cualquiera de los tipos de realización de un dispositivo de seguridad de acuerdo con la invención.

La invención también es de aplicación a un receptor de mensajes. De acuerdo con la invención, este receptor incluye al menos un dispositivo de identificación de acuerdo con cualquiera de los tipos de realización de la invención. Asimismo, este receptor está preferiblemente diseñado para recibir los mensajes originados desde un transmisor de mensajes de acuerdo con la invención.

El objeto de la invención lo constituye también un programa informático. De acuerdo con la invención, este programa incluye también funcionalidades para llevar a cabo las unidades del dispositivo de seguridad para protección de mensajes o del dispositivo para identificación de mensajes, de acuerdo con cualquiera de los tipos de realización de la invención.

La expresión "programa informático" significa un medio que contenga un programa informático, que puede consistir no sólo en un espacio de almacenamiento que incluya el programa, como un disco o una cassette de cinta, sino también una señal, como una señal eléctrica u óptica.

Además, la invención se refiere a un mensaje de anuncio de servicios a enviar a través de una red al menos a un receptor. Este mensaje incluye:

-: al menos una parte cifrada mediante respectivamente al menos una clave de cifrado vigente modificable,

-: y al menos un identificador de clave que permita respectivamente que al menos una clave de identificación vigente se seleccione a partir de, al menos, un conjunto predeterminado de claves de identificación disponibles, permitiendo la clave de identificación vigente identificar la parte cifrada, respectivamente.

La parte cifrada es una firma. Además, dicho mensaje incluye también un indicador binario de modificación de claves que complementa al identificador de clave, lo que permite señalar un cambio de clave de forma que la clave de identificación vigente pueda mantenerse en memoria hasta que el identificador de modificación de claves señale un cambio de clave.

Este mensaje se obtiene preferiblemente mediante un dispositivo de seguridad para protección de mensajes, y está previsto, preferiblemente, para un dispositivo de identificación de mensajes de acuerdo con cualquiera de los tipos de realización de la invención.

Otro aspecto de la invención es un método de seguridad para protección de mensajes destinados a ser enviados a través de una red desde un emisor a al menos un receptor, que incluye medios de control de la identificación mediante una clave de identificación vigente modificable. El método de seguridad incluye:

-: una etapa de selección de una clave de cifrado vigente de entre al menos un conjunto predeterminado de claves de cifrado disponibles asociadas a dicho emisor, lo que permite cifrar al menos una parte de cada mensaje autorizándose un cambio de clave en el momento del envío de cualquier mensaje o de cualquier mensaje de un tipo determinado,

-: una etapa de grabación de un identificador de clave en este mensaje, que permite que el receptor seleccione la clave de identificación vigente a partir de un conjunto predeterminado de claves de identificación disponibles

La etapa de cifrado consiste en generar una firma de esta parte, y los mensajes son mensajes de anuncio de servicios.

Este método de seguridad para protección de mensajes se implementa preferiblemente mediante un dispositivo de seguridad de acuerdo con cualquiera de los tipos de realización de la invención.

La invención hace también referencia a un método para identificación de los mensajes recibidos a través de una red, incluyendo cada uno de dichos mensajes una parte cifrada mediante una clave de cifrado vigente modificable. Este método de identificación incluye:

-: una etapa para extraer un identificador de clave de este mensaje mediante el cual se selecciona una clave de identificación vigente a partir de un conjunto predeterminado de claves de identificación disponibles, correspondiendo la clave de identificación vigente a la clave de cifrado vigente,

-: y una etapa de identificación de la parte cifrada mediante la clave de identificación vigente.

La parte cifrada es una firma, y los mensajes son mensajes de anuncio de servicios.

Asimismo, el método de identificación cumple lo establecido en la reivindicación 19 o la reivindicación 20.

Este método para identificación de mensajes se implementa preferiblemente mediante un dispositivo para identificación de mensajes de acuerdo con cualquiera de los tipos de realización de la invención.

La invención se entenderá e ilustrará mejor mediante las siguientes realizaciones e implementaciones facilitadas a modo de ejemplo, que no son limitativas en modo alguno, haciendo referencia a las figuras adjuntas, en las cuales:

La figura 1 es un diagrama básico que muestra un transmisor y un receptor de mensajes de acuerdo con la invención, implementando una primera forma de selección de claves.

La figura 2 representa en mayor detalle una primera forma de realización del transmisor de la figura 1, utilizable para la autentificación.

La figura 3 muestra el contenido de un servicio ATVEF, mensaje de anuncio que contiene un campo de autentificación que es enviado por el transmisor de la figura 2.

La figura 4 detalla el contenido del campo de autentificación de la figura 3.

La figura 5 muestra el contenido de una versión intermedia del mensaje generado por el transmisor de la figura 2, con el campo de autentificación relleno.

La figura 6 muestra un conjunto de emisores del tipo radiotransmisor, controlado por un servidor central, que afecta a los transmisores de acuerdo con el de la figura 2.

La figura 7 muestra en mayor detalle una primera forma de realización del receptor de la figura 1, utilizable para la autentificación de mensajes del servicio ATVEF en combinación con el transmisor de la figura 2, pero también en particular para la autentificación de mensajes de servicio del sistema y para descifrado.

La figura 8 muestra en mayor detalle una segunda forma de realización del transmisor de la figura 1, utilizable para un cifrado de autentificación combinado.

La figura 9 muestra el contenido de un mensaje de anuncio de servicios ATVEF que contiene un campo de autentificación y un campo de cifrado, que es enviado por el transmisor de la figura 8.

La figura 10 muestra a través de un diagrama una librería de firmas, implementando una segunda forma de selección de claves con bloques de claves que se utiliza como una variante en el transmisor de la figura 1.

La figura 11 muestra a través de un diagrama una librería de autentificación con bloques de claves correspondientes a la librería de la figura 10, que se utiliza como una variante en el receptor de la figura 1.

La figura 12 muestra el contenido de una variante de un mensaje de anuncio de servicios ATVEF que contiene un campo de autentificación que es enviado por el transmisor de la figura 2.

La figura 13 detalla el contenido del campo de autentificación de la figura 12.

Se considera que las figuras forman una parte integrante de la descripción.

En las figuras, los elementos idénticos o similares están designados mediante las mismas referencias. Además, las entidades funcionales descritas y mostradas no corresponden necesariamente a entidades físicamente distintas de los sistemas, sino que pueden consistir, por ejemplo, en funcionalidades del mismo elemento de software o de los circuitos del mismo componente.

En las figuras 3 a 5, 9, 12 y 13, los números indicados facilitan en bits las distribuciones de los campos en los mensajes representados. Además, los sufijos A y C se utilizan para designar entidades de autentificación, el sufijo B para entidades de cifrado, y el sufijo A' para entidades de autentificación con posterioridad al cifrado.

Un conjunto de transmisión y recepción incluye (Figura 1) uno o más transmisores 1 de mensajes MSG a través de una red 5 a uno o más receptores 2. En el ejemplo que se describe a continuación, la red 5 es una red de transmisión de emisiones unidireccionales, y nos concentramos en el servidor de transmisión (asociado al transmisor 1) que efectúa envíos a una pluralidad de clientes (asociados, respectivamente a los receptores 2). Con fines de aclaración, nos concentramos tan sólo en uno de los transmisores 1 y en uno de los receptores 2.

Muy esquemáticamente, el emisor 1 tiene capacidad para recibir un mensaje M0 y transformarlo en un mensaje MSG para su envío, añadiendo varios elementos de información para su transmisión a través de la red 5 y para la lectura del mensaje MSG y de los posibles mensajes posteriores por parte de los receptores correspondientes 2. A su vez, el receptor 2 tiene capacidad para extraer el contenido válido del mensaje MSG recibido, representado por el mensaje M0. El mensaje M0 es preferiblemente un mensaje de tipo particular (mensaje de anuncio de servicios) según se describe más adelante en mayor profundidad, no procesando ni el emisor 1 ni el receptor 2 todos los tipos de mensajes en la misma forma.

