ES2683771T3 - Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados - Google Patents

Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados Download PDF

Info

Publication number
ES2683771T3
ES2683771T3 ES11817383.0T ES11817383T ES2683771T3 ES 2683771 T3 ES2683771 T3 ES 2683771T3 ES 11817383 T ES11817383 T ES 11817383T ES 2683771 T3 ES2683771 T3 ES 2683771T3
Authority
ES
Spain
Prior art keywords
content
control word
terminal
procedure
subscriber device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11817383.0T
Other languages
English (en)
Inventor
Cécile DELERABLEE
Aline Gouget
Pascal Paillier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRYPTOEXPERTS Sas
Original Assignee
CRYPTOEXPERTS Sas
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRYPTOEXPERTS Sas filed Critical CRYPTOEXPERTS Sas
Application granted granted Critical
Publication of ES2683771T3 publication Critical patent/ES2683771T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Abstract

Procedimiento (100) para producir una palabra de control k', siendo puesto en práctica dicho procedimiento por unos medios de procesamiento (10) de un dispositivo electrónico de abonado (1) que coopera con un terminal (2i), poniendo en práctica este último un procedimiento (200) para descodificar un contenido codificado C a partir de dicha palabra de control k' para producir un contenido en claro M, incluyendo dicho dispositivo electrónico de abonado (1) unos medios de recepción (R) para recibir datos desde el terminal (2i) y unos medios (S) para suministrar dicha palabra de control k' a dicho terminal (2i), incluyendo dicho procedimiento para producir una palabra de control k: - una etapa para recibir (101) datos por intermedio de los medios de recepción (R) que consisten en una etiqueta t; - una etapa para determinar (103) el criptoperiodo en curso explotando la etiqueta t recibida; - una etapa para producir (105) la palabra de control k a partir de dicho criptoperiodo en curso cp y de un secreto SKi memorizado (23) por el dispositivo; - una etapa para suministrar dicha palabra de control k' por intermedio de los medios para suministrar (S) del dispositivo; caracterizándose el procedimiento por que: - un valor de un identificador i específico del dispositivo electrónico es memorizado previamente (22) por dicho dispositivo electrónico de abonado, siendo el valor de dicho identificador i distinto del memorizado por cualquier otro dispositivo de abonado; - dicho valor del identificador i participa en el cálculo de dicha palabra de control k' >= ki,cp de la etapa (105) para producir esta última cuyo valor, de este modo, resulta distinto del de cualquier otra palabra de control producida por un segundo dispositivo electrónico de abonado para el mismo criptoperiodo cp; y por que dichos procedimientos para respectivamente producir (100) la palabra de control k' >= ki,cp y para descodificar (200) el contenido codificado C se establecen mutuamente de modo que este último incluye una etapa 25 (201), dual con la producción de k' >= ki,cp, para suprimir la contribución del identificador i en el seno de la palabra de control k' >= ki,cp y producir el contenido en claro M.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados
La invencion se refiere a un sistema y a un procedimiento de acceso condicional a un contenido digital que permite prevenir la puesta en practica de un dispositivo electronico adquirido lfcitamente e mtegro, por medio de un terminal pirata. Asf, la invencion permite luchar eficazmente contra la puesta a disposicion fraudulenta de contenidos multimedia protegidos.
La invencion se refiere ademas a la adaptacion de tales dispositivos, asf como a un procedimiento para desencadenar respectivamente la revocacion temporal o permanente de un dispositivo electronico o la eventual rehabilitacion de este ultimo. La invencion se refiere ademas a la adaptacion de un terminal para permitir la puesta en practica del procedimiento de acceso condicional.
Un operador de difusion de contenidos multimedia generalmente opera un sistema de acceso condicional (Conditional Access System - CAS en lengua inglesa) para poner un contenido protegido a disposicion de un abonado o de una pluralidad de abonados. Tal sistema generalmente estriba en dispositivos electronicos seguros, tales como tarjetas inteligentes, para alojar las identidades y/o los derechos de los abonados y para realizar operaciones de cifrado, de descifrado o de generacion de numeros.
De acuerdo con los sistemas de acceso condicional conocidos, para difundir un contenido multimedia protegido, se transmiten palabras de control cifradas c y contenidos codificados C a traves de una red de difusion, a intervalos regulares o criptoperiodos, por lo menos, conocidos y dominados por el operador de difusion. Una palabra de control cifrada generalmente se obtiene por medio de una funcion de cifrado E tal que c = E(k), siendo k el valor de dicha palabra de control. Por su parte, un contenido codificado C se obtiene por medio de una funcion de codificacion enc y de dicha palabra de control k, tal que C = enc(k,M), siendo M el contenido multimedia en claro. A tftulo de ejemplo, la funcion de codificacion puede ser acorde con el estandar DVB-CSA (Digital Video Broadcasting - Common Scrambling Algorithm, en lengua inglesa). Para poder visualizar o escuchar un contenido protegido, cualquier persona tiene que contratar una suscripcion. Se entrega a un abonado un dispositivo espedfico, generalmente en forma de una tarjeta inteligente que, acoplado a un terminal, denominado generalmente descodificador o “set-top box”, permite a dicho abonado descodificar un contenido protegido. Convencionalmente, las palabras de control cifradas c son descifradas por un dispositivo de abonado que suministra al terminal las palabras de control k. Este ultimo es el encargado de realizar la descodificacion de un contenido codificado C y permite, por medio de una interfaz hombre-maquina adaptada -por ejemplo, un televisor de salon-, acceder al contenido sin cifrar M.
Ocurre habitualmente que entidades “piratas” traten de desarrollar un comercio ilfcito encaminado a emitir, en una red pirata, palabras de control descifradas k que permiten descodificar un contenido protegido C con el concurso de un terminal adaptado al efecto. Las primeras amenazas y ataques han movido a los piratas a tratar de “romper” la seguridad de los dispositivos electronicos de abonado. Mediante el conocimiento del equipo criptografico, de los algoritmos o de secretos, un pirata, entonces, puede “clonar” o emular un dispositivo de este tipo y poner ciertas “reproducciones” a disposicion de abonados desaprensivos.
La creciente y casi inviolable robustez de tales dispositivos ha llevado a los piratas a adquirir lfcitamente dispositivos de abonado (tales como tarjetas inteligentes) y a idear terminales piratas, aptos para cooperar con dichos dispositivos y a emitir las palabras de control descifradas k, en tiempo real, en una red o canal pirata segun tecnicas conocidas con el vocablo de “Control-word sharing" segun una terminologfa anglosajona. Esta tecnica de “Control- word sharing" encaminada a emitir palabras de control descifradas es particularmente preciada, ya que permite utilizar una red pirata de escaso ancho de banda, pues el tamano de las palabras de control es generalmente muy inferior al tamano de contenidos descodificados.
Para hacer frente a los piratas, los operadores generalmente consiguen enterarse de la existencia de una red pirata de este tipo. Contratando una suscripcion con un pirata, un operador puede incluso disponer de un dispositivo “clon” o emulado, y estudiarlo.
Se conocen en el estado de la tecnica procedimientos de rastreo de los traidores, tales como el desvelado en el documento US2008/0298582.
No obstante, dado que la palabra de control k que permite acceder al contenido multimedia en claro es identica para todos los abonados (o para un gran grupo de abonados), no es posible identificar el origen del fraude a partir de una palabra de control que haya sido divulgada en la red pirata. Por lo tanto, no existen procedimientos conocidos que permitan identificar un dispositivo que, aunque adquirido debidamente e mtegro, es explotado de manera fraudulenta.
La invencion permite dar respuesta de manera particularmente eficaz a la amenaza del “Control-word sharing". Entre las abundantes ventajas que aporta la invencion, podemos mencionar que la invencion permite rastrear, a distancia, cualquier dispositivo de abonado que haya permitido producir una palabra de control cuyo valor puede ser transmitido en una red pirata. En efecto, la invencion permite prever una palabra de control espedfica y distinta para
5
10
15
20
25
30
35
40
45
50
cada dispositivo de abonado. La observacion de tal palabra de control emitida en una red pirata permite dar con el dispositivo abonado explotado dcitamente. La invencion permite, ademas, revocar a distancia un dispositivo de este tipo, llamado “dispositivo traidor”, al propio tiempo que se prosigue la difusion de un contenido a traves de la red de difusion. Asf, la invencion ofrece, para todo operador de difusion de contenidos, una herramienta particularmente simple y eficaz para luchar contra la piratena. Adicionalmente, de acuerdo con una forma preferida de realizacion, un dispositivo de abonado apenas opera pocos calculos, siendo efectuados los calculos costosos en el terminal puesto a disposicion del abonado y cooperante con dicho dispositivo de abonado.
Para este fin, se preve un procedimiento para producir una palabra de control, puesto en practica por unos medios de procesamiento de un dispositivo electronico de abonado que coopera con un terminal, incluyendo dicho dispositivo unos medios de recepcion para recibir datos desde el terminal y unos medios para suministrar dicha palabra de control producida a dicho terminal. Dicho procedimiento incluye:
- una etapa para recibir datos por intermedio de los medios de recepcion que consisten en una etiqueta t;
- una etapa para determinar el criptoperiodo en curso explotando la etiqueta t recibida;
- una etapa para producir una palabra de control a partir de dicho criptoperiodo en curso cp y de un secreto SKi memorizado por el dispositivo;
- una etapa para suministrar una palabra de control k’ por intermedio de los medios para suministrar del dispositivo.
Para poder rastrear cualquier dispositivo de abonado que haya producido una palabra de control cuyo valor puede ser transmitido en una red pirata, la etapa para producir la palabra de control de tal procedimiento consiste en elaborar una palabra de control ki,cp rastreable cuyo valor es distinto del de una palabra de control producida, para el criptoperiodo en curso cp, por cualquier otro dispositivo de abonado, integrando el valor de un identificador i en el calculo de la palabra ki,cp. Dicho valor del identificador i es memorizado por el dispositivo y distinto del memorizado por cualquier otro dispositivo de abonado. La etapa para suministrar la palabra de control consiste en suministrar k’ igual a ki,cp.
Para poder revocar o habilitar un dispositivo de abonado que pone en practica tal procedimiento, este ultimo puede incluir una etapa previa para autorizar el dispositivo a suministrar una palabra de control k’ igual a la palabra de control producida ki,cp.
Eventualmente, para liberar de esta tarea a un servidor de contenido, tal procedimiento puede incluir una etapa para calcular y suministrar una cabecera H para, al final, permitir la descodificacion del contenido codificado mediante un terminal.
Para llevar a la practica un procedimiento para producir una palabra de control rastreable, la invencion preve adaptar un dispositivo electronico de abonado que coopera con un terminal y que incluye:
- unos medios de recepcion para recibir datos desde el terminal;
- unos medios de procesamiento para producir una palabra de control a partir de dichos datos;
- unos medios para suministrar dicha palabra de control a dicho terminal.
Tal adaptacion consiste en que el dispositivo incluye unos medios de memorizacion para memorizar un identificador i, un secreto SK. Los medios de procesamiento y de memorizacion ademas estan adaptados para producir y suministrar una palabra de control rastreable k’ segun un procedimiento conforme a la invencion.
De acuerdo con un segundo objeto, la invencion preve un procedimiento para descodificar un contenido codificado C y producir un contenido en claro M, siendo puesto en practica dicho procedimiento por unos medios de procesamiento de un terminal que cooperan con unos medios para recibir datos desde el mundo exterior y unos medios para suministrar dicho contenido en claro M. De acuerdo con la invencion, dichos datos consisten en dicho contenido codificado C, una cabecera H y una palabra de control rastreable ki,cp elaborada y suministrada por un dispositivo electronico de abonado conforme a la invencion. Para permitir la descodificacion de un contenido, aunque la palabra de control sea rastreable y, por tanto, distinta de un dispositivo de abonado a otro, el procedimiento para descodificar incluye:
