ES2313290T3 - Metodo de aseguramiento de un contenido cifrado transmitido por un difusor. - Google Patents

Metodo de aseguramiento de un contenido cifrado transmitido por un difusor. Download PDF

Info

Publication number
ES2313290T3
ES2313290T3 ES05708066T ES05708066T ES2313290T3 ES 2313290 T3 ES2313290 T3 ES 2313290T3 ES 05708066 T ES05708066 T ES 05708066T ES 05708066 T ES05708066 T ES 05708066T ES 2313290 T3 ES2313290 T3 ES 2313290T3
Authority
ES
Spain
Prior art keywords
key
security
encryption
content
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES05708066T
Other languages
English (en)
Inventor
Cedric Groux
Rached Ksontini
Henri Kudelski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NagraCard SA
Original Assignee
NagraCard SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NagraCard SA filed Critical NagraCard SA
Application granted granted Critical
Publication of ES2313290T3 publication Critical patent/ES2313290T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

Método de protección de un contenido cifrado por al menos una clave de cifrado y transmitido por un difusor a al menos una unidad multimedia asociada a un módulo de seguridad, un valor que permite determinar la o las claves de cifrado de este contenido siendo transmitida también a la unidad multimedia por dicho difusor, dicho módulo de seguridad comprendiendo medios para determinar la clave de cifrado en base a dicho valor, este método estando caracterizado por las etapas siguientes: - generación de una clave de cifrado temporal (MCW), - cifrado por la clave temporal (MCW) del valor que permite determinar las claves de cifrado (cw) del contenido; - transmisión de este valor cifrado con destino a dicha unidad multimedia, - cifrado y transmisión de al menos dos criptogramas comprendiendo la clave temporal (MCW) cifrada por una clave de autorización (G), el primer criptograma siendo cifrado por una primera clave de autorización propia de un primer módulo de seguridad y el segundo criptograma siendo cifrado por una segunda clave de autorización que es propia de un grupo de módulos de seguridad de los cuales se excluye un primer módulo de seguridad.