El emisor 1 incluye en particular (Figura 1) varios elementos para realizar esta transformación del mensaje M0 y en particular:

-: una unidad 14 para grabar permisos, que está diseñada para insertar identificadores de permisos PERM en los mensajes M0; estos identificadores PERM permiten transmitir instrucciones de control al receptor 2 para acceder a diversas funcionalidades de este último;

-: un dispositivo 3 para garantizar la protección de los mensajes, definir modos coherentes de cifrado (firma o cifrado) de al menos una parte del mensaje M0 para el lanzamiento de este cifrado e inserción de información para utilizar las partes cifradas dirigidas al receptor 2 en el mensaje M0; en el ejemplo elegido, la unidad de grabación 14 se encuentra antes que el dispositivo de seguridad 3, en el emisor 1; como variantes, sus posiciones están invertidas o al menos uno de estos dos subconjuntos se encuentra antes del emisor 1;

-: y una librería de cifrado 15, por ejemplo, una librería de enlaces dinámicos o DLL (dynamic link library), que incluye un módulo de cifrado 17; por convención, esta librería 15 está asignada al emisor 1, aunque en la práctica puede consistir en un programa al que simplemente puede acceder el emisor en el sentido estricto.

Más exactamente, la librería de cifrado 15 cuenta con una tabla indexada 16 de claves cifradas K_{1}, K_{2}, .... K_{n}, estando diseñado el módulo de cifrado 17 para realizar el cifrado de acuerdo con una de las claves de cifrado K_{i} como una función de instrucciones facilitadas por el dispositivo de seguridad para protección de mensajes 3. Además, esta última incluye:

-: una unidad de control de cifrado 11 capaz de lanzar el módulo de cifrado 17, comunicando la información necesaria, en particular la relacionada con la elección de la clave de cifrado K_{i} a utilizar;

-: una unidad 12 para el cambio de la clave vigente, haciendo posible la modificación de la clave vigente K_{i} a utilizar enviando la información correspondiente a la unidad de control de cifrado 11; esta unidad 12 se basa, por ejemplo, en modificaciones aleatorias (tanto en lo referente a las ocurrencias como a los valores elegidos) de la clave K_{i} vigente, con la posibilidad de una intervención directa por parte de un usuario;

-: y una unidad 13 para la inserción en el mensaje M0 de un identificador de clave KeyID, lo que hace posible indicar al receptor 2 la clave de cifrado vigente K_{i} elegida; en el ejemplo presentado, esta unidad de inserción 13 realiza rutinariamente la inserción del identificador de clave KeyID en el mensaje M0 del tipo correspondiente.

Igualmente, el receptor 2 incluye, en particular:

-: una unidad 24 para leer los identificadores de permisos PERM incluidos en el mensaje MSG recibido;

-: un dispositivo 4 para identificación de mensajes para definir los modos de identificación correspondientes (mediante descifrado/cifrado para autentificación o descifrado) de la parte cifrada del mensaje MSG y para lanzar esta identificación;

-: y una librería de identificación 25 que incluye un módulo de identificación 27, asignado por convención al receptor 2.

Más exactamente, la librería de identificación 25 cuenta con una tabla indexada 26 de identificación de claves K'_{1}, K'_{2}, .... K'_{n}, correspondiente una a una a las claves cifradas K_{1}, K_{2}, .... K_{n} de la librería de cifrado 15. El módulo de identificación 27 está diseñado para realizar la identificación de acuerdo con una de las claves de identificación K'_{i} como una función de instrucciones facilitadas por el dispositivo de identificación de mensajes 4. Además, este último incluye:

-: una unidad de control de identificaciones 21 capaz de lanzar el módulo de identificación 27 comunicando la información necesaria, en especial la relativa a la elección de la clave de identificación K'_{i} a utilizar; y

-: una unidad 23 para extraer del mensaje MSG el identificador de clave KeyID facilitando la clave de identificación vigente K'_{i} elegida en correspondencia con la clave vigente cifrada K'_{i} del emisor 2.

El breve resumen facilitado anteriormente es esencialmente funcional, y se centra exclusivamente en características específicas, junto con un dispositivo específico para la protección e identificación de los mensajes de forma segura. El emisor 1 puede incluir en realidad diferentes dispositivos de seguridad, como el de la referencia 15, posiblemente en combinación. Por ejemplo, la protección segura de los mensajes combina cifrado y firma y/o se aplican, respectivamente, dispositivos distintos a varios tipos de mensajes. De igual modo, el receptor 2 puede incluir varios dispositivos de identificación. Estas posibilidades serán más evidentes a la luz de los ejemplos de realizaciones específicas que se facilitan a continuación.

Un primer tipo de realización del emisor 1, referencia 1A (Figura 2) se aplica a la autentificación. En esta realización, el emisor 1A somete únicamente los mensajes de anuncio de servicios M0 a las operaciones para proteger de forma segura e insertar los identificadores de permisos PERM, no estando sujeto a ello los otros tipos de mensajes (tales como mensajes de contenido y accionamiento). Los mensajes de anuncio de servicios en cuestión son, a título informativo, mensajes de anuncio ATVEF o mensajes de anuncios del sistema, teniendo estos dos tipos de mensajes una estructura similar en los ejemplos estudiados. Los mensajes MSG producidos, denominados MSG-A, están sujetos a su emisión a través de la red 5.

En el ejemplo presentado, las claves de cifrado K_{i} (claves de firma) son además claves privadas, y las claves de identificación K'_{i} (claves de autentificación) son claves públicas que pueden distribuirse a los clientes, incluyendo posiblemente su distribución a través de la red 5 (en este caso, la transmisión está preferiblemente protegida de forma segura). Como ejemplo más específico, las claves de firma K_{i} tienen 596 octetos cada una, y las claves de identificación K'_{i} son claves de descifrado de 148 octetos cada una, creándose respectivamente estas claves a partir de las claves de firma K_{i} y transfiriéndose a fin de que residan en el domicilio de los clientes. Las tablas indexadas 16 y 26 de claves de firma y autentificación, respectivamente, pueden incluir cada una, por ejemplo, 10 claves correspondientes.

El emisor 1A incluye esencialmente:

-: un sistema de control del servidor 31, con la referencia 31A, que incluye la unidad 12 para el cambio de la clave vigente, la unidad 13, para la inserción del identificador de clave KeyID y la unidad 14 para la inserción de los identificadores de permisos PERM. Este sistema de control 31A está diseñado para recibir el mensaje M0 desde una fuente de información 10 y para generar un mensaje M1, que contenga el identificador de clave KeyID para autentificación marcado como KeyID[SGN] y los identificadores de permiso PERM, pero sin firma.

-: un servidor de emisiones 32A que incluye en particular una unidad de control 37 que controla el funcionamiento de todos los elementos del servidor 32A (enlaces no representados en la Figura 2 para mayor simplicidad) y una base de datos 33 diseñada para recopilar los mensajes M1 originados desde el sistema de control 31A; este servidor de emisiones 32A tiene por objeto transformar el mensaje M1 en el mensaje MSG-A;

-: y la librería de cifrado 15 en forma de una librería de autentificación 15A.

El servidor de emisiones 32A incluye también dos módulos que actúan sucesivamente en el mensaje M1: un módulo de conclusión 35 y un módulo de encapsulado 36; el módulo de conclusión 35, que incluye la unidad de control de cifrado 11 en forma de una unidad de control de autentificación 11A es responsable de la grabación de información complementaria (direcciones de Internet, puertos, etc.) en el mensaje M1, a fin de producir un mensaje M2 y de invocar a la librería de autentificación 15A a fin de generar una firma SGN e integrarla en el mensaje M2, produciéndose así un mensaje M3. La presencia del identificador de clave de autentificación KeyID[SGN] en el mensaje M2 enviado a la librería 15A permite a esta última seleccionar inmediatamente la clave K_{i} deseada, a fin de generar la firma SGN. Ventajosamente, la clave de cifrado vigente K_{i} se mantiene en memoria de la librería 15A.