- una etapa para aplicar una primera funcion F1 a la cabecera H y a la palabra de control ki,cp para producir una palabra K independiente del identificador i del dispositivo que haya producido y suministrado la palabra de control ki,cp suprimiendo la contribucion de dicho identificador espedfico i;
- una etapa para aplicar una segunda funcion F3 a dicha palabra K y al contenido codificado C para producir el contenido en claro M;
5
10
15
20
25
30
35
40
45
- una etapa para suministrar dicho contenido en claro M por intermedio de los medios para suministrar del terminal.
Para llevar a la practica un procedimiento para descodificar un contenido codificado C y producir un contenido en claro M, la invencion preve adaptar un terminal electronico que incluye:
- unos medios de recepcion para recibir datos desde el mundo exterior;
- unos medios de procesamiento para producir un contenido en claro M a partir de dichos datos;
- unos medios para suministrar dicho contenido en claro a una interfaz hombre-maquina adaptada para restituir dicho contenido en claro;
- unos medios para cooperar con un dispositivo electronico de abonado conforme a la invencion.
Los datos recibidos del mundo exterior consisten a partir de entonces en un contenido codificado C, una cabecera H y una etiqueta t. Los medios para cooperar con dicho dispositivo electronico de abonado transmiten a este ultimo dicha etiqueta t y receptan de vuelta una palabra de control rastreable ki,cp elaborada y suministrada segun la invencion. El terminal incluye ademas unos medios de procesamiento adaptados para descodificar y suministrar un contenido en claro M segun un procedimiento conforme a la invencion.
De acuerdo con un tercer objeto, la invencion preve un procedimiento para codificar un contenido en claro M y producir un contenido codificado C, siendo puesto en practica dicho procedimiento por unos medios de procesamiento de un servidor que incluye unos medios para suministrar dicho contenido codificado C a un terminal segun la invencion y que cooperan con un dispositivo de abonado tambien conforme a la invencion. Tal procedimiento incluye:
- una etapa para producir un contenido codificado C a partir de un criptoperiodo cp y de un secreto MK conocido por el servidor;
- una etapa para producir una etiqueta t para caracterizar el criptoperiodo cp a partir del cual se ha producido el contenido codificado C y permitir al dispositivo producir y suministrar una palabra de control rastreable segun la invencion;
- una etapa para calcular y suministrar una cabecera H para permitir la descodificacion del contenido codificado por el terminal segun la invencion;
- una etapa para suministrar conjuntamente dicho contenido codificado C, la cabecera H y dicha etiqueta t.
Para llevar a la practica tal procedimiento, la invencion preve adaptar los medios de procesamiento de un servidor para que los mismos pongan en practica dicho procedimiento para producir y suministrar un contenido codificado C a partir de un contenido en claro, de un criptoperiodo cp y de un secreto MK, una etiqueta t y una cabecera H.
La invencion preve un sistema de acceso condicional a un contenido digital que incluye un servidor, un terminal y un dispositivo electronico respectivamente conformes a la invencion.
Esta se refiere ademas a un procedimiento de acceso condicional a un contenido digital que incluye:
- una etapa para elaborar y suministrar, por parte de un servidor, un contenido codificado C, una etiqueta t y una cabecera H de acuerdo con la invencion;
- una etapa para receptar, por parte de un terminal, dichos contenido codificado C, etiqueta t y la cabecera H;
- una etapa para transmitir la etiqueta t por parte del terminal a un dispositivo que coopera con dicho terminal;
- una etapa para producir y suministrar, por parte de dicho dispositivo al terminal, una palabra de control rastreable ki,cp de acuerdo con la invencion;
- una etapa para descodificar, por parte del terminal, el contenido codificado C y producir un contenido en claro M segun la invencion;
- una etapa para restituir dicho contenido en claro M por medio de una interfaz adaptada a dicho contenido en claro.
Para observar una red pirata e identificar un dispositivo electronico explotado de manera fraudulenta, la invencion preve un procedimiento para rastrear una palabra de control kp,cp producida por un dispositivo de abonado traidor que pone en practica un procedimiento para producir una palabra de control rastreable segun la invencion. Tal procedimiento para rastrear incluye:
5
10
15
20
25
30
35
40
45
- una etapa para recabar la palabra de control kp,cp;
- una etapa para recabar una utilidad o programa de descifrado pirata apto para descodificar un contenido codificado con el concurso de dicha palabra de control kp,cp;
- una etapa para determinar un identificador i = p de un dispositivo que haya producido kp,cp consistente en:
i. interpretar la utilidad o programa de descifrado para disenar un programa equivalente que expresa un conjunto de instrucciones en forma de operaciones algebraicas y anexas incluyendo cada una de ellas al menos una variable de entrada y al menos una variable de salida;
ii. fijar las variables de entrada a constantes para las cuales el programa equivalente descodifica correctamente el contenido codificado;
iii. simplificar dicho programa equivalente para que el mismo no incluya mas que una secuencia de instrucciones sin salto;
iv. convertir el programa equivalente simplificado a un sistema de ecuaciones multivariable para la puesta en practica de transformaciones algebraicas;
v. invertir en su totalidad o en parte dicho sistema de ecuaciones multivariable para identificar el dispositivo traidor.
Otras caractensticas y ventajas se pondran mas claramente de manifiesto con la lectura de la descripcion que sigue y con la detenida observacion de las figuras que la acompanan, de las cuales:
la figura 1 presenta un sistema de acceso condicional segun el estado de la tecnica;
la figura 2 presenta un modo de piratena de contenidos multimedia protegidos y difundidos por medio de un sistema de acceso condicional segun el estado de la tecnica;
las figuras 3 y 3a describen respectivamente dos formas de realizacion de un sistema de acceso condicional conforme a la invencion;
la figura 4 describe la puesta en practica, segun la invencion, de un procedimiento para observar una red pirata e identificar un dispositivo electronico explotado de manera fraudulenta o dispositivo traidor;
la figura 5 ilustra la arquitectura funcional de un dispositivo electronico de abonado conforme a la invencion;
las figuras 5a y 5b ilustran respectivamente dos formas de realizacion de un procedimiento para producir una palabra de control de acuerdo con la invencion;
la figura 6 describe una primera forma preferida de realizacion de un procedimiento para descodificar un contenido codificado, de acuerdo con la invencion;
la figura 7 describe una primera forma preferida de realizacion de un procedimiento para codificar un contenido en claro, de acuerdo con la invencion;
la figura 8 describe una primera forma preferida de realizacion de un procedimiento para generar un secreto para poner en practica un sistema de acceso condicional, de acuerdo con la invencion; y
la figura 9 describe una forma de realizacion de un procedimiento de acceso condicional conforme a la invencion.
La figura 1 permite presentar un sistema de acceso condicional a un contenido digital segun el estado de la tecnica. Consiste en una red de difusion 4 puesta en practica por un operador de difusion de contenidos protegidos. De este modo, desde un servidor de contenidos 3, son emitidos conjuntamente palabras de control c y contenidos C
respectivamente cifrados y codificados. El servidor 3 codifica para ello un contenido en claro M por medio de una
funcion de codificacion enc y de una palabra de control k, siendo producida esta ultima por dicho servidor 3. Se obtiene de este modo un contenido codificado C tal que C = enc(k,M). Asimismo, se emite o “radiodifunde” una cifra c de la palabra de control k junto con el contenido codificado C. Para ello, el servidor cifra, por medio de una funcion de cifrado E, dicha palabra de control k para obtener c tal que c = E(k).
Las palabras de control cifradas c y los contenidos cifrados C son transmitidos, por intermedio de la red de
difusion 4, a unos terminales 2a a 2m. Estos ultimos son los encargados de respectivamente descodificar en tiempo real los contenidos codificados C emitidos por el servidor 3. De este modo, un terminal -tal como por ejemplo el descodificador 2a- pone en practica una funcion de descodificacion dec y la aplica al contenido codificado C para obtener el contenido en claro M. Este ultimo puede ser visualizado utilizando un televisor de salon 5 o cualquier otra interfaz adaptada para restituir el contenido en claro. Para aplicar la funcion de descodificacion dec, un terminal tiene que conocer el valor de la palabra de control k que ha sido utilizada por el servidor 3 para codificar el contenido M.
5
10
15
20
25
30
35
40
45
50
55
De acuerdo con el estado de la tecnica y de conformidad con la figura 1, un terminal 2a a 2m recibe una palabra de control cifrada c tal que c = E(k) y la transmite a un dispositivo electronico seguro 1a a 1m, generalmente espedfico de un abonado. El terminal 2a, a traves de la red 4, recibe regularmente parejas (C,c) y transmite a un dispositivo 1a las palabras de control cifradas c. El dispositivo 1a puede descifrar una palabra de control cifrada c por medio de una funcion de descifrado D para obtener la palabra de control k que ha servido para codificar un contenido M. De este modo, k = D(c). Lo mismo ocurre para cualquier otro terminal, tal como 2b a 2m, cooperando cada uno de ellos respectivamente con un dispositivo 1b a 1m. De acuerdo con una variante de realizacion, el servidor 3 puede utilizar un secreto, por ejemplo en forma de una clave Kc para cifrar una palabra de control k. De este modo, c = E(Kc,k). En este caso, un dispositivo, tal como el dispositivo 1a a 1m, pone en practica una funcion redproca de descifrado D, tal como k = D(Kd,k) donde Kd es una clave de descifrado conocida por el dispositivo. Segun las funciones de cifrado E y de descifrado D, las claves Kc y Kd pueden ser identicas. Tal es el caso de un cifrado / descifrado simetrico. Como variante, de acuerdo con un esquema llamado de “broadcast encryption’’, Kc es una clave publica o secreta espedfica del operador y Kd es una clave secreta espedfica del dispositivo y conocida por el operador. Asf, de acuerdo con esta variante, existen varias claves individuales de descifrado y cada uno de los dispositivos emitidos y entregados de manera lfcita a los abonados de dicho operador dispone de tal clave de descifrado individual.
La figura 2 permite ilustrar un escenario por el cual una organizacion pirata, a la que llamaremos “pirata”, consigue realizar un comercio fraudulento de contenidos protegidos.
De acuerdo con este primer escenario, el pirata ha contratado con toda normalidad una suscripcion con un operador de contenidos. Asf, puede disponer de un dispositivo electronico de abonado, tal como una tarjeta inteligente 1a. Ademas, el pirata esta en posesion de un terminal 2P, llamado terminal pirata. Este terminal puede recibir parejas (C,c) desde una red de difusion 4 tal como la descrita en relacion con la figura 1. El terminal 2P puede cooperar con dicho dispositivo 1a para transmitirle las palabras de control cifradas c. De vuelta, el dispositivo 1a produce la palabra de control k descifrando la cifra c por medio de una funcion de descifrado D. Con toda normalidad, el dispositivo 1a suministra al terminal 2P la palabra de control k. Segun este primer escenario, el terminal pirata 2P puede emitir entonces, a traves de una red pirata 6, las palabras de control k en tiempo real. Un usuario desaprensivo que haya “contratado” una suscripcion con el pirata puede disponer de un terminal 2w. Este ultimo esta adaptado para que reciba, por una parte, desde la red de distribucion 4, contenidos codificados C (flecha de puntos) y, por otra, desde la red pirata 6, las palabras de control k asociadas, en claro. El terminal 2w puede realizar la descodificacion de los contenidos codificados C y suministrar los contenidos en claro M para que puedan ser restituidos.
Asimismo, un pirata puede contratar una pluralidad de suscripciones con uno o varios operadores. Entonces, un terminal pirata 2P puede cooperar simultaneamente con una pluralidad de dispositivos de abonado 1a a 1z y poner en practica un algoritmo de gestion de dichos dispositivos mas o menos complejo. Por ejemplo, el terminal pirata transmite una palabra de control k descifrada mayoritariamente por los dispositivos 1a a 1z. Como variante, tal terminal 2P puede interrogar aleatoriamente uno u otro dispositivo electronico, etc.
Un pirata, como variante, eventualmente puede cifrar o codificar, segun un procedimiento propietario, las palabras de control k emitidas en una red pirata. De este modo, se puede transmitir, en dicha red pirata, una cifra cp = Ep(k) - siendo Ep una funcion de cifrado propietaria del pirata. Un terminal 2w incluye, en este caso, funciones de descifrado Dp redprocas para, al final, suministrar los contenidos en claro esperados.
