ES2276300T3 - Metodo de contabilizacion de una duracion en un modulo de seguridad. - Google Patents

Metodo de contabilizacion de una duracion en un modulo de seguridad. Download PDF

Info

Publication number
ES2276300T3
ES2276300T3 ES04732374T ES04732374T ES2276300T3 ES 2276300 T3 ES2276300 T3 ES 2276300T3 ES 04732374 T ES04732374 T ES 04732374T ES 04732374 T ES04732374 T ES 04732374T ES 2276300 T3 ES2276300 T3 ES 2276300T3
Authority
ES
Spain
Prior art keywords
temporary information
security module
current
time
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04732374T
Other languages
English (en)
Inventor
Olivier Brique
Jimmy Cochard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NagraCard SA
Original Assignee
NagraCard SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NagraCard SA filed Critical NagraCard SA
Application granted granted Critical
Publication of ES2276300T3 publication Critical patent/ES2276300T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/10Digital recording or reproducing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/414Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance
    • H04N21/4147PVR [Personal Video Recorder]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/109Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by using specially-adapted hardware at the client
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • G06F21/725Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/0021Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/0021Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier
    • G11B20/00217Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier the cryptographic key used for encryption and/or decryption of contents recorded on or reproduced from the record carrier being read from a specific source
    • G11B20/00224Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier the cryptographic key used for encryption and/or decryption of contents recorded on or reproduced from the record carrier being read from a specific source wherein the key is obtained from a remote server
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/0021Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier
    • G11B20/00485Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier characterised by a specific kind of data which is encrypted and recorded on and/or reproduced from the record carrier
    • G11B20/00492Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier characterised by a specific kind of data which is encrypted and recorded on and/or reproduced from the record carrier wherein content or user data is encrypted
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/0071Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving a purchase action
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/00731Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving a digital rights management system for enforcing a usage restriction
    • G11B20/0084Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving a digital rights management system for enforcing a usage restriction wherein the usage restriction can be expressed as a specific time or date
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Synchronisation In Digital Transmission Systems (AREA)
  • Measuring Volume Flow (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Television Signal Processing For Recording (AREA)
  • Recording Measured Values (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

Método de contabilización de una duración en un módulo de seguridad insertado en un aparato que comprende un reloj interno, este aparato recibiendo un flujo de datos digitales encriptados a través de palabras de control contenidas en mensajes de control ECM, este método comprendiendo las etapas siguientes: - recepción por el módulo de seguridad de los datos provenientes del reloj interno del aparato que incluye una información temporal actual, - almacenamiento de los datos actuales que representan la información temporal actual en el módulo de seguridad, - recepción por el módulo de seguridad de un mensaje de control ECM que requiere la desencriptación de al menos una palabra de control, - lectura de los datos anteriores que representan una información temporal anterior en el momento del tratamiento del anterior mensaje de control ECM, - tratamiento del mensaje de control ECM cuando la información actual está adelantada temporalmente con respecto a la información anterior.