La subcontratación de la firma por parte del servidor de emisiones 32A a la librería 15A, así como la posible inserción de la clave vigente K_{i} en la librería 15A en lugar de hacerlo en el servidor 32A permite a este último retener un carácter de naturaleza general. Además, permiten al sistema de control 31A y a la librería 15A retener conjuntamente el control de las operaciones relativas a los identificadores de clave KeyID[SGN] y los identificadores de permisos PERM. Además, la adición de la firma SGN al final de la cadena, justo antes de la emisión por el servidor de emisiones 32A, es beneficioso, dado que este último puede recibir señales de numerosos clientes sin necesidad de duplicar la librería de firmas 15A y las claves de cifrado K_{i}, pudiéndose centralizar la modificación del identificador de clave KeyID[SGN]. Además, en caso de compresión y/o cifrado, la firma se efectúa con posterioridad a estas operaciones.

La firma SGN se calcula preferiblemente para todo el mensaje de anuncios M2, incluyendo la cabecera (que contiene en especial los identificadores KeyID[SGN] y PERM) y los datos útiles, haciendo posible detectar en particular cualquier modificación externa de los datos relativos a la clave de firmas vigente KeyID[SGN] (para autentificación por parte de los clientes) y a los permisos.

El módulo de encapsulado 36 tiene por objeto transformar el mensaje de anuncios M3 mediante el desmenuzamiento y adición de capas para su transporte a través de la red 5. En el ejemplo presentado, el módulo 36 genera paquetes IP (Internet Protocol) con capas UDP (Unidirectional Data Protocol)/IP/SLIP (serial line IP). Para mensajes de contenidos, el módulo 36 utiliza antes los formatos UHTTP (unidirectional hypertext transfer protocol) y MIME (multipurpose internet mail extensions).

El mensaje MSG-A así firmado permite a cada uno de los clientes verificar la autenticidad de los servicios prestados: si el cliente reconoce la firma SGN como válida, abre canales de escucha (sockets) para los mensajes de contenidos y posiblemente los accionadores que tienen que seguir. En el caso contrario, el cliente se niega a tener en cuenta el mensaje de anuncio MSG-A. Para autentificar la firma SGN, el cliente utiliza el identificador de clave KeyID[SGN] que le permite seleccionar inmediatamente la clave de identificación K'_{i} adecuada en la librería de identificación correspondiente 25 (librería de autentificación). De este modo, puede decidir rápidamente si abre o no los sockets, evitando así la pérdida de la totalidad o de una parte de los paquetes de contenido que llegan con posterioridad. Por ejemplo, cuando un primer paquete de contenido se emite 500 ms después del mensaje de anuncio, es absolutamente esencial que se hayan llevado a cabo durante este período de tiempo todas las operaciones de verificación de firmas y de apertura de sockets.

A continuación se muestra una implementación específica del emisor 1A. En este ejemplo, los mensajes de anuncio MSG-A del tipo ATVEF se emiten a través de una dirección IP multicast 224.0.1.113, puerto 2670, y las del tipo de sistema a través de una dirección IP multicast 235.0.1.113, puerto 32670. Cada uno de los mensajes MSG-A (Figura 3) consiste en una cabecera en formato SAP denominado SAP-A y unos datos útiles en formato SDP. La cabecera SAP-A incluye los siguientes campos:

-: versión V de SAP (3 bits, V = 1)

-: ARTEC (5 bits) compuesto por 5 elementos:

-: tipo de dirección A (0 para el protocolo IPv4, 1 para el protocolo IPv6);

-: campo reservado R (0);

-: tipo de mensaje T (0 para un paquete de anuncio de sesión, 1 para un paquete de borrado de sesión);

-: campo de cifrado E (para "Cifrado": 0 para SDP no cifrado, 1 para SDP cifrado);

-: compresión C (0 para datos útiles no comprimidos, 1 para datos útiles comprimidos);

-: longitud L-AUTH (valor no firmado de 8 bits) en un campo de autentificación AUTH denominado AUTH-A e insertado inmediatamente antes del SDP, y expresado como un número de palabras de 32 bits;

-: un identificador hash (algoritmo de protección utilizado por Internet para las firmas digitales) MSG ID HASH (en 16 bits), teniendo que cambiar el valor hash cada vez que se modifica un campo del SDP; cuando este identificador es igual a 0, el cliente deberá someter el SDP a un análisis sintáctico (parsing);

-: una dirección IP denominada ORIG (1 palabra de 32 bits) del emisor 1A, y por lo tanto del servidor de emisiones 32A; esta dirección puede fijarse en 0.0.0.0 para un valor cero del identificador hash y en ausencia de paso a través de un servidor obligatorio (proxy);

-: y el campo de autentificación AUTH-A, cuya longitud viene determinada por el parámetro L-AUTH.

El campo de autentificación AUTH-A (figura 4) incluye no solamente un campo de firma SGN de 128 octetos (dimensiones elegidas en función de las limitaciones del sistema), sino también una cabecera de autentificación específico denominado ENT-A que ocupa 4 octetos y que incluye los siguientes sub-campos:

-: versión V del protocolo utilizado (3 octetos, V = 1);

-: un indicador de octetos de relleno P (1 bit), que sirve para señalizar la posible presencia de octetos de relleno para culminar en un campo de autentificación con una longitud total equivalente a un múltiplo de palabras dobles (palabras de 32 bits); en el caso que nos ocupa, P = 0 (ausencia de octetos de relleno) debido a que el campo de autentificación tiene una longitud total de 132 octetos;

-: tipo de autentificación utilizada TYPE (4 bits); en este caso, TYPE = 0 (formato PGP, que significa Pretty Good Privacy);

-: indicadores de permiso PERM (8 bits);

-: campo reservado para su uso en el futuro (8 bits);

-: identificadores de clave KeyID[SGN] (8 bits).

Por lo tanto, la cabecera ENT-A contiene dos octetos que resultan especialmente útiles para los clientes: los de los campos KeyID[SGN] y PERM, que permiten respectivamente a los clientes determinar inmediatamente la clave de autentificación correcta K'_{i} y determinar los permisos apropiados en relación con los posteriores mensajes del servicio (mensajes de contenido y accionadores).

En el ejemplo presentado, el octeto disponible para los indicadores de permiso PERM se utiliza en forma de una máscara de ocho valores. Los indicadores de permiso PERM se refieren a los accesos a las diferentes funciones relativas a los denominados recursos críticos del receptor 2 (los valores de autorización se indican antes en notación hexadecimal):

-: 0x0001: acceso a un módem del receptor 2 para iniciar una conexión a un servidor en línea de un operador de servicios asociado al emisor 1;

-: 0x0002: acceso a un módem del receptor 2 para iniciar una conexión a un servidor en línea de cualquier operador de servicios;

-: 0x0004: utilización de una conexión segura a un servidor en línea;

-: 0x0008: acceso a un disco duro del receptor 2 para leer datos o escribir datos en él permanentemente;

\newpage

-: 0x00010: acceso a una memoria flash del receptor 2 para leer datos o escribir datos en ella permanentemente;

-: 0x00020: acceso a una tarjeta chip del receptor 2 para leer datos o escribir datos en ella permanentemente;

-: 0x00040: acceso a un sintonizador del receptor 2 para modificar la estación vigente.

En una variante de realización, el octeto disponible para los permisos se utiliza en forma de una tabla con 256 entradas, correspondiendo cada una de las entradas a un único nivel de permiso. Como en el ejemplo anterior, se obtienen ocho permisos que pueden combinarse entre sí.