La invencion permite frustrar estos diferentes escenarios de piratena.
La figura 3 permite ilustrar una primera forma de realizacion de un sistema de acceso condicional a un contenido digital tal y como preve la invencion. Al igual que para un sistema conocido, la invencion preve una red de difusion 4 puesta en practica por un operador de difusion de contenidos protegidos. Desde un servidor de contenidos 3, se emiten contenidos codificados C. Para ello, el servidor 3 codifica un contenido en claro M por medio de una funcion de codificacion enc. Se obtiene de este modo un contenido codificado C tal que C = enc(M). Asimismo, se emite o “radiodifunde” una etiqueta t junto con el contenido codificado C. Esta etiqueta contiene datos relativos especialmente al criptoperiodo en curso. Ademas puede contener datos referentes al contenido o directrices que el servidor desea emitir por la red 4 con destino a uno o varios dispositivos de abonado 1a a 1m respectivamente cooperantes con unos terminales 2a a 2m aptos para recibir los elementos difundidos por intermedio de la red 4. De acuerdo con esta primera forma de realizacion, se difunde asimismo una cabecera H conjuntamente con el contenido codificado C y con la etiqueta t. Por su parte, esta cabecera sera explotada principalmente por cualquier terminal para descodificar un contenido codificado.
Los descodificadores 2a a 2m son los encargados de respectivamente descodificar en tiempo real los contenidos codificados C emitidos por el servidor 3. De este modo, un terminal -tal como por ejemplo el descodificador 2a- pone en practica una funcion de descodificacion dec y la aplica al contenido codificado C para obtener el contenido en claro M. Este ultimo puede ser visualizado utilizando un televisor de salon 5 o cualquier otra interfaz adaptada para restituir el contenido en claro. Para aplicar la funcion de descodificacion dec, un terminal tiene que conocer el valor de la cabecera H asf como el valor de una palabra de control ka,cp producida y suministrada por el dispositivo electronico seguro de abonado 1a que coopera con el terminal 2a. Lo mismo ocurre para cualquier otro terminal, tal
5
10
15
20
25
30
35
40
45
50
55
60
como los terminales 2b a 2m, cooperando cada uno de ellos respectivamente con los dispositivos 1b a 1m. Las palabras de control ki,cp suministradas por un dispositivo de abonado 1i son producidas con el concurso de las etiquetas t transmitidas desde el servidor 3 por intermedio de los terminales, de un identificador i espedfico del dispositivo de abonado 1i y de un secreto SK, estando memorizados i y SKi en el dispositivo de abonado 1i. As^ cada palabra de control es propia de un dispositivo de abonado particular. De este modo, ki,cp es propia de y espedfica del dispositivo 1i. Ademas, esta palabra de control ki,cp es diferente de las demas palabras de control espedficas de los demas dispositivos de abonado. Asf, para descodificar un contenido codificado C, un terminal 2i pone en practica una funcion de descodificacion dec tal que M = dec(ki,cp,C,H), siendo M el contenido en claro.
De acuerdo con una variante de realizacion ilustrada en relacion con la figura 3a, un servidor 3 puede transmitir tan solo, a traves de la red 4, el contenido codificado C y la etiqueta t que caracteriza el criptoperiodo en curso cp con destino a unos terminales, entre ellos el terminal 2i. En este caso, la elaboracion de la cabecera H necesaria para la descodificacion la realiza el dispositivo de abonado 1i cooperante con el terminal 2i -de una manera similar a la efectuada por el servidor 3 descrito en relacion con la figura 3. Esta variante permite reducir el ancho de banda necesario para la radiodifusion (broadcast) de los contenidos codificados.
Cualquiera que sea la forma de realizacion (descrita en relacion con las figuras 3 o 3a), la invencion permite llevar a la practica un sistema de acceso condicional que previene el riesgo del “control-word sharing". En efecto, las palabras de control utilizadas por los descodificadores para descodificar los contenidos codificados son rastreables. Estas, efectivamente, dependen cada una de ellas y respectivamente de un identificador espedfico del dispositivo de abonado que las ha generado y suministrado. Cada palabra de control asf producida es propia y espedfica de un dispositivo de abonado. Para dos dispositivos de abonado 1i y 1j, son producidas dos palabras de control ki,cp y kj,cp respectivamente por los dispositivos 1i y 1j tales que ki,cp t jp. La figura 4 permite ilustrar una tecnica que permite a un operador detectar la utilizacion fraudulenta de un dispositivo de abonado al que llamaremos “dispositivo traidor”. La figura 4 rescata los elementos descritos en relacion con la figura 3. De este modo, un terminal pirata 2P recibe tripletas (C,H,t) desde una red de difusion 4. El terminal 2P coopera con uno o varios dispositivos 1a a 1z adquiridos de manera lfcita y conformes a la invencion. Estos producen y suministran palabras de control que dependen especialmente y respectivamente del identificador de cada dispositivo de abonado. De este modo, un dispositivo 1a suministra una palabra de control ka,cp que depende especialmente de su identificador espedfico a. Mas adelante estudiaremos un procedimiento para elaborar tal palabra de control (en relacion con las figuras 5a y 5b). Para ilustrar el proceso de observacion, consideremos que para un operador en posesion de una palabra de control k,cp, le es posible deducir el identificador i del dispositivo que ha producido dicha palabra de control ki,cp.
El terminal 2P que ha receptado las palabras de control ka,cp, kb ,cp o kz,cp, respectivamente producidas por los dispositivos 2a, 2b, 2z, puede emitir en tiempo real, a traves de una red pirata 6, una o varias palabras de control - que senalaremos con kp,cp- igual a una de las palabras ka,cp, kb,cp o kz,cp. Un terminal 2w puede recibir, por una parte, desde la red de distribucion 4, contenidos codificados C (acompanados de la cabecera H y la etiqueta t) y, por otra, desde la red pirata 6, palabras de control kp,cp en claro. El terminal 2w puede realizar la descodificacion de los contenidos codificados C y suministrar los contenidos en claro M para que puedan ser visualizados. Un operador puede disponer de medios 9 para observar la red pirata 6. Esta observacion puede consistir en percibir una o varias palabras de control kp,cp que transitan por intermedio de la red pirata 6. Basandose en esta observacion, un operador consigue identificar al menos un dispositivo traidor utilizado por un descodificador o terminal pirata 2P, de entre los dispositivos 1a a 1z.
Tan pronto como se identifica un dispositivo traidor 1i, el mismo puede ser revocado transmitiendo una peticion de revocacion tal y como esta previsto por la invencion (figura 5b) e incluso tomar cualesquiera medidas que estime utiles para detener la utilizacion del dispositivo traidor.
Para tratar de complicar la tarea al operador que pretender rastrear un dispositivo traidor, la palabra de control puede, como variante, resultar de una mezcla basada en una de dichas palabras de control ka,cp, kb,cp o kz,cp con el fin de producir y emitir una kp,cp distinta de dichas ka,cp, kb,cp o kz,cp. No obstante, la invencion preve una forma de realizacion para prevenir el uso de tales combinaciones o mezclas con el fin de garantizar la posibilidad de rastreo de los dispositivos de abonado.
Como indica la figura 9, y en relacion con la variante descrita en la figura 3, para poner en practica la invencion, un contenido en claro M es codificado por un servidor de contenidos 3 con el concurso de una funcion enc tal y como se describe, por ejemplo, en relacion con la figura 7 segun un procedimiento 410. Este ultimo permite ademas elaborar una etiqueta t que caracteriza especialmente el criptoperiodo en curso cp. Es elaborada ademas una cabecera H por dicho servidor 3 (e incluso por los dispositivos de abonado, segun la variante de la figura 3a). Las tripletas (C,H,t) -o las parejas (C,t) segun la figura 3a- se transmiten del servidor 3, por intermedio de la red 4, a al menos un terminal 2i que a su vez transmite a un dispositivo de abonado 1i -con el que coopera- dicha etiqueta t. De acuerdo con un procedimiento 100 tal y como se describe en relacion con la figura 5a, el dispositivo 1i -adaptado como indica la figura 5- produce y suministra una palabra de control propia ki,cp a dicho terminal 2i. Este ultimo descodifica el contenido codificado C segun una funcion de descodificacion dec conforme a un procedimiento tal como el procedimiento 200 descrito a tftulo de ejemplo mediante la figura 6. El contenido en claro M asf obtenido se puede suministrar mediante una interfaz hombre-maquina 5. Previamente, tal procedimiento de acceso condicional
5
10
15
20
25
30
35
40
45
50
conforme a la invencion incluye una etapa para definir y distribuir a un grupo de dispositivos de abonado un secreto SKi espedfico. De acuerdo con una forma particular de realizacion, los secretos sKi tienen un valor comun e identico al de un secreto MK compartido con el servidor. Para inicializar tal secreto comun, la invencion preve un procedimiento, tal como el ejemplo 400 descrito en relacion con la figura 8.
La invencion ademas preve que una pluralidad de dispositivos de abonado pueda compartir un mismo identificador i. Tal pluralidad de dispositivos se asemeja a partir de entonces a un conjunto de “clones” que comparten un mismo identificador i e incluso un mismo SKi. Por medida de simplificacion y en el sentido de la invencion, la nocion de “dispositivo de abonado” cubre, sin distincion alguna, un dispositivo de abonado en una forma individual (un solo dispositivo electronico) o en una forma plural (una pluralidad de dispositivos que comparten un mismo identificador i).
De acuerdo con una primera forma preferida de realizacion, la invencion estriba en la nocion matematica de apareamiento en grupos de orden primo. Tal apareamiento es una aplicacion bilineal generalmente utilizada en criptograffa, especialmente en el ambito de las curvas elfpticas especialmente.
Sea un grupo bilineal
P — (p,®l,®2,®^,e(■,■))
de orden p primo tal que |p| = A, definiendo A el tamano de los elementos como parametro de seguridad. K1,K2 y son tres grupos dclicos de orden p y
6 : X Gz ^ ^7
un apareamiento. Un grupo dclico es un conjunto algebraico tal que gp+1 es igual a g, definiendo p el orden del grupo dclico y g, un elemento del grupo al que se llama “generador”. En el sentido de la invencion, no se requiere una relacion particular entre los grupos ^ y G2. Los dos grupos pueden ser identicos o, mas generalmente, puede definirse un isomorfismo ¥ entre ^ y G2. La invencion preve que se priorice cualquier eventual isomorfismo asf como cualquier apareamiento calculables eficientemente.
El valor SKi es comun y compartido entre todos los dispositivos de abonado. El valor de SKi es igual a MK, dicho secreto SKi = MK se puede elaborar como indica a tftulo de ejemplo la figura 8. De este modo, un procedimiento 400 para elaborar tal secreto puede consistir en escoger aleatoriamente 402 un generador g del grupo ^ -como indica la notacion
R
g <-----Ki-.
En 403, tal procedimiento elige ademas y aleatoriamente yo perteneciente al conjunto 1p de los enteros modulo p. El secreto MK puede definirse 404 entonces como un conjunto de dos componentes respectivamente iguales a g y Y0 - emplearemos la notacion MK = (g,Ya) para describir esto. Este procedimiento 400 puede ser llevado a la practica por un servidor de contenidos tal como el servidor 3 descrito en relacion con las figuras 3 y 3a o, como variante, por un servidor espedfico, transmitiendose entonces el secreto MK a dicho servidor de contenidos que, asf, conoce dicho secreto previamente elaborado.
Los medios de procesamiento de un servidor 3 tal y como se describe en relacion con las figuras 3 y 3a pueden llevar a la practica entonces un procedimiento para codificar un contenido en claro M y para producir un contenido codificado C. Tal procedimiento puede ser conforme al ejemplo del procedimiento 4l0 descrito en relacion con la figura 7.
Asf, dicho procedimiento incluye una etapa 414 para producir un contenido codificado C a partir de un criptoperiodo cp y del secreto mK memorizado por el servidor 3.
Incluye ademas una etapa (no representada) para producir una etiqueta t con el fin de caracterizar el criptoperiodo cp a partir del cual se ha producido el contenido codificado C. Finalmente, incluye una etapa (no representada) para suministrar conjuntamente dicho contenido codificado C y dicha etiqueta t. Tal procedimiento puede incluir ademas una etapa previa a la emision de la etiqueta t para asociar a la misma datos que dan fe de su integridad.
De acuerdo con esta primera forma preferida de realizacion de la invencion, la funcion enc para producir el contenido codificado C consiste en calcular 411 en primer lugar Ycp = Fq(yq,Cp), siendo F0 una funcion determinada y conocida por el servidor 3. El servidor 3 elige 412 un conjunto s — {s,-}" de n valores pertenecientes cada uno de ellos a