Description

Método de contabilización de una duración en un módulo de seguridad.
La presente invención se refiere al ámbito de los módulos de seguridad insertados en un aparato que recibe datos digitales encriptados. De una forma más particular, el método de la invención pretende proporcionar la fecha y la hora actual a un módulo de seguridad y a gestionar los derechos de desencriptación en función del periodo de validez de los datos recibidos o almacenados en el aparato.
Este método se aplica por ejemplo a una grabadora de vídeo digital utilizada para la recepción y el almacenamiento de programas de televisión de pago.
Una grabadora de vídeo digital llamado a continuación PVR (Personal Video Recorder) es un receptor/descodifica-
dor de televisión de pago provisto de un disco duro que permite almacenar los datos de audio/vídeo digitales encriptados con el fin de poder visualizarlos en diferido.
Una PVR, como una grabadora de vídeo de banda magnética del tipo VHS, está también provista de funciones de avance y de retroceso rápido. Estas funciones permiten, por ejemplo, una búsqueda de una secuencia particular entre los datos grabados en el disco duro o el retorno al principio de un programa grabado después de una primera visualización.
Los datos digitales de audio/vídeo almacenados son encriptados con palabras de control CW (control word) contenidos en mensajes de control ECM (Entitlement control Message) que acompañan a los datos de audio/vídeo encriptados. Este conjunto de datos de audio/vídeo y de ECM se denomina contenido en la siguiente descripción de la invención. Un módulo de control de acceso o módulo de seguridad en forma de tarjeta chip móvil o integrada en la PVR contiene los derechos atribuidos a un usuario para desencriptar los datos de audio/vídeo.
Para visualizar el contenido almacenado en el disco duro, el descodificador desencripta este contenido con la ayuda de mensajes de gestión de derechos EMM (Entitlement Management Message) grabados en el módulo de seguridad, estos mensajes incluyen las claves necesarias para la desencriptación de los ECM que contienen las palabras de control CW que sirven para la desencriptación del contenido.
El flujo de datos digitales transmitido por un centro de gestión hacia las PVR es encriptado con el fin de poder controlar la utilización y de definir las condiciones para tal utilización. Las palabras de control CW encargadas de la encriptación son cambiadas en intervalos regulares (normalmente entre 5 y 30 segundos) con el fin de impedir todo intento de reconstitución abusiva de tal palabra de control.
Para que la PVR/descodificador pueda desencriptar el flujo encriptado por estas palabras de control, estas últimas son enviadas en mensajes de control ECM y encriptadas por una clave de transmisión propia del sistema.
En el momento de la desencriptación de un mensaje de control ECM, la presencia en el módulo de seguridad del derecho de acceso al contenido es comprobada. Este derecho es gestionado por los mensajes de gestión EMM que cargan tal derecho en el módulo de seguridad.
La contabilización de la utilización de un contenido encriptado está habitualmente basada en el principio del abono, de la compra espontánea o impulsiva de contenidos de emisiones televisadas o del pago por unidad de tiempo.
El abono permite definir un derecho asociado a uno o varios canales de difusión que transmiten estos contenidos y permite al usuario visualizarlos de forma clara si el derecho está presente en su módulo de seguridad.
Es también posible definir los derechos propios de un tipo de contenido, como una película, una manifestación deportiva o una emisión de variedades. El usuario puede comprar este contenido que será específicamente gestionado por este derecho. Este método es conocido bajo la denominación "pay-per-view" (PPV, pago por visión).
Por cuanto concierne al pago por unidad de tiempo, el módulo de seguridad incluye un crédito que es entregado en función del consumo real del usuario. De este modo por ejemplo, una unidad será debitada de este crédito por cada minuto sea cual sea el canal o el contenido visualizado. Es posible según las realizaciones técnicas, variar la unidad de contabilización, sea en la duración, sea en el valor del tiempo concedido o combinando estos dos parámetros para adaptar la facturación al tipo de contenido consumido.
Un mensaje de control ECM no contiene únicamente la palabra de control CW sino también las condiciones para que esta palabra sea devuelta a la PVR. En el momento de la desencriptación de las palabras de control, se comprobará si un derecho asociado a las condiciones de acceso incluidas en el mensaje está presente en el módulo de seguridad. La palabra de control sólo es devuelta a la PVR cuando el resultado de la comprobación es positivo. Esta palabra de control contenida en el mensaje de control ECM es normalmente encriptada de nuevo por una clave de transmisión.
En resumen, los tres elementos siguientes son necesarios para desencriptar un flujo de datos de audio/vídeo digitales difundidos en un momento dado:
-
el contenido encriptado por una o varias palabras de control CW,
-
el o los mensajes de control ECM que contienen las palabras de control CW y las condiciones de acceso,
-
el derecho correspondiente almacenado en el módulo de seguridad que permite comprobar las condiciones de acceso.
Una condición de acceso asociada al derecho puede consistir en un periodo de validez, es decir, un período durante el cual es posible descodificar el contenido con las palabras de control. Cuando esta duración ha expirado, la condición de acceso a las palabras de control que sirven para descodificar el contenido se vuelve caduca y la desencriptación ya no puede efectuarse.
Para aprovechar el parámetro tiempo o duración relativo a las condiciones de acceso, es necesario disponer de un reloj de referencia seguro. La expiración de la validez de un derecho debe ser controlada como un tiempo absoluto y no como una duración relativa. Por ejemplo, un derecho de acceso de 24 horas con un contenido encriptado y almacenado en el disco duro empieza en una fecha y a una hora determinada para terminarse un día después a la misma hora. Por lo tanto no es suficiente otorgar la duración de 24 horas a este derecho porque queda la posibilidad de manipular el reloj con el fin de retrasar la fecha actual de un día y de este modo beneficiarse de forma permanente de un derecho de una duración de 24 horas.
La fecha y la hora actual son proporcionados al módulo de seguridad por el reloj interno de la PVR llamado también RTC (Real Time Clock) que está habitualmente alimentado por una batería que permite su funcionamiento aunque el aparato esté apagado.
Este reloj puede ser ajustado a una fecha y a una hora anterior a los valores actuales para autorizar la visualización de un contenido cuya validez haya expirado. Existe por lo tanto la posibilidad de prolongar de forma abusiva un derecho con condiciones de acceso modificadas en el módulo de seguridad por manipulación del reloj de la PVR.
Se trata por lo tanto de crear un derecho en el módulo de seguridad, con la ayuda de los mensajes de gestión EMM, que comienza en un momento determinado para terminarse después de un cierto período de validez. Como en la mayoría de los casos, una PVR no posee vía de retorno que la conecte al centro de gestión, la fecha y la hora actual no pueden ser proporcionados regularmente al módulo de seguridad por unos medios seguros provenientes directamente del centro de gestión.