El número de permisos puede ampliarse sin dificultad, especialmente incorporando el campo reservado de un octeto al campo de permiso (cambio a dieciséis permisos) y/o asignando dos palabras dobles en lugar de una a la cabecera ENT-A del campo de autentificación AUTH-A.

Durante la operación, el sistema de control 31 añade una cabecera en el formato SAP al mensaje de anuncio de servicios M0, integrando en él específicamente los indicadores de permiso PERM para este servicio y, posiblemente, un identificador de clave KeyID[SGN] (este último es configurable por el sistema de control 31, pero por defecto viene determinado por la librería 15A). La longitud L-AUTH del campo de autentificación AUTH-A se fija en una doble palabra (L-AUTH = 1) de tal forma que se registre en él la cabecera ENT-A sin la firma SGN. El mensaje M1 obtenido (figura 5) contendrá entonces en el campo de autentificación AUTH1 (reducido a una cabecera ENT1) dla cabecera en el formato SAP (denominado SAP1) tan sólo los indicadores de permiso PERM y un campo reservado inicializado a cero. Este mensaje se recibe en la base de datos 33 del servidor de transmisión 32A.

El módulo de conclusión 35 verificará a continuación si se encuentra presente la cabecera SAP1 (de lo contrario, lo añadirá sin firma), registra en M1 la información complementaria necesaria (lo que se denomina parcheo del SDP con direcciones y puertos de los mensajes de contenidos y accionadores) e invoca la librería 15A, pasando como argumentos una memoria tampón que contiene el mensaje M1 y el tamaño de la memoria intermedia.

La librería 15A lleva a cabo las siguientes operaciones:

-: verificación de la presencia de los indicadores de permiso PERM; si se encuentran presentes, las operaciones continuarán normalmente; de lo contrario, se devolverá al servidor de transmisión 32A con un código de error; en una versión mejorada, si los indicadores de permiso PERM estuviesen ausentes, se asignará una máscara predeterminada.

-: verificación de sí el mensaje de anuncio de servicios M1 ya está firmado; en ese caso, devolución al servidor de transmisión 32A;

-: de lo contrario, actualización de la longitud L-AUTH a 132 octetos (0x21 palabras dobles), adición y actualización de la cabecera ENT-A del campo de autentificación AUTH-A, cálculo (con L-AUTH=1) e inclusión en la memoria intermedia de la firma SGN y actualización del tamaño de la memoria intermedia, determinándose la firma SGN a partir dla cabecera SAP1 en su conjunto (sin incluir el campo de firma SGN, ya que L-AUTH=1) y de los datos útiles del mensaje M1; se obtiene mediante el algoritmo RSA (Rivers - Shamir - Adleman), mediante el cálculo de una función hash MD5 sobre este conjunto, de la recuperación de la adecuada clave de firma vigente K_{i} y del cálculo de la firma RSA en la función hash con esta clave K_{i}; en una variante de realización, el campo de autentificación AUTH-A se ignora por completo en relación con la firma (L-AUTH=O en lugar de una palabra doble);

-: y regreso al servidor de transmisión 32A.

A continuación, el módulo de encapsulado 35 encapsula el mensaje M3 obtenido de este modo, antes de transmitirlo a través de la red 5.

Mediante esta técnica, se calcula la firma tan sólo una vez por servicio (se calcula en el mensaje de anuncio) tanto si este servicio va a despacharse como un carrusel o aisladamente (una sola vez).

Para modificar el identificador de clave KeyID[SGN], se envía por ejemplo un mensaje al servidor de transmisión 32A a través de un interfaz para la programación de aplicaciones o API (Application and Programming Interface [Interfaz de Programación y Aplicación]), limitándose entonces el servidor 32A a notificar a la librería 15A el nuevo valor de este identificador - por ejemplo, la modificación se lleva a cabo rutinariamente todos los meses.

En el siguiente ejemplo ilustrativo de mensajes de anuncio de servicios en la entrada (M1) y en la salida (MSG-A) del servidor de transmisión 32A, la cabecera SAP1 viene indicado por caracteres en negrita entre corchetes, la cabecera (ENT1, ENT-A) del campo de autentificación (AUTH1, AUTH-A) está subrayado, y los datos útiles vienen indicados mediante caracteres ordinarios (la notación es hexadecimal).

\newpage

El mensaje M1, asociado a L-AUTH=0x01, PERM=0x27 y con tres octetos reservados iguales a 0x00 es el siguiente:

1

El mensaje MSG-A obtenido tras el procesamiento del mensaje M0 por el servidor de transmisión 32A, asociado a L-AUTH=0x21, PERM=0x27 y KeyID=0x07 es el siguiente:

2

En una configuración específica de emisores 1A (figura 6), un sistema de control central 40 de un operador de servicios, que incluye un servidor central 45, se encuentra conectado a las emisoras 41, 42 y 43 mediante enlaces especializados (líneas alquiladas) 46.

Cada una de las emisoras 41-43 incluye un servidor de transmisión 32 del tipo del 32A explicado anteriormente, así como un dispositivo 47 para la transmisión de programas individuales y un codificador VBI indicado con la referencia 48 responsable de codificar la información originada en el servidor 32 y en el dispositivo 47 y de enviarla a la antena 49. Durante la operación, el sistema de control central 40 obtiene a partir de diversas fuentes (emisoras, anunciantes, proveedores de contenidos, etc.) información relativa a los servicios a emitir, programa su emisión y, finalmente, la pone a disposición del servidor de transmisión 32 poco antes de su emisión. Especialmente, garantiza la autenticidad de las claves públicas mediante la entrega de certificados digitales 51, 52 y 53 a las emisoras 41 a 43 respectivamente. Este sistema de control central 40 también realiza las funciones del sistema de control 31 descrito anteriormente, de forma que los mensajes de anuncio de servicios MSG transmitidos por las emisoras 41 a 43 pueden ser informados selectivamente de los permisos e ir firmados mediante claves variables, sin originar demoras perjudiciales de autentificación en la recepción.

Cada uno de los receptores 2 incluye en particular (figura 7):

-: un control VBI indicado con la referencia 61, diseñado para extraer datos útiles de la información recibida de los emisores 1A (como las emisoras 41 a 43) y que incluye un campo WST (World Standard Teletext [Teletexto Estándar Mundial]), para calcular los códigos de control de errores FEC (Forward Error Correction [Corrección de Error de Retransmisión]) y para controlar la decodificación de las tramas SLIP de los datos útiles;

-: un módulo 62 para des-encapsulado de las capas para su transporte a través de la red 5, capaz de recibir del control 61 las tramas SLIP decodificadas y extraer de ellas, tras la decodificación, el contenido de las tramas IP/UDP, en forma de una cabecera en formato SAP, y unos datos útiles en formato SDP para los mensajes de anuncio de servicios MSG;

-: un navegador 63, equipado con un dispositivo de identificación 4 y con una unidad de lectura de permisos 24 (indicados respectivamente con las referencias 4C y 24C) del tipo descrito anteriormente;

-: un cargador 67, equipado con un dispositivo de identificación 4 y con una unidad de lectura de permisos opcionales 24 (indicados respectivamente con las referencias 4C y 24C) del tipo descrito anteriormente;

-: y una librería de autentificación del tipo de la denominada con la referencia 25 descrita anteriormente; la tabla indexada de claves 26 se almacena en una memoria permanente del receptor 2, por ejemplo una memoria del tipo flash, en un código de la librería 25.

El navegador 63 está diseñado para llevar a cabo las siguientes funciones al recibir el mensaje de anuncio de servicios MSG-A:

-: recuperar la cabecera y los datos útiles del mensaje MSG-A a través de un socket de escucha 64;

-: invocar una función de verificación de la firma de la librería 25, pasándola como un puntero de entrada al mensaje MSG-A;

-: y si la autentificación tiene éxito, abrir los sockets de escucha 65 y 66 respectivamente para los mensajes de contenido y los accionadores posteriores, aplicando los permisos indicados por los indicadores de permisos PERM del mensaje MSG-A para especificar el acceso a las funciones del navegador 63 que van a aplicarse a la aplicación transmitida.