Ip.
1
Calcula 413 una palabra K — {Kj}1 cuyas n componentes son cada una de ellas iguales a Kj — e(g,f)rcp+sJ, para
todo j comprendido entre 1 y n, siendo el generador f un generador elegido aleatoriamente del grupo G2, por ejemplo en la etapa 402 del procedimiento segun la figura 8 -como indica la notacion
8
5
10
15
20
25
30
35
40
45
50
R
f <-----®2-.
El servidor aplica 414 una funcion F3-1 a dicha palabra K y al contenido en claro M para producir el contenido codificado C. De acuerdo con un ejemplo de realizacion, la funcion F3-1 es la o exclusiva. Las componentes de la palabra K previamente son concatenadas o mezcladas de manera determinada.
El procedimiento descrito en relacion con la figura 7 puede incluir ademas una etapa 413a para elaborar la cabecera H para permitir la descodificacion del contenido codificado. Esta variante la pone en practica un servidor 3 tal y como se describe en relacion con la figura 3, que suministra la cabecera H conjuntamente con el contenido codificado C y la etiqueta t.
De acuerdo con esta forma de realizacion, la cabecera H puede consistir en un conjunto H = de n
componentes respectivamente iguales a un par de magnitudes para todo j comprendido entre 1 y n. El
conjunto s = {sj}”_1 de n valores es identico al conjunto s utilizado para elaborar la palabra K y f es el generador elegido -eventualmente aleatoriamente- entre el grupo K2 durante la etapa 402 para elaborar el secreto MK.
Para llevar a la practica la invencion, es necesario adaptar ademas los dispositivos electronicos de abonado. De este modo, la figura 5 permite describir un dispositivo de abonado conforme a la invencion. Tal dispositivo 1i incluye unos medios R para recibir del mundo exterior -por ejemplo, de un terminal 2i- una etiqueta t.
De acuerdo con una forma de realizacion de la invencion, una etiqueta t puede incluir datos que dan fe de su integridad. A tftulo de ejemplo, dichos datos pueden consistir en un codigo de redundancia tal como un resumen o ser elaborados con el concurso de un secreto Kd compartido entre el dispositivo y el servidor. De acuerdo con una variante, tal etiqueta se puede transmitir cifrada desde el servidor despues de haber sido elaborada por este ultimo con el concurso de un algoritmo de cifrado simetrico o asimetrico. De acuerdo con estas dos formas de realizacion, el dispositivo 1i incluye medios de procesamiento 10 que pueden comprobar 11 la integridad de la etiqueta recibida e incluso descifrarla. Si para este uso se necesita un secreto Kd, se pueden prever unos medios de memorizacion 21 en el seno de un dispositivo 1i conforme a la invencion para memorizar dicho secreto y cooperar con los medios de procesamiento. Para producir 13 una palabra de control k,cp propia del dispositivo 1i, los medios de procesamiento 10 cooperan con unos medios 22 para memorizar un identificador i espedfico del dispositivo. Para producir la palabra de control, los medios de procesamiento 10 son aptos para deducir 12 de la etiqueta t el criptoperiodo en curso cp. Estos cooperan ademas con unos medios de memorizacion 23 que memorizan un secreto SK. Partiendo del identificador i, el criptoperiodo cp y del secreto SKi, los medios de procesamiento del dispositivo producen 13 la palabra de control k,cp. Esta ultima es suministrada por el dispositivo 1i al mundo exterior (por ejemplo, al terminal 2i) por intermedio de los medios para suministrar S.
Para producir una palabra de control, los medios de procesamiento de un dispositivo 1i conforme a la invencion pueden poner en practica un procedimiento 100 tal como se ilustra mediante la figura 5a.
Tal procedimiento para producir una palabra de control incluye una primera etapa para recibir 101 una etiqueta t por intermedio de los medios de recepcion R del dispositivo 1i. Incluye ademas una etapa para determinar 103 el criptoperiodo en curso cp explotando la etiqueta t recibida y, luego, una etapa para producir 105 una palabra de control k,cp a partir de dicho criptoperiodo en curso cp, del identificador i espedfico del dispositivo y del secreto SKi - siendo memorizados i y SKi por el dispositivo. El procedimiento incluye asimismo una etapa para suministrar una palabra de control k’ igual a k,cp por intermedio de los medios para suministrar S del dispositivo.
De acuerdo con la primera forma preferida de realizacion que estriba en el grupo bilineal
P = (p,®l,®2,®^,e(.,.))
de orden p primo, un dispositivo de abonado, que pone en practica un procedimiento 100 tal como se ilustra en relacion con la figura 5a, recepta 101 una etiqueta t -eventualmente valida 102 su integridad- y luego deduce 103 el criptoperiodo en curso cp. En 104, dicho dispositivo pone en practica una funcion determinada F0 (identica a aquella puesta en practica por el servidor de contenidos) que, aplicada a la componente Y0 del secreto SKi = MK y al criptoperiodo cp, permite generar Ycp que pertenece a 1p.
El procedimiento 100 incluye entonces una etapa 105 para elaborar la palabra de control k,cp. Esta etapa consiste en calcular un par de magnitudes x,cp y A,cp. x,cp pertenece a 1p y es calculado por los medios de procesamiento del dispositivo de manera determimstica a partir del identificador i y del criptoperiodo cp. A,cp es calculado por el dispositivo como igual a—.
Entonces, el dispositivo 1i que pone en practica un procedimiento 100 puede suministrar 106 al mundo exterior (tal como un terminal 2i con el que coopera) una palabra de control k' igual a k,cp.
5
10
15
20
25
30
35
40
45
50
La invencion preve, de acuerdo con la variante descrita en relacion con la figura 3a, que un dispositivo de abonado conforme a la invencion pueda -en sustitucion del servidor de contenido 3- producir y elaborar la cabecera H. El procedimiento 100 incluye entonces una etapa 105a para elaborar las componentes de dicha cabecera y una etapa 106a para suministrar al terminal con el que coopera dicha cabecera. La etapa 105a es similar a la etapa 413a anteriormente descrita y puesta en practica por un servidor 3 segun las figuras 3 y 7.
De este modo, la etapa 105a puesta en practica por un dispositivo de abonado, tal y como se describe en relacion con la figura 3a, puede consistir en calcular un conjunto H = de n componentes respectivamente iguales a un
par de magnitudes ycp+Sj para todo j comprendido entre 1 y n. Para determinar el conjunto s = {sI}n._1 de n
valores identico al conjunto s utilizado para elaborar la palabra K por el servidor 3 (etapa 413 de la figura 7) y para elegir el generador f entre el grupo K2 (durante la etapa 402 al margen de la elaboracion del secreto MK), la invencion preve que la etiqueta t incluya datos que caractericen dichas elecciones. Como variante, dichos conjunto s = {sj}”_1 y generador f son predeterminados y compartidos entre el servidor y el conjunto de los dispositivos de abonado.
Para descodificar un contenido codificado C, los medios de procesamiento de un terminal 2i, tal como se representa en relacion con las figuras 3 o 3a, cooperan con unos medios para memorizar los parametros del grupo bilineal (5. Estos ponen en practica una funcion de descodificacion dec -tal como la descrita en relacion con la figura 6- para producir un contenido en claro M.
Tal procedimiento 200 lo ponen en practica los medios de procesamiento del terminal a consecuencia de la recepcion, desde el mundo exterior, de un contenido codificado C, de una cabecera H y de una palabra de control k,cp. Incluye una etapa para aplicar 201 una primera funcion F1 a la cabecera H y a la palabra de control k,cp para producir 203 una palabra K. El procedimiento 200 incluye ademas una etapa para aplicar 204 una segunda funcion F3 a dicha palabra K y al contenido codificado C para producir el contenido en claro M. De acuerdo con esta forma de realizacion, la funcion F3-1, puesta en practica por el servidor para codificar el contenido, es una funcion inversa de la funcion F3. Asf, el terminal puede suministrar 205 dicho contenido en claro M. De acuerdo con una forma de realizacion, los medios de procesamiento del terminal pueden poner en practica una funcion de expansion F2 para adaptar el formato de la palabra K antes de la aplicacion de la funcion f3.
De este modo, de acuerdo con la primera forma de realizacion preferida de la invencion que estriba en un grupo bilineal
P = (p,K1,K2,K'r,e(.,.))
de orden p primo, recuerdese que la palabra de control k,cp incluye dos componentes x,cp y A,cp, habiendose calculado x,cp directamente a partir del identificador i del dispositivo de abonado que ha producido y suministrado dicha palabra de control. Recuerdese ademas que la cabecera H consiste en un conjunto de componentes hj
respectivamente iguales a
(fcp+Sj,Sj)
consiste a partir de entonces en poner en practica una aplicacion bilineal
para todo j comprendido entre 1 y n. La etapa para producir 203 la palabra K
6 : X G2 ^
para la cual Gy, K2 y son tres grupos dclicos de orden primo p. Esta aplicacion bilineal se centra en las
1
componentes de H y de k, cp tal que Kj = e(Alcp(frcp+si)Xicp~si.f) para todo j =1 an, siendo f el generador perteneciente al grupo dclico K2 de orden p.
Mediante la puesta en practica de la propiedad de bilinealidad, Kj = e(AicP:(frcp+sf)Xicp sLf) = e(g,f)rcp+si. Podemos comprobar que esta propiedad permite suprimir la contribucion de la magnitud x,cp que depende directamente del identificador i espedfico del dispositivo de abonado 1i que ha producido y suministrado la palabra de control ki, cp.
Para producir el contenido en claro M, la etapa 204 para aplicar la funcion F3 a dichas componentes de la palabra K y al contenido codificado C consiste en aplicar la funcion F3 a las componentes previamente agregadas 203 - concatenadas o mezcladas de una manera similar a la agregacion realizada en la etapa 414 en la codificacion del contenido por el servidor. A tftulo de ejemplo, la funcion F3 puede consistir en la o exclusiva -siendo entonces identicas las funciones F3 y F3-1.
La eventual puesta en practica de la funcion de expansion F2 -etapa 202- puede consistir, segun el ejemplo de realizacion preferido de la invencion, en adaptar el tamano de las salidas de cada aplicacion de la funcion F1 a una componente Kj para hacerla compatible con la aplicacion de la funcion F3 entre la agregacion de dichas componentes K? asf adaptadas mediante F2 y el contenido codificado C.
La invencion preve una segunda forma preferida de realizacion que igualmente estriba en la nocion matematica de
5
10
15
20
25
30
35
40
45
apareamiento en grupos de orden primo. De acuerdo con esta segunda forma de realizacion, el valor del secreto SKi memorizado en cada dispositivo de abonado es distinto y depende especialmente del valor del identificador i de este ultimo.
Sea un grupo bilineal
P — (p,G1,G2,G■^,e(.,.))
de orden p primo tal que |p| = A, definiendo A el tamano de los elementos como parametro de seguridad. G^ G2 y son tres grupos dclicos de orden p y
6 : G-^ x G2 ^ G^
un apareamiento. No se requiere una relacion particular entre los grupos y G2. Los dos grupos pueden ser identicos o, mas generalmente, puede definirse un isomorfismo ¥ entre y G2. La invencion preve que se priorice cualquier eventual isomorfismo asf como cualquier apareamiento calculables eficientemente.
El valor del secreto MK conocido por el servidor puede consistir en elegir aleatoriamente dos generadores g y f respectivamente de los grupos y G2 -como indican las notaciones
R
g <-----Gi
y
R
f <-----G2-.
Se elige, ademas y aleatoriamente, y perteneciente al conjunto 1p de los enteros modulo p. El secreto MK puede definirse entonces como un conjunto de tres componentes respectivamente iguales a g, y y f -emplearemos la notacion MK = (g,Y,f) para describir esto.
Para generar una pareja de secretos SKi y DKi, destinados a ser memorizados respectivamente en el dispositivo de
abonado 1i y en el terminal 2i cooperante con este ultimo, el servidor 3 puede poner en practica el siguiente
1
procedimiento. Se elige Xi perteneciente a 1p y se calcula la magnitud Bt — fr+xi. Un secreto SKi puede definirse como un conjunto de dos componentes respectivamente iguales a Xi y Bi -emplearemos la notacion SKi = (x,B) para
xj.
describir esto. Un secreto DKi se define por ser igual a DKt — gr+xi.
Los medios de procesamiento de un servidor 3 tal y como el descrito en relacion con las figuras 3 y 3a pueden llevar a la practica entonces un procedimiento para codificar un contenido en claro M y para producir un contenido codificado C.
Tal procedimiento puede incluir una etapa para producir un contenido codificado C a partir de un criptoperiodo cp y del secreto MK conocido o memorizado por el servidor 3.
Para un criptoperiodo cp, tal procedimiento incluye ademas una etapa para producir una etiqueta t = tcp con el fin de caracterizar el criptoperiodo cp a partir del cual se ha producido el contenido codificado C. A tftulo de ejemplo y de
acuerdo con la segunda forma preferida de realizacion, dicha etapa para producir t = tcp consiste en elegir -
