JP2004515159A - Threshold encryption method and system for conditional access system - Google Patents

Threshold encryption method and system for conditional access system Download PDF

Info

Publication number
JP2004515159A
JP2004515159A JP2002546354A JP2002546354A JP2004515159A JP 2004515159 A JP2004515159 A JP 2004515159A JP 2002546354 A JP2002546354 A JP 2002546354A JP 2002546354 A JP2002546354 A JP 2002546354A JP 2004515159 A JP2004515159 A JP 2004515159A
Authority
JP
Japan
Prior art keywords
share
shares
smart card
signal
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002546354A
Other languages
Japanese (ja)
Inventor
エスキシオグル,アーメツト マーシツト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of JP2004515159A publication Critical patent/JP2004515159A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Graphics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

サービス・プロバイダのイベントを表す信号へのアクセスを管理するための方法および装置であって、スクランブル鍵を使用してスクランブルされた前記信号をスマート・カード中で受け取ること、第1のシェアを表すデータを前記スマート・カード中で受け取ること、前記第1のシェアと前記スマート・カードに記憶された少なくとも1つの追加シェアとを使用して前記スクランブル鍵を構成すること、および、前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成することを含み、前記スクランブル鍵を構成するステップは、前記第1のシェアおよび前記少なくとも1つの追加シェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。A method and apparatus for managing access to a signal representing a service provider event, comprising receiving the signal scrambled using a scrambling key in a smart card, data representing a first share. In the smart card, configuring the scramble key using the first share and at least one additional share stored on the smart card, and generating the configured scramble key. Using the descrambled signal to generate a descrambled signal, wherein the step of configuring the scramble key is formed on a Euclidean plane by the first share and the at least one additional share. Computing the Y-intercept of the curve.