Otro aspecto del problema está constituido por el hecho de que el módulo de seguridad, a pesar de que dispone de una memoria protegida, no dispone de un reloj en tiempo real y le resulta imposible, por sus propios medios, determinar una duración real tal como 24 horas. De este modo, si un usuario está autorizado a acceder a un servicio (o a una película) durante 24 horas, el módulo de seguridad queda dependiente de informaciones exteriores para determinar la expiración de este período.
El objetivo de la presente invención es el hecho de proponer un método para proporcionar un control del periodo de validez de un derecho grabado sobre un módulo seguridad en términos absolutos por una gestión de los diferentes parámetros recibidos que le permita determinar una fecha y una hora de expiración.
Otro objetivo es impedir la creación de un derecho en el módulo de seguridad antes o después de cierta fecha u hora predeterminada.
Estos objetivos son alcanzados por un método de contabilización de una duración en un módulo de seguridad insertado en un aparato que contiene un reloj interno, este aparato recibiendo un flujo de datos digitales encriptados por palabras de control contenidas en los mensajes de control ECM, este método incluyendo las etapas siguientes:
-
recepción de datos provenientes del reloj interno del aparato que incluye una información temporal actual,
-
almacenamiento de los datos actuales que representan la información temporal actual en el módulo de seguridad,
-
recepción de un mensaje de control ECM que requiere la desencriptación de al menos una palabra de control,
-
lectura de los datos anteriores que representan una información temporal anterior en el momento del tratamiento del anterior mensaje de control ECM,
-
tratamiento del mensaje de control ECM cuando la información actual está adelantada temporalmente sobre la información anterior.
De este modo el método según la invención tiene como objetivo el hecho de garantizar que en cada desencriptación de un ECM, avance la hora.
Se entiende por información temporal toda forma de contador que no corresponda necesariamente a una fecha y/o una hora. Lo esencial es proporcionar al módulo de seguridad una información sobre el avance efectivo del tiempo con el fin de determinar una duración predeterminada.
El aparato en cuestión puede ser un descodificador de televisión digital, una grabadora digital PVR (Personal Video Recorder) o incluso un ordenador personal.
No es necesario que la hora y la fecha generada por el descodificador sean aquellas que nosotros utilizamos habitualmente. Un ejemplo de ello está propuesto por el Swatch Beat que es una división de 24 horas por 1000. El descodificador genera los impulsos (o tics) a un ritmo regular de 3 segundos. Estas señales son transmitidas y contabilizadas por el descodificador para formar una información temporal propia y reconocida en este sistema. El valor actual de este parámetro será de este modo mayor que el valor anterior, permitiendo determinar el avance de la hora. El valor actual es almacenado en una memoria y a la recepción de un nuevo valor, éste reemplaza el valor actual sólo si la nueva información temporal está adelantada temporalmente con respecto a la información temporal actual. De este modo en cada impulso, el descodificador determina la información temporal actual y la transmite al módulo de seguridad. Este último pone al día el contenido de su memoria actual.
Además, la información temporal puede ser almacenada en forma de una representación (compresión) o de criptograma a condición de permitir la distinción del avance, (crecimiento de ciertos dígitos o bits predeterminados o cambio de prefijos o sufijos particulares etc.).
Cuando el aparato es conectado a un centro de gestión como en el caso de una grabadora digital PVR, el centro de gestión puede difundir la información temporal actual para así actualizar el reloj interno del descodificador.
Según una variante preferida, el método de la invención se aplica a una grabadora de vídeo digital de programas de televisión digital de pago PVR que contiene un reloj RTC interno permanente. Según una variante de realización, está comprobado sobretodo en el momento de la recepción de una nueva información temporal por el módulo de seguridad que esta información está adelantada con respecto a la información previamente recibida, independientemente del momento de la desencriptación de las palabras de control. De hecho, el ritmo de transmisión de los mensajes que contienen estas informaciones temporales por el descodificador es un ritmo que es propio de éste. Esta condición adicional obliga a que la hora avance continuamente.
La PVR está conectada esporádicamente a un centro de gestión que libera un flujo de datos de audio vídeo digitales encriptados a través de palabras de control contenidas en los mensajes de control ECM que acompañan a dichos datos de audio vídeo. Estos mensajes de control contienen igualmente una información temporal que está asegurada porque está encriptada por el centro de gestión.
El módulo de seguridad contiene los derechos que sirven para comprobar las condiciones de acceso contenidas en los mensajes de control ECM conjuntamente con las palabras de control.
Los derechos contenidos en el módulo de seguridad autorizan la desencriptación de los ECM solamente si la información temporal actual que representa la fecha y la hora proveniente del reloj de la PVR está adelantada con respecto a la información temporal anterior. Esta condición ya no puede ser satisfecha cuando el reloj interno de la PVR está retrasado. De hecho, en tal caso, la desencriptación de los mensajes de control ECM grabados en el disco duro no podrá efectuarse en defecto de un derecho válido. Sólo una conexión de la PVR con el centro de gestión permitirá la puesta al día del reloj por medio de los ECM difundidos que contienen una información temporal que representa la fecha y la hora reales.
Según un modo de realización, la fecha y la hora de la PVR son transmitidos al módulo de seguridad en forma encriptada con una clave de sesión con el fin de evitar toda modificación del valor. Se realiza igualmente para impedir una actualización con valores ficticios.
La única figura 1 ilustra una PVR equipado con un disco duro DD que contiene un reloj interno RTC. Un módulo de seguridad móvil SM transmite los derechos necesarios para la desencriptación del flujo de datos de audio vídeo provenientes del centro de gestión CG y para la desencriptación del contenido grabado en el disco duro DD. El módulo de seguridad SM contiene además del periodo de validez de los derechos, una fecha/hora de inicio de la validez proporcionada por el reloj RTC.
La PVR se utiliza por una parte como descodificador en línea de un flujo de datos de audio vídeo difundido y por otra parte como grabadora de datos para su posterior visualización.
En el primer modo de utilización llamado en línea, los ECM que incluyen las condiciones de acceso y una información temporal son suficientes para la gestión de los derechos basados en una duración porque el mensaje de control ECM contiene ya las informaciones temporales que permiten determinar la duración del derecho.
En el segundo modo en el que un contenido es grabado y visualizado en diferido, la información temporal de los mensajes de control ECM es ignorada, en este caso, son las informaciones temporales que provienen del descodificador PVR las que servirán para calcular el periodo de validez del derecho.
La hora actual almacenada en el módulo de seguridad es utilizada para calcular la duración de un derecho concedido por la compra de un programa, esta compra es gestionada por medio de los mensajes de gestión EMM. Según el tipo de realización, se puede imponer que la recepción de los mensajes EMM sea efectuada en línea (directamente recibida en el flujo) o utilizar un mensaje almacenado en la unidad de almacenamiento. En el primer caso, será ventajoso utilizar la información temporal contenida en tal mensaje porque ésta será considerada como segura puesto que proviene directamente del centro de gestión. Se debe señalar que a pesar de esta aparente seguridad, se comprobará que esta fecha es igual o posterior a la última fecha conocida del módulo de seguridad.