1
eventualmente aleatoriamente- ycp entre el conjunto 1p y generar una magnitud fcp — fr+yPp. La etiqueta t = tcp consiste en un par de dos magnitudes respectivamente iguales a ycp y tal que t — tcp — (ycp,fc~p1). Tal
procedimiento puede incluir ademas una etapa previa a la emision de la etiqueta t para asociar a la misma datos que dan fe de su integridad.
La funcion enc para producir el contenido codificado C consiste en elegir en primer lugar -eventualmente aleatoriamente- un conjunto s — de n valores pertenecientes cada uno de ellos a 1p. Se calcula a
continuacion una palabra K — {Kj}”_1 cuyas n componentes son respectivamente iguales a Kj = e(g,fcp)sj para todo j comprendido entre 1 y n.
El servidor aplica una funcion F3-1 a dicha palabra K y al contenido en claro M para producir el contenido codificado C. De acuerdo con un ejemplo de realizacion, la funcion F3-1 es la o exclusiva. Las componentes de la palabra K previamente son concatenadas o mezcladas de manera determinada.
El procedimiento puesto en practica por el servidor puede incluir ademas una etapa para elaborar la cabecera H para, al final, permitir la descodificacion del contenido codificado por un terminal. Esta variante la pone en practica un servidor 3 tal y como se describe en relacion con la figura 3, que suministra la cabecera H conjuntamente con el contenido codificado C y la etiqueta t.
5
10
15
20
25
30
35
40
45
De acuerdo con esta forma de realizacion, la cabecera H puede consistir en un conjunto H = {hy}"^ de n componentes respectivamente iguales a un par de magnitudes (hj,1, h/2). Para todo j comprendido entre 1 y n, hj! = gsir y hj,2 = f*p, siendo el conjunto s = de n valores identico al conjunto utilizado para elaborar la
palabra K.
Para poner en practica la invencion segun esta segunda forma preferida de realizacion, es preciso adaptar ademas los dispositivos electronicos de abonado. Tal dispositivo 1i -tal y como se describe en relacion con la figura 5- incluye unos medios 23 para memorizar el valor del secreto SKi tal y como es elaborado por el servidor. Incluye ademas unos medios 13 para producir una palabra de control ki,cp de acuerdo con un procedimiento que, por ejemplo, incluye una primera etapa para recibir una etiqueta t por intermedio de los medios de recepcion R del dispositivo 1i. Incluye ademas una etapa para determinar el criptoperiodo en curso cp explotando la etiqueta t = tcp recibida y, luego, una etapa para producir una palabra de control ki,cp a partir de dicho criptoperiodo en curso cp, del identificador i espedfico del dispositivo y del secreto SKi -siendo memorizados i y SKi por el dispositivo. El procedimiento incluye asimismo una etapa para suministrar una palabra de control k’ igual a ki,cp por intermedio de los medios para suministrar S del dispositivo.
De acuerdo con la segunda forma preferida de realizacion que estriba en el grupo bilineal
de orden p primo, un dispositivo de abonado 1i incluye un secreto SKi = (x,B). La etiqueta t = tcp recibida es igual a t = tcp = (ycp.fc^1), siendo cp el criptoperiodo en curso.
Un procedimiento para producir ki,cp consiste en calcular
1 1 —1 1 _______1_______ ^
kl cp = (Bt. fcp'-ycp-ti = (fr+H.fr+ycPycp-H = f(?+ycp).(y+x0 = f(p+Xt\
Entonces, el dispositivo 1i que pone en practica tal procedimiento puede suministrar al mundo exterior (tal como un terminal 2i con el que coopera) una palabra de control k' igual a ki,cp.
La invencion preve, de acuerdo con la variante descrita en relacion con la figura 3a, que un dispositivo de abonado conforme a la invencion pueda -en sustitucion del servidor de contenido 3- producir y elaborar la cabecera H tal y como se ha definido anteriormente.
Para descodificar un contenido codificado C, los medios de procesamiento de un terminal 2i, tal como se representa en relacion con las figuras 3 o 3a, ponen en practica una funcion de descodificacion dec para producir un contenido en claro M. Tal descodificador 2i incluye ademas unos medios para memorizar el valor del secreto DKi elaborado por el servidor asf como los parametros del grupo bilineal (5.
Un procedimiento puesto en practica por los medios de procesamiento del terminal a consecuencia de la recepcion, desde el mundo exterior, de un contenido codificado C, de una cabecera H y de una palabra de control ki,cp incluye una primera etapa para producir una palabra K = ^ De acuerdo con la segunda forma preferida de realizacion,
recuerdese que la cabecera H elaborada por el servidor o, como variante, por el dispositivo de abonado, consiste en un conjunto H = {hy}"^ de n componentes respectivamente iguales a un par de magnitudes (hji, h/2).
De este modo, la etapa para producir la palabra K consiste, para todo j comprendido entre 1 y n, en elaborar
Kj = e{DKl,hj,2).e{hj,1,kl,cp) = e (gr+xi.f%). e (gs>*.f^X
a saber
Sj.xt Sj.y
Kj = e(g.fcpy+xi. e(g.fcpy+xi = e(g.fcp)si.
Podemos comprobar que se suprime la contribucion de la magnitud Xi -que depende directamente del identificador i espedfico del dispositivo de abonado 1i que ha producido y suministrado la palabra de control k,cp.
Para producir el contenido en claro M, el procedimiento incluye ademas una etapa para aplicar una funcion F3 a la palabra K y al contenido codificado C. Esto equivale a aplicar la funcion F3 a las componentes de la palabra K = {Kj}”_1 previamente agregadas -concatenadas o mezcladas de una manera similar a la agregacion realizada en la
codificacion del contenido por el servidor. A tftulo de ejemplo, la funcion F3 puede consistir en la o exclusiva -siendo entonces identicas las funciones F3 y F3-1.
5
10
15
20
25
30
35
40
En relacion con la figura 4, para prevenir el uso de una palabra de control kp,cp -emitida por un pirata- resultante de una mezcla basada en una de las palabras de control ka,cp, kb,cp o kz,cp, la invencion preve una forma preferida de realizacion que asimismo estriba en la nocion matematica de apareamiento en grupos de orden primo.
Sea un grupo bilineal
P — (p,G1,G2,GT,e(.,.))
de orden p primo tal que |p| = A, definiendo A el tamano de los elementos como parametro de seguridad. G^ G2 y Gr son tres grupos dclicos de orden p y
6 : G-^ x G2 ^ Gp
un apareamiento. No se requiere una relacion particular entre los grupos Gi y G2. Los dos grupos pueden ser identicos o, mas generalmente, puede definirse un isomorfismo T entre Gi y G2. La invencion preve que se priorice cualquier eventual isomorfismo asf como cualquier apareamiento calculables eficientemente. De acuerdo con esta tercera forma de realizacion, se define ademas un parametro T que determina el tamano maximo de una coalicion autorizada.
Al igual que para la primera forma preferida de realizacion, cada dispositivo de abonado memoriza un secreto cuyo valor SKi = MK es comun y compartido entre un grupo de dispositivos de abonado y es conocido por el servidor de contenidos.
El valor de dicho secreto MK puede consistir en elegir, eventualmente aleatoriamente, un generador go del grupo G7 Se elige ademas -eventualmente aleatoriamente- y perteneciente al conjunto 1p de los enteros modulo p. El secreto MK puede definirse entonces como un conjunto de dos componentes respectivamente iguales a go y Y - emplearemos la notacion MK = (go,Y) para describir esto.
Los medios de procesamiento de un servidor 3, tal y como se describe en relacion con las figuras 3 y 3a, pueden poner entonces en practica un procedimiento para codificar un contenido en claro M y para producir un contenido codificado C a partir de un criptoperiodo cp y del secreto MK conocido o memorizado por el servidor 3.
Para un criptoperiodo cp, tal procedimiento incluye una primera etapa para producir una etiqueta t = tcp con el fin de caracterizar el criptoperiodo cp a partir del cual se va a producir el contenido codificado C. Tal procedimiento puede incluir ademas una etapa previa a la emision de la etiqueta t para asociar a la misma datos que dan fe de su integridad.
Para producir un contenido C, el procedimiento incluye una etapa para aplicar una funcion determinada Fo al generador go y al criptoperiodo cp para producir gcp = Fo(go,cp) perteneciente al grupo G7 Incluye ademas una etapa
j — n
para elegir -eventualmente aleatoriamente- r — {ry,;}j — ^ y s — {sj}”_1 dos conjuntos de elementos de 1p.
I — 1
Incluye una etapa para calcular una palabra K — {Kj}n_ cuyas n componentes son respectivamente iguales a Kj —
____sj____
e(gcp,f)^r+r^^(r+r^T) para todo j comprendido entre 1 y n, siendo f un generador de G2.
El servidor aplica una funcion F3-1 a dicha palabra K y al contenido en claro M para producir el contenido codificado C. De acuerdo con un ejemplo de realizacion, la funcion F3-1 es la o exclusiva. Las componentes de la palabra K previamente son concatenadas o mezcladas de manera determinada.
El procedimiento puesto en practica por el servidor puede incluir ademas una etapa para elaborar una cabecera H para, al final, permitir la descodificacion del contenido codificado por un terminal. Esta variante la pone en practica un servidor 3 tal como el descrito en relacion con la figura 3, que suministra la cabecera H conjuntamente con el contenido codificado C y la etiqueta t.
De acuerdo con esta forma de realizacion, la cabecera H puede consistir en un conjunto H — de
n componentes respectivamente iguales a una cuaterna de magnitudes {[Pi]'^=i,{rj,i}^_1,glp1 ,PjJ^. Para todo j comprendido entre 1 y n,
i i i
P1 — fY+rj, i, p2 — ^(r+rJ-1)(r+rJ-2), _ — ^(y+r,-1)(7+rJ-r),
5
10
15
20
25
30
35
40
j = n
siendo el conjunto r = ^ identico al conjunto r
l = 1
generadores gcp y f asf como T son igualmente identicos a
utilizado para elaborar la palabra K. El conjunto s, los los elementos utilizados para elaborar la palabra K.
Para poner en practica la invencion segun esta tercera forma preferida de realizacion, es preciso adaptar ademas los dispositivos electronicos de abonado. Tal dispositivo 1i -tal y como se describe en relacion con la figura 5- incluye unos medios 23 para memorizar el valor del secreto SKi = MK elaborado por el servidor o simplemente conocido por el mismo. Incluye ademas unos medios 13 para producir una palabra de control ki,cp de acuerdo con un procedimiento que, por ejemplo, incluye una primera etapa para recibir una etiqueta t por intermedio de los medios de recepcion R del dispositivo 1i. Incluye ademas una etapa para determinar el criptoperiodo en curso cp explotando la etiqueta t = tcp recibida y, luego, una etapa para producir una palabra de control ki,cp a partir de dicho criptoperiodo en curso cp, del identificador i espedfico del dispositivo y del secreto SKi -siendo memorizados i y SKi por el dispositivo de abonado. El procedimiento incluye asimismo una etapa para suministrar una palabra de control k’ igual a ki,cp por intermedio de los medios para suministrar S del dispositivo.
De acuerdo con esta tercera forma preferida de realizacion que estriba en el grupo bilineal
P = (p,®i,®2,®r,e(.-.))
de orden p primo, un dispositivo de abonado 1i incluye un secreto SKi = MK = (g<0,Y). La etiqueta t = tcp recibida permite caracterizar y, por tanto, deducir el criptoperiodo en curso cp.
Un procedimiento para producir ki,cp consiste en primer lugar en producir gcp aplicando una funcion Fo -identica a la funcion puesta en practica por el servidor- a go y cp tal que gcp = Fo(go,cp).
Adicionalmente, dicho procedimiento incluye una etapa para producir -de manera determimstica y conocida por el servidor- una magnitud x,cp, elemento de 1p, que depende del identificador i del dispositivo y del criptoperiodo en curso cp. Como variante, x,cp = Xi se calcula para depender del identificador i pero no de cp. La etapa para producir la palabra de control rastreable k = ki,cp consiste en producir una tripleta ki,cp = (Xi}cp,Ai,cp, Bi,cp) para la cual
xi, cp ^
= 9
r+xi,cp
cp
y Bi/Cp
p+H.cp.
Entonces, el dispositivo 1i que pone en practica tal procedimiento puede suministrar al mundo exterior (tal como un terminal 2i con el que coopera) una palabra de control k' igual a ki,cp.
La invencion preve, de acuerdo con la variante descrita en relacion con la figura 3a, que un dispositivo de abonado conforme a la invencion pueda -en sustitucion del servidor de contenido 3- producir y elaborar la cabecera H tal y como se ha definido anteriormente.
Para descodificar un contenido codificado C, los medios de procesamiento de un terminal 2i, tal como se representa en relacion con las figuras 3 o 3a, ponen en practica una funcion de descodificacion dec para producir un contenido en claro M. Tal descodificador 2i incluye ademas unos medios para memorizar los parametros del grupo bilineal (5.
Un procedimiento puesto en practica por los medios de procesamiento del terminal a consecuencia de la recepcion, desde el mundo exterior, de un contenido codificado C, de una cabecera H y de una palabra de control ki,cp incluye una primera etapa para producir una palabra K = ^ De acuerdo con esta tercera forma preferida de
realizacion, recuerdese que la cabecera H elaborada por el servidor o, como variante, por el dispositivo de abonado consiste en un conjunto H = de n componentes respectivamente iguales a una cuaterna de magnitudes