Description

【0001】
(発明の分野)
本発明は、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なソース(source:源)からのスクランブル済み(scrambled)受信オーディオ/ビジュアル(Audio/Visual:A/V)信号への条件付きアクセス(conditional access)を提供する(即ち、アクセスを管理する)ためのシステムに関する。秘密分散(secret sharing)の概念を利用することにより、このシステムは、完全なスクランブル解除鍵(descrambling key)を暗号化(encryption)して受信装置に送信することを必要としない。鍵(key:キー)は、サービス・プロバイダから受信した少なくとも1つのシェア(share:分担、割り当て、一部、断片)と、装置に記憶された少なくとも2つのシェア(share)を使用して回復される。
【0002】
(発明の背景)
今日、ユーザは、放送テレビジョン・ネットワーク、ケーブル・テレビジョン・ネットワーク、ディジタル衛星システム、インターネット・サービス・プロバイダなど様々なサービス・プロバイダからサービスを受けることができる。ほとんどのテレビジョン受信機は、放送ネットワークおよびケーブル・ネットワークから、スクランブルされていない情報または番組を直接受信することができる。スクランブルされた番組を提供するケーブル・ネットワークは、通常、番組をスクランブル解除するための別個の独立型セットトップ・ボックス(STB)を必要とする。同様に、通常、ディジタル衛星システムも別個のセットトップ・ボックスの使用をやはり必要とするスクランブル済みプログラムを提供する。これらのセットトップ・ボックスは、スクランブル解除鍵を回復するために必要な鍵を含む取り外し可能なスマート・カードを利用することがある。番組の未許可コピーを防止するためには、これらの重要な鍵を保護することが最優先事項である。
【0003】
条件付きアクセス・システム(CAS:Conditional Access System)は、限定受信方式とも呼ばれ、支払い、および/または許可や識別や登録など他の要件に基づいて、サービス(例えば、テレビジョン、インターネットなど)へのアクセスを可能にする。条件付きアクセス・システムでは、ユーザ(加入者(subscriber))が、サービス・プロバイダとサービス契約を結んでアクセス権を得る。
【0004】
図7に、従来の条件付きアクセス・システム・アーキテクチャを示す。情報またはコンテンツ(例えば、テレビジョン番組、映画など)および権利の付与メッセージ(entitlement message)が、保護(例えば、暗号化)された後で加入者に配信される。現在、各番組またはサービスに関連する権利の付与メッセージには2つのタイプがある。権利の付与制御メッセージ(ECM:Entitlement Control Message)は、スクランブル解除鍵(「制御ワード(control word)」と呼ばれることもある)および番組の簡単な記述(例えば、番組番号、日付、時間、コストなど)を伝える。権利の付与管理メッセージ(EMM:Entitlement Management Message)は、サービスに関係する許可レベル(例えば、サービス・タイプ、サービス継続時間などを示す)を指定する。権利の付与管理メッセージ(EMM)は、サービスと同じチャネル上で配信することもでき、あるいは電話回線など別個のチャネル上で送信することもできる。通常、権利の付与制御メッセージ(ECM)は、多重化されて関連の番組と共に送信される。
【0005】
図8に、図7に示したものなどの条件付きアクセス・システムに関する従来の送信側アーキテクチャを示す。図から分かるように、サービスからのオーディオ、ビデオ、およびデータのストリームが、多重化された後でスクランブルされ、変調され、受信側(即ち、加入者)に送信される。
【0006】
図9に、図7に示したものなどの条件付きアクセス・システムに関する従来の受信側アーキテクチャを示す。図から分かるように、受信ビット・ストリームが復調され、復号され、圧縮解除された後に、別々のオーディオ、ビデオ、およびデータのストリームが表示装置(例えば、テレビジョン画面)に送られる。
【0007】
暗号化に基づく技術は、配信コンテンツを保護するために広く使用されている。保護された特定の番組を視聴することが加入者に許可されている場合、この番組はスクランブル解除(descramble:デスクランブル)され、視聴のために表示装置(例えば、テレビジョン画面)に送られる。ほとんどの条件付きアクセス・システムでは、加入者は、権利の付与管理メッセージ(EMM)および権利の付与制御メッセージ(ECM)に基づいて、番組をスクランブル解除するためのスマート・カード(smart card)を備えるディジタル装置(例えば、セットトップ・ボックス、ディジタル・テレビジョン、ディジタル・ビデオカセット・レコーダ)を有することになる。
【0008】
通常、番組は、データ暗号化規格(DES:Data Encryption Standard)などの対称暗号を用いてスクランブルされる。セキュリティの理由から、スクランブル鍵(従って、権利の付与制御メッセージ(ECM))は頻繁に変更され、変更期間はおよそ数秒である。条件付きアクセス・プロバイダは、権利の付与制御メッセージ(ECM)の保護を秘密に定めることが多いものの、公開鍵暗号法(public key cryptography)が、鍵をサービス・プロバイダから加入者まで伝送するための実行可能なツールである。スクランブル解除鍵は、送信側で公開鍵(public key)により暗号化され、受信側で対応する秘密鍵(private key)(受信側のスマート・カードに記憶されている)により回復される。
【0009】
しかし、公開鍵暗号法には重大な欠点がある。例えば、公開鍵方式は、対称鍵方式よりも著しく時間が掛かり、しばしばより長い鍵(より多くの英数字を含む鍵)を有する。更に、鍵を回復するには、計算上の要求の厳しいアルゴリズム(RSA(Rivest‐Shamir‐Adleman)暗号など)が必要である。
【0010】
これらのディジタル装置において、セキュリティ機能をナビゲーション機能(即ち、チャネル・サーフィン)から分離することは重要である。分離することにより、装置メーカは、特定の条件付きアクセス・システムに依存せずに動作する装置を製造することができる。これは以下の2つの理由により重要である。
【0011】
(1)最近まで、セットトップ・ボックスは小売店で容易に入手可能ではなく、加入者に直接配送するケーブル会社向けに製造されてきた。主要な家電メーカおよび電子機器小売店は、独占的であるとしてこの慣例に反発してきた。
【0012】
(2)セキュリティの観点から見ると、鍵が不正に見つけられた(「ハッキング(hack)」)場合、条件付きアクセス・プロバイダは、影響を受ける装置(例えば、セットトップ・ボックス)中のスマート・カードを入れ替えるだけでよく、システム全体を再構成する必要はない。
【0013】
従って、現在、しきい値暗号法(threshold cryptography)など、公開鍵暗号法以外の概念を利用する情報保護の方式が必要とされている。
【0014】
(発明の概要)
本発明は、サービス・プロバイダのイベント(event)を表す信号へのアクセスを、スマート・カードを利用して管理するための方法および装置を定める。即ち、この方法は、対称スクランブル鍵を使用してスクランブルされた信号をスマート・カード中で受け取ること、第1のシェアを表すデータを受け取ること、第1のシェアとスマート・カードに記憶された少なくとも2つの追加シェアとを使用してスクランブル鍵を構成すること、および、構成したスクランブル鍵を使用して信号をスクランブル解除して、スクランブル解除済み信号を生成することを含んでいる。
【0015】
本発明の第2の例示的な実施形態によれば、第1、第2、第3のシェアを使用する。第1、第2、第3のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3のシェアによってユークリッド平面上に形成される放物曲線のY切片を計算することを含んでいる。
【0016】
本発明の第3の例示的な実施形態によれば、第1、第2、第3、第4のシェアを使用する。第1、第2、第3、第4のシェアは、ユークリッド平面上の点であり、スクランブル鍵を構成するステップは、第1、第2、第3、第4のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含んでいる。一般に、必要とされるセキュリティ・レベルに応じて、任意の数のシェアを使用することができる。
【0017】
(実施形態の詳細な説明)
通常、条件付きアクセス(CA:Conditional Access)システムでは、信号は、データ暗号化規格(DES)などの対称暗号(秘密鍵暗号)を使用してスクランブルされる。セキュリティの理由から、スクランブル鍵は頻繁に変更され、変更期間はおよそ数秒である。スクランブル解除鍵(信号と共に送信される)の保護は、公開鍵暗号法で行われることが多く、公開鍵暗号法は、先に説明したように比較的多くの計算パワーおよびメモリを必要とする。本発明は、一部には、上述の問題を認識することにあり、また一部には、この問題への解決法を提供することにある。
【0018】
本明細書で述べる信号(例えば、イベントや番組)には、(1)オーディオ/ビジュアル・データ(例えば、映画、毎週の「テレビ」ショーまたはドキュメンタリー)、(2)テキスト・データ(例えば、電子雑誌、新聞、または天気ニュース)、(3)コンピュータ・ソフトウェア、(4)バイナリ・データ(例えば、画像)、(5)HTMLデータ(例えば、ウェブ・ページ)などの情報、あるいは、アクセス制御が必要な他の任意の情報が含まれる。サービス・プロバイダには、イベントをブロードキャストする任意のプロバイダ、例えば従来の放送テレビジョン・ネットワーク、ケーブル・ネットワーク、ディジタル衛星ネットワークや、電子番組ガイド(EPG)プロバイダなど電子イベント・リストのプロバイダが含まれ、場合によってはインターネット・サービス・プロバイダが含まれる。
【0019】
本発明は、スクランブル解除鍵を安全に伝送するための方法および装置を提供する。本発明は、番組またはサービスが複数のソースのうちの1つから得られる条件付きアクセス・システムで特に使用することができる。この方法をディジタル・テレビジョンやディジタル・ビデオ・カセット・レコーダやセットトップ・ボックスなどの装置内で実施するとき、鍵構成に必要なデータの一部だけしか装置に記憶されないので、この方法は、スクランブル解除鍵の好都合な管理をもたらす。説明を簡単にするために、以下の本発明の記述では、ディジタル・テレビジョンおよびスマート・カードを使用する実装形態を対象とする。
【0020】
図1で、システム30は、ディジタル・テレビジョン(DTV)40へのアクセスを管理するための一般的なアーキテクチャを表す。スマート・カード(SC)42が、ディジタル・テレビジョン(DVT)40のスマート・カード・リーダ43に挿入されるかまたは結合される。内部バス45が、ディジタル・テレビジョン(DVT)40とスマート・カード(SC)42を相互接続し、それによってこれらの間のデータ転送を可能にする。このようなスマート・カードには、ナショナル・リニューアブル・セキュリティ規格(NRSS:National Renewable Security Standard)パートAに準拠して表面に複数の端子ピンが配置されたカード本体を有するISO7816カードや、NRSSパートBに準拠するPCMCIAカードが含まれる。
【0021】
ディジタル・テレビジョン(DVT)40は、放送テレビジョンSP(Service Provider)50、ケーブル・テレビジョンSP52、衛星システムSP54、インターネットSP56など、複数のサービス・プロバイダ(SP)からサービスを受ける機能を有する。条件付きアクセス組織(CA)75は、サービス・プロバイダとディジタル・テレビジョン(DVT)40のどちらにも直接には接続されないが、鍵管理を行い、公開鍵と秘密鍵の対を発行する。鍵の対は、必要な場合に後述のように使用することができる。
【0022】
本発明は、公開鍵暗号法(または、他の任意の暗号システム)を使用するための要件を無くす秘密分散の概念を採用して、オーディオ/ビジュアル(A/V)ストリームがサービス・プロバイダ(例えば、SP50〜56)から加入者のスマート・カード(例えば、スマート・カード(SC)42)に安全に送信されるようにする。
【0023】
本発明は、アジ・シャミル氏(Adi Shamir)によって元々開発された、「しきい値法(threshold scheme)」または「しきい値暗号法(threshold cryptography)」として知られる秘密分散法(secret sharing scheme)の適用を採用する(A.Shamir「How to share a secret」Communications of the ACM、Vol.22、No.11、612〜613ページ、1979年11月参照)。シャミル氏によって提案されるような(t,n)しきい値法は、秘密(情報)(secret)を再構成するために断片のうち少なくともt個(≦n)が必要になるような形式で、秘密をn個の断片(「シェア(share)」または「シャドウ(shadow)」と呼ばれることがある)に分割するものである。完全なしきい値法は、(t−1)個以下の断片(「シェア」または「シャドウ」)がわかっても、秘密に関する情報は何も提供されないしきい値法である。
【0024】
例えば、(3,4)しきい値法では、秘密は4つのシェアに分割されるが、秘密鍵を再構成するには3つのシェアしか必要でない。ただし2つのシェアでは秘密鍵を再構成することはできない。シャミル氏の(t,n)しきい値法では、より大きい値をtに選択して(t−1)個の秘密をスマート・カードに記憶すれば、暗号文攻撃に対するシステムの抵抗力は高まるものの、多項式を構成するための計算はより多くなる。
【0025】
このようなしきい値法は、対称鍵を回復する際のスマート・カードに対する計算要件を削減する。モジュラー(modular)べき乗計算を必要とするRSA(Rivest‐Shamir‐Adleman)復号と比較して、新しい鍵それぞれにつき単純な操作が行われるだけである(即ち、x=0における多項式の値が計算される)。加えて、セキュリティは完全である(即ち、(x,y)が分っても、秘密の値はすべて依然として等しい確率を有する)。
【0026】
本発明は、条件付きアクセス・システムで、シャミル氏の秘密分散の原理を利用して、スクランブル済み信号をスクランブル解除するための鍵の識別を秘匿する。具体的には、本発明者は、ユークリッド平面(Euclidean plane)中の2つ以上の点で形成される特定の線または曲線のY切片(Y−intercept)がスクランブル鍵を構成する方式を提案する。
【0027】