En el segundo caso, el mensaje de gestión EMM almacenado no puede ser utilizado para actualizar el reloj interno del módulo de seguridad y es la última fecha conocida la que servirá para calcular la duración de atribución del derecho.
Los mensajes de control ECM utilizados en el método según la invención contienen, además de una descripción del tipo de contenido y las palabras de control asociadas, una información temporal. En el momento de la recepción en directo de un flujo que contiene los mensajes de control ECM, la información temporal será utilizada para la determinación de la hora actual.
La definición del avance temporal que autoriza la desencriptación de las palabras de control está determinada por la diferencia entre la información temporal actual proporcionada por el reloj del descodificador y la información temporal anterior que representa el momento de la última desencriptación de una palabra de control.
Esta diferencia no puede ser sencillamente igual (o próxima) al período de cambio de las palabras de control.
De hecho, hay que tener en cuenta que en el modo de avance rápido, este período es multiplicado por 10 por ejemplo.
Esta diferencia será por lo tanto definida en nuestro ejemplo como próxima a 1/10 del período de cambio de las palabras de control.
Este valor de diferencia define los índices de extensión de la validez real. Por ejemplo, cuando el período de cambio de las palabras de control es 10 segundos y la relación entre la velocidad de avance elevada y la velocidad normal es 10, el valor mínimo de la diferencia será de 10 segundos dividido por 10, es decir de 1 segundo. En consecuencia, el módulo de seguridad aceptará desencriptar una nueva palabra de control siempre y cuando su reloj haya avanzado un segundo con respecto al momento de la desencriptación de la última palabra de control.
Un posible fraude consistiría en proporcionar al módulo de seguridad una información temporal a un ritmo más lento. Esto sería factible mediante el montaje de un cuarzo de frecuencia más débil sobre el reloj interno de la PVR. El módulo de seguridad no puede distinguir a priori la velocidad de avance elevada de la velocidad normal en el momento de la desencriptación de los ECM. En consecuencia, la duración del derecho sería multiplicada por un factor 10, es decir por ejemplo extendida a 10 días en lugar de aquella prevista de 1 día.
Se debe señalar que en tal caso ya no será posible utilizar el modo de avance rápido porque el período de cambio de las palabras de control se vuelve inferior al valor de diferencia mínima.
Este inconveniente puede ser considerado como admisible por el hecho de que el usuario ha comprado el derecho al menos una vez. Además, en el caso de la compra de un derecho más reciente, la información temporal antigua memorizada en el módulo de seguridad es reemplazada por una nueva información temporal que representa la fecha/hora de la compra. El derecho extendido fraudulentamente expira inmediatamente de este modo y el interés de este fraude resulta por lo tanto limitado.
Existe la posibilidad de que el módulo de seguridad sepa en qué modo se encuentra la PVR y por lo tanto de ajustar la duración mínima entre dos desencriptaciones de palabras de control. En el modo rápido, esta duración sería de un segundo mientras que en el modo normal, esta duración se fija en 10 segundos. De este modo, un defraudador debería no sólo modificar la frecuencia del reloj de la PVR sino también de los comandos transmitidos entre la PVR y el módulo de seguridad.
La validez de un derecho está determinada por el módulo de seguridad a partir de la información temporal grabada en el momento de la compra de un programa. Por lo tanto se recomienda actualizar esta información en el módulo de seguridad a cada compra, de lo contrario el nuevo derecho creado tendrá un período de validez reducido en el caso de que la información temporal grabada en el módulo de seguridad sea demasiado antigua.
Dado que el módulo de seguridad no acepta que el descodificador PVR le proporcione una información temporal anterior a la información actual del reloj RTC, la gestión de este reloj debe estar adaptada a ciertas exigencias:
-
el reloj RTC de la PVR será de preferencia alimentado con una batería que mantendrá su funcionamiento incluso cuando la PVR se inicie.
-
un valor representativo de la fecha y de la hora es transmitido al módulo de seguridad por el reloj RTC.
-
la actualización de este reloj RTC provocará de preferencia el avance de la hora actual,
-
los valores son ajustados con una tabla de descripción de la fecha y de la hora TDT (Time and Date Description Table) a la cual la PVR se refiere cuando éste está en línea, es decir cuando ésta es conectada al centro de gestión. Esta tabla está sincronizada con la información temporal contenida en los ECM difundidos por el centro de gestión.
-
el usuario de la PVR no debería poder ajustar directamente el reloj RTC. Si la fecha y la hora presentadas en la pantalla del panel frontal de la PVR debieran sin embargo ser ajustadas, en primer lugar, se almacena el ajuste en una memoria no volátil como una diferencia con el valor actual del reloj RTC. La nueva fecha/hora que se presentará será entonces calculada a continuación a partir de esta diferencia almacenada.
-
cuando la PVR está sin línea, el reloj RTC no debería poder ser modificado o al menos no atrasado con respecto al valor grabado en el módulo de seguridad.
-
cuando la PVR está en línea y si el reloj RTC es atrasado con respecto a la fecha/hora de referencia de la tabla TDT, el reloj RTC es resincronizado en una sola etapa con esta referencia.
-
cuando el reloj RTC está adelantado con respecto a la referencia TDT, la resincronización directa como en el caso anterior no es deseable porque la nueva información temporal actual estará atrasada con respecto a la información temporal anterior almacenada en el módulo de seguridad. La condición que impone una diferencia positiva entre estas dos informaciones de este modo ya no es cumplida y las palabras de control no serán por lo tanto desencriptadas por el módulo de seguridad.
Por ejemplo la PVR es conectada en línea a 10.00.00 horas cuando el reloj RTC de la PVR indica 10.02.00 horas es decir 2 minutos de adelanto. La diferencia esperada para desencriptar las palabras de control siendo de 10 segundos.
La PVR envía los mensajes como sigue:
un primer mensaje a 10 00 00 indica que la hora es 10 02 01
un segundo mensaje a 10 00 20 indica que la hora es 10 02 10
un tercer mensaje a 10 00 40 indica que la hora es 10 02 20 y así sucesivamente.
Al cabo de 4 minutos el reloj RTC de la PVR es resincronizado con la hora indicada por el centro de gestión conservando siempre la posibilidad de desencriptar los datos almacenados en el disco duro en concordancia con la hora grabada en el módulo de seguridad.
En el caso de un ordenador personal, el método de la invención se aplica a la descarga de ficheros tales como programas, juegos, películas, música desde Internet. El ordenador está provisto de un módulo de seguridad que crea un derecho de acceso a los ficheros descargados o de utilización de aquellos de tiempo limitado. La información temporal necesaria es generada por el reloj interno del ordenador que puede también ser puesto al día en el momento de la conexión del ordenador a Internet.