({P;}[=1,{ry,;}^_i,g^ps',P7/'). Para todo j comprendido entre 1 y n, P1 = /K+r'\P2 = f(r+rjp')(r+ry2\ ... PT =/(K+rj,i)(K+rj,r),
j=n
perteneciendo el conjunto r = {ry,;}^ = ^ a 1p. Recuerdese ademas que la palabra de control ki,cp consiste en una
tripleta ki,cp = (Xi,cp,Ai,cp,Bi,cp) para la cual Aicp = g Icp y Bicp = fr+xt,cp.
De este modo, la etapa para producir la palabra K consiste, para todo j comprendido entre 1 y n, en elaborar Kj =
asaber:
Kj = e(gcp, f'j{y+xi,cp)nJ=i{y+ri,i). e(gcp, f'j{y+xi,cp)nJ=i{y+ri,i) = e(^cp,/)n[=i(r+rj,i)
5
10
15
20
25
30
35
40
45
50
55
con B
n'l=1{r+r],i) _
= 1 B:
,,cP.m=1pl
(-i)I+rnm=l(xi,cp rj,mj\ni=1{xi,cp~rj,l
Podemos comprobar que la contribucion de la magnitud xi,cp -que depende directamente del identificador i espedfico del dispositivo de abonado 1i que ha producido y suministrado la palabra de control ki,cp- ya no aparece en la palabra K.
Para producir el contenido en claro M, el procedimiento incluye ademas una etapa para aplicar una funcion F3 a la palabra K y al contenido codificado C. Esto equivale a aplicar la funcion F3 a las componentes de la palabra K = {Kj}”_1 previamente agregadas -concatenadas o mezcladas de una manera similar a la agregacion realizada en la
codificacion del contenido por el servidor. A tftulo de ejemplo, la funcion F3 puede consistir en la o exclusiva -siendo entonces identicas las funciones F3 y F3-1.
De acuerdo con una variante, para un j dado, los elementos {fy}7 pueden calcularse de manera determimstica a partir de una semilla, de modo que solo se transmita esta semilla en la componente hj de la cabecera H. Dicha componente es entonces de tamano constante e independiente de T. Este parametro T puede estar adaptado al nivel de seguridad y a la eficiencia del sistema que interesen.
Ya se elija una de las tres formas preferidas de realizacion descritas anteriormente o bien, mas generalmente, una forma de realizacion conforme a la invencion, el sistema de acceso condicional asf constituido utiliza palabras de control ki,cp rastreables, luego detectables por un operador. Asf, tal sistema previene cualquier riesgo de control-word sharing.
Para ilustrar un metodo que permite rastrear una palabra de control ki,cp producida de acuerdo con la invencion - aunque la palabra de control kp,cp intercambiada por el pirata sea una palabra mezclada o resultante de una colusion de varias palabras de control ka,cp, kb ,cp o kz,cp- consideremos que un pirata suministra a un “abonado” desaprensivo una utilidad de descifrado o programa acompanado de una palabra de control mezclada emitida por una red pirata. Merced a la invencion, es posible dar con la identidad de al menos uno de los dispositivos legftimos (o traidores) que han servido para la fabricacion de dicha palabra de control mezclada. Esta capacidad, denominada capacidad de rastreo, se puede realizar por medio de un metodo general llamado de rastreo en caja blanca.
De acuerdo con este metodo, el descodificador pirata, en primer lugar, es interpretado como una secuencia de instrucciones formales, componiendose cada instruccion de una operacion, de una o varias variables de entrada y de una variable de salida. De entre las posibles operaciones, se distinguen las operaciones asociadas al sistema bilineal (p,&1,&2,<ST), a saber, las operaciones de multiplicacion y de exponenciacion en cada uno de los grupos (G1;G2,Gr), asf como la operacion de apareamiento bilineal. Estas operaciones se denominan “algebraicas”, en tanto que todas las demas se calificaran como operaciones “anexas”. En esta misma fase de interpretacion, las variables de entrada y de salida de cada instruccion se ponen en una forma llamada SSA (Static Single-Assignment, segun una terminologfa anglosajona), en orden a poder deducir con facilidad, de esta representacion del descodificador pirata, un grafo de calculo de toda variable por el manipulada a lo largo de su ejecucion formal. La variable de salida del programa representa el dato en claro K y dimana de un grafo de calculo con valor de salida dentro de GT. Se acota el programa al calculo de este grafo.
En una segunda etapa llamada de especializacion, se pretende fijar todas las variables de entrada del programa en valores constantes para los cuales el programa consigue descifrar correctamente. Esta busqueda de valores fijos se puede llevar a cabo de manera aleatoria y exhaustiva, y si el descodificador dado en un principio es suficientemente funcional (es decir, descifra en una fraccion significativa de los casos en promedio), esta etapa de busqueda puede culminar rapidamente con algunos intentos. Cuando unos valores son adecuados, se sustituyen por estos las correspondientes variables en el programa, de modo que el nuevo programa obtenido unicamente se compone de instrucciones efectuadas sobre constantes. Entonces se procede a una etapa de simplificacion del programa encaminada a obtener una unica secuencia de instrucciones sin salto.
Para este fin, se efectua una propagacion de las constantes para suprimir todas las instrucciones anexas cuyas variables de entrada son todas ellas constantes; por lo tanto, esta transformacion excluye las operaciones algebraicas. Al termino de esta fase, se suprimen los saltos no condicionales yuxtaponiendo extremo con extremo las secuencias lineales de instrucciones por orden cronologico de ejecucion. El programa se convierte entonces en una sucesion de instrucciones algebraicas secuenciales sin flujo de control.
En una tercera fase, se aplican al programa obtenido varias transformaciones de simplificaciones algebraicas de manera inductiva y concurrente hasta la estabilizacion del programa. Estas transformaciones se encaminan a obtener un programa equivalente en el que la salida K esta calculada como un producto de potencias enteras de apareamiento a partir de los datos de entrada, siendo estas potencias valores constantes debido a las anteriores fases de transformacion. A continuacion, se identifica el exponente correspondiente a cada elemento algebraico de la cifra dada a la entrada, asf como a cada elemento de la palabra de control mezclada dada a la entrada. Por las propiedades matematicas de la invencion, este conjunto de exponentes, cuyos valores son conocidos, forma un
5
10
15
20
25
30
35
40
45
50
55
sistema de ecuaciones multivariable conocido de antemano cuyas variables son, por una parte, los elementos x1,x2,...,xz e Zp que componen las palabras de control que han servido para la fabricacion de la palabra de control mezclada y, por otra, los parametros elegidos s1,s2,-,sz e Zp que componen la cifra C dada a la entrada por el rastreador. El sistema de ecuaciones multivariable depende de la forma de realizacion de la invencion. Conociendo el valor numerico de las salidas del sistema y los parametros elegidos {sy}J_i, el sistema puede invertirse parcial o
totalmente para dar al menos con uno de los elementos xi,x2,...,xz que componen una de las palabras de control primitivas e identificar asf completamente uno de los dispositivos traidores. Esta fase puede necesitar tener z < B, donde B es un extremo que depende de la forma de realizacion de la invencion.
Asimismo, la invencion preve una forma de realizacion para autorizar o prohibir que un dispositivo electronico de abonado -conforme a la invencion- produzca una palabra de control k’ = ki,cp. As^ la invencion preve que tal dispositivo tan solo pueda ser autorizado a producir k’ = ki,cp si una fecha de puesta a disposicion o una fecha de inicializacion es anterior al criptoperiodo en curso. De este modo, y a tttulo de ejemplo, al contratar una suscripcion, en el dispositivo de abonado entregado a un recien abonado se puede memorizar una fecha de inicializacion cpb. De acuerdo con esta forma de realizacion, un dispositivo de abonado conforme a la invencion incluye unos medios 24 para memorizar tal fecha. Esta puede expresarse como igual al criptoperiodo en curso en el momento de contratar. De este modo, los medios de procesamiento 10 de tal dispositivo pueden estar adaptados para cooperar con dichos medios 24 y suministrar una palabra de control k’ = k,cp tan solo si el criptoperiodo en curso cp es superior o igual a cpb. Esta forma de realizacion se ilustra mediante las figuras 5 y 5b. De acuerdo con esta ultima figura, el procedimiento 100, puesto en practica por los medios de procesamiento 10 de un dispositivo de abonado, incluye una etapa 109 prevista al efecto. En la figura 5, un dispositivo 1 incluye unos medios 14 y 15 para comparar cpb y cp y gobernar A el respectivo suministro k’ = k,cp o k’ = kf, siendo kf un valor distinto de un valor valido de una palabra de control k,cp. De acuerdo con estas mismas figuras, la invencion preve que puedan ser memorizados uno o varios valores kf por el dispositivo 1 -medios de memorizacion 26. Los medios S suministran 106b una palabra de control k’ = kf en sustitucion de k’ = k,cp si cpb es superior al criptoperiodo en curso cp. As^ esta forma de realizacion previene toda utilizacion de un dispositivo de abonado para descodificar un contenido codificado percibido anteriormente al contrato de suscripcion. La invencion preve, como complemento o como variante, la utilizacion de una fecha de expiracion cpe que puede ser memorizada en todo dispositivo de abonado conforme a la invencion. Esta fecha se inscribe en unos medios 25 de tal dispositivo en el momento de la rescision voluntaria o forzada de una suscripcion. De este modo, un procedimiento 100, descrito en relacion con la figura 5b, puede incluir una etapa 109 que permite comparar el criptoperiodo en curso cp deducido de la etiqueta y suministrar 106 k’ = k,cp tan solo si dicho criptoperiodo en curso es inferior a cpe. En caso contrario, la palabra de control suministrada 106b por el dispositivo puede ser igual a kf al igual que en el procesamiento de la fecha de inicializacion.
Esta forma de realizacion se puede aprovechar para, eventualmente, revocar un dispositivo traidor transmitiendo, por intermedio de la red 4, una peticion de revocacion selectiva y frustrar la utilizacion de dicho dispositivo traidor.
De acuerdo con esta forma de realizacion, el servidor de contenidos elabora una etiqueta t = u\\v\\cp que incluye, ademas de los datos relativos al criptoperiodo en curso cp, unas componentes u y v de valores determinados.
La componente u permite indicar una solicitud de revocacion con destino a un dispositivo con identificador i cuyo valor esta contenido en la componente v. A la recepcion de una etiqueta t = u\\v\\cp, los valores u, v y cp son extrafdos por los medios 12 del dispositivo 1i segun la figura 5. En relacion con la figura 5b, los medios 14 comparan 107 el valor de la componente u con un valor predeterminado ur. Si u = Ur y v = i (etapa 110), los medios de procesamiento del dispositivo inicializan 111 una fecha de expiracion cpe igual a cp. El dispositivo de abonado ya no esta en disposicion de suministrar palabras de control validas. Si el valor de v es diferente del valor del identificador i del dispositivo, este ultimo prosigue su procesamiento tradicional y produce una palabra de control valida.
La invencion preve una variante a cuyo efecto se pueda remitir a un dispositivo de abonado una peticion de rehabilitacion. Esta peticion puede seguir a una solicitud de revocacion previa que se haya remitido, por ejemplo, por error. El objeto de una peticion de este tipo consiste en autorizar nuevamente un dispositivo de abonado a producir palabras de control validas. De la misma manera, la invencion preve un valor predeterminado ua caracteristico de tal peticion. Para anular una revocacion de un dispositivo, un servidor de contenidos conforme a la invencion transmite una etiqueta t = ullvllcp, para la cual u y v son respectivamente iguales a ua y al identificador i del dispositivo al que concierne la peticion.
A la recepcion de una etiqueta t = u\\v\\cp, los valores u, v y cp son extrafdos por los medios 12 del dispositivo. Los medios 14 comparan 107 el valor de la componente u con el valor predeterminado ua. Si u = ua y v = i (etapa 110), los medios de procesamiento del dispositivo reinicializan 111 una fecha de expiracion cpe igual a 0 -que denota una ausencia de expiracion. El dispositivo de abonado vuelve a estar en disposicion de suministrar palabras de control validas. Si el valor de v es diferente del valor del identificador i del dispositivo, este ultimo prosigue su procesamiento tradicional o permanece revocado. Tal peticion de anulacion de revocacion o de rehabilitacion puede traducirse, como variante, en una peticion de inicializacion. En este caso, es posible inicializar la fecha de inicializacion cpb al valor en curso de cp, traduciendose asf la revocacion en la definicion de una fecha de inicializacion muy superior a los criptoperiodos en curso o infinita.
Aunque se haya ilustrado esencialmente en relacion con la primera forma de realizacion preferida de la invencion - figura 5b-, tal procedimiento -para revocar o rehabilitar un dispositivo de abonado- puede ser llevado a la practica cualquiera que sea la forma de realizacion de un sistema de acceso condicional conforme a la invencion.