この方式の最も単純な実施形態では、受信側(例えば、スマート・カード)は、あらかじめシェアが記憶された状態で製造される(後述の通り、これはしばしば「予め組み込まれた(prepositioned)」分散秘密法と呼ばれる)。この記憶されたシェアを使用して、送信側で信号をスクランブルするための鍵を計算する。スクランブルされた信号を送信するとき、追加の、即ち、「アクティブ化(activating)」シェアも一緒に送信する。アクティブ化シェアを知っていても記憶済みシェアを知らなければ意味がないので、この方式では「アクティブ化」シェアを暗号化する必要はないことに留意されたい。受信側は、「アクティブ化」シェアを受け取ると、記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を見つけることによって計算されるスクランブル解除鍵を使用して、スクランブル済み信号を再構成する。新しい鍵が必要になる度に、送信側で新しい「アクティブ化」シェアを選択し、それにより記憶済みシェアと「アクティブ化」シェアとによって形成される線のY切片を変更することができる。このようにして、有限数のスクランブル鍵を定義し、スマート・カードも受信側ハードウェアまたはソフトウェアも変更せずにスクランブル鍵を利用することができる。
【0028】
鍵の生成および配布のプロセスは、以下のステップを実施するためのプログラムを開発することによって自動化することができる。
(a)秘密Sを選択する。これはユークリッド平面のY軸に沿った値となる。
(b)点(0,S)と別の点(x,y)を通る1次多項式f(x)を構成する。
(c)xにおけるf(x)を計算する。xはxと等しくはなり得ない。
(d)Sで保護したコンテンツと共に(x,y)を配布する。
【0029】
前述のような方式は、秘密の一部が受信側に「予め組み込まれる」ので、しばしば「予め組み込まれた」分散秘密法と呼ばれる。上の例では、「予め組み込まれた」シェアは、受信側でスマート・カードに記憶されているシェアである。このような「予め組み込まれた」分散秘密法は、暗号学の分野で他者によって考察されている(例えば、G.J.Simmons「How to(really)share a secret」Advances in Cryptology−CRYPTO’88 Proceedings、Springer−Verlag、390〜448ページ、1990年、およびG.J.Simmons「Prepositioned shared secret and/or shared control schemes」Advances in Cryptology−EUROCRYPT’89 Proceedings、Springer−Verlag、436〜467ページ、1990年参照)。所定のシェアを予め組み込まれることにより、スクランブル鍵は、受信側のどんな回路も変更せずに比較的容易に変更することができ、「アクティブ化」シェアを変更する必要があるだけである。
【0030】
上記のアルゴリズムは、2つのシェア(即ち、ユークリッド平面上の線の2点)だけを有する秘密Sを利用した予め組み込まれた秘密分散法を概説したものであることに留意されたい。当然、より多くのシェア(点(point))を有するより複雑な他の秘密Sを開発してもよい。予め組み込まれた秘密分散法の重要な面は、シェアの幾つかが受信側に「予め組み込まれる」ことである。
【0031】
本発明は、特定位置(場所)(例えば、スマート・カード・メモリ)に秘密のシェアの少なくとも1つを記憶することを含んでいる。次いで、記憶したシェアを「アクティブ化」シェアと共に使用して、秘密を構成する。例えば(4,4)方式では、4つのシェアのうち3つを特定位置(例えば、スマート・カード)に記憶することが好ましい。次いで、秘密を得るための最後のシェア(本明細書では「アクティブ化」シェアとも呼ぶ)をこの位置に送信する。本発明では、秘密はシェア自体ではなく、シェアがユークリッド平面上の点として表されたときにシェアによって形成される線、または曲線(より高次の多項式の場合)のY切片であることに留意するのが重要である。
【0032】
図2および図3は共に、本発明の第1の例示的な実施形態を例示するものである。第1の例示的な実施形態では、2つのシェアを有する秘密を使用する。前述のように、各シェアはユークリッド平面上の点で定められる。具体的には、スマート・カード(SC)42に第1のシェア(または、データ点)が記憶される。第1のシェアは、ユークリッド平面上の単一の点(即ち、(x,y)の形式)と考えることができる。サービス・プロバイダ58は、対称鍵、例えば、データ暗号化規格(DES)鍵でスクランブルされたものとすることのできる信号(即ち、イベントまたは番組)を送信する。スクランブルされた信号に加えて、サービス・プロバイダ58は、第2の(即ち、「アクティブ化」)シェアも送信する。第2のシェアも同様に、同じユークリッド平面からの第2の単一の点(即ち、(x,y)の形式)とすることができる。
【0033】
スクランブルされたオーディオ/ビジュアル(A/V)信号、および第2の(「アクティブ化」)シェアは、ディジタル・テレビジョン(DVT)40によって受信され、処理のためにスマート・カード(SC)42に送られる。スマート・カード(SC)42は、第2の(「アクティブ化」)シェアを受け取り、記憶されている第1のシェアと受け取った第2のシェアの両方を使用して、対称鍵を再構成(または、回復)する。次いでスマート・カード(SC)42は、再構成された対称鍵を使用して、受信されたスクランブル済みオーディオ/ビジュアル(A/V)信号をスクランブル解除し、スクランブル解除済みオーディオ/ビジュアル(A/V)信号を生成する。このスクランブル解除済みオーディオ/ビジュアル(A/V)信号は、表示されるようディジタル・テレビジョン(DVT)40に提供される。
【0034】
対称鍵の回復は、第1および第2のシェアを利用して多項式を構成することによって達成される。即ち、構成された多項式のY切片が対称鍵である。例えば、(x,y)および(x,y)がある場合、対称鍵は、この所定の有限体中でSの値を計算することによって構成され、以下のようになる。
S=f(0)=y−((y−y)/(x−x))×(x
【0035】
図3Aに、本発明の第1の例示的な実施形態のグラフを示す。このグラフは、例示的なシェア(x,y)および(x,y)と、これらによって形成される線を示しており、この線は特定の点でY軸と交差する(この点が鍵である)。例として、図3Aのプロットは、モジュラー算術ではなく実数を使用して得られる。
【0036】
第1の例示的な実施形態に関して上述したような手法では、複数のサービス・プロバイダが、記憶される第2のシェア(x,y)(即ち、「アクティブ化」シェア)を共用することができる。次いで、各サービス・プロバイダは、独自の第1のシェア(即ち、(x,y))を自由に選択することができる。同一のY切片(即ち、同一の対称鍵)を伴う多項式を構成する確率は低い。ただし、可能な第2のシェアの範囲は、各サービス・プロバイダが重ならない固有の範囲を有するように割り振ることもできる(図3B参照)。更に、各サービス・プロバイダが独自の第1のシェアを選択して、これをダウンロード前にスマート・カードの公開鍵を使用して暗号化することができることも、本発明の範囲内である。このシェアは、スマート・カードがその秘密鍵KSCpriを使用して回復することになる。更に、後で説明するが、イベントの各部分を異なる鍵スクランブル解除して異なる複数の第2のシェアを送っても、定める本システムの堅牢性を高めることができる。
【0037】
本発明の第1の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、およびp=23と仮定する。(x,y)および(x,y)を通る1次多項式
f(x)=ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a=15(mod23)
×(5)+a=10(mod23)
解(a,a)=(10,6)は、以下の多項式をもたらす。
f(x)=10x+6(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=6(mod23)
【0038】
従って、上の例によれば、秘密の値は、即ち、スクランブル鍵の値は、6(mod23)になる。当然、この秘密の値は、(x,y)の値が変わる度に変化することになる。
【0039】
図4に、(第1の例示的な実施形態の2つのシェアとは対照的に)3つのシェアを利用する本発明の第2の例示的な実施形態による鍵回復方式を示す。第2の例示的な実施形態では、対称鍵の回復は、第1、第2、第3のシェア(例えば、(x,y)、(x,y)、(x,y))を利用して2次多項式(即ち、放物曲線)を構成することによって達成される。構成された2次多項式のY切片が、対称鍵である。
【0040】
本発明の第2の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、(x,y)=(12,6)、およびp=23と仮定する。(x,y)、(x,y)、(x,y)を通る2次多項式
f(x)=a+ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a×(17)+a=15(mod23)
×(12)+a×(12)+a=6(mod23)
×(5)+a×(5)+a=10(mod23)
解(a,a,a)=(10,20,5)は、以下の多項式をもたらす。
f(x)=10x+20x+5(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=5(mod23)
【0041】
図4に示すように、第1、第2、第3のシェアは、ユークリッド平面上の点として表すことができる。例として、図4のプロットはモジュラー算術ではなく実数を使用して得られる。
【0042】
図5に、4つのシェアを利用する本発明の第3の例示的な実施形態による鍵回復方式を示す。第3の例示的な実施形態では、対称鍵の回復は、第1、第2、第3、第4のシェア(例えば、(x,y)、(x,y)、(x,y)、(x,y))を利用して3次多項式(即ち、曲線)を構成することによって達成される。構成された3次多項式のY切片が対称鍵である。
【0043】
本発明の第3の例示的な実施形態による例を考察するために、点(x,y)=(17,15)、(x,y)=(5,10)、(x,y)=(12,6)、(x,y)=(3,12)、およびp=23と仮定する。(x,y)、(x,y)、(x,y)、(x,y)を通る3次多項式
f(x)=a+a+ax+a(mod23)
は、以下の式を解くことによって構成することができる。
×(17)+a×(17)+a×(17)+a=15(mod23)
×(12)+a×(12)+a×(12)+a=6(mod23)
×(5)+a×(5)+a×(5)+a=10(mod23)
×(3)+a×(3)+a×(3)+a=12(mod23)
解(a,a,a,a)=(18,19,0,22)は、以下の多項式をもたらす。
f(x)=18x+19x+0x+22(mod23)
秘密Sの値は、f(0)を計算することによって発見することができる。
S=f(0)=22(mod23)
【0044】
図5に示すように、第1、第2、第3、第4のシェアは、ユークリッド平面上の点として表すことができる。例として、図5のプロットはモジュラー算術ではなく実数を使用して得られる。
【0045】
前述のような複数のシェアを使用して、条件付きアクセス・システムのための好都合な鍵管理方式を構成することもできる。条件付きアクセス・システムのオペレータはしばしば、(1)個人(individual)、(2)グループ(group)、(3)地域(regional)の3レベルの鍵を定める。条件付きアクセス・システムの加入者の各スマート・カードごとに異なる数のシェアを記憶することにより、加入者にこれらの種々の許可レベルのうちの1つまたは複数を割り当てることができる。
【0046】
指定の個体数のスマート・カードを使用してシステムへのアクセスを制御する条件付きアクセス・システムを検討する。以下のように、異なる3つのカード・タイプを製造することができる。
(1)レベル1スマート・カード:放送「領域」中のすべてのスマート・カードに、1つの共通シェア(即ち、領域中のすべてのスマート・カードに共通のシェア)を割り当てる。
(2)レベル2スマート・カード:指定のグループ中のすべてのスマート・カードに、追加の共通シェア(即ち、指定のグループ中のすべてのスマート・カードに共通のもう1つのシェア)を割り当てる。
(3)レベル3スマート・カード:各スマート・カードに固有の追加シェアを割り当てる。
【0047】
前述のスマート・カードを「アクティブ化」シェアと共に使用して、ある種の番組をスクランブル解除することができる。レベル1スマート・カードは1つのシェアだけを含み、レベル2スマート・カードは2つのシェアを含み、レベル3スマート・カードは3つのシェアを含むので、各カードは異なるスクランブル解除鍵セット(set:組)を提供することになる。従って、放送領域内のすべてのスマート・カード(即ち、レベル1スマート・カード)は、一般の放送(例えば、基本的なテレビジョン・チャネル)を受信してスクランブル解除する機能を有するが、レベル2スマート・カードだけは、幾つかの追加の番組(例えば、HBO(Home Box Office)やショータイム(Showtime)など)を受信してスクランブル解除する機能を有し、レベル3スマート・カードだけは、その他に幾つかの追加の番組(例えば、ペイ・パー・ビュー(PPV:pay−per−view)映画など)を受信してスクランブル解除する機能を有する。レベル1〜3スマート・カード中に配置されるシェアは、秘密(例えば、スクランブル解除鍵)を計算するために「アクティブ化」シェアと共に使用することのできる「予め組み込まれた」情報を構成することに留意されたい。
【0048】
図6に、どのようにユークリッド平面を使用して複数シェア方式を構成するかを示す。図から分かるように、異なる3つの許可レベルは、3つのY切片に対応する(即ち、「地域鍵」、「グループ鍵」、「個人鍵」)。1次多項式(レベル1即ち、「地域」許可に対応する)は、「アクティブ化シェア」およびレベル1共通シェアを通る線を構成する。2次多項式(レベル2即ち、「グループ」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、およびレベル2シェアを通る放物線を構成する。3次多項式(レベル3即ち、「個人」許可に対応する)は、「アクティブ化」シェア、レベル1共通シェア、レベル2シェア、およびレベル3シェアを通る曲線を構成する。この例では、異なる各鍵(即ち、個人、グループ、地域)を計算するために「アクティブ化」シェアを使用していることに留意されたい。例として、図6のプロットはモジュラー算術ではなく実数を使用して得られることを理解されたい。
【0049】
上の例を用いて、以下の表に、シェアと種々の許可レベルとの関係を記述する。
【表1】