Description

Método de aseguramiento de un contenido cifrado transmitido por un difusor.
La presente invención se refiere al campo de la seguridad de módulos de seguridad, estos módulos, destinados a contener informaciones personales y secretas, permiten el acceso a estos servicios o a prestaciones.
Esta invención se aplica más precisamente al campo de la televisión de pago, en la que un contenido es difundido en forma cifrada, el descifrado de este contenido estando autorizado en condiciones determinadas.
De manera bien conocida, para poder visualizar un evento de televisión de pago, como una película, un evento deportivo o un juego particularmente, varios flujos son difundidos con destino a una unidad multimedia, por ejemplo un descodificador. Estos flujos son principalmente, por una parte el fichero del evento en forma de flujo de datos cifrados y por otra parte, un flujo de mensajes de control que permiten el descifrado del flujo de datos. El contenido del flujo de datos es cifrado por "palabras de control" (Control words = cw), renovadas regularmente. El segundo flujo es llamado flujo ECM (Entitlement control Message) y puede estar formado de dos maneras diferentes. Según una primera forma, las palabras de control son cifradas por una clave, dicha clave de transmisión TK, que es generalmente propia al sistema de transmisión entre el centro de gestión y un módulo de seguridad asociado al receptor/descodificador. La contraseña es obtenida descifrando los mensajes de control por medio de la clave de transmisión TK.
Según una segunda forma, el flujo ECM no contiene directamente las palabras de control cifradas, pero contiene las informaciones que permiten determinar las palabras de control. Esta determinación de las palabras de control puede realizarse a través de distintas operaciones, en particular por descifrado, este descifrado pudiendo llegar directamente a la palabra de control, lo que corresponde a la primera forma descrita arriba, pero el descifrado puede proporcionar también un dato que contenga la palabra de control, esta última debiendo ser todavía extraída del dato. En particular, el dato puede contener la palabra de control así como un valor asociado al contenido que difundir, y particularmente las condiciones de acceso a este contenido. Otra operación que permite la determinación de la palabra de control puede utilizar por ejemplo una función de comprobación aleatoria de dirección única de esta información particularmente.
Las operaciones de seguridad son efectuadas generalmente en un módulo de seguridad asociado a la unidad multimedia o al descodificador. Tal módulo de seguridad puede ser realizado en particular en cuatro formas distintas. Una de ellas es una placa de microprocesador, una tarjeta chip, o más generalmente un módulo electrónico (en forma de clave, de etiqueta de identificación,...). Tal módulo es habitualmente móvil y conectable al descodificador. La forma con contactos eléctricos es la más utilizada, pero no excluye un enlace sin contacto por ejemplo de tipo ISO 14443.
Una segunda forma conocida es la de una caja de circuito integrado instalada, generalmente de forma definitiva e inamovible en la caja del descodificador. Una variante está constituida por un circuito montado sobre una base o conector tal como un conector de módulo SIM.
En una tercera forma, el módulo de seguridad es integrado en una caja de circuito integrado que tiene también otra función, por ejemplo en un módulo de desaleatorización del descodificador o el microprocesador del descodificador.
En una cuarta forma de realización, el módulo de seguridad no se realiza en forma material, pero su función es la puesta en funcionamiento en forma de software únicamente. Puesto que en el cuarto caso, aunque el nivel de seguridad sea diferente, la función es idéntica, se hablará de módulo de seguridad sea cual sea la forma de realización de su función o la forma que puede adoptar este módulo.
Durante el descifrado de un mensaje de control (ECM), se verifica, en el módulo de seguridad, que el derecho para acceder al contenido considerado está presente. Este derecho puede ser gestionado por mensajes de autorización (EMM = Entitlement Management Message) que cargan tal derecho en el módulo de seguridad.
La difusión de datos numéricos con acceso condicional es dividida esquemáticamente entre tres módulos. El primer módulo se encarga del cifrado de los datos numéricos mediante las palabras de control cw y de la difusión de estos datos.
El segundo módulo prepara los mensajes de control ECM conteniendo las palabras de control cw, así como las condiciones de acceso y las difunde con destino a los usuarios.
En cuanto al tercer módulo, éste prepara y transmite los mensajes de autorización EMM que se encargan de definir los derechos de recepción en los módulos de seguridad conectados a los receptores.
Mientras que los dos primeros módulos son generalmente independientes de los destinatarios, el tercer módulo gestiona el conjunto de los usuarios y difunde informaciones destinadas a un usuario, de un grupo de usuarios o todos los usuarios.
Uno de los métodos para eludir la seguridad, que es en efecto pesado pero realizable, consiste en analizar el contenido de un módulo de seguridad autorizado (reverse engineering) con el fin de imitar la parte de seguridad (descifrado de los mensajes) mientras que se efectúa un cortocircuito de la parte verificación de los derechos. Es por lo tanto posible realizar un "clon" de un módulo de seguridad real. Tal clon dispondrá así de la clave de transmisión, lo que le permitirá descifrar las palabras de control cw contenidas en los mensajes de control ECM. Como no se han verificado los derechos en este clon, éste funcionará como el original con respecto a los medios de descifrado sin que se necesite disponer de derechos para realizar este descifrado.
En un sistema de televisión de pago, se puede cambiar la clave de transmisión. Para ello, en principio, se pueden utilizar dos métodos. El primero consiste en difundir la nueva clave de transmisión con destino a todos los descodificadores. Éstos pueden así actualizarse para que, en cuanto se utilice la nueva clave, éstos puedan descifrar los eventos. Este tipo de actualización no permite excluir un descodificador clonado ya que podrá recibir también los mensajes de actualización puesto que posee las claves de descifrado aferentes.
Debido al hecho de que cada módulo de seguridad incluye al menos una clave única, el segundo acercamiento consiste en transmitir la nueva clave de transmisión en un mensaje codificado por esta clave única. En este caso, el número de mensajes es como mínimo igual al número de módulos de seguridad instalados con el fin de renovar individualmente esta clave de transmisión. Se sabe que si un módulo es activado, (es decir si el aparato huésped no es alimentado), éste no recibirá tal mensaje y ya no podrá ofrecer al usuario los servicios a los que tiene derecho legítimamente. Para remediarlo, durante un envío de un mensaje destinado a un módulo, se repite este mensaje un gran número de veces con el fin de estar seguro de que su destinatario lo ha recibido correctamente.