La función de verificación de firma de la librería 25 ejecuta con más precisión las siguientes operaciones:

-: cálculo de una función hash MD5 en la cabecera sin forma SAP-A y en los datos útiles en su conjunto, facilitando el indicador L-AUTH la longitud del campo de autentificación AUTH-A que se ha fijado en 1; en una variante correspondiente a la indicada para el cálculo de la firma, el campo autentificado AUTH-A se ignora con respecto a la autentificación, fijándose el indicador L-AUTH en 0;

-: recuperación del identificador de clave KeyID[SGN] en el campo de autentificación AUTH-A de la cabecera SAP-A y selección de la clave de autentificación apropiada K'_{i};

-: verificación de la firma SGN del campo de autentificación AUTH-A, del tipo RSA, mediante el nuevo cálculo en la función hash de la firma mediante la clave seleccionada K'_{i}; en caso de que la firma fuese invalida, se obtiene el valor 0;

-: si la firma SGN es válida, se obtienen los indicadores de permiso PERM.

De este modo, se ignoran los datos útiles del mensaje MSG-A excepto en el caso de que la autentificación tenga éxito. De lo contrario, no se abrirá ningún socket de escucha para los siguientes mensajes del servicio anunciados y el cliente se mostrará sordo a los datos que le lleguen.

El funcionamiento del cargador 67 es similar con respecto a un mensaje de anuncios del sistema recibido a través de un socket de escucha 68; se abre un socket 69 para los mensajes de contenido posteriores tan sólo si el mensaje se autentifica mediante una llamada a la librería 25.

Un segundo modo de realización del emisor 1 indicado por la referencia 1 B (figura 8) se aplica a una combinación de cifrado y autentificación. Esta realización se diferencia de la anterior esencialmente por la presencia en el emisor 1 B de elementos de cifrado complementarios de los elementos de firma y diseñados para actuar con anterioridad a los mismos. Los elementos de cifrado y los de la firma se basan respectivamente en la selección de dos claves de cifrado vigentes a partir de dos tablas indexadas 16 de claves (figura 1), y en la llamada respectivamente a una librería de cifrado 15B y a una librería de firmas 15A' del tipo de la librería de cifrado 15 descrita anteriormente con carácter general. El receptor 2 incluye una tabla de descifrado indexada correspondiente a la tabla indexada de claves de cifrado, siendo preferiblemente dichas claves de descifrado privadas. Las tablas indexadas de cifrado y descifrado incluyen, por ejemplo, 10 claves cada una.

De este modo, el sistema de control 31, denominado con la referencia 31B, incluye tanto unidades 12 para el cambio de la clave vigente como también dispositivos 13 para proteger con seguridad los mensajes para su cifrado (respectivamente 12B y 13B) y para la firma posterior al cifrado (respectivamente 12A' y 13A').

Además, el servidor de transmisión 32, indicado con la referencia 32B, incluye un módulo de conclusión y cifrado que incluye una unidad de control de cifrado 11B y un módulo de firma 38 situado después del módulo 34, incluyendo una unidad de control de firma 11A', siendo las unidades de control 11B y 11A' del mismo tipo que la unidad de control de cifrado 11. Este servidor 32B integra un campo de autentificación AUTH, denominado con la referencia AUTH-B, en la cabecera en el formato SAP, de forma similar a la del primer modo de realización.

El módulo de conclusión y cifrado 34 es el responsable de añadir la información complementaria requerida en el mensaje M1 al igual que en el anterior modo de realización, y de invocar a la librería de cifrado 15B para cifrar el mensaje M4 obtenido de este modo mediante la transmisión a la misma de un identificador de clave de cifrado KeyID[CRYPT]. El módulo de cifrado 17 de la librería 15B (figura 1) lleva entonces a cabo el cifrado de los datos útiles pero no de los datos iniciales de la cabecera del campo de autentificación AUTH-B. El identificador de clave KeyID[CRYPT] se genera de manera aleatoria, por ejemplo.

El módulo de firma 38 está diseñado para recibir de la librería de cifrado 15B un mensaje M5 resultante de dicho cifrado y que incluye especialmente un identificador de clave de autentificación KeyID[SGN], y para invocar la librería de firmas 15A' para obtener un mensaje firmado M6. El módulo de cifrado 17 de la librería 15A' (figura 1) determina y estampa una firma relativa al mensaje M5 en su conjunto mediante la clave vigente facilitada por el identificador de clave KeyID[SGN], como en el anterior modo de realización.

El módulo de encapsulado 36 realiza la misma función que en el caso anterior y hace que sea posible obtener el mensaje MSG que va a emitirse, indicado con la referencia MSG-B.

A modo de ilustración (figura 9), el mensaje MSG-B incluye, además de sus datos útiles, una cabecera en formato SAP indicado con la referencia SAP-B estructurado de la forma siguiente:

-: campos V, ARTEC, L-AUTH, MSG ID HASH y AUTH-B similares a los del primer modo de realización;

-: identificadores de clave de cifrado KeyID[CRYPT] (1 palabra doble);

-: indicador de tiempo excedido TIMEOUT (1 palabra doble) que resulta útil cuando se cifran los datos útiles y cuando el envío del mensaje de anuncio implica la presencia de un proxy;

-: un indicador de octetos de relleno P (1 bit), que señala los octetos de relleno insertados antes del cifrado; el último octeto de los datos útiles descifrados facilita el número de octetos de relleno añadidos;

-: y el campo aleatorio (31 bits) que contiene un auténtico número aleatorio y cuyo descarte está previsto tras el descifrado.

El conjunto CRYPT de campos cifrados consiste en el indicador P, el campo aleatorio y los datos útiles, mientras que el identificador KeyID[CRYPT] y el campo TIMEOUT forman una cabecera de cifrado no cifrado ENT-CRYPT.

En una variante de realización aplicable a cualquiera de los pares de librerías de cifrado e identificación asociadas (figuras 10 y 11), la librería de cifrado 75 incluye una tabla indexada 76 de bloques B_{1}, B_{2} ..... B_{n} de clave de cifrado en lugar de una tabla de claves. Cada uno de los propios bloques B_{i} incluye varias claves K_{i,1}, K_{i,2} ... K_{i,li} cuyo número puede variar en función del bloque en cuestión. Igualmente, la librería de identificación 85 incluye una tabla indexada 86 de bloques B'_{1}, B'_{2}, ..... B'_{n} de claves de identificación, incluyendo cada uno de los bloques B'_{i} varias claves K'_{i,1}, K'_{i,2} ... K'_{i,li} que se corresponden respectivamente con las claves K_{i,1}, K_{i,2} ... K_{i,li} de los bloques B_{i} de la librería de cifrado 75.

El conocimiento del identificador de clave KeyID no hace posible por lo tanto averiguar una por una la clave K_{i,j} seleccionada para el cifrado por el módulo de cifrado 77, y por tanto, la obtención de la clave de identificación asociada K'_{i,j} que va a ser utilizada por el módulo de identificación 87 de la librería 85, sino tan sólo los bloques B_{i}y B'_{i} a los que pertenecen respectivamente estas claves. Por lo tanto, deben probarse sucesivamente todas las claves del bloque identificado B'_{i} hasta que tenga éxito el descifrado.

De acuerdo con una variante de configuración de los identificadores, el identificador de clave de autentificación KeyID[SGN] y/o el identificador de permisos PERM se encuentra fuera del campo de autentificación AUTH en la cabecera del mensaje MSG. De este modo, los mensajes que van a ser autentificados pueden cifrarse mediante la inclusión de estos identificadores en el cálculo de la firma SGN, pero excluyendo al mismo tiempo el campo de autentificación AUTH (L-AUTH=0).