Figure 2004515159
【0050】
前述の方法および装置について、マルチメディア・コンテンツを配信するための条件付きアクセス・システムのコンテキストで述べたが、本発明の原理は、情報の送信側と受信側の間で安全に通信するための方法および装置にも適用することができる。
【0051】
前述の方法および装置の幾つかの利点には、次のことが含まれる。
(a)対称鍵を回復する際の受信側に対する計算要件が削減される(即ち、各鍵につき単純な操作しか実施されない)。これは、モジュラーべき乗の計算を必要とするRSA復号とは対照的である。
【0052】
(b)セキュリティは「完全」である。言い換えれば、アクティブ化シェアがあっても、秘密の値はすべて依然として等しい確率を有する。より高次の多項式であるほど、アクティブ化シェアを得て秘密を決定する作業はより一層困難になる。
【0053】
(c)送信側と受信側の間で共有される「予め組み込まれた」情報の所定のセットに対し、異なる対称鍵を容易に導出して頻繁に使用することができる(即ち、「アクティブ化」シェアを変更することによって)。
【0054】
(d)各受信側に異なるシェアを割り当てることにより、異なる許可レベルを定めることができる。
【0055】
(e)セキュリティは、証明されていない数学的仮定に依拠しない(即ち、RSAのセキュリティは、整数因数分解の問題の困難さに基づく)。
【0056】
前述の方式は、対称鍵システムと公開鍵システムの利点を効果的に結合する。「予め組み込まれた」情報は、受信側の秘密鍵と考えることができる。構成される対称鍵は、権利の付与制御メッセージ(ECM)の一部として送信される公開情報によって決定される。スクランブル解除鍵は放送のソースでは生成されないので、これらを配布時に保護するための追加の暗号は必要ない。
【0057】
前述の方式の効果は、次のことを含めた様々な仕方で高めることができる。
【0058】
(1)分散秘密に応じてスクランブル鍵を定める。一般に、鍵は、秘密の値において予め定められた関数を評価することによって生成することができる。例えば、分散秘密(例えば、関数f(x)のY切片)が実数7であった場合、鍵は7の平方根として定めることができる。このようにすれば、たとえ秘密を発見してもスクランブル解除できるとは限らない。あるいは、多項式の係数が得られた後で他の任意の定義を用いることもできる。実際上は、関数はエントロピー保存特性を有することが必要な場合がある(即ち、エントロピー(秘密)=エントロピー[f(秘密)])。
【0059】
(2)多項式関数の次数(従って、秘密を発見するために必要なシェアの数)を、時間依存の秘密のシステム・パラメータにする。例えば、秘密を定める多項式f(x)の次数は、1日ごと、1時間ごとなどで変化する。最初に多項式の次数を決定しなければならないので、暗号解読はより要求の厳しい作業になる。
【0060】
(3)アクティブ化シェアを送信前にマスク(mask)する。次いで、スクランブル済みコンテンツと共に送信されたアクティブ化シェアを、受信側が予め定められたプロセスでマスク解除(unmask)することができる。マスキングの一例では、コンテンツをスクランブルするためにはアクティブ化シェアのハッシュ値(hash value)を使用するが、送信するのはそうでなくアクティブ化シェアである。次いで、受信側はハッシング(hashing)を実施して実際の値を決定する。
【0061】
(4)冗長なアクティブ化シェアを追加する。実際のアクティブ化シェアと共に送信された追加のアクティブ化シェアを、受信側が予め定められたプロセスでフィルタリングして除去する。
【0062】
以上に参照した改良を任意に組み合わせても、アクティブ化シェアの実際の値を送信時に秘匿するために役立ち、コンテンツに対する追加のセキュリティ・レベルを導入する。
【0063】
秘密を形成する際に1次、2次、3次の多項式を使用することのできる秘密分散法に関して本発明を述べたが、任意の次数の多項式(例えば、4次、5次など)も使用できることは当業者には理解されるであろう。実際、より高次の多項式であるほど、推定しなければならないシェアの数が増加するので、より低い多項式に勝る追加のセキュリティをもたらすという点で好ましい。更に、以上の記述では単一のスマート・カード(例えば、スマート・カード42)を使用するシステムに焦点を合わせているが、複数のスマート・カードを使用し、各スマート・カードに1つまたは複数のシェア値を記憶することもできることは、当業者には理解されるであろう。
【図面の簡単な説明】
【図1】
共通のセットトップ・ボックス(STB)を様々なサービス・プロバイダ(SP)にインタフェースするためのアーキテクチャの1つを示すブロック図である。
【図2】
本発明による、装置へのアクセスを管理するためのシステムのブロック図である。
【図3A】
本発明の第1の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図3B】
図3Aによる、各サービス・プロバイダ(SP)について重ならない固有の範囲を割り当てることを表すグラフである。
【図4】
本発明の第2の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図5】
本発明の第3の例示的な実施形態による、スクランブル鍵の決定を表すグラフである。
【図6】
本発明の第4の例示的な実施形態による、複数のスクランブル鍵の決定を表すグラフである。
【図7】
従来の条件付きアクセス・システム(CAS)を示すブロック図である。
【図8】
条件付きアクセス・システム(CAS)に関する従来の送信側アーキテクチャを示すブロック図である。
【図9】
条件付きアクセス・システム(CAS)に関する従来の受信側アーキテクチャを示すブロック図である。[0001]
(Field of the Invention)
The present invention relates to scrambled received audio / visual (Audio / Visual) from various sources such as broadcast television networks, cable television networks, digital satellite systems, Internet service providers, and the like. : A / V) system for providing conditional access to (ie, managing access to) signals. By utilizing the concept of secret sharing, the system does not need to encrypt the complete descrambling key and send it to the receiving device. The key is recovered using at least one share received from the service provider and at least two shares stored on the device. You.
[0002]
(Background of the Invention)
Today, users can receive services from various service providers, such as broadcast television networks, cable television networks, digital satellite systems, and Internet service providers. Most television receivers can receive unscrambled information or programs directly from broadcast and cable networks. Cable networks that provide scrambled programs typically require a separate stand-alone set-top box (STB) to descramble the programs. Similarly, digital satellite systems typically provide scrambled programs that also require the use of a separate set-top box. These set-top boxes may utilize a removable smart card that contains the key needed to recover the descrambling key. Protecting these important keys is a top priority to prevent unauthorized copying of programs.
[0003]
Conditional access systems (CAS), also known as conditional access systems, provide services (eg, television, the Internet, etc.) based on payment and / or other requirements, such as authorization, identification and registration. To allow access. In a conditional access system, a user (subscriber) obtains access by signing a service contract with a service provider.
[0004]
FIG. 7 shows a conventional conditional access system architecture. Information or content (eg, television programs, movies, etc.) and entitlement messages are delivered to the subscriber after being protected (eg, encrypted). Currently, there are two types of rights grant messages associated with each program or service. The entitlement control message (ECM) is composed of a descrambling key (sometimes called a “control word”) and a simple description of the program (eg, program number, date, time, cost, etc.). ). An entitlement management message (EMM: Entitlement Management Message) specifies a permission level (for example, indicating service type, service duration, etc.) related to the service. The entitlement management message (EMM) can be delivered on the same channel as the service, or it can be sent on a separate channel, such as a telephone line. Typically, the entitlement control message (ECM) is multiplexed and transmitted with the associated program.
[0005]
FIG. 8 shows a conventional sender architecture for a conditional access system such as that shown in FIG. As can be seen, the audio, video, and data streams from the service are multiplexed, scrambled, modulated, and transmitted to the recipient (ie, the subscriber).
[0006]
FIG. 9 illustrates a conventional receiver architecture for a conditional access system such as that shown in FIG. As can be seen, after the received bit stream has been demodulated, decoded, and decompressed, separate audio, video, and data streams are sent to a display device (eg, a television screen).
[0007]
Technologies based on encryption are widely used to protect distributed content. If the subscriber is authorized to view a particular protected program, the program is descrambled and sent to a display device (eg, a television screen) for viewing. In most conditional access systems, the subscriber has a smart card to descramble the program based on entitlement management messages (EMM) and entitlement control messages (ECM). You will have digital devices (eg, set-top boxes, digital televisions, digital videocassette recorders).
[0008]
Usually, programs are scrambled using a symmetric encryption such as a data encryption standard (DES). For security reasons, the scrambling key (and thus the entitlement control message (ECM)) changes frequently, with a change period of around a few seconds. While conditional access providers often confidentially protect the grant of rights control messages (ECM), public key cryptography provides a method for transmitting keys from a service provider to a subscriber. An executable tool. The descrambling key is encrypted on the transmitting side with a public key and recovered on the receiving side with a corresponding private key (stored on the smart card on the receiving side).
[0009]
However, public key cryptography has significant drawbacks. For example, public key schemes take significantly longer than symmetric key schemes and often have longer keys (keys with more alphanumeric characters). Further, in order to recover the key, an algorithm that is computationally demanding (such as RSA (Rivest-Shamir-Adleman) encryption) is required.
[0010]
In these digital devices, it is important to separate security functions from navigation functions (ie, channel surfing). The decoupling allows device manufacturers to manufacture devices that operate independently of a particular conditional access system. This is important for two reasons.
[0011]
(1) Until recently, set-top boxes were not readily available at retail stores and were manufactured for cable companies that delivered directly to subscribers. Major consumer electronics manufacturers and electronics retailers have opposed this practice as being exclusive.
[0012]
(2) From a security point of view, if the key is found fraudulently ("hack"), the conditional access provider will allow the conditional access provider to access the smart device in the affected device (eg, a set-top box). You just need to swap cards, and you don't have to reconfigure the whole system.
[0013]
Therefore, at present, there is a need for an information protection system that uses a concept other than the public key cryptosystem, such as threshold cryptography.
[0014]
(Summary of the Invention)
The present invention defines a method and apparatus for utilizing a smart card to manage access to signals representing service provider events. That is, the method includes receiving a signal scrambled using the symmetric scrambling key in the smart card, receiving data representing the first share, and storing at least the first share and the stored on the smart card. Configuring the scramble key using the two additional shares and descrambling the signal using the configured scramble key to generate a descrambled signal.
[0015]
According to a second exemplary embodiment of the present invention, first, second and third shares are used. The first, second, and third shares are points on the Euclidean plane, and the step of constructing the scramble key is performed by using a first, second, and third shares of a parabolic curve formed on the Euclidean plane. Includes calculating the Y-intercept.
[0016]
According to a third exemplary embodiment of the present invention, first, second, third and fourth shares are used. The first, second, third, and fourth shares are points on the Euclidean plane, and the step of configuring the scramble key is formed on the Euclidean plane by the first, second, third, and fourth shares. Computing the Y-intercept of the curve to be performed. In general, any number of shares can be used, depending on the level of security required.
[0017]
(Detailed description of the embodiment)
Typically, in conditional access (CA) systems, signals are scrambled using symmetric encryption (secret key encryption) such as the Data Encryption Standard (DES). For security reasons, the scramble key is changed frequently and the change period is around a few seconds. Protection of the descrambling key (sent together with the signal) is often done with public key cryptography, which requires a relatively large amount of computational power and memory as explained earlier. The present invention resides, in part, in recognizing the above-mentioned problems and, in part, in providing a solution to this problem.
[0018]
The signals (eg, events and programs) described herein include (1) audio / visual data (eg, movies, weekly “television” shows or documentaries), and (2) textual data (eg, electronic magazines). Information such as (3) computer software, (4) binary data (eg, images), (5) HTML data (eg, web pages), or access control is required. Other optional information is included. Service providers include any provider that broadcasts events, for example, traditional broadcast television networks, cable networks, digital satellite networks, and electronic event list providers such as electronic program guide (EPG) providers, In some cases, an Internet service provider is included.
[0019]
