JP2007528170A - スマートカード動的管理 - Google Patents

スマートカード動的管理 Download PDF

Info

Publication number
JP2007528170A
JP2007528170A JP2007502325A JP2007502325A JP2007528170A JP 2007528170 A JP2007528170 A JP 2007528170A JP 2007502325 A JP2007502325 A JP 2007502325A JP 2007502325 A JP2007502325 A JP 2007502325A JP 2007528170 A JP2007528170 A JP 2007528170A
Authority
JP
Japan
Prior art keywords
ecm
reset
security module
value
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007502325A
Other languages
English (en)
Other versions
JP2007528170A5 (ja
Inventor
メラー,ミッシェル
フロンシュ,ドミニク ル
Original Assignee
カナル・プリュス・テクノロジーズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by カナル・プリュス・テクノロジーズ filed Critical カナル・プリュス・テクノロジーズ
Publication of JP2007528170A publication Critical patent/JP2007528170A/ja
Publication of JP2007528170A5 publication Critical patent/JP2007528170A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

【課題】携帯セキュリティモジュールと解読要素とがクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にし、解読要素の使用のための携帯セキュリティモジュールを保護するための方法を提供する。
【解決手段】命令メッセージのシーケンスを携帯セキュリティモジュールで解析し、シーケンスの命令メッセージが異なった時間に受信される。
【選択図】図3

Description

本発明はスクランブルをかけられた視聴覚情報のスクランブルを解くために適用される携帯セキュリティモジュールに関する。
背景技術及び発明が解決しようとする課題
スクランブルをかけられた視聴覚情報が、次のテレビ番組のためにスクランブルをかけられた視聴覚情報のスクランブルを解くことができるデコーダ又はレシーバ/デコーダを所有している多くの加入者へ地上波のエミッタ又は衛星又はケーブルネットワークを通す通常放送である場合に、暗号化されたデータの伝達は、有料テレビシステムの分野でよく知られている。
代表的なシステムにおいて、スクランブルをかけられた視聴覚情報は、制御言語を用いてスクランブルを解かれる。システムのセキュリティを導入しようとするため、制御言語は10秒毎或いはそれ以上で通常変えられる。10秒毎で、それぞれの加入者が受信し、ECM(ライセンス制御メッセージ)において、制御言語が伝達表示を受け入れるためにスクランブルをかけられた視聴覚情報のスクランブルを解く必要がある。
制御言語自体は、開発キーにより暗号化されECMにおいて暗号化された形態で伝達される。スクランブルをかけられた視聴覚情報と暗号化された制御言語とは、契約者の場合、デコーダに挿入された、例えばスマートカードのような携帯セキュリティモジュールに保存された開発キーを利用できるデコーダにより受信される。暗号化された制御言語はスマートカードにより開発キーを使用して解読される。スマートカードは制御言語をデコーダへ伝達する。スクランブルをかけられた視聴覚情報はデコーダにより解読された制御言語を使用してスクランブルを解かれる。デコーダは、実際には、スクランブルをかけられた視聴覚情報のリアルタイムスクランブル解析を提供するに十分効果的である。
開発キーはそれ自体定期的に例えば毎月ほど変化される。EMM(ライセンス管理メッセージ)は、デコーダにより月1回受信されてスマートカードにおいて伝達される。EMMはエンコードされた形態の開発キーを含む。スマートカードを割り当てられたグループキーはエンコードされた開発キーを解読できる。
従って、デコーダはスマートカードへコマンドメッセージを定期的に送信する。
コマンドメッセージはECMであるかもしれない、すなわち、デコーダは、暗号化された形態の制御言語をスマートカードへ伝達する。スマートカードは開発キーを使い制御言語を解読する。制御言語の伝達は実際10秒ごとに起こる。
視聴者が第一チャンネルから第二チャンネルへチャンネル変える場合、デコーダは、暗号化された形態の第一制御言語の伝達の後に暗号化された形態の第二制御言語をスマートカードへ伝達する。第一制御言語と第二制御言語とは、第一チャンネルと第二チャンネルとに比較的一致する。従って、スマートカードはチャンネルのザッピングのせいで10秒毎よりもっと頻繁にライセンス制御メッセージを受信することとなる。
コマンドメッセージはEMMでもあるかもしれない、すなわち、デコーダは暗号化された形態の開発キー、又はデコーダからのその他のコマンドメッセージをスマートカードへ伝達する。
図1は従来技術によりスマートカードを図式的に示す。スマートカード11は、例えばデコーダ(図示しない)からのライセンス制御メッセージECMnのようなメッセージの受信により起動され、デコーダはマスターとして、スマートカードはスレーブとして役割を果たす。スマートカードの演算処理装置12はデコーダより受信された命令メッセージのみを実行する。スマートカード11は、パラメータが格納される、例えば電気的消去可能ロム13のようなパラメータメモリを含む。演算処理装置12は、エラー13の中へ格納されたパラメータが正しいことを確認する。パラメータは、例えば受信されるライセンス制御メッセージの大きさである。演算処理装置は、受信されるライセンス制御メッセージECMnに含まれた暗号化された制御言語を解読する前に、受信されるライセンス制御メッセージECMnが適当なサイズを有するということを確認することとなる。
スマートカードは、単一のデコーダと共に伝達することを一般的に目的とする。しかしながら、不正ユーザーは、単一のスマートカードと複数個のデコーダとの間のサーバーにセットアップしようと試みるかもしれない。サーバーは、例えば、電気ワイヤを経由して直接的に複数個のデコーダに伝達するスプリッタである。サーバーは、例えばインターネットネットワークのようなネットワークを経由して複数個のデコーダに伝達する制御言語サーバーでもある。
図2は、従来技術によるスプリッタ構成の例を図式的に示す。
第一デコーダ24Aは、第一チャンネルに対応する第一スクランブルをかけられた視聴覚情報Ecw1(m1)を連続的に受信する。第二デコーダ24Bは、第一チャンネルに対応する第二スクランブルをかけられた視