En otro modo de realización (figuras 12 y 13), los indicadores de permisos PERM se encuentran situadas en el campo de datos útiles. De acuerdo con el ejemplo mostrado, el mensaje de anuncio de servicios MSG obtenido, indicado por la referencia MSG-C contiene una cabecera en el formato SAP indicado como SAP-C, sin permisos pero con un campo reservado de dos octetos en la cabecera ENT-C del campo de autentificación AUTH-C. Sus datos útiles en el formato SDP, indicados con la referencia SDP-C, incluyen los indicadores de permisos PERM en dos octetos, por ejemplo al comienzo del campo. El campo de permisos necesita más espacio para los datos útiles que para la cabecera, pues en este caso es necesario escribir en formato texto en lugar de en formato binario y se requiere una etiqueta de identificación del campo permisos.

A continuación se detallará una aplicación facilitada a modo de ejemplo de la transmisión digital de datos de acuerdo con la norma MHP a través de redes que cumplen la norma MPEG-2. Este ejemplo se refiere a la protección de las tablas PMT (Program Map Tables [Tablas de Mapa de Programa) especificadas en la norma MPEG-2 (ISO/IEC 13818-1) y de las tablas AIT (Application Information Tables [Tablas de Información de Aplicación]), al estar prohibida la codificación de las tablas PMT con la norma MPEG-2. Para los mecanismos descritos se establece una autoridad de certificados de raíz, al igual que opcionalmente existen otras autoridades de certificación.

Una tabla PMT constituye un importante punto de entrada para la señalización de un servicio, interactivo o de otro tipo. En el caso de aplicaciones interactivas MHP, la tabla PMT contiene las posiciones del flujo de datos que transporta la tabla AIT y el flujo de datos que transporta los datos de código y de la aplicación (puntero al DSM-CC DSI, lo que significa "Digital Storage Media - command and Control [Soporte de Almacenamiento Digital]" y "Digital Speech Interpolation [Interpolación de Voz Digital])".

La protección de la señalización se basa en códigos hash, firmas y certificados. La codificación de estos mensajes criptográficos se lleva a cabo introduciendo tres nuevas descripciones, denominadas hash_descriptor, signature_descriptor y certificate_descriptor respectivamente.

El primer descriptor, hash_descriptor, puede situarse en el primer o en el segundo bucle de la tabla AIT o PMT. El código hash se calcula para los descriptores a los cuales apunta el puntero, en un bucle específico. Un bucle descriptor del siguiente nivel jerárquico puede incluir códigos hash del nivel inferior. Por ejemplo, la sintaxis del hash_descriptor se define mediante los siguientes parámetros:

-: digest_count: valor de 16 bits que identifica el número de valores de preprocesado (valores digest) de este descriptor hash;

-: digest_type: valor de 8 bits que identifica el algoritmo de preprocesado que podría ser posible utilizar para los descriptores asociados; los valores autorizados se eligen entre los siguientes:

-: 0: longitud de preprocesado 0, sin autentificación;

-: 1: longitud de preprocesado 16, algoritmo hash MD5 como el definido en el documento RFC 1321;

-: 2: longitud de preprocesado 20, algoritmo hash SHA-1 (SHA significa "Secure Hash Algorithm") de acuerdo con lo definido en el documento FIPS-180-1;

-: otros: posibilidades reservadas;

-: descriptor_count: valor de 16 bits que identifica el número de descriptores asociado al valor de preprocesado; este valor debe ser superior a cero;

-: descriptor_pointer: puntero que identifica un descriptor que forma parte del cálculo de la función hash;

-: descriptor_tag: etiqueta del descriptor al cual apunta el parámetro descriptor_pointer;

-: digest_length: valor entero que indica el número de octetos en cada valor de preprocesado; depende del tipo de preprocesado como se ha indicado anteriormente en relación con el parámetro digest-type;

-: digest_octeto: valor de 8 bits que contiene un octeto del valor de preprocesado.

Por lo tanto, la sintaxis del descriptor hash_descriptor se escribe de la siguiente forma:

3

Para el segundo descriptor, signature_descriptor, se utilizan los siguientes parámetros (además de los parámetros ya definidos para el descriptor hash_descriptor):

-: signature_id: este identificador hace posible utilizar firmas de diversas autoridades;

-: signature_length: indica la longitud del siguiente bucle; así como un campo específico de firma descrito más adelante.

Este descriptor, que se sitúa delante del primer descriptor hash_descriptor en un bucle de descriptores, tiene la siguiente sintaxis:

4

El campo "signature specific data" contiene la siguiente estructura, expresada en el lenguaje de especificación DER ASN.1 (es decir, "Abstract Syntax Notation one").

5

cuyo campo "signature value" facilita el valor de la firma (en forma de una cadena de bits "BIT STRING"), dependiendo dicho valor de la elección de la especificación MHP, y cuyos campos adicionales "certificateidentifier" y "hashSignatureAlgorithm" se definen más adelante.

El campo "certificateidentifier" identifica el certificado que lleva una clave pública certificada utilizada para verificar la firma. Se define de acuerdo con la extensión X.509 [54] de la ITU-T (es decir, "International Telecommunication Union - Telecommunications Standardization Sector") para el campo del tipo "AuthorityKeyIdentifier". La estructura del último contiene en particular un campo opcional de identificación de claves KeyIdentifier (Keyidentifier type). También contiene un elemento "authorityCertissuer" (GeneralNames type) que contiene por sí mismo un campo "directoryName") que tiene el valor del certificado que lleva la clave pública utilizada, así como un elemento "authorityCertSerialNumber" (CertificateSerialNumber type) que facilita el correspondiente número de serie. Estos dos elementos, que son a priori opcionales en el tipo de campo "AuthorityKeyIdentifier" deben rellenarse. Por lo tanto tenemos:

6

El campo "hashSignatureAlgorithm" identifica el algoritmo hash utilizado. El algoritmo de cifrado utilizado para calcular la firma no necesita especificarse, debido a que ya se ha descrito en un campo "SubjectKeyInfo" del certificado que certifica la clave. Los dos algoritmos facilitados son MD5 y SHA-1, cuyas estructuras son las siguientes:

Md5 OBJECT IDENTIFIER::=

{iso(1) member-body(2) US(840) rsadsi(113549)

digestAlgorithm(2) 5}

sha-1 OBJECT IDENTIFIER::=

{iso(1) identified-organization(3) oiw(14) secsig(3)

algorithm(2) 26}

El tercer descriptor, certificate_descriptor, hace posible construir un archivo "CertificateFile" que contiene todos los certificados de la cadena de certificación hasta e incluyendo el certificado raíz. El certificado leaf y el certificado raíz están situados respectivamente en el primer y en el último lugar del descriptor, incluyéndose este último únicamente por coherencia. El perfil de codificación del certificado se define en la norma TS 102 812 V1.1.1. del ETSI (es decir, "European Telecommunications Standard Institute").

El descriptor certificate_descriptor, situado delante del primer descriptor signature_descriptor en una cadena de descriptores, contiene un campo "certificate()" con una estructura de datos única "certificate" de acuerdo con lo definido en la norma ITU-T X.509. La estructura del descriptor se expresa en función de los siguientes parámetros:

-: signature_id: identificador que vincula los certificados a una firma específica;

-: certificate_here_flag: campo de 1 bit que indica que los certificados están disponibles en el descriptor si el valor fuese 1, y que deben utilizarse los certificados de una aplicación, teniendo que definirse un enlace en caso contrario;

-: certificate_count: número entero de 16 bits que indica el número de certificados del descriptor de certificados;

-: certificate_length: número entero de 24 bits que especifica el número de octetos del certificado.

Por lo tanto, la estructura del descriptor certificate_descriptor se especifica de la forma siguiente:

7

El método presentado hace posible proteger las tablas PMT y AIT contra la piratería. Además, en los extremos terminales de las redes, puede darse el caso de que las cadenas se remultiplexen y que modifiquen los paquetes de identificación PID o los contenidos de la tabla de eventos PMT a causa de los requisitos de la red. El método desarrollado anteriormente permite dichas re-multiplexaciones tan sólo en la medida en la que se autentifique únicamente una sub-selección de descriptores o de que un aparato de re-multiplexación vuelva a autentificar los descriptores modificados.