Claims (21)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    REIVINDICACIONES
    1. Procedimiento (100) para producir una palabra de control k’, siendo puesto en practica dicho procedimiento por unos medios de procesamiento (10) de un dispositivo electronico de abonado (1) que coopera con un terminal (2i), poniendo en practica este ultimo un procedimiento (200) para descodificar un contenido codificado C a partir de dicha palabra de control k’ para producir un contenido en claro M, incluyendo dicho dispositivo electronico de abonado (1) unos medios de recepcion (R) para recibir datos desde el terminal (2i) y unos medios (S) para suministrar dicha palabra de control k’ a dicho terminal (2i), incluyendo dicho procedimiento para producir una palabra de control k:
    - una etapa para recibir (101) datos por intermedio de los medios de recepcion (R) que consisten en una etiqueta t;
    - una etapa para determinar (103) el criptoperiodo en curso explotando la etiqueta t recibida;
    - una etapa para producir (105) la palabra de control k a partir de dicho criptoperiodo en curso cp y de un secreto SKi memorizado (23) por el dispositivo;
    - una etapa para suministrar dicha palabra de control k’ por intermedio de los medios para suministrar (S) del dispositivo;
    caracterizandose el procedimiento por que:
    - un valor de un identificador i espedfico del dispositivo electronico es memorizado previamente (22) por dicho dispositivo electronico de abonado, siendo el valor de dicho identificador i distinto del memorizado por cualquier otro dispositivo de abonado;
    - dicho valor del identificador i participa en el calculo de dicha palabra de control k’ = k,cp de la etapa (105) para producir esta ultima cuyo valor, de este modo, resulta distinto del de cualquier otra palabra de control producida por un segundo dispositivo electronico de abonado para el mismo criptoperiodo cp;
    y por que dichos procedimientos para respectivamente producir (100) la palabra de control k’ = k,cp y para descodificar (200) el contenido codificado C se establecen mutuamente de modo que este ultimo incluye una etapa (201), dual con la produccion de k’ = k,cp, para suprimir la contribucion del identificador i en el seno de la palabra de control k’ = k,cp y producir el contenido en claro M.
  2. 2. Procedimiento segun la reivindicacion anterior, caracterizado por que incluye una etapa previa (140) para grabar el secreto SKi en unos medios de memorizacion (23) del dispositivo (1i).
  3. 3. Procedimiento segun las reivindicaciones 1 o 2, caracterizado por que incluye una etapa previa (109) para autorizar el dispositivo (1i) a producir (105) una palabra de control.
  4. 4. Procedimiento segun las reivindicaciones 1 o 2, caracterizado por que incluye una etapa previa (109) para autorizar el dispositivo (1) a suministrar (106) una palabra de control k’ igual a la palabra de control producida k,cp.
  5. 5. Procedimiento segun las reivindicaciones 3 o 4, caracterizado por que la etapa (109) previa para autorizar el dispositivo (1) consiste en comparar el criptoperiodo cp deducido de la etiqueta t con una fecha de activacion (cpb) memorizada (24) en dicho dispositivo y en autorizar el dispositivo si dicho criptoperiodo cp es superior a dicha fecha de activacion.
  6. 6. Procedimiento segun las reivindicaciones 3 o 4, caracterizado por que la etapa (109) previa para autorizar el dispositivo (1) consiste en comparar el criptoperiodo cp deducido de la etiqueta t con una fecha de expiracion (cpe) memorizada (25) en dicho dispositivo y en autorizar el dispositivo si dicho criptoperiodo cp es inferior a dicha fecha de expiracion.
  7. 7. Procedimiento segun la reivindicacion anterior, caracterizado por que incluye una etapa (111) para escribir en unos medios para memorizar (25) del dispositivo un valor de criptoperiodo previamente deducido (103) de la etiqueta t, en calidad de fecha de expiracion (cpe), si dicha etiqueta t incluye una componente u cuyo valor (ur) es caractenstico de una solicitud de revocacion y si dicha etiqueta incluye ademas una componente v que designa el identificador i del dispositivo.
  8. 8. Procedimiento segun las reivindicaciones 6 o 7, caracterizado por que incluye una etapa (112) parar borrar en unos medios para memorizar (25) una fecha de expiracion (cpe) si dicha etiqueta t incluye una componente u cuyo valor (ua) es caractenstico de una solicitud de rehabilitacion y si dicha etiqueta incluye ademas una componente que designa el identificador i del dispositivo.
  9. 9. Dispositivo electronico de abonado (1i) que coopera con un terminal (2i, 2a, ..., 2P), incluyendo dicho dispositivo:
    5
    10
    15
    20
    25
    30
    35
    40
    45
    - unos medios de recepcion (R) para recibir datos desde el terminal (2);
    - unos medios de procesamiento (10) para producir una palabra de control a partir de dichos datos;
    - unos medios (S) para suministrar dicha palabra de control a dicho terminal (2),
    caracterizado por que el dispositivo incluye unos medios de memorizacion para memorizar un identificador espedfico i (22) cuyo valor es distinto del memorizado por cualquier otro dispositivo de abonado, un secreto SKi (23), y por que dichos medios de procesamiento (10) y de memorizacion estan adaptados para producir y suministrar una palabra de control rastreable k’ = ki,cp segun un procedimiento conforme a una cualquiera de las reivindicaciones 1 a 8.
  10. 10. Procedimiento (200) para descodificar un contenido codificado C y producir un contenido en claro M, siendo puesto en practica dicho procedimiento por unos medios de procesamiento de un terminal (2i) que cooperan con unos medios para recibir datos desde el mundo exterior (3, 4) y unos medios para suministrar dicho contenido en claro M, caracterizado por que dichos datos consisten en dicho contenido codificado C, una cabecera H y una palabra de control ki,cp producida de acuerdo con una cualquiera de las reivindicaciones 1 a 8 por un dispositivo electronico de abonado (1i) para el cual el valor de un identificador espedfico i, memorizado por dicho dispositivo electronico de abonado y distinto del memorizado por cualquier otro dispositivo de abonado, participa en el calculo de la palabra de control k,cp, y por que el procedimiento (200) incluye:
    - una etapa (201), dual con la produccion de k’ = k,cp, para aplicar una primera funcion F1 a la cabecera H y a la palabra de control ki,cp para suprimir la contribucion de dicho identificador espedfico i en el seno de ki,cp y producir (203) una palabra K independiente de dicho identificador i;
    - una etapa para aplicar (204) una segunda funcion F3 a dicha palabra K y al contenido codificado C para producir el contenido en claro M;
    - una etapa para suministrar dicho contenido en claro M por intermedio de los medios para suministrar (205) del terminal.
  11. 11. Procedimiento segun la reivindicacion anterior, caracterizado por que incluye una etapa para aplicar (202) una tercera funcion F2 a la palabra K producida para adaptar el formato de dicha palabra previamente a la aplicacion de la funcion F3 para producir el contenido en claro M.
  12. 12. Terminal electronico (2i) que incluye:
    - unos medios de recepcion para recibir datos desde el mundo exterior (3, 4);
    - unos medios de procesamiento (10) para producir un contenido en claro M a partir de dichos datos;
    - unos medios para suministrar dicho contenido en claro a una interfaz hombre-maquina (5) adaptada para restituir dicho contenido en claro;
    - unos medios para cooperar con un dispositivo electronico de abonado (1i), caracterizado por que:
    - los datos recibidos del mundo exterior consisten en un contenido codificado C, una cabecera H y una etiqueta t;
    - los medios para cooperar con dicho dispositivo electronico de abonado (1i) se establecen para transmitir a este ultimo dicha etiqueta t y para recibir de vuelta una palabra de control rastreable ki,cp producida por dicho dispositivo electronico de abonado con un identificador espedfico i cuyo valor participa en el calculo de la palabra de control rastreable k,cp, siendo dicho valor del identificador espedfico i memorizado por dicho dispositivo electronico de abonado y distinto del memorizado por cualquier otro dispositivo electronico de abonado;
    - el terminal incluye unos medios de procesamiento adaptados para descodificar y suministrar un contenido en claro M segun un procedimiento conforme a las reivindicaciones 10 u 11.
  13. 13. Procedimiento (410) para codificar un contenido en claro M y producir un contenido codificado C, siendo puesto en practica dicho procedimiento por unos medios de procesamiento de un servidor (3) que incluye unos medios para suministrar dicho contenido codificado C a un terminal que coopera con un dispositivo electronico de abonado, caracterizandose dicho procedimiento por que incluye:
    - una etapa para producir (414) un contenido codificado C a partir de un criptoperiodo cp y de un secreto MK conocido por el servidor;
    5
    10
    15
    20
    25
    30
    35
    40
    45
    - una etapa para producir una etiqueta t para caracterizar el criptoperiodo cp a partir del cual se ha producido el contenido codificado C y ser explotada por el dispositivo electronico de abonado para el cual el valor de un identificador espedfico i, memorizado por dicho dispositivo electronico de abonado y distinto del memorizado por cualquier otro dispositivo de abonado, participa en la produccion de una palabra de control rastreable ki,cp segun un procedimiento conforme a una cualquiera de las reivindicaciones 1 a 8;
    - una etapa (413a) para calcular y suministrar una cabecera H explotada por el terminal, siendo este ultimo conforme a la reivindicacion 12, para suprimir la contribucion del identificador espedfico i en el seno de ki,cp y descodificar el contenido codificado segun un procedimiento de descodificacion conforme a las reivindicaciones 10 u 11;
    - una etapa para suministrar conjuntamente dicho contenido codificado C, la cabecera H y dicha etiqueta t.
  14. 14. Servidor (3) caracterizado por que incluye unos medios de procesamiento establecidos para producir y suministrar al mundo exterior (4, 2), segun un procedimiento conforme a la reivindicacion anterior:
    - un contenido codificado C a partir de un contenido en claro, de un criptoperiodo cp y de un secreto MK;
    - una etiqueta t;
    - una cabecera H.
  15. 15. Procedimiento (100) segun una cualquiera de las reivindicaciones 1 a 8, caracterizado por que ademas incluye una etapa para elaborar (105a) y suministrar (106a) una cabecera H para permitir al terminal poner en practica un procedimiento de descodificacion (200) conforme a las reivindicaciones 10 u 11.
  16. 16. Dispositivo (1i) segun la reivindicacion 9, caracterizado por que los medios de procesamiento (10) estan adaptados para producir y suministrar ademas una cabecera H segun un procedimiento conforme a la reivindicacion anterior.
  17. 17. Sistema de acceso condicional a un contenido digital, caracterizado por que incluye un servidor (3), un terminal (2i) y un dispositivo electronico (1i) respectivamente conformes a las reivindicaciones 14, 12 y 9.
  18. 18. Sistema de acceso condicional a un contenido digital, caracterizado por que incluye un servidor (3) que incluye unos medios de procesamiento para producir una etiqueta t, un contenido codificado C a partir de un contenido en claro M, de un criptoperiodo cp y de un secreto MK, un terminal (2i) y un dispositivo electronico (1i) respectivamente conformes a las reivindicaciones 12, y 16.
  19. 19. Procedimiento para rastrear una palabra de control kp,cp producida por un dispositivo de abonado traidor, caracterizandose el procedimiento para rastrear:
    - por que dicho dispositivo electronico de abonado es conforme respectivamente a las reivindicaciones 9 o 16 poniendo en practica un procedimiento (100) segun una cualquiera de las reivindicaciones 1 a 8 o 15, para el cual el valor de un identificador espedfico i, memorizado por dicho dispositivo electronico de abonado y distinto del memorizado por cualquier otro dispositivo electronico de abonado, participa en la produccion de la palabra de control ki,cp;
    - y por que dicho procedimiento para rastrear incluye:
    - una etapa para recabar una palabra de control kp,cp;
    - una etapa para recabar una utilidad o programa de descifrado pirata establecido para descodificar un contenido codificado con el concurso de dicha palabra de control kp,cp;
    - una etapa para determinar un identificador i = p de un dispositivo que haya producido kp,cp consistente en:
    i. interpretar la utilidad o programa de descifrado para disenar un programa equivalente que expresa un conjunto de instrucciones en forma de operaciones algebraicas y anexas incluyendo cada una de ellas al menos una variable de entrada y al menos una variable de salida;
    ii. fijar las variables de entrada a constantes para las cuales el programa equivalente descodifica correctamente el contenido codificado;
    iii. simplificar dicho programa equivalente para que el mismo no incluya mas que una secuencia de instrucciones sin salto;
    iv. convertir el programa equivalente simplificado a un sistema de ecuaciones multivariable para la puesta en practica de transformaciones algebraicas;
    5
    10
    15
    20
    25
    v. invertir en su totalidad o en parte dicho sistema de ecuaciones multivariable para identificar el dispositivo traidor.
  20. 20. Procedimiento de acceso condicional a un contenido digital que incluye:
    - una etapa (410) para elaborar y suministrar, por parte de un servidor (3), un contenido codificado C, una etiqueta t y una cabecera H de acuerdo con la reivindicacion 13;
    - una etapa para receptar, por parte de un terminal (2i), dichos contenido codificado C, etiqueta t y la cabecera H;
    - una etapa para transmitir la etiqueta t por parte del terminal a un dispositivo (1i) que coopera con dicho terminal;
    - una etapa (100) para producir y suministrar, por parte de dicho dispositivo (1i) al terminal (2i), una palabra de control rastreable ki,cp de acuerdo con una cualquiera de las reivindicaciones 1 a 8;
    - una etapa para descodificar (200), por parte del terminal (2i), el contenido codificado y producir un contenido en claro M segun un procedimiento conforme a las reivindicaciones 10 u 11;
    - una etapa para restituir dicho contenido en claro M por medio de una interfaz (5) adaptada a dicho contenido en claro.
  21. 21. Procedimiento de acceso condicional a un contenido digital que incluye:
    - una etapa (410) para elaborar y suministrar, por parte de un servidor, un contenido codificado C y una
    etiqueta t que caracteriza el criptoperiodo cp a partir del cual se ha producido el contenido codificado C;
    - una etapa para receptar, por parte de un terminal (2i), dichos contenido codificado C y etiqueta t;
    - una etapa para transmitir la etiqueta t por parte del terminal a un dispositivo (1i) que coopera con dicho
    terminal;
    - una etapa (100) para producir y suministrar, por parte de dicho dispositivo (1i) al terminal (2i), una palabra de control rastreable ki,cp y una cabecera H de acuerdo con el procedimiento segun la reivindicacion 15;
    - una etapa para descodificar (200), por parte del terminal (2i), el contenido codificado C y producir un contenido en claro M segun un procedimiento conforme a las reivindicaciones 10 u 11;
    - una etapa para restituir dicho contenido en claro M por medio de una interfaz (5) adaptada a dicho contenido en claro.
ES11817383.0T 2010-12-17 2011-12-16 Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados Active ES2683771T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1060770A FR2969439B1 (fr) 2010-12-17 2010-12-17 Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes
FR1060770 2010-12-17
PCT/FR2011/053040 WO2012080683A2 (fr) 2010-12-17 2011-12-16 Procédé et système d'accès conditionnel à un contenu numérique, terminal et dispositif d'abonné associés