Debido al ancho de banda disponible y para asegurar que cada abonado ha recibido correctamente la nueva clave, es necesario transmitir el mensaje mucho antes de que esta nueva clave sea utilizada, por ejemplo un mes antes.
A partir de ese momento, el poseedor de un módulo clon se dirigirá al técnico que le proporciona tal clon y que dispone de medios para extraer la nueva clave de transmisión de un módulo auténtico. Una vez que la clave ha sido puesta a disposición, por ejemplo en Internet, todos los clones pueden ser actualizados incluso antes de que la nueva clave sea activada. De esta forma, los clones se mantienen siempre operacionales.
El resultado es que el envío de claves de transmisión tanto por transmisión global como individual presentan inconvenientes y no permiten eliminar un módulo clonado.
De este modo, el objetivo de la presente invención es proponer un método para impedir el uso abusivo de datos de acceso condicional, en particular por medio de clones de módulos de seguridad cuya seguridad ha sido comprometida.
Este objetivo es alcanzado por un método de protección de un contenido cifrado por al menos una clave de cifrado y transmitido por un difusor al menos a una unidad multimedia asociada a un módulo de seguridad, un valor que permite determinar la o las claves de cifrado de este contenido es transmitido también a la unidad multimedia por dicho difusor, dicho módulo de seguridad comprendiendo medios para determinar la clave de cifrado en base a dicho valor, este método comprendiendo las etapas siguientes:
-
generación de una clave de cifrado temporal (MCW),
-
cifrado por la clave temporal (MCW) del valor que permite determinar las claves de cifrado (cw) del contenido;
-
transmisión de este valor cifrado con destino a dicha unidad multimedia,
-
cifrado y transmisión de al menos dos criptogramas comprendiendo la clave temporal (MCW) cifrada por una clave de autorización (G), el primer criptograma siendo cifrado por una primera clave de autorización propia de un primer módulo de seguridad y el segundo criptograma siendo cifrado por una segunda clave de autorización que es propia de un grupo de módulos de seguridad de donde está excluido el primer módulo de seguridad.
El objetivo de la invención es alcanzado también por un método de protección de un contenido cifrado por al menos una clave de cifrado y transmitido por un difusor al menos a una unidad multimedia asociada a un módulo de seguridad, un valor que permite determinar la o las claves de cifrado de este contenido siendo transmitida también a la unidad multimedia por dicho difusor, dicho módulo de seguridad comprendiendo medios para determinar la clave de cifrado en base a dicho valor, este método comprendiendo las etapas siguientes:
-
generación de dicho valor que permite determinar la o las claves de cifrado;
-
transmisión a la unidad multimedia de dicho valor que permite deducir la clave de cifrado (cw) del contenido,
-
generación de una clave de cifrado temporal (MCW),
-
transformación, por la clave temporal (MCW), del valor que permite determinar las claves de cifrado del contenido, esta transformación dando como resultado, dicha clave de cifrado (cw) del contenido;
-
cifrado y transmisión de al menos dos criptogramas comprendiendo la clave temporal (MCW) cifrada por una clave de autorización (G), el primer criptograma siendo cifrado por una primera clave de autorización propia de un primer módulo de seguridad y el segundo criptograma siendo cifrado por una segunda clave de autorización propia de un grupo de módulos de seguridad de donde está excluido un primer módulo de seguridad.
El método de la invención permite realizar un cifrado seudo-individual de mensajes eludiendo la necesidad de cifrar este mismo mensaje por cada clave personal de cada módulo de seguridad. Esto permite autorizar el descifrado de una clave de descifrado únicamente por los módulos no clonados y prohibir el descifrado de tal clave a los clones, de tal forma que éstos ya no puedan descifrar los datos futuros.
Uno de los objetivos de la invención consiste en combinar el cifrado "individual" de una clave de descifrado de los datos, con un cambio frecuente de esta clave. Estas dos nociones son aparentemente incompatibles puesto que es necesario, para el cifrado individual, transmitir un número de mensajes igual al número de módulos de seguridad, lo que tiene como consecuencia ocupar un ancho de banda importante durante la transmisión. Esta característica es incompatible con un cambio frecuente de la clave, lo cual es una condición para una seguridad óptima.
La solución propuesta consiste en integrar en los mensajes de autorización ECM, no las palabras de control que han sido utilizadas para cifrar los datos, sino las palabras de control modificadas, a partir de las cuales es posible determinar las palabras de control originales, a condición de que el módulo de seguridad disponga de una clave válida, que no haya sido revocada. En la invención, la determinación de las palabras de control originales cw puede ser efectuada si el módulo de seguridad recibe "datos de autorización". La revocación de un módulo de seguridad es realizada simplemente sin el envío de los datos de autorización implicados.
Un flujo, que puede ser el flujo de los mensajes de autorización EMM u otro flujo específico, transmite estos "datos de autorización", que permitirán a los módulos de seguridad descifrar las palabras de control modificadas y deducir así las palabras de control cw, para poder descifrar el contenido.
Los datos de autorización utilizados para cifrar estas palabras de control cw son formados por medio de claves organizadas según una arborescencia en la que el nivel más alto está compuesto de claves únicas por módulo de seguridad, los niveles inferiores estando constituidos por claves comunes para un grupo de módulo de seguridad, y sucesivamente. Cuanto más se baja en los niveles, más aumenta el número de módulos de seguridad por grupo. De esta manera, se asocia a cada módulo de seguridad una colección de claves que le es propia.
Esta multitud de claves asociadas a diferentes grupos de módulos de seguridad permite un direccionamiento más preciso de los "datos de autorización", y permite así reducir el ancho de banda necesario para la transmisión de estos "datos de autorización".
Esto presenta como ventaja el hecho de poder cambiar de clave de cifrado en una frecuencia mucho mayor que los sistemas convencionales, por ejemplo cada 1 a 5 minutos, lo que no deja tiempo a los piratas eventuales para obtener la clave y difundirla con destino a otros piratas. Además, cuando un módulo de seguridad ha servido para la realización de un clon, es posible identificar este módulo de seguridad determinando su colección de clave. Por lo que resulta sencillo revocar ese módulo de seguridad y ese clon.
La invención será mejor entendida gracias a la descripción detallada siguiente y que se refiere a los dibujos anexos que son proporcionados a modo de ejemplo en ningún caso limitativo, en los cuales:
- la figura 1 ilustra esquemáticamente el cifrado y el descifrado de datos según un primer modo de realización del método de la invención;
- la figura 2 ilustra el cifrado y el descifrado de datos según un segundo modo de realización del método de la invención;
- la figura 3 ilustra el cifrado y el descifrado de datos según un tercer modo de realización del método de la invención;
- la figura 4 describe la clasificación de claves utilizadas en la invención;
- la figura 5 ilustra un ejemplo de las claves contenidas en los módulos de seguridad; y
- las figuras 6a a 6g representan esquemáticamente los mensajes transmitidos por el difusor a los módulos de seguridad.
\vskip1.000000\baselineskip
Las figuras 1 a 3 ilustran la realización del método según la invención, tanto del lado cifrado como del lado descifrado. El cifrado es realizado al nivel del centro de gestión CG que envía flujos con destino a descodificadores STB asociados a un módulo de seguridad SC encargado del descifrado de los datos.
Como se ilustra por la figura 1, el centro de gestión CG genera tres flujos, que están detallados más abajo.
Este centro de gestión genera primero, en un generador de palabras de control cwg, unas palabras de control cw que son utilizadas en primer lugar de manera convencional para cifrar un contenido CT para ser difundido. El contenido CT es cifrado durante una etapa llamada Scramb en la figura 1. Este contenido es difundido en forma de flujo de datos cifrados CT' = cw(CT). De manera bien conocida, las palabras de control son cambiadas en intervalos regulares, por ejemplo cada 2 a 10 segundos, aunque se pueden considerar otras duraciones.
Cuando las palabras de control son generadas, éstas son cifradas también por una clave de cifrado temporal, generada en principio de forma aleatoria por un generador MCWG, y denominada palabra de control maestra MCW. Se obtienen así palabras de control modificadas cw' = MCW(cw). Estas palabras de control maestras son cambiadas también en intervalos regulares, por ejemplo cada 1 a 10 minutos. Otras duraciones pueden ser utilizadas también.
En el modo de realización de la figura 1, las palabras de control modificadas cw' son establecidas, añadiendo particularmente las condiciones de acceso al contenido y un encabezamiento. Estas son posteriormente cifradas por medio de la clave de transmisión TK antes de ser difundidas en forma de mensajes de control ECM convencionales.
Se debe señalar que también es posible añadir las condiciones de acceso CD a la palabra de control y cifrar el conjunto con la palabra de control maestra MCW. Esto permitiría prescindir del cifrado por la clave de transmisión TK.
Paralelamente, la palabra de control maestra MCW es cifrada con la ayuda de varias claves diferentes con destino a diferentes grupos de módulos de seguridad no revocados. Estos cifrados son efectuados con claves G, llamadas claves de autorización y descritas con más detalle a continuación. Cada módulo de seguridad comprende efectivamente varias claves de autorización, algunas de éstas siendo únicas y diferentes para cada módulo, otras siendo comunes para varios módulos. Las claves de autorización son introducidas en los módulos de seguridad durante su personalización.
Cuando la palabra de control maestra MCW es cifrada por una clave de autorización G, se obtiene un bloque de autorización G (MCW). Estos bloques de autorización son difundidos sea en un flujo específico, sea en un flujo de mensajes de autorización EMM.
Los descodificadores reciben en consecuencia tres flujos, el flujo de datos cifrados CT', el de los mensajes de control ECM y el de los bloques de autorización G (MCW). El flujo de los mensajes de autorización ECM es filtrado de manera convencional y tratado por el módulo de seguridad para extraer las palabras de control modificadas cw'. Para ello, se debe ante todo descifrar el mensaje por medio de la clave de transmisión TK.
Paralelamente, el flujo de tipo EMM u otro conteniendo los bloques de autorización recibido por un descodificador es filtrado en un filtro FT y tratado para extraer de allí el bloque de autorización relativo a este descodificador. Este es transmitido entonces a su módulo de seguridad SC. El bloque de autorización G (MCW) es descifrado a través de una de las claves de autorización G, lo que permite deducir la palabra de control maestra MCW. Ésta es utilizada de esta manera para descifrar la palabra de control modificada cw', lo cual permite determinar la palabra de control cw que ha servido para el cifrado del contenido. El contenido puede así ser descifrado en un módulo de desencriptado Desc. Se obtiene así el contenido CT en claro.
En el modo de realización ilustrado por la figura 2, se genera en primer lugar un elemento variable RN, que puede ventajosamente ser un valor aleatorio o seudoaleatorio. También se puede, según una variante, unir otro elemento dependiente del contenido al elemento variable, este otro elemento por ejemplo, pudiendo estar ligado en las condiciones de acceso CD a este contenido. En primer lugar, una operación es efectuada sobre el elemento variable RN con o sin el elemento CD dependiente del contenido. Esta operación puede ser una función de comprobación aleatoria de dirección única u otra operación criptográfica. El resultado de esta operación es la palabra de control cw que será utilizada para el cifrado del contenido.
El elemento variable RN con o sin las condiciones de acceso CD es cifrado por la palabra de control maestra MCW para proporcionar palabras de control modificadas cw*. Estas son tratadas posteriormente como en el modo de realización de la figura 1, es decir que son cifradas por la clave de transmisión, establecidas y difundidas en forma de mensajes de control.
Las palabras de control maestras MCW son cifradas también por las claves de autorización G y difundidas en un flujo de mensajes de autorización EMM u otro flujo específico, con destino a los descodificadores.
Para el descifrado del contenido cifrado CT', el módulo de seguridad trata los mensajes de control ECM para extraer desde ahí la palabra de control modificada cw*. También trata los mensajes de autorización G (MCW) para extraer de estos la palabra de control maestra MCW. Ésta es utilizada entonces para extraer el elemento variable RN, eventualmente con el elemento CD dependiendo del contenido, a partir de la palabra de control modificada cw*. A partir de los elementos extraídos, el elemento variable RN y eventualmente el elemento dependiente del contenido CD, se aplica la misma operación que la que ha servido al centro de gestión para generar las palabras de control cw a partir del elemento variable RN. Se obtendrán así las palabras de control cw que podrán ser utilizadas para descifrar el contenido cifrado CT' para obtener el contenido CT en claro.