Claims (9)

1. Método de contabilización de una duración en un módulo de seguridad insertado en un aparato que comprende un reloj interno, este aparato recibiendo un flujo de datos digitales encriptados a través de palabras de control contenidas en mensajes de control ECM, este método comprendiendo las etapas siguientes:
- recepción por el módulo de seguridad de los datos provenientes del reloj interno del aparato que incluye una información temporal actual,
- almacenamiento de los datos actuales que representan la información temporal actual en el módulo de seguridad,
- recepción por el módulo de seguridad de un mensaje de control ECM que requiere la desencriptación de al menos una palabra de control,
- lectura de los datos anteriores que representan una información temporal anterior en el momento del tratamiento del anterior mensaje de control ECM,
- tratamiento del mensaje de control ECM cuando la información actual está adelantada temporalmente con respecto a la información anterior.
2. Método según la reivindicación 1, caracterizado por el hecho de que la condición que define el adelanto temporal está determinada por la frecuencia de cambio de las palabras de control.
3. Método según la reivindicación 1, caracterizado por el hecho de que la información temporal actual se almacena en una memoria y tras la recepción de una nueva información temporal, ésta reemplaza a la información temporal actual siempre y cuando la nueva información temporal esté adelantada temporalmente con respecto a la información temporal actual.
4. Método según cualquiera de las reivindicaciones 1 a 3, caracterizado por el hecho de que la información temporal determina una fecha y una hora.
5. Método según la reivindicación 4, caracterizado por el hecho de que la información temporal actual del módulo de seguridad sirve para comprobar el periodo de validez de un derecho necesario para la desencriptación del flujo de datos digitales.
6. Método según la reivindicación 1, caracterizado por el hecho de que el aparato recibe las informaciones temporales cuando éste es conectado a un centro de gestión, dichas informaciones ponen al día un contador en el aparato que proporciona un valor representativo de la fecha y de la hora que se almacenará y después se comparará con el valor de la información temporal generado por el reloj interno del aparato.
7. Método según la reivindicación 6, caracterizado por el hecho de que el reloj interno del aparato es puesto al día en función del resultado de la comparación, el nuevo valor siendo transmitido al módulo de seguridad.
8. Método según la reivindicación 1, caracterizado por el hecho de que el reloj interno del aparato es puesto al día por las informaciones temporales transmitidas por los mensajes de control ECM difundidos cuando dicho aparato es conectado a un centro de gestión.
9. Método según cualquiera de las reivindicaciones 1 a 8, caracterizado por el hecho de que el aparato es una grabadora de vídeo digital PVR de programas de televisión digital de pago.
ES04732374T 2003-05-14 2004-05-12 Metodo de contabilizacion de una duracion en un modulo de seguridad. Expired - Lifetime ES2276300T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH8432003 2003-05-14
CH84320/03 2003-05-14