The present invention provides a method and apparatus for securely transmitting a descrambling key. The invention can be used particularly in conditional access systems where programs or services are obtained from one of a plurality of sources. When implementing this method in a device such as a digital television, a digital video cassette recorder or a set-top box, only a part of the data required for the key configuration is stored in the device, so the method is: Provides convenient management of descrambling keys. For simplicity, the following description of the present invention is directed to implementations using digital television and smart cards.
[0020]
In FIG. 1, system 30 represents a general architecture for managing access to digital television (DTV) 40. A smart card (SC) 42 is inserted or coupled to a smart card reader 43 of a digital television (DVT) 40. An internal bus 45 interconnects the digital television (DVT) 40 and the smart card (SC) 42, thereby enabling data transfer between them. Such a smart card includes an ISO7816 card having a card body having a plurality of terminal pins arranged on a surface thereof in accordance with the National Renewable Security Standard (NRSS) Part A, and an NRSS part B. Compliant PCMCIA cards.
[0021]
The digital television (DVT) 40 has a function of receiving services from a plurality of service providers (SP) such as a broadcast television SP (Service Provider) 50, a cable television SP 52, a satellite system SP 54, and the Internet SP 56. The conditional access organization (CA) 75 is not directly connected to either the service provider or the digital television (DVT) 40, but performs key management and issues public / private key pairs. The key pair can be used if needed, as described below.
[0022]
The present invention employs the concept of secret sharing that eliminates the requirement to use public key cryptography (or any other cryptographic system) so that audio / visual (A / V) streams can be used by service providers (eg, , SPs 50-56) to the subscriber's smart card (eg, smart card (SC) 42).
[0023]
The present invention is a secret sharing scheme originally known by Adi Shamir, known as "threshold scheme" or "threshold cryptography". (See A. Shamir “How to share a secret”, Communications of the ACM, Vol. 22, No. 11, pp. 612-613, November 1979). The (t, n) threshold method, as proposed by Shamir, is a form in which at least t (≦ n) of the fragments are required to reconstruct the secret (secret). , Secrets into n pieces (sometimes referred to as "shares" or "shadows"). The complete threshold method is a threshold method in which no information about secrets is provided even if (t-1) or less fragments ("share" or "shadow") are known.
[0024]
For example, in the (3,4) threshold method, the secret is split into four shares, but only three shares are needed to reconstruct the secret key. However, the secret key cannot be reconstructed with the two shares. In Shamir's (t, n) threshold method, choosing a larger value for t and storing (t-1) secrets on the smart card increases the system's resistance to ciphertext attacks. However, more calculations are needed to construct the polynomial.
[0025]
Such a thresholding method reduces the computational requirements for a smart card in recovering a symmetric key. Only a simple operation is performed for each new key compared to RSA (Rivest-Shamir-Adleman) decryption, which requires a modular exponentiation (ie, the value of the polynomial at x = 0 is calculated). ). In addition, security is complete (ie, (x 1 , Y 1 ), All secret values still have equal probability).
[0026]
The present invention conceals the identification of a key for descrambling a scrambled signal in a conditional access system, utilizing Shamill's principle of secret sharing. Specifically, the inventor proposes a scheme in which a Y-intercept of a specific line or curve formed by two or more points in an Euclidean plane constitutes a scramble key. .
[0027]
In the simplest embodiment of this scheme, the receiver (eg, smart card) is manufactured with pre-stored shares (as described below, this is often a "prepositioned" distributed Called the secret law). The stored share is used to calculate a key for scrambling the signal at the transmitting end. When transmitting the scrambled signal, an additional, ie, "activating" share is also transmitted. Note that there is no need to encrypt the "activated" share in this scheme, since knowing the activated share makes no sense without knowing the stored share. Upon receiving the "activated" share, the receiver uses the descrambling key, calculated by finding the Y-intercept of the line formed by the stored share and the "activated" share, to convert the scrambled signal. Reconfigure. Each time a new key is needed, a new "activation" share can be selected at the sender, thereby changing the Y-intercept of the line formed by the stored share and the "activation" share. In this way, a finite number of scrambling keys can be defined and utilized without changing the smart card or the receiving hardware or software.
[0028]
The key generation and distribution process can be automated by developing a program to perform the following steps.
(A) Select a secret S. This is a value along the Y axis of the Euclidean plane.
(B) Point (0, S) and another point (x 0 , Y 0 ) To form a first-order polynomial f (x).
(C) x 1 F (x) is calculated. x 1 Is x 0 Cannot be equal to
(D) With the content protected by S (x 1 , Y 1 ) To distribute.
[0029]
Such schemes are often referred to as "pre-embedded" distributed secret schemes, since a portion of the secret is "pre-embedded" at the recipient. In the example above, the "pre-installed" share is the share stored on the smart card at the receiving end. Such "pre-built" distributed secret schemes have been considered by others in the field of cryptography (eg, GJ Simmons "How to (really) share a secret" Advances in Cryptology-CRYPTO '. 88 Proceedings, Springer-Verlag, 390-448, 1990, and G. J. Simmons, "Prepositioned shared secret and / or shared control schemes, pages, April, July, 2003, Crypto-Registered, Registry, Credit Card, Registry, Credit Card, University of California, Canada" 1990). By pre-populating a predetermined share, the scrambling key can be changed relatively easily without changing any circuitry on the receiving side, and only the "activation" share needs to be changed.
[0030]
Note that the above algorithm outlines a pre-built secret sharing scheme that utilizes a secret S that has only two shares (ie, two points on a line on the Euclidean plane). Of course, other more complex secrets S with more shares (points) may be developed. An important aspect of the pre-built secret sharing scheme is that some of the shares are "pre-built" at the receiver.
[0031]
The invention involves storing at least one of the secret shares in a specific location (eg, a smart card memory). The stored share is then used with the “activated” share to construct a secret. For example, in the (4, 4) method, it is preferable to store three of the four shares at a specific location (for example, a smart card). The last share to obtain the secret (also referred to herein as the "activated" share) is then sent to this location. Note that in the present invention, the secret is not the share itself, but the Y-intercept of the line or curve (for higher order polynomials) formed by the share when the share is represented as a point on the Euclidean plane. It is important to do.
[0032]
FIGS. 2 and 3 both illustrate a first exemplary embodiment of the present invention. In a first exemplary embodiment, a secret with two shares is used. As described above, each share is defined by a point on the Euclidean plane. Specifically, the smart card (SC) 42 stores the first share (or data point). The first share is a single point on the Euclidean plane (ie, (x 0 , Y 0 ) Form) can be considered. The service provider 58 sends a signal (ie, an event or program) that can be scrambled with a symmetric key, for example, a Data Encryption Standard (DES) key. In addition to the scrambled signal, service provider 58 also transmits a second (ie, "activated") share. The second share is likewise a second single point from the same Euclidean plane (ie, (x 1 , Y 1 ) Form).
[0033]
The scrambled audio / visual (A / V) signal, and a second ("activated") share are received by a digital television (DVT) 40 and sent to a smart card (SC) 42 for processing. Sent. The smart card (SC) 42 receives the second ("activated") share and reconstructs the symmetric key (both using the stored first share and the received second share). Or recover). The smart card (SC) 42 then descrambles the received scrambled audio / visual (A / V) signal using the reconstructed symmetric key, and descrambles the descrambled audio / visual (A / V) signal. ) Generate a signal. This descrambled audio / visual (A / V) signal is provided to a digital television (DVT) 40 for display.
[0034]
Symmetric key recovery is achieved by constructing a polynomial using the first and second shares. That is, the Y-intercept of the constructed polynomial is the symmetric key. For example, (x 0 , Y 0 ) And (x 1 , Y 1 ), The symmetric key is constructed by calculating the value of S in this predetermined finite field, as follows:
S = f (0) = y 0 − ((Y 1 -Y 0 ) / (X 1 -X 0 )) × (x 0 )
[0035]
FIG. 3A shows a graph of a first exemplary embodiment of the present invention. This graph shows an example share (x 0 , Y 0 ) And (x 1 , Y 1 ) And the line formed by them, which intersects the Y axis at a particular point (this point is the key). By way of example, the plot of FIG. 3A is obtained using real numbers rather than modular arithmetic.
[0036]
In an approach as described above with respect to the first exemplary embodiment, a plurality of service providers may store a second share (x 0 , Y 0 ) (Ie, the “activation” share). Each service provider then has its own first share (ie, (x 1 , Y 1 )) Can be selected freely. The probability of constructing a polynomial with the same Y-intercept (ie, the same symmetric key) is low. However, the range of possible second shares can also be allocated such that each service provider has a unique range that does not overlap (see FIG. 3B). It is further within the scope of the invention that each service provider can select its own first share and encrypt it before downloading using the smart card's public key. This share is a smart card whose secret key K SCpri You will recover using. Further, as will be described later, the robustness of the present system can be increased even if each part of the event is descrambled with a different key and a plurality of different second shares are sent.
[0037]
To consider an example according to the first exemplary embodiment of the present invention, point (x 0 , Y 0 ) = (17,15), (x 1 , Y 1 ) = (5,10), and p = 23. (X 0 , Y 0 ) And (x 1 , Y 1 ) Through the first order polynomial
f (x) = a 1 x + a 0 (Mod23)
Can be constructed by solving the following equation:
a 1 × (17) + a 0 = 15 (mod23)
a 1 × (5) + a 0 = 10 (mod23)
Solution (a 1 , A 0 ) = (10,6) yields the following polynomial:
f (x) = 10x + 6 (mod23)
The value of the secret S can be found by calculating f (0).
S = f (0) = 6 (mod23)
[0038]
Therefore, according to the above example, the secret value, that is, the value of the scramble key is 6 (mod 23). Naturally, this secret value is (x 1 , Y 1 ) Will change each time the value changes.
[0039]