En el modo de realización de la figura 3, las palabras de control cw son generadas a partir de un elemento variable RN, por ejemplo aleatorio con eventualmente un elemento CD dependiente de las condiciones de acceso a los datos. A continuación en el texto, por cuestiones de simplificación, se supone que se utiliza un elemento dependiente del contenido y que este elemento está ligado a las condiciones de acceso a este contenido. En la práctica, se podrá utilizar un elemento no dependiente de las condiciones de acceso o únicamente el elemento variable.
Como se ha mencionado anteriormente, se generan también palabras de control maestras MCW. Se somete después el elemento variable RN y las condiciones de acceso CD a una operación dependiente de las palabras de control maestras MCW. Tal operación es normalmente una operación de comprobación aleatoria con clave, siendo la clave la palabra de control maestra. El resultado de esta operación es la palabra de control cw utilizada para cifrar el contenido CT.
El elemento variable RN y las condiciones de acceso CD son cifrados por la clave de transmisión TK, establecidos y enviados como mensaje de control ECM al descodificador. Los bloques de autorización conteniendo las palabras de control maestras cifradas por las claves de autorización G también son transmitidas al descodificador.
El módulo de seguridad asociado al descodificador extrae el elemento variable RN y las condiciones de acceso. Descifra también las palabras de control maestras MCW. A partir de estos elementos, éste aplica la operación que ha servido para crear las palabras de control en el centro de gestión, esta operación siendo, en el ejemplo descrito, una función de comprobación aleatoria de clave, la clave siendo la palabra de control maestra. Se obtienen así las palabras de control cw, que en consecuencia son utilizadas para descifrar el contenido cifrado CT'.
Según el método de la invención, para revocar un módulo de seguridad, hay que determinar el conjunto de las claves de autorización presentes en este módulo que debe ser revocado, posteriormente no hay que utilizar ninguna de las claves del módulo que debe ser revocado para generar bloques de autorización. En otras palabras, revocar un módulo de seguridad y sus clones significa revocar todas las claves de autorizaciones presentes en el módulo de seguridad en cuestión. En cambio, hay que utilizar las claves de los módulos no revocados para generar los bloques de autorización necesarios para el buen funcionamiento de estos módulos. Por cuestiones de optimización de la utilización del ancho de banda, no es posible o no es deseable enviar bloques de autorización cifrados con una clave única de cada módulo de seguridad. De hecho, cuando crece el número de módulos de seguridad que debe ser gestionado, el ancho de banda disponible puede ser insuficiente. Para resolver este problema, cada módulo de seguridad contiene, como se ha indicado anteriormente, una pluralidad de claves de autorización G. Estas claves son organizadas según una arborescencia descrita en detalle en referencia a la figura 4.
La figura 4 ilustra un modo de realización en el que se gestionan 27 módulos de seguridad diferentes. Estos módulos son repartidos en grupos de tres elementos. Estos nueve grupos de tres elementos están agrupados también por tres. El principio de la invención es estrictamente el mismo, sea cual sea el tamaño de los grupos. En la figura 4 están representadas todas las claves de autorizaciones repartidas en los 27 módulos de seguridad. El sistema de la figura 4 dispone de cuatro niveles de claves, lo que significa que cada módulo de seguridad contiene cuatro claves de autorización.
Una de estas claves, anotada G0 en la figura 4 es común a 3^{3} es decir a los 27 módulos de seguridad, lo que representa la totalidad de los módulos en el ejemplo considerado. Esta clave es utilizada para cifrar las palabras de control maestras MCW siempre que no se deba revocar ningún módulo de seguridad y formar así un bloque de autorización G (MCW).
Una segunda clave de autorización, llamada clave de nivel 1 e indicada G1 en la figura es común a un grupo de 3^{2}, es decir de 9 módulos de seguridad. Se necesitan así tres claves de nivel 1 para cubrir el conjunto de los 27 módulos de seguridad. Estas claves son referenciadas en la figura por G1, seguido de los números 1, 2 o 3 correspondiendo cada uno a un grupo de 9 módulos de seguridad.
Una tercera clave de autorización, llamada de nivel 2, lleva la referencia G2, seguido de la cifra 1, 2 o 3 del grupo de primer nivel al que pertenece y seguido de la cifra 1, 2 o 3 correspondiendo al grupo de segundo nivel. Una clave de segundo nivel es común a 3^{1}, es decir a 3 módulos de seguridad.
Los módulos de seguridad contienen además una clave de autorización de tercer nivel, de referencia G3, esta referencia conteniendo también identificadores de los grupos de primer y segundo nivel, seguido de los números 1, 2 o 3. Tal clave es común a 3^{0}, es decir a 1 módulo de seguridad. Dicho de otro modo, estas claves de nivel 3 son únicas para cada módulo de seguridad.
De este modo, según el nivel de la clave, una clave es común para 3^{0} = 1 módulo de seguridad, 3^{1} = 3 módulos,
3^{2} = 9 módulos y 3^{3} = 27 módulos. Como se ha indicado anteriormente, el ejemplo de realización explicado se limita a 27 descodificadores para entender mejor la ilustración. En la práctica, se pueden utilizar grupos formados por una potencia de 2 módulos, por ejemplo 16 módulos de seguridad, con por ejemplo 7 niveles de claves, es decir una colección de 7 claves cargadas en cada uno de los módulos de seguridad, lo que permitiría gestionar más de 16 millones de módulos.
\newpage
Como está ilustrado en la figura 5, los módulos de seguridad contienen todos, según una jerarquía determinada, la clave de autorización G0 de nivel 0, una clave de nivel 1, una clave de nivel 2 y una clave de nivel 3. Se debe señalar que, para asegurar la seguridad de los módulos de seguridad, las claves que contienen no son enviadas preferiblemente en un mensaje, sino que son cargadas en fábrica, durante una etapa de personalización de los módulos.
En un funcionamiento normal, es decir cuando todos los módulos de seguridad están activos, los datos de autorización son sistemáticamente cifrados con la ayuda de la clave global G0 conocida por todos los módulos de seguridad, como se ha explicado previamente.
Cuando ya no se desea utilizar la clave global G0, por ejemplo cuando uno de los módulos de seguridad es considerado como un clon y que en consecuencia éste debe ser revocado, se cifran los bloques de autorización únicamente con las claves de autorización de nivel G1 excluyendo por supuesto la clave de nivel GI que está en el módulo que revocar. Debido a que la clave G1 revocada de esta manera es común para varios módulos de seguridad, se baja de un nivel únicamente para los módulos que tienen la misma clave G1 que el módulo que revocar y se cifra el bloque de autorización con las claves de nivel G2, a excepción de la que está contenida en el módulo que debe ser revocado. Este proceso es iterativo hasta que se llegue al nivel final que corresponde a una clave única por módulo de