Publications (1)

Publication Number Publication Date
ES2276300T3 true ES2276300T3 (es) 2007-06-16

Family

ID=33438097

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04732374T Expired - Lifetime ES2276300T3 (es) 2003-05-14 2004-05-12 Metodo de contabilizacion de una duracion en un modulo de seguridad.

Country Status (19)

Country Link
US (1) US8144867B2 (es)
EP (1) EP1627530B1 (es)
JP (1) JP2007504779A (es)
KR (1) KR101042757B1 (es)
CN (1) CN100490529C (es)
AT (1) ATE344591T1 (es)
AU (1) AU2004239939A1 (es)
BR (1) BRPI0410302A (es)
CA (1) CA2524674A1 (es)
DE (1) DE602004003053T2 (es)
ES (1) ES2276300T3 (es)
MX (1) MXPA05012204A (es)
MY (1) MY139276A (es)
PL (1) PL1627530T3 (es)
PT (1) PT1627530E (es)
RU (1) RU2355124C2 (es)
TW (1) TW200511860A (es)
UA (1) UA84700C2 (es)
WO (1) WO2004102967A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8656191B2 (en) 2005-12-23 2014-02-18 Nagravision S.A. Secure system-on-chip
EP1811415A1 (en) * 2005-12-23 2007-07-25 Nagracard S.A. Secure system-on-chip
EP1802030A1 (en) * 2005-12-23 2007-06-27 Nagracard S.A. Secure system-on-chip
GB0606962D0 (en) * 2006-04-06 2006-05-17 Vodafone Plc Secure Module
KR20090054186A (ko) * 2007-11-26 2009-05-29 삼성전자주식회사 하향 더미 제어블록을 이용한 데이터 전송방법 및 그방법에 따른 시스템
EP2124439A1 (fr) * 2008-05-21 2009-11-25 Nagravision S.A. Méthode d'allocation et de gestion d'abbonements de réception de produits télédiffusés
US8515063B2 (en) * 2009-12-21 2013-08-20 Motorola Mobility Llc Coordinated viewing experience among remotely located users
US8326346B2 (en) * 2010-03-16 2012-12-04 Universal Electronics Inc. System and method for battery conservation in a portable device
EP2566157A1 (en) 2011-09-02 2013-03-06 Nagravision S.A. Method to optimize reception of entitlement management messages in a Pay-TV system
JP5915046B2 (ja) * 2011-09-15 2016-05-11 ソニー株式会社 情報処理装置、および情報処理方法、並びにプログラム