FIG. 4 illustrates a key recovery scheme according to a second exemplary embodiment of the present invention that utilizes three shares (as opposed to two shares of the first exemplary embodiment). In a second exemplary embodiment, the recovery of the symmetric key is based on the first, second, and third shares (eg, (x 0 , Y 0 ), (X 1 , Y 1 ), (X 2 , Y 2 )) To construct a second-order polynomial (ie, a parabolic curve). The Y-intercept of the constructed second-order polynomial is the symmetric key.
[0040]
To consider an example according to the second exemplary embodiment of the present invention, point (x 0 , Y 0 ) = (17,15), (x 1 , Y 1 ) = (5,10), (x 2 , Y 2 ) = (12,6), and p = 23. (X 0 , Y 0 ), (X 1 , Y 1 ), (X 2 , Y 2 ) Through the second order polynomial
f (x) = a 2 x 2 + A 1 x + a 0 (Mod23)
Can be constructed by solving the following equation:
a 2 × (17 2 ) + A 1 × (17) + a 0 = 15 (mod23)
a 2 × (12 2 ) + A 1 × (12) + a 0 = 6 (mod23)
a 2 × (5 2 ) + A 1 × (5) + a 0 = 10 (mod23)
Solution (a 2 , A 1 , A 0 ) = (10,20,5) yields the following polynomial:
f (x) = 10x 2 + 20x + 5 (mod23)
The value of the secret S can be found by calculating f (0).
S = f (0) = 5 (mod23)
[0041]
As shown in FIG. 4, the first, second, and third shares can be represented as points on the Euclidean plane. By way of example, the plot of FIG. 4 is obtained using real numbers rather than modular arithmetic.
[0042]
FIG. 5 illustrates a key recovery scheme according to a third exemplary embodiment of the present invention utilizing four shares. In a third exemplary embodiment, the recovery of the symmetric key is based on the first, second, third, fourth shares (eg, (x 0 , Y 0 ), (X 1 , Y 1 ), (X 2 , Y 2 ), (X 3 , Y 3 )) To construct a third-order polynomial (ie, a curve). The Y-intercept of the constructed third-order polynomial is the symmetric key.
[0043]
To consider an example according to the third exemplary embodiment of the present invention, point (x 0 , Y 0 ) = (17,15), (x 1 , Y 1 ) = (5,10), (x 2 , Y 2 ) = (12,6), (x 3 , Y 3 ) = (3,12), and p = 23. (X 0 , Y 0 ), (X 1 , Y 1 ), (X 2 , Y 2 ), (X 3 , Y 3 ) Third-order polynomial through
f (x) = a 2 x 3 + A 2 x 2 + A 1 x + a 0 (Mod23)
Can be constructed by solving the following equation:
a 3 × (17 3 ) + A 2 × (17 2 ) + A 1 × (17) + a 0 = 15 (mod23)
a 3 × (12 3 ) + A 2 × (12 2 ) + A 1 × (12) + a 0 = 6 (mod23)
a 3 × (5 3 ) + A 2 × (5 2 ) + A 1 × (5) + a 0 = 10 (mod23)
a 3 × (3 3 ) + A 2 × (3 2 ) + A 1 × (3) + a 0 = 12 (mod23)
Solution (a 3 , A 2 , A 1 , A 0 ) = (18,19,0,22) yields the following polynomial:
f (x) = 18x 3 + 19x 2 + 0x + 22 (mod23)
The value of the secret S can be found by calculating f (0).
S = f (0) = 22 (mod 23)
[0044]
As shown in FIG. 5, the first, second, third, and fourth shares can be represented as points on the Euclidean plane. As an example, the plot of FIG. 5 is obtained using real numbers rather than modular arithmetic.
[0045]
Using multiple shares as described above, a convenient key management scheme for a conditional access system can also be constructed. Conditional access system operators often define three levels of keys: (1) individual, (2) group, and (3) regional. By storing a different number of shares for each smart card of a conditional access system subscriber, the subscriber can be assigned one or more of these various permission levels.
[0046]
Consider a conditional access system that uses a specified population of smart cards to control access to the system. Three different card types can be manufactured as follows.
(1) Level 1 smart cards: All smart cards in the broadcast "area" are assigned one common share (i.e., a share common to all smart cards in the area).
(2) Level 2 smart card: Allocate an additional common share to all smart cards in the specified group (ie another share common to all smart cards in the specified group).
(3) Level 3 smart cards: assign each smart card a unique additional share.
[0047]
The aforementioned smart card can be used with an "Activate" share to descramble certain programs. Since level 1 smart cards contain only one share, level 2 smart cards contain 2 shares, and level 3 smart cards contain 3 shares, each card has a different descrambling key set (set: set). ). Thus, all smart cards in the broadcast area (i.e., level 1 smart cards) have the ability to receive and descramble general broadcasts (e.g., basic television channels), but not level 2 smart cards. Only smart cards have the ability to receive and descramble some additional programs (eg, HBO (Home Box Office) or Showtime), while level 3 smart cards only have Has the ability to receive and de-scramble some additional programs (e.g., pay-per-view (PPV) movies, etc.). Shares located in Levels 1-3 smart cards constitute "pre-built" information that can be used with the "activation" share to calculate secrets (eg, descrambling keys) Please note.
[0048]
FIG. 6 shows how the Euclidean plane is used to configure a multiple sharing scheme. As can be seen, the three different permission levels correspond to the three Y-intercepts (ie, "region key", "group key", "personal key"). The first order polynomial (corresponding to level 1 or "region" permission) constitutes a line through the "activated share" and the level 1 common share. The second order polynomial (corresponding to level 2 or "group" permission) constitutes a parabola through the "activation" share, the level 1 common share, and the level 2 share. The cubic polynomial (corresponding to level 3 or "individual" permission) constitutes a curve through the "activation" share, the level 1 common share, the level 2 share, and the level 3 share. Note that in this example, the "activation" share is used to calculate each different key (ie, individual, group, region). By way of example, it should be understood that the plot of FIG. 6 is obtained using real numbers rather than modular arithmetic.
[0049]
Using the above example, the following table describes the relationship between shares and various permission levels.
[Table 1]
Figure 2004515159
[0050]
Although the foregoing method and apparatus have been described in the context of a conditional access system for delivering multimedia content, the principles of the present invention provide a method for securely communicating between a sender and a receiver of information. It can also be applied to methods and devices.
[0051]
Some advantages of the foregoing methods and apparatus include the following.
(A) The computational requirements for the receiver when recovering symmetric keys are reduced (ie, only simple operations are performed for each key). This is in contrast to RSA decoding, which requires a modular exponentiation calculation.
[0052]
(B) Security is “perfect”. In other words, despite the activation share, all secret values still have the same probability. The higher the order polynomial, the more difficult the task of obtaining the activation share and determining the secret.
[0053]
(C) For a given set of “pre-built” information shared between the sender and the receiver, different symmetric keys can be easily derived and used frequently (ie, “activation”). By changing the share).
[0054]
(D) By assigning different shares to each receiving side, different permission levels can be determined.
[0055]
(E) Security does not rely on unproven mathematical assumptions (ie, RSA security is based on the difficulty of the integer factorization problem).
[0056]
The foregoing scheme effectively combines the advantages of symmetric and public key systems. The "pre-built" information can be considered the recipient's private key. The configured symmetric key is determined by the public information sent as part of the rights grant control message (ECM). Since the descrambling keys are not generated at the source of the broadcast, no additional encryption is needed to protect them during distribution.
[0057]
The effectiveness of the foregoing scheme can be enhanced in various ways, including the following.
[0058]
(1) A scramble key is determined according to the shared secret. In general, a key can be generated by evaluating a predetermined function on a secret value. For example, if the shared secret (eg, the Y-intercept of the function f (x)) is a real number 7, the key can be defined as the square root of 7. In this way, even if a secret is discovered, it is not always possible to descramble. Alternatively, any other definition can be used after the polynomial coefficients have been obtained. In practice, the function may need to have entropy preserving properties (ie, entropy (secret) = entropy [f (secret)]).
[0059]
(2) Make the degree of the polynomial function (and therefore the number of shares needed to find the secret) a time-dependent secret system parameter. For example, the order of the polynomial f (x) that determines the secret changes every day, every hour, and so on. Decryption is a more demanding task because the order of the polynomial must first be determined.
[0060]
(3) Mask the activation share before transmission. The activation share transmitted with the scrambled content can then be unmasked by the receiver in a predetermined process. One example of masking uses the hash value of the activation share to scramble the content, but instead sends the activation share. Then, the receiving side performs hashing to determine the actual value.
[0061]
(4) Add redundant activation shares. The additional activation shares transmitted with the actual activation shares are filtered out by the receiver in a predetermined process.
[0062]
Any combination of the above-referenced refinements can help keep the actual value of the activation share secret during transmission and introduce additional levels of security for the content.
[0063]
Although the present invention has been described in terms of a secret sharing scheme that can use first-order, second-order, and third-order polynomials in forming secrets, any order polynomial (eg, fourth-order, fifth-order, etc.) can be used. Those skilled in the art will understand what can be done. In fact, higher order polynomials are preferred in that they provide additional security over lower polynomials because they increase the number of shares that must be estimated. Further, while the above description focuses on systems using a single smart card (eg, smart card 42), multiple smart cards are used, with one or more smart cards on each smart card. It will be appreciated by those skilled in the art that the share value of
[Brief description of the drawings]
FIG.
FIG. 3 is a block diagram illustrating one of the architectures for interfacing a common set-top box (STB) to various service providers (SPs).
FIG. 2
FIG. 2 is a block diagram of a system for managing access to a device according to the present invention.
FIG. 3A
5 is a graph illustrating a scrambling key determination according to a first exemplary embodiment of the present invention.
FIG. 3B
FIG. 3B is a graph illustrating assigning unique non-overlapping ranges for each service provider (SP) according to FIG. 3A.
FIG. 4
5 is a graph illustrating a scrambling key determination according to a second exemplary embodiment of the present invention.
FIG. 5
6 is a graph illustrating a scrambling key determination according to a third exemplary embodiment of the present invention.
FIG. 6
9 is a graph illustrating a plurality of scrambling key determinations according to a fourth exemplary embodiment of the present invention.
FIG. 7
1 is a block diagram showing a conventional conditional access system (CAS).
FIG. 8
1 is a block diagram illustrating a conventional sender architecture for a conditional access system (CAS).
FIG. 9
FIG. 1 is a block diagram illustrating a conventional receiver architecture for a conditional access system (CAS).