seguridad.
Como se ha mencionado previamente, según los sistemas del estado de la técnica anterior, es necesario transmitir un mensaje individual a cada módulo de seguridad autorizado, lo que implica un número considerable de mensajes que enviar, además de que los mensajes son repetidos varias veces para estar seguro de que cada usuario ha recibido correctamente el mensaje.
Para explicar el método según la invención en referencia a la figura 4, se supone que el módulo de seguridad que posee la clave de autorización única G3.3.2.1 está considerado como un clon y es necesario denegarle el derecho de descifrar los datos. Como este módulo pertenece al grupo que tiene la clave de autorización G0, es decir como todos los módulos, ya no es posible utilizar esa clave G0, lo que está representado esquemáticamente por la figura 6a. El módulo que debe ser revocado pertenece también al grupo que tiene la clave de primer nivel G1.3. En consecuencia, ya no se debe utilizar esta clave de autorización. La supresión de la clave G0 para el descifrado tiene como efecto impedir que todos los módulos de seguridad descifren los datos, lo que por supuesto no se desea. Para permitir que los módulos no revocados funcionen correctamente, hay que utilizar otra clave de autorización. En la práctica, se requiere el uso de las claves de cifrado válidas para el grupo conteniendo el mayor número posible de módulos de seguridad, este grupo no teniendo que contener el módulo que debe ser desactivado. Según esta regla, ya no se utiliza la clave G0, pero se pueden utilizar las claves de primer nivel G1.1 y G1.2, ya que el módulo que debe ser desactivado, que tiene la clave única G3.3.2.1 no pertenece al grupo que tiene estas claves de 1^{er} nivel. El cifrado y el envío de la palabra de control maestra MCW cifrada por estas claves de 1^{er} nivel están ilustrados esquemáticamente por las figuras 6b y 6c respectivamente.
De este modo, gracias al envío de mensajes cifrados por dos claves de autorización diferentes, a saber G1.1 y G1.2, todos los módulos que pertenecen a estos grupos, que corresponden a 18 módulos, funcionan correctamente. No se ha utilizado la clave G1.3 ya que el módulo que debe ser desactivado pertenece al grupo que utiliza esta clave G1.3. Esto tiene como efecto que los 9 módulos que pertenecen a este grupo se vuelvan inutilizables. El módulo que debe ser bloqueado pertenece al grupo que posee la clave de 2° nivel G2.3.2. Se utiliza en consecuencia las otras claves de 2° nivel, a saber G2.3.1 y G2.3.3, como está ilustrado respectivamente por las figuras 6d y 6e, sin utilizar G2.3.2. Esto tiene como efecto que se bloquean tres módulos, es decir los que poseen las claves G3.3.2.1, G3.3.2.2 y G3.3.2.3. Sólo uno de estos módulos debe ser bloqueado. Para permitir que funcionen los otros dos módulos, se utilizan las claves G3.3.2.2 y G3.3.2.3, tal y como está representado por las figuras 6f y 6g, teniendo como efecto el hecho de que el módulo que debe ser eliminado, únicamente, ya no puede descifrar los datos. De este modo, en el ejemplo de realización descrito, para desactivar un módulo de seguridad, hay que utilizar dos claves de nivel 1, dos claves de nivel 2 y dos claves de nivel 3, es decir 6 claves para un total de 27 módulos de seguridad. Se debe señalar que en un sistema convencional, se debería cifrar los mensajes con 26 claves diferentes para permitir que funcionen todos los módulos excepto 1.
Por extensión, se puede mostrar que si se llama \kappa el número de niveles, es decir el número por claves de autorización almacenadas en cada uno de los módulos de seguridad, y n el número de módulos de seguridad por grupo, el número de módulos que se puede gestionar es igual a n(^{\kappa -1}) y el número de claves que utilizar para eliminar un módulo entre estos n(^{\kappa -1}) módulos es igual a (n-1)*(\kappa-1). En un modo de realización donde el número de módulos por grupo es 16 (n=16), y comprendiendo 7 niveles de claves (\kappa=7), se debe enviar 90 datos de autorización, utilizando 90 claves de autorización diferentes para aislar un módulo entre más de 16 millones de módulos (16.777.216 precisamente).
El número de claves que se debe usar para aislar un segundo módulo depende de la relación entre los dos módulos que eliminar o en otras palabras, de su posición relativa en la arborescencia ilustrada por la figura 4. El caso más favorable corresponde a dos módulos que deben ser eliminados que pertenecen al mismo grupo del penúltimo nivel, es decir, en referencia a la figura 4, dos módulos que poseen una misma clave de segundo nivel G2. En este caso, el número de claves que se debe utilizar corresponde a una menos que para la eliminación de un solo módulo, es decir [(n-1)*(\kappa-1)]-1 en el caso general, 89 claves en el contexto de los grupos de 16 módulos distribuidos en 7 niveles y 5 claves en el ejemplo de realización de la figura 4.
El caso más desfavorable corresponde al caso en el que los dos módulos tienen como única clave común, la clave de nivel O G0. En este caso, el número de claves diferentes que se debe utilizar es igual a (n-2)+2(n-1)(\kappa-2) en el caso general, es decir 164 claves en el contexto de los grupos de 16 módulos repartidos en 7 niveles y 9 claves en el ejemplo de realización de la figura 4.
Esta invención es particularmente interesante debido al hecho de que el número de mensajes que cifrar con claves diferentes puede ser muy restringido. De este modo, es posible cambiar frecuentemente de palabra de control maestra, por ejemplo una vez por minuto, para disuadir cualquier pirateo.
Con el fin de utilizar el menor número posible de claves diferentes y por lo tanto de generar el menor número posible de mensajes diferentes, se busca el uso de las claves comunes al mayor número posible de módulos de seguridad, mientras que se excluye el módulo que se debe desactivar. De este modo, en referencia a la figura 4, se utilizará más bien la clave G1.1 en vez de las 3 claves G2.1.1, G2.1.2 y G2.1.3. Sin embargo, este método funciona también utilizando estas tres claves, sin minimizar, no obstante, el número de mensajes que debe ser transmitido.
Como se ha indicado anteriormente, los módulos de seguridad contienen varias claves de autorización. Cuando un módulo de seguridad recibe un mensaje, puede ser adecuado que éste utilice la clave de nivel más baja posible. Como ejemplo, si un módulo recibe un mensaje cifrado por medio de una clave de nivel 1 y de una clave de nivel 3, deberá utilizar la clave de nivel 1 para descifrar el mensaje. Es posible prever otros medios de determinación de la clave que se debe utilizar, los cuales permiten conocer el nivel de la clave que se debe utilizar.
Se debe tener en cuenta que las palabras de control maestras MCW son generalmente las mismas para varios canales, lo cual permite un descifrado rápido cuando el usuario cambia de canal. Sin embargo, también es posible utilizar palabras de control maestras MCW diferentes, como es generalmente el caso cuando el cifrado es realizado por proveedores diferentes.