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4893248A (en) * 1987-02-06 1990-01-09 Access Corporation Monitoring and reporting system for remote terminals
JPH01278183A (ja) * 1988-04-28 1989-11-08 Canon Inc デイジタル画像記録及び又は再生装置
US5282249A (en) * 1989-11-14 1994-01-25 Michael Cohen System for controlling access to broadcast transmissions
ES2105021T3 (es) * 1992-09-14 1997-10-16 Thomson Multimedia Sa Metodo para el control de acceso.
IL111151A (en) * 1994-10-03 1998-09-24 News Datacom Ltd Secure access systems
EP0975165B1 (en) * 1994-07-08 2003-05-02 Sony Corporation Receiving controlled-access broadcast signals
US6002772A (en) * 1995-09-29 1999-12-14 Mitsubishi Corporation Data management system
US6577734B1 (en) * 1995-10-31 2003-06-10 Lucent Technologies Inc. Data encryption key management system
TR199902273T2 (xx) * 1997-03-21 2000-01-21 Canal + Societe Anonyme �ifrelenmi� yay�n sinyallerinin al�c�s� ile kullan�m i�in ak�ll� kart, ve al�c�
US7395545B2 (en) * 1997-03-31 2008-07-01 Macrovision Corporation Method and apparatus for providing copy protection using a transmittal mode command
JP2001513587A (ja) * 1997-07-31 2001-09-04 サイエンティフィック−アトランタ・インコーポレーテッド 条件付きアクセスシステムにおける情報のプログラムのソースの検証
EP0912052A1 (en) * 1997-09-25 1999-04-28 CANAL+ Société Anonyme Method and apparatus for recording of encrypted digital data
US6987854B2 (en) * 1997-09-25 2006-01-17 Thomson Licensing S.A. Method and apparatus for recording of encrypted digital data
HUP0100232A3 (en) * 1997-10-02 2001-10-29 Canal Plus Sa Method and apparatus for encrypted data stream transmission
KR100252972B1 (ko) * 1997-12-31 2000-04-15 구자홍 한정수신 시스템
CN1269125C (zh) * 1998-01-26 2006-08-09 松下电器产业株式会社 数据记录/再现方法和系统、记录设备和再现设备
US7336712B1 (en) * 1998-09-02 2008-02-26 Koninklijke Philips Electronics N.V. Video signal transmission
ES2281120T3 (es) * 1998-12-08 2007-09-16 Irdeto Access B.V. Sistema para el proceso de una señal de informacion.
US7730300B2 (en) * 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
JP4269409B2 (ja) * 1999-05-19 2009-05-27 ソニー株式会社 受信装置および方法
CN1237743C (zh) * 1999-05-19 2006-01-18 索尼公司 广播装置及方法、接收装置及方法、以及媒体
JP2002300559A (ja) * 2001-03-30 2002-10-11 Ntt Comware Corp 実放送時間情報の提供ならびに実時間情報に動的にリンクした放送番組情報の録画方法、およびその情報提供サーバ、録画端末装置
US7747853B2 (en) * 2001-06-06 2010-06-29 Sony Corporation IP delivery of secure digital content
US7127619B2 (en) * 2001-06-06 2006-10-24 Sony Corporation Decoding and decryption of partially encrypted information
JP4455053B2 (ja) * 2001-06-08 2010-04-21 イルデト、アインドーフェン、ベスローテン、フェンノートシャップ 制御ワードを用いて暗号化されたサービスに選択的にアクセスするデバイス及び方法並びにスマートカード
SE520674C2 (sv) * 2001-12-14 2003-08-12 Television And Wireless Applic Metod och system för villkorad access
WO2003058956A1 (en) * 2002-01-14 2003-07-17 Koninklijke Philips Electronics N.V. Distribution of encrypted information
US7486793B2 (en) * 2002-02-15 2009-02-03 Nagracard S.A. Invoicing management method of a service transmitted per time unit
US20040054771A1 (en) * 2002-08-12 2004-03-18 Roe Glen E. Method and apparatus for the remote retrieval and viewing of diagnostic information from a set-top box
JP4077689B2 (ja) * 2002-08-28 2008-04-16 日本放送協会 コンテンツ送信方法、コンテンツ送信装置、コンテンツ送信プログラムおよびコンテンツ受信方法、コンテンツ受信装置、コンテンツ受信プログラム
US7200868B2 (en) * 2002-09-12 2007-04-03 Scientific-Atlanta, Inc. Apparatus for encryption key management
US7724907B2 (en) * 2002-11-05 2010-05-25 Sony Corporation Mechanism for protecting the transfer of digital content
US7224310B2 (en) * 2002-11-20 2007-05-29 Nagravision S.A. Method and device for the recognition of the origin of encrypted data broadcasting
US20040178266A1 (en) * 2003-03-12 2004-09-16 Rightech Corporation . Card reader display for cars
JP4482380B2 (ja) * 2003-06-19 2010-06-16 パナソニック株式会社 視聴制御装置、視聴制御プログラム、セキュアモジュール
US7194756B2 (en) * 2003-06-20 2007-03-20 N2 Broadband, Inc. Systems and methods for provisioning a host device for enhanced services in a cable system
EP1662789A1 (fr) * 2004-11-29 2006-05-31 Nagracard S.A. Procédé de contrôle d'accès à des données à accès conditionnel
US7721088B2 (en) * 2006-07-27 2010-05-18 Panasonic Corporation Terminal device, server device, and content distribution system