Claims (19)

信号へのアクセスを管理する方法であって、
第1のシェアを表すデータをスマート・カード中で受け取ること、
前記第1のシェアと前記スマート・カードに記憶された少なくとも2つの追加シェアとを使用して対称スクランブル鍵を構成すること、および、
前記構成したスクランブル鍵を使用して信号をスクランブル解除して、スクランブル解除済み信号を生成することを含む方法。A method of managing access to a signal,
Receiving data representing the first share in a smart card;
Configuring a symmetric scrambling key using the first share and at least two additional shares stored on the smart card; and
A method comprising descrambling a signal using the configured scrambling key to generate a descrambled signal. 前記第1、第2、第3のシェアが、ユークリッド平面上の点である、請求項1に記載の方法。The method according to claim 1, wherein the first, second, and third shares are points on a Euclidean plane. サービス・プロバイダのイベントを表す信号へのアクセスを管理する方法であって、
対称スクランブル鍵を使用してスクランブルされた前記信号をスマート・カード中で受け取ること、
第1のシェアを表すデータを前記スマート・カード中で受け取り、前記第1のシェアと前記スマート・カードに記憶された第2、第3のシェアとを使用して前記スクランブル鍵を構成すること、および、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成することを含み、
前記スクランブル鍵を構成するステップが、前記第1、第2、第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含む方法。A method for managing access to signals representing service provider events, comprising:
Receiving the signal scrambled using a symmetric scramble key in a smart card;
Receiving data representing a first share in the smart card and configuring the scrambling key using the first share and second and third shares stored on the smart card; and,
Descrambling the signal using the configured scramble key, including generating a descrambled signal,
The method of configuring the scrambling key comprises calculating a Y-intercept of a curve formed on a Euclidean plane by the first, second, and third shares. 前記第1、第2、第3のシェアがユークリッド平面上の点である、請求項3に記載の方法。The method according to claim 3, wherein the first, second, and third shares are points on a Euclidean plane. 前記スマート・カードが、ISO7816カード規格とPCMCIAカード規格のうちの一方に従って表面に複数の端子ピンが配置されたカード本体を有する、請求項3に記載の方法。4. The method of claim 3, wherein the smart card has a card body having a plurality of terminal pins disposed on a surface according to one of an ISO 7816 card standard and a PCMCIA card standard. サービス・プロバイダと、スマート・カードが結合された装置との間のアクセスを管理するためのシステムであって、
対称スクランブル鍵を使用してスクランブルされた信号をスマート・カード中で受け取るステップと、
第1のシェアを表すデータを前記スマート・カード中で受け取り、前記第1のシェアと前記スマート・カードに記憶された第2、第3のシェアとを使用して前記スクランブル鍵を構成するステップと、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成するステップとを実施し、
前記スクランブル鍵を構成するステップが、前記第1、第2、第3のシェアによってユークリッド平面上に形成される曲線のY切片を計算することを含むシステム。A system for managing access between a service provider and a device to which a smart card is coupled, the system comprising:
Receiving in the smart card a signal scrambled using the symmetric scrambling key;
Receiving data representing a first share in the smart card and configuring the scramble key using the first share and second and third shares stored on the smart card; ,
Descramble the signal using the configured scramble key, and generate a descrambled signal.
The system of claim 14, wherein configuring the scramble key comprises calculating a Y-intercept of a curve formed on the Euclidean plane by the first, second, and third shares. 少なくとも1つのプログラム・サービス・プロバイダと、
前記少なくとも1つのプログラム・サービス・プロバイダから送られたスクランブル済み信号および第1のシェアを受け取るための少なくとも1つのスマート・カードを有するディジタル装置とを備える条件付きアクセス・システムであって、
前記少なくとも1つのスマート・カードが、前記スクランブル済み信号をスクランブル解除するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記スクランブル信号がスクランブル解除される条件付きアクセス・システム。At least one program service provider;
A digital device having at least one smart card for receiving the scrambled signal and the first share sent from the at least one program service provider, wherein the conditional access system comprises:
The at least one smart card stores second and third shares for descrambling the scrambled signal, wherein the second and third shares are used in conjunction with the first share. A conditional access system wherein the scramble signal is descrambled. 前記第1のシェアおよび前記少なくとも2つの追加シェアが、少なくとも2次多項式関数上の点である、請求項1に記載の方法。The method of claim 1, wherein the first share and the at least two additional shares are points on at least a second-order polynomial function. 前記少なくとも2つの追加シェアが少なくとも3つの追加シェアを含み、従って前記第1のシェアおよび前記少なくとも3つの追加シェアが、少なくとも3次多項式関数上の点である、請求項1に記載の方法。The method of claim 1, wherein the at least two additional shares include at least three additional shares, such that the first share and the at least three additional shares are points on at least a third-order polynomial function. 前記スクランブル鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値を含む、請求項1に記載の方法。The method of claim 1, wherein the scrambling key comprises a secret value calculated from the first share and the at least two additional shares. 前記スクランブル鍵が、前記第1のシェアおよび前記少なくとも2つの追加シェアから計算される秘密の値の関数を含む、請求項1に記載の方法。The method of claim 1, wherein the scrambling key comprises a function of a secret value calculated from the first share and the at least two additional shares. 前記第1のシェアおよび前記少なくとも2つの追加シェアが多項式関数上の点を含む、請求項1に記載の方法。The method of claim 1, wherein the first share and the at least two additional shares include points on a polynomial function. 前記多項式関数の次数が定期的に変更される、請求項12に記載の方法。13. The method of claim 12, wherein the order of the polynomial function is changed periodically. 前記第1のシェアが前記スマート・カード中で受け取られる前に前記第1のシェアをマスクするステップを更に含む、請求項1に記載の方法。The method of claim 1, further comprising masking the first share before the first share is received in the smart card. 前記第1のシェアのマスク済みバージョンから前記第1のシェアを計算するステップを更に含む、請求項14に記載の方法。15. The method of claim 14, further comprising calculating the first share from a masked version of the first share. 第1のシェアおよび少なくとも1つの冗長シェアを送るステップを更に含む、請求項1に記載の方法。The method of claim 1, further comprising sending the first share and at least one redundant share. 前記第1のシェアを前記スマート・カード中で受け取った後で、前記少なくとも1つの冗長シェアをフィルタリングして除去するステップを更に含む、請求項16に記載の方法。17. The method of claim 16, further comprising, after receiving the first share in the smart card, filtering out the at least one redundant share. 条件付きアクセス・システムを運営する方法であって、
スクランブル済み信号および第1のシェアをサービス・プロバイダからディジタル装置に送るステップと、
前記スクランブル済み信号および前記第1のシェアを前記ディジタル装置中で受け取るステップと、
前記第1のシェアと前記ディジタル装置のスマート・カードに記憶された少なくとも2つの追加シェアとを使用してスクランブル鍵を構成するステップと、
前記構成したスクランブル鍵を使用して前記信号をスクランブル解除して、スクランブル解除済み信号を生成するステップとを含む方法。A method of operating a conditional access system, comprising:
Sending the scrambled signal and the first share from the service provider to the digital device;
Receiving the scrambled signal and the first share in the digital device;
Configuring a scramble key using the first share and at least two additional shares stored on a smart card of the digital device;
Descrambling the signal using the configured scrambling key to generate a descrambled signal. 送信機と、
前記送信機から送られたスクランブル済み信号および第1のシェアを受け取るための少なくとも1つのスマート・カードを有する受信機とを備える条件付きアクセス・システムであって、
前記少なくとも1つのスマート・カードが、前記スクランブル済み信号をスクランブル解除するために第2、第3のシェアを記憶しており、前記第2、第3のシェアが前記第1のシェアと共に使用されて前記スクランブル信号がスクランブル解除される条件付きアクセス・システム。A transmitter,
A receiver having at least one smart card for receiving a scrambled signal sent from the transmitter and a first share, the receiver comprising:
The at least one smart card stores second and third shares for descrambling the scrambled signal, wherein the second and third shares are used in conjunction with the first share. A conditional access system wherein the scramble signal is descrambled.
JP2002546354A 2000-11-29 2001-09-24 Threshold encryption method and system for conditional access system Withdrawn JP2004515159A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US25378100P 2000-11-29 2000-11-29
PCT/US2001/029790 WO2002045337A2 (en) 2000-11-29 2001-09-24 Threshold cryptography scheme for conditional access systems