Claims (15)

1. Método de protección de un contenido cifrado por al menos una clave de cifrado y transmitido por un difusor a al menos una unidad multimedia asociada a un módulo de seguridad, un valor que permite determinar la o las claves de cifrado de este contenido siendo transmitida también a la unidad multimedia por dicho difusor, dicho módulo de seguridad comprendiendo medios para determinar la clave de cifrado en base a dicho valor, este método estando caracterizado por las etapas siguientes:
-
generación de una clave de cifrado temporal (MCW),
-
cifrado por la clave temporal (MCW) del valor que permite determinar las claves de cifrado (cw) del contenido;
-
transmisión de este valor cifrado con destino a dicha unidad multimedia,
-
cifrado y transmisión de al menos dos criptogramas comprendiendo la clave temporal (MCW) cifrada por una clave de autorización (G), el primer criptograma siendo cifrado por una primera clave de autorización propia de un primer módulo de seguridad y el segundo criptograma siendo cifrado por una segunda clave de autorización que es propia de un grupo de módulos de seguridad de los cuales se excluye un primer módulo de seguridad.
2. Método según la reivindicación 1, caracterizado por el hecho de que dicho valor que permite determinar la o las claves de cifrado del contenido es la misma clave de cifrado.
3. Método según las reivindicaciones 1 o 2, caracterizado por el hecho de que dicho valor que permite determinar la o las claves de cifrado del contenido incluye al menos un elemento variable (RN) y por el hecho de que se ha construido dicha clave de cifrado (cw) a partir de este elemento variable (RN).
4. Método según la reivindicación 3, caracterizado por el hecho de que dicho valor que permite determinar la o las claves de cifrado incluye además un elemento adicional (CD) relativo al contenido (CT) además del elemento variable (RN).
5. Método según la reivindicación 4, caracterizado por el hecho de que dicho elemento suplementario (CD) contiene las condiciones de acceso al contenido difundido (CT).
6. Método según cualquiera de las reivindicaciones 3 a 5, caracterizado por el hecho de que se construye dicha clave de cifrado (cw) por medio de una función de comprobación aleatoria aplicada a al menos dicho elemento variable (RN).
7. Método según cualquiera de las reivindicaciones 3 a 5, caracterizado por el hecho de que se construye dicha clave de cifrado (cw) por medio de una función de cifrado aplicada a al menos dicho elemento variable (RN).
8. Método de protección de un contenido cifrado por al menos una clave de cifrado y transmitido por un difusor a al menos una unidad multimedia asociada a un módulo de seguridad, un valor que permite determinar la o las claves de cifrado de este contenido, también transmitida a la unidad multimedia por dicho difusor, dicho módulo de seguridad comprendiendo medios para determinar la clave de cifrado en base a dicho valor, este método estando caracterizado por las etapas siguientes:
-
generación de dicho valor que permite determinar la o las claves de cifrado;
-
transmisión a la unidad multimedia de dicho valor que permite deducir la clave de cifrado (cw) del contenido,
-
generación de una clave de cifrado temporal (MCW),
-
transformación, por la clave temporal (MCW), del valor que permite determinar las claves de cifrado del contenido, esta transformación dando como resultado, dicha clave de cifrado (cw) del contenido;
-
cifrado y transmisión de al menos dos criptogramas comprendiendo la clave temporal (MCW) cifrada por una clave de autorización (G), el primer criptograma estando cifrado por una primera clave de autorización propia de un primer módulo de seguridad y el segundo criptograma estando cifrado por una segunda clave de autorización que es propia de un grupo de módulos de seguridad de los cuales se excluye el primer módulo de seguridad.
9. Método según la reivindicación 8, caracterizado por el hecho de que dicho valor que permite determinar la o las claves de cifrado del contenido incluye al menos un elemento variable (RN) y de que se construye dicha clave de cifrado (cw) a partir de este elemento variable (RN).
10. Método según la reivindicación 9, caracterizado por el hecho de que dicho valor que permite determinar la o las claves de cifrado incluye además un elemento suplementario (CD) además del elemento variable (RN).
11. Método según la reivindicación 10, caracterizado por el hecho de que dicho elemento suplementario (CD) contiene las condiciones de acceso al contenido difundido (CT).
12. Método según la reivindicación 8, caracterizado por el hecho de que la transformación es una operación de comprobación aleatoria de clave, la clave siendo la clave de cifrado temporal (MCW).
13. Método según cualquiera de las reivindicaciones precedentes, caracterizado por el hecho de que se clasifican las claves de autorización (G) en niveles, las claves del nivel más elevado siendo únicas e individuales para un módulo de seguridad, la clave de nivel más bajo siendo conocida por todos los módulos de seguridad y las claves de nivel intermedio siendo comunes a un subconjunto de módulos de seguridad, el cual no contiene todos los módulos.
14. Método según la reivindicación 13, destinado a la revocación de uno o varios módulos de seguridad, caracterizado por el hecho de que se utiliza como segunda clave de autorización (G) destinada al cifrado de la clave temporal, las claves comunes al mayor grupo de módulos de seguridad posible, este grupo no incluye el o los módulos de seguridad revocados.
15. Método según la reivindicación 13, caracterizado por el hecho de que se envía un mensaje a los módulos de seguridad, indicándoles el nivel de la clave de autorización (G) que deben utilizar.
ES05708066T 2004-03-10 2005-03-01 Metodo de aseguramiento de un contenido cifrado transmitido por un difusor. Active ES2313290T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04100969A EP1575292A1 (fr) 2004-03-10 2004-03-10 Méthode de sécurisation d'un contenu chiffré transmis par un diffuseur
EP04100969 2004-03-10