Aunque la descripción que antecede esté orientada a la autentificación de las tablas PMT y AIT, el método presentado es también aplicable a cualquier otro tipo de tabla definida de acuerdo con las normas MPEG/DVB, como por ejemplo tablas PAT, CAT, NIT, SDT, EIT, SIT o DIT.

Claims

1. Dispositivo de seguridad (3) para proteger mensajes (MSG) destinados a ser enviados a través de una red desde un emisor (1) hasta, al menos, un receptor (2), que incluye medios para control de identificación (21) de mensajes (MSG) mediante una clave de identificación vigente modificable (K'_{i}, K'_{ij}), consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicios e incluyendo dicho dispositivo de seguridad (3):

-: una unidad para control de cifrado (11) de, al menos, una parte de dicho mensaje (MSG) mediante una clave de cifrado vigente modificable (K_{i}, K_{ij});

-: medios de control (11A, 11A') para añadir, a cada uno de dichos mensajes (MSG), una firma (SGN) consistente en un resultado del cifrado de dicha parte de dicho mensaje mediante dicha clave de cifrado vigente (K_{i}, K_{ij});

-: y una unidad (13) para registrar en dicho mensaje (MSG) un identificador de clave (KeyID) que permite al receptor (2) seleccionar la clave de identificación vigente (K'_{i}, K'_{ij}) a partir de un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), permitiendo dicho identificador de clave (KeyID) que dicho receptor (2) modifique la clave de identificación vigente (K'_{i}, K'_{ij}) de forma que dicha clave de identificación vigente (K'_{i}, K'_{ij}) se corresponda con la clave de cifrado vigente (K_{i}, K_{ij}),

caracterizado porque dicho dispositivo de seguridad (3) incluye una unidad para cambiar (12) dicha clave de cifrado vigente (K_{i}, K_{ij}) que esta diseñada para seleccionar dicha clave (K_{i}, K_{ij}) a partir de un conjunto predeterminado (16, 76) de claves de cifrado disponibles (K_{1} ... K_{n}: K_{1,1}... K_{n,in}) asociadas a dicho emisor (1) y que se corresponden con dicho conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), autorizando dicha unidad de cambio un cambio de clave cuando se envía cualquier mensaje o cualquier mensaje de un tipo
dado.

2. Dispositivo de seguridad (3) de acuerdo con la reivindicación 1, caracterizado porque dicho dispositivo de seguridad está adaptado para complementar dicho identificador de clave (KeyID) con un indicador binario de modificación de clave, estando previsto que la clave de identificación vigente (K'_{i}, K'_{ij}) se mantenga en memoria en el momento de la recepción, hasta que dicho indicador de cambio de clave señale un cambio de clave.

3. Dispositivo de seguridad (3) de acuerdo con la reivindicación 1, caracterizado porque dicho dispositivo de seguridad (3) está configurado de tal forma que dicho identificador de clave (KeyID) se especifica únicamente cuando se produce un cambio efectivo de clave, siendo sustituido en el resto de los casos por un valor por defecto que indica que la clave de identificación vigente (K'_{i}, K'_{ij}) utilizada anteriormente sigue siendo válida, permitiendo de este modo que el receptor (2) sustituya dicha clave de identificación vigente (K'_{i}, K'_{ij}) solamente cuando dicho identificador de clave (KeyID) tenga un valor distinto del valor por defecto.

4. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque el conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}) es un conjunto de claves de descifrado.

5. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque dicha parte de dicho mensaje consiste en dicho mensaje completo, menos la firma, incluyendo el identificador de clave (KeyID[SGN]).

6. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque dichos mensajes (MSG) se seleccionan al menos entre mensajes de anuncio ATVEF y mensajes de anuncio del sistema.

7. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque cada uno de dichos mensajes tiene un campo de autentificación (AUTH) de longitud variable (L-AUTH) estando diseñada la unidad de registro (13) para registrar el identificador de clave (KeyID) en dicho campo de autentificación (AUTH).

8. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque dichos mensajes (MSG) se seleccionan, al menos, entre los mensajes de señalización MHP.

9. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque cada uno de dichos identificadores de clave (KeyID) se asocia a una determinada de las claves de cifrado disponibles (K_{1 ..}.K_{n}) y a una determinada de las claves de identificación disponibles (K'_{1}... K'_{n}) correspondiente a dicha clave de cifrado.

10. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones 1 a 8, caracterizado porque cada uno de dichos identificadores de clave (KeyID) se asocia a un bloque determinado (B_{i}) de claves de cifrado (K'_{ij}) pertenecientes a un conjunto (16, 76) de claves de cifrado (K_{1,1}... K_{n,in}) disponibles y a un bloque determinado (B'_{i}) de claves de identificación (K'_{ij}) correspondientes respectivamente a dichas claves de cifrado (K'_{ij}) pertenecientes al conjunto (26, 86) de claves de identificación (K'_{1,1}... K'_{n,in}) disponibles.

11. Dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones precedentes, caracterizado porque la unidad de registro (13) está diseñada para seleccionar el identificador de clave (KeyID) entre diversos valores que varían entre 8 y 12 y preferiblemente igual a 10.

12. Emisor (1) de mensajes (MSG), caracterizado porque incluye al menos un dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones 1 a 11, estando diseñado preferiblemente dicho emisor para enviar los mensajes (MSG) mediante difusión general.

13. Dispositivo (4) para identificación de mensajes (MSG) recibidos a través de una red, incluyendo cada uno de dichos mensajes (MSG) una parte cifrada (SGN) mediante una clave de cifrado vigente modificable (K_{i}, K_{ij}) consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicios e incluyendo dicho dispositivo de identificación (4):

-: una unidad para control de identificación (21) de dicha parte cifrada (SGN) mediante una clave de identificación vigente modificable (K'_{i}, K'_{ij});

-: y una unidad (23) para extraer de dicho mensaje (MSG) un identificador de clave (KeyID) que permita seleccionar la clave de identificación vigente (K'_{i}, K'_{ij}) a partir de un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}) correspondiente a un conjunto predeterminado (16, 76) de claves de cifrado disponibles (K_{1} ... K_{n}: K_{1,1}... K_{n,in}) de tal forma que dicha clave de identificación vigente (K'_{i}, K'_{ij}) se corresponda con dicha clave de cifrado vigente (K_{i}, K_{ij}); siendo dicha unidad de control de identificación (21) una unidad para control de autentificación de la parte cifrada (SGN) y siendo dicha parte cifrada una firma vigente,

caracterizado porque dicho dispositivo (4) para identificación de mensajes (MSG) está adaptado para conservar en memoria dicha clave de identificación vigente (K'_{i}, K'_{ij}) hasta que un indicador binario de modificación de clave que complementa dicho identificador de clave (KeyID) señale un cambio de clave,

siendo preferiblemente dicho dispositivo (4) de identificación de mensajes (MSG) capaz de identificar los mensajes (MSG) protegidos de forma segura mediante un dispositivo de seguridad (3) de acuerdo con cualquiera de las reivindicaciones 1 a 11.