Also Published As

Publication number Publication date
TW200511860A (en) 2005-03-16
MXPA05012204A (es) 2006-02-08
ATE344591T1 (de) 2006-11-15
AU2004239939A1 (en) 2004-11-25
MY139276A (en) 2009-09-30
EP1627530B1 (fr) 2006-11-02
CN100490529C (zh) 2009-05-20
CA2524674A1 (en) 2004-11-25
JP2007504779A (ja) 2007-03-01
PL1627530T3 (pl) 2007-03-30
KR20060017780A (ko) 2006-02-27
CN1788493A (zh) 2006-06-14
BRPI0410302A (pt) 2006-05-23
US8144867B2 (en) 2012-03-27
PT1627530E (pt) 2007-02-28
RU2005134858A (ru) 2006-09-10
KR101042757B1 (ko) 2011-06-20
DE602004003053T2 (de) 2007-05-16
UA84700C2 (ru) 2008-11-25
RU2355124C2 (ru) 2009-05-10
US20040240394A1 (en) 2004-12-02
EP1627530A1 (fr) 2006-02-22
DE602004003053D1 (de) 2006-12-14
WO2004102967A1 (fr) 2004-11-25

Similar Documents

Publication Publication Date Title
ES2311494T3 (es) Almacenamiento super encriptado y recuperacion de programas audiovisuales con claves generadas por tarjeta inteligente.
ES2236937T3 (es) Metodo y aparato para transmision encriptada o cifrada.
ES2214840T3 (es) Registro de datos digitales codificados.
ES2206594T3 (es) Acceso condicional desplazado en el tiempo.
ES2486251T3 (es) Procedimiento de control de acceso a datos con acceso condicional
US5594794A (en) Method and apparatus for free previews of communication network services
US8082592B2 (en) Read/write encrypted media and method of playing
ES2220746T3 (es) Sistema y metodo de transmision segura de datos.
EP1227612A1 (en) Contents recording apparatus, recording medium, contents reproducing apparatus, contents transmission method, transmission medium, and contents reception method
ES2276300T3 (es) Metodo de contabilizacion de una duracion en un modulo de seguridad.
CN1316823C (zh) 分发信息单元和访问方法,信息分发系统和设备,安全设备
WO2004114051A2 (ja) 視聴制御装置、視聴制御プログラム、セキュアモジュール
ES2391555T3 (es) Método de gestión de derechos de un contenido cifrado y almacenado en una grabadora digital personal
JP2007515885A (ja) 条件付きアクセス映像信号分配装置及び方法
JP2005527890A (ja) 個人用デジタルレコーダでの暗号化データの安全な格納方法
JP2005514874A (ja) 時間依存条件付きアクセスを供給するシステム
ES2263850T3 (es) Sistema de acceso condicional y proteccion contra copias.
JP2002262227A (ja) ディジタル情報記録装置、送信装置および送受信装置
ES2276128T3 (es) Metodo de gestion de la presentacion de descripciones de eventos de acceso condicional.
ES2266774T3 (es) Metodo de gestion de la facturacion de un servicio de teledifusion por unidad de tiempo.
JPH09139930A (ja) 有料放送用icカード並びに有料放送システム
ES2276273T3 (es) Sistema de television de pago, procedimiento de revocacion de derechos en un sistema de este tipo, descodificador y tarjeta inteligente asociados, y mensaje transmitido por un descodificador de este tipo.
JP2004186714A (ja) コンテンツ提供システム、コンテンツ受信装置、視聴制御プログラム及び視聴制御用記憶媒体
KR20090045769A (ko) Cas에 대한 시큐리티 장치 및 방법 그리고 stb
JP4482777B2 (ja) 送信装置および方法、受信装置および方法、icカード、放送システムおよび方法、並びに記録媒体