Publications (1)

Publication Number Publication Date
ES2313290T3 true ES2313290T3 (es) 2009-03-01

Family

ID=34814392

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05708066T Active ES2313290T3 (es) 2004-03-10 2005-03-01 Metodo de aseguramiento de un contenido cifrado transmitido por un difusor.

Country Status (7)

Country Link
EP (2) EP1575292A1 (es)
CN (2) CN1930882A (es)
AT (1) ATE406047T1 (es)
CA (1) CA2557502C (es)
DE (1) DE602005009151D1 (es)
ES (1) ES2313290T3 (es)
WO (1) WO2005099264A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2963135B1 (fr) * 2010-07-22 2013-02-08 Viaccess Sa Procede de protection d'un contenu
CN103117000B (zh) * 2012-08-22 2015-05-13 北京亚太轩豪科技发展有限公司 一种路况监测装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19511298B4 (de) * 1995-03-28 2005-08-18 Deutsche Telekom Ag Verfahren zur Erteilung und zum Entzug der Berechtigung zum Empfang von Rundfunksendungen und Decoder
JP3565715B2 (ja) * 1998-07-02 2004-09-15 松下電器産業株式会社 放送システムと放送送受信装置
DZ3336A1 (fr) * 2000-04-17 2001-10-25 Nagravision Sa Systeme et methode de transmission securise de donnees
FR2823039B1 (fr) * 2001-03-30 2003-08-01 Canal Plus Technologies Systeme et procede de transmission d'informations chiffrees a cle chiffree

Also Published As

Publication number Publication date
EP1723790B1 (fr) 2008-08-20
ATE406047T1 (de) 2008-09-15
DE602005009151D1 (de) 2008-10-02
CN1930882A (zh) 2007-03-14
EP1723790A1 (fr) 2006-11-22
CA2557502C (en) 2013-04-30
EP1575292A1 (fr) 2005-09-14
WO2005099264A1 (fr) 2005-10-20
CA2557502A1 (en) 2005-10-20
CN100542270C (zh) 2009-09-16
CN1930881A (zh) 2007-03-14

Similar Documents

Publication Publication Date Title
ES2181418T5 (es) Mecanismo de confrontacion entre un receptor y un modulo de seguridad.
ES2262210T3 (es) Sistema para la transmision segura de señales de datos.
ES2295105T3 (es) Sistema para la validacion de tiempo horario.
ES2417141T3 (es) Procedimiento de control de acceso a un contenido aleatorizado
ES2236937T3 (es) Metodo y aparato para transmision encriptada o cifrada.
ES2344122T3 (es) Metodo de verificacion de un dispositivo de destino conectado con un dispositivo principal.
KR100577934B1 (ko) 보안요소로부터디코더에송신된정보항목을보호하는방법및이를사용한보호시스템
ES2302947T3 (es) Proceso y modulo electronico de transmision segura de datos.
ES2220746T3 (es) Sistema y metodo de transmision segura de datos.
US8548167B2 (en) System for traceable decryption of bandwidth-efficient broadcast of encrypted messages and security module revocation method used for securing broadcasted messages
EP2461534A1 (en) Control word protection
RU2001124593A (ru) Способ шифрованной передачи и устройство для шифрованной передачи
ES2363596T3 (es) Processeur de securite el procede et support d'enregistrement pour configurer le comportement de ce processeur.
ES2331925T3 (es) Metodo de control de acceso a datos codificados.
MX2007007171A (es) Metodo de transmision de datos numericos en una red local.
US7487349B2 (en) Method for securing a ciphered content transmitted by a broadcaster
ES2391555T3 (es) Método de gestión de derechos de un contenido cifrado y almacenado en una grabadora digital personal
JP4691244B2 (ja) 限定受信システムの限定受信装置及びセキュリティモジュール、限定受信システム、限定受信装置認証方法及び暗号通信方法
ES2724703T3 (es) Verificación del código MAC sin revelación
CN1643915B (zh) 在个人数字记录器上安全存储加密数据的方法
ES2270494T3 (es) Sistema de comunicacion de datos.
ES2403241T3 (es) Procedimiento de gestión de derechos de acceso a servicios de televisión
EP1671485B1 (en) Portable security module pairing
ES2305232T3 (es) Sistema y procedimiento de transmision de informaciones cifradas con clave cifrada.
ES2313290T3 (es) Metodo de aseguramiento de un contenido cifrado transmitido por un difusor.