14. Dispositivo (4) para identificación de mensajes (MSG) recibidos a través de una red, incluyendo cada uno de dichos mensajes (MSG) una parte cifrada (SGN) mediante una clave de cifrado vigente modificable (K_{i}, K_{ij}), siendo dichos mensajes (MSG) mensajes de anuncio de servicio e incluyendo dicho dispositivo de identificación (4):

-: y una unidad (23) para extraer de dicho mensaje (MSG) un identificador de clave (KeyID) que permita seleccionar la clave de identificación vigente (K'_{i}, K'_{ij}) de entre un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}) correspondiente a un conjunto predeterminado (16, 76) de claves de cifrado disponibles (K_{1} ... K_{n}: K_{1,1}... K_{n,in}) de tal forma que dicha clave de identificación vigente (K'_{i}, K'_{ij}) se corresponda con dicha clave de cifrado vigente (K_{i}, K_{ij}); siendo dicha unidad de control de identificación (21) una unidad para control de autentificación de la parte cifrada (SGN) y siendo dicha parte cifrada una firma vigente,

caracterizado porque dicho identificador de clave (KeyID) se especifica solamente en el caso de un cambio efectivo de clave, siendo sustituido en el resto de los casos por un valor por defecto que señala que la clave de identificación vigente (K'_{i}, K'_{ij}) previamente utilizada sigue siendo válida, estando previsto dicho dispositivo (4) de identificación de mensajes (MSG) para sustituir dicha clave de identificación vigente (K'_{i}, K'_{ij}) sólo cuando dicho identificador de clave (KeyID) tiene un valor diferente del valor por defecto,

15. Receptor (2) de mensajes (MSG), caracterizado porque incluye, al menos, un dispositivo de identificación (4) de acuerdo con las reivindicaciones 13 o 14, estando diseñado preferiblemente dicho receptor para recibir dichos mensajes (MSG) con origen en un emisor (1) de mensajes, de acuerdo con la reivindicación 12.

16. Producto de programa informático, caracterizado porque incluye funciones para llevar a cabo dichas unidades y medios (11-13; 21, 23) del dispositivo de seguridad (3) para protección de mensajes (MSG) de acuerdo con cualquiera de las reivindicaciones 1 a 11 o del dispositivo (4) de identificación de mensajes (MSG) de acuerdo con las reivindicaciones 13 o 14.

17. Mensaje de anuncio de servicio (MSG) para ser enviado a través de una red hasta, al menos, un receptor (2), incluyendo dicho mensaje:

-: al menos una parte cifrada (SGN) mediante, respectivamente, al menos una clave de cifrado vigente modificable (K_{i}, K_{ij}),

-: y al menos un identificador de clave (keyID) que permite respectivamente seleccionar al menos una clave de identificación vigente (K'_{i}, K'_{ij}) de entre al menos un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), haciendo posible dicha clave de identificación vigente la identificación de dicha parte cifrada (SGN) respectivamente, siendo dicha parte cifrada (SGN) una firma,

caracterizado porque dicho mensaje incluye también un indicador binario de modificación de claves que complementa dicho identificador de clave (KeyID), lo que hace posible señalizar un cambio de clave de forma que dicha clave de identificación vigente (K'_{i}, K'_{ij}) pueda mantenerse en memoria hasta que dicho indicador de modificación de clave señale un cambio de clave,

obteniéndose, preferiblemente dicho mensaje (MSG) por medio de un dispositivo de seguridad (3) para protección de mensajes, de acuerdo con cualquiera de las reivindicaciones 1 a 11, y estando preferiblemente previsto para un dispositivo (4) para identificación de mensajes de acuerdo con la reivindicación 13.

18. Procedimiento de seguridad para protección de mensajes (MSG) destinados a ser enviados a través de una red desde un emisor (1) hasta, al menos, un receptor (2) que incluye medios para control de identificación (21) por medio de una clave de identificación vigente modificable (K'_{i}, K'_{ij}), consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicio, e incluyendo dicho procedimiento de seguridad:

-: una etapa de cifrado de, al menos, parte de cada uno de dichos mensajes (MSG) mediante una clave de cifrado vigente (K_{i}, K_{ij}), consistente en la elaboración de una firma (SGN) de dicha parte,

-: y una etapa de registro en dicho mensaje (MSG) de un identificador de clave (KeyID), que permite al receptor (2) seleccionar dicha clave de identificación vigente (K'_{i}, K'_{ij}) a partir de un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), permitiendo dicho identificador de clave (KeyID) a dicho receptor (2) modificar la clave de identificación vigente (K'_{i}, K'_{ij}) de forma que dicha clave de identificación vigente (K'_{i}, K'_{ij}) se corresponda con la clave de cifrado vigente (K_{i}, K_{ij})

caracterizado porque dicho procedimiento de seguridad incluye una etapa de selección de dicha clave de cifrado vigente (K_{i}, K_{ij}) a partir de, al menos, un conjunto predeterminado (16, 19, 76) de claves de cifrado disponibles (K_{1} ... K_{n}: K_{1,1}... K_{n,in}) asociado a dicho emisor (1) y que se corresponde con dicho conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), siendo autorizado un cambio de clave al enviarse cualquier mensaje o cualquier mensaje de un tipo determinado,

llevándose a cabo, preferiblemente, dicho procedimiento de seguridad para protección de mensajes (MSG) mediante un dispositivo de seguridad (3) para protección de mensajes (MSG) de acuerdo con cualquiera de las reivindicaciones 1 a 11.

19. Procedimiento para identificación de mensajes (MSG) recibidos a través de una red, incluyendo cada uno de dichos mensajes (MSG) una parte cifrada (SGN) mediante una clave de cifrado vigente modificable (K_{i}, K_{ij}), consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicio, e incluyendo dicho procedimiento de identificación:

-: una etapa de extracción de un identificador de clave (KeyID) a partir de dicho mensaje (MSG), mediante el cual se selecciona una clave de identificación vigente (K'_{i}, K'_{ij}) de entre un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), correspondiendo dicha clave de identificación vigente (K'_{i}, K'_{ij}) a dicha clave de cifrado vigente (K_{i}, K_{ij}),

-: y una etapa de identificación de dicha parte cifrada (SGN) mediante dicha clave de identificación vigente (K'_{i}, K'_{ij}), siendo dicha parte cifrada (SGN) una firma,

caracterizado porque dicho procedimiento de identificación de mensajes (MSG) incluye el mantenimiento de dicha clave de identificación vigente (K'_{i}, K'_{ij}) en memoria hasta que un indicador binario de modificación de clave que complementa a dicho identificador de clave (KeyID) señalice un cambio de clave,

llevándose a cabo, preferiblemente, dicho procedimiento de identificación de mensajes (MSG) mediante un dispositivo (4) para identificación de mensajes (MSG) de acuerdo con la reivindicación 13.

20. Procedimiento para identificación de mensajes (MSG) recibidos a través de una red, incluyendo cada uno de dichos mensajes (MSG) una parte cifrada (SGN) mediante una clave de cifrado vigente modificable (K_{i}, K_{ij}), consistiendo dichos mensajes (MSG) en mensajes de anuncio de servicio, e incluyendo dicho procedimiento de identificación:

-: una etapa de extracción de un identificador de clave (KeyID) a partir de dicho mensaje (MSG), mediante el cual se seleccione una clave de identificación vigente (K'_{i}, K'_{ij}) de entre un conjunto predeterminado (26, 86) de claves de identificación disponibles (K'_{1} ... K'_{n}: K'_{1,1}... K'_{n,in}), correspondiendo dicha clave de identificación vigente (K'_{i}, K'_{ij}) a dicha clave de cifrado vigente (K_{i}, K_{ij}),

caracterizado porque dicho identificador de clave (KeyID) se especifica solamente en el caso de un cambio efectivo de clave y siendo sustituido en el resto de los casos por un valor por defecto que señala que la clave de identificación vigente (K'_{i}, K'_{ij}) previamente utilizada sigue siendo válida, e incluyendo dicho procedimiento de identificación de mensajes (MSG) la sustitución de dicha clave de identificación vigente (K'_{i}, K_{ij}) solamente cuando dicho identificador de clave (KeyID) tiene un valor diferente del valor por defecto,

llevándose a cabo, preferiblemente, dicho procedimiento de identificación de mensajes (MSG) mediante un dispositivo (4) para identificación de mensajes (MSG) de acuerdo con la reivindicación 14.