Publications (1)

Publication Number Publication Date
ES2683771T3 true ES2683771T3 (es) 2018-09-27

Family

ID=44146992

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11817383.0T Active ES2683771T3 (es) 2010-12-17 2011-12-16 Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados

Country Status (10)

Country Link
US (1) US9294273B2 (es)
EP (1) EP2652899B1 (es)
JP (1) JP5784143B2 (es)
CN (1) CN103384981B (es)
BR (1) BR112013015199B1 (es)
ES (1) ES2683771T3 (es)
FR (1) FR2969439B1 (es)
MX (1) MX2013006905A (es)
PT (1) PT2652899T (es)
WO (1) WO2012080683A2 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958103B1 (fr) * 2010-03-23 2012-08-17 Cryptoexperts Sas Procede pour identifier un dispositif mis en oeuvre par un terminal pirate et dispositif associe
FR2967851B1 (fr) * 2010-11-22 2018-05-18 Cryptoexperts Sas Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020114465A1 (en) * 2000-01-05 2002-08-22 Shen-Orr D. Chaim Digital content delivery system and method
US7505593B2 (en) * 2002-12-09 2009-03-17 International Business Machines Corporation Method for tracing traitors and preventing piracy of digital content in a broadcast encryption system
JP2002271310A (ja) * 2001-03-09 2002-09-20 Shigeo Mitsunari 生成装置、暗号化装置、復号化装置、生成方法、暗号化方法、復号化方法、プログラム、ならびに、情報記録媒体
JP2004361723A (ja) * 2003-06-05 2004-12-24 Nec Commun Syst Ltd 楽曲データ配信システム、楽曲データ配信方法、および、楽曲データ配信プログラム
FR2856539A1 (fr) * 2003-06-17 2004-12-24 France Telecom Procede et systeme tracables de chiffrement et/ou de dechiffrement d'informations, et supports d'enregistrement pour la mise en oeuvre du procede
JP4452105B2 (ja) * 2004-03-12 2010-04-21 日本放送協会 復号情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム
JP2006109300A (ja) * 2004-10-08 2006-04-20 Matsushita Electric Ind Co Ltd セキュリティモジュール、ならびにそこで用いられる契約の更改方法、およびコンテンツ配信システム
US7958262B2 (en) * 2004-10-22 2011-06-07 Microsoft Corporation Allocating and reclaiming resources within a rendezvous federation
EP1662789A1 (fr) * 2004-11-29 2006-05-31 Nagracard S.A. Procédé de contrôle d'accès à des données à accès conditionnel
US8042188B2 (en) * 2005-07-15 2011-10-18 Sony Corporation Information processing apparatus, information recording medium manufacturing apparatus, information recording medium, method and computer program
CN101119582A (zh) * 2006-07-31 2008-02-06 华为技术有限公司 一种订阅移动业务的方法和系统
FR2905215B1 (fr) * 2006-08-23 2009-01-09 Viaccess Sa Procede de transmission d'une donnee complementaire a un terminal de reception
US7895341B2 (en) * 2007-04-11 2011-02-22 The Directv Group, Inc. Method and apparatus for file sharing between a group of user devices with separately sent crucial portions and non-crucial portions
JP2008301391A (ja) * 2007-06-04 2008-12-11 Murata Mach Ltd 放送用暗号システムと暗号通信方法、復号器及び復号プログラム
US8385545B2 (en) * 2007-07-27 2013-02-26 Howard G. Pinder Secure content key distribution using multiple distinct methods
CN101222772B (zh) * 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法
US8396222B2 (en) * 2008-03-10 2013-03-12 Nds Limited Key distribution system
JP2010130461A (ja) * 2008-11-28 2010-06-10 Sony Corp 情報処理装置、情報処理方法、検出装置、検出方法、プログラム、及び通信システム
EP2207340A1 (en) * 2009-01-12 2010-07-14 Thomson Licensing Method and device for reception of control words, and device for transmission thereof
EP2334070A1 (en) * 2009-12-11 2011-06-15 Irdeto Access B.V. Generating a scrambled data stream
EP2487828A1 (en) * 2011-02-10 2012-08-15 Thomson Licensing Method and device for generating control words

Also Published As

Publication number Publication date
JP5784143B2 (ja) 2015-09-24
BR112013015199B1 (pt) 2022-02-08
WO2012080683A2 (fr) 2012-06-21
FR2969439A1 (fr) 2012-06-22
CN103384981B (zh) 2016-10-19
WO2012080683A3 (fr) 2012-08-30
BR112013015199A8 (pt) 2018-10-09
FR2969439B1 (fr) 2018-06-22
JP2014503137A (ja) 2014-02-06
BR112013015199A2 (pt) 2018-06-26
PT2652899T (pt) 2018-10-08
CN103384981A (zh) 2013-11-06
MX2013006905A (es) 2013-10-17
US20130326211A1 (en) 2013-12-05
EP2652899A2 (fr) 2013-10-23
US9294273B2 (en) 2016-03-22
EP2652899B1 (fr) 2018-05-23

Similar Documents

Publication Publication Date Title
CN113259329B (zh) 一种数据不经意传输方法、装置、电子设备及存储介质
CN103283177B (zh) 与分段密钥一起使用的密码学模块及其使用方法
KR20120079639A (ko) 화이트박스 암호 테이블을 이용한 콘텐츠 보호 장치, 콘텐츠 암호화 및 복호화 장치
ES2897685T3 (es) Método y sistema de acceso condicional a un contenido digital, terminal y dispositivo de suscriptor asociados
CN103283178A (zh) 具有分段密钥处理的椭圆曲线密码学及其使用方法
PT1421789E (pt) Método para controlar o acesso a um programa de dados codificados
CN101640785B (zh) 交互式网络电视的加/解密系统和加/解密方法
CN104836657A (zh) 一种具有高效解密特性的基于身份匿名广播加密方法
CN102595198A (zh) 一种基于安全芯片的密钥管理系统、终端设备及方法
CN102598575A (zh) 用于对密码保护的有效数据单元加速解密的方法和系统
ES2683771T3 (es) Procedimiento y sistema de acceso condicional a un contenido digital, terminal y dispositivo de abonado asociados
CN101021883A (zh) 计算机游戏的远程实时管理系统及方法
US20070203843A1 (en) System and method for efficient encryption and decryption of drm rights objects
CN105376221A (zh) 基于动态密码的游戏消息加密机制及游戏系统
KR101695361B1 (ko) 페어링 연산 및 비밀키를 이용한 술어 암호화 방법
CN103250372A (zh) 获得控制字以揭示客户端设备标识
ES2602137T3 (es) Procedimiento de protección, procedimiento de cifrado, soporte de registro y terminal para este procedimiento de protección
ES2534517T3 (es) Procedimiento para identificar un dispositivo utilizado por un terminal pirata y dispositivo asociado
CN101889412A (zh) 在Boneh-Franklin方案中生成私钥的方法
JP2009171016A (ja) 暗号化情報生成装置及びそのプログラム、配信用コンテンツ生成装置及びそのプログラム、並びに、コンテンツ復号装置及びそのプログラム
Kiayias et al. Improving the round complexity of traitor tracing schemes
CN113806759A (zh) 联邦学习模型的训练方法、装置、电子设备和存储介质
WO2014154236A1 (en) Obtaining or providing key data
EP3010172A1 (en) System enabling licensed processing of encrypted information
Guan et al. An Improved Collusion-Resistant Public-Key Traitor Tracing Scheme