Publications (1)

Publication Number Publication Date
JP2004515159A true JP2004515159A (en) 2004-05-20

Family

ID=22961673

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2002546354A Withdrawn JP2004515159A (en) 2000-11-29 2001-09-24 Threshold encryption method and system for conditional access system
JP2002546357A Withdrawn JP2004515160A (en) 2000-11-29 2001-09-24 Threshold encryption method and system for message authentication system

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2002546357A Withdrawn JP2004515160A (en) 2000-11-29 2001-09-24 Threshold encryption method and system for message authentication system

Country Status (8)

Country Link
EP (2) EP1348276A2 (en)
JP (2) JP2004515159A (en)
KR (2) KR20040010565A (en)
CN (2) CN1483259A (en)
AU (2) AU2001296294A1 (en)
BR (2) BR0115573A (en)
MX (2) MXPA03004599A (en)
WO (2) WO2002045340A2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219178A (en) * 2007-02-28 2008-09-18 Kddi Corp Terminal device, data managing device, and computer program
JP2008271356A (en) * 2007-04-24 2008-11-06 Kddi Corp System, method and program for managing secret information

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594275B2 (en) * 2003-10-14 2009-09-22 Microsoft Corporation Digital rights management system
US7620187B1 (en) 2005-03-30 2009-11-17 Rockwell Collins, Inc. Method and apparatus for ad hoc cryptographic key transfer
RU2420895C2 (en) * 2005-06-08 2011-06-10 Конинклейке Филипс Электроникс Н.В. Deterministic key pre-distribution and operational key management for mobile body sensor networks
JP4776378B2 (en) * 2006-01-11 2011-09-21 日本電信電話株式会社 MULTI-KEY AUTHENTICATION TERMINAL DEVICE, MULTI-KEY AUTHENTICATION MANAGEMENT DEVICE, MULTI-KEY AUTHENTICATION SYSTEM, AND PROGRAM
GB2451505A (en) 2007-08-01 2009-02-04 Iti Scotland Ltd Key distribution in a network using key shares in a secret sharing scheme
US7958354B1 (en) 2008-02-14 2011-06-07 Rockwell Collins, Inc. High-order knowledge sharing system to distribute secret data
JP2008167505A (en) * 2008-03-26 2008-07-17 Dainippon Printing Co Ltd Public key encryption processing system and method
JP5608509B2 (en) * 2010-10-21 2014-10-15 Kddi株式会社 Key management system, key management method, and computer program
WO2017130200A1 (en) * 2016-01-27 2017-08-03 Secret Double Octopus Ltd System and method for securing a communication channel
US11170094B2 (en) 2016-01-27 2021-11-09 Secret Double Octopus Ltd. System and method for securing a communication channel

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7610614B1 (en) * 1999-02-17 2009-10-27 Certco, Inc. Cryptographic control and maintenance of organizational structure and functions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219178A (en) * 2007-02-28 2008-09-18 Kddi Corp Terminal device, data managing device, and computer program
JP2008271356A (en) * 2007-04-24 2008-11-06 Kddi Corp System, method and program for managing secret information

Also Published As

Publication number Publication date
BR0115573A (en) 2003-07-29
AU2002212977A1 (en) 2002-06-11
WO2002045337A2 (en) 2002-06-06
MXPA03004822A (en) 2003-09-25
CN1483259A (en) 2004-03-17
AU2001296294A1 (en) 2002-06-11
EP1348276A2 (en) 2003-10-01
JP2004515160A (en) 2004-05-20
WO2002045340A2 (en) 2002-06-06
BR0115575A (en) 2003-07-29
KR20030094217A (en) 2003-12-11
EP1366594A2 (en) 2003-12-03
WO2002045337A3 (en) 2002-09-06
MXPA03004599A (en) 2003-09-04
KR20040010565A (en) 2004-01-31
CN1484901A (en) 2004-03-24
WO2002045340A3 (en) 2002-10-17

Similar Documents

Publication Publication Date Title
KR100564832B1 (en) Method and system for protecting the audio/visual data across the nrss interface
JP4080039B2 (en) Method for protecting information items transmitted from a security element to a decoder and protection system using such a method
EP0787391B1 (en) Conditional access system
KR100672983B1 (en) Method and apparatus for encrypted data stream transmission
US7590242B2 (en) Selective multimedia data encryption
EP2219374A1 (en) Securely providing a control word from a smartcard to a conditional access module
US7224806B2 (en) Threshold cryptography scheme for conditional access systems
JP2004515159A (en) Threshold encryption method and system for conditional access system
US8401190B2 (en) Portable security module pairing
US9210137B2 (en) Local digital network, methods for installing new devices and data broadcast and reception methods in such a network
US20040047472A1 (en) Threshold cryptography scheme for conditional access systems
Eskicioglu Key transport protocol based on secret sharing: an application to conditional access systems
CA2318939C (en) Conditional access system for digital receivers

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060725

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060810

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20061115

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20080318

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080415

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080924

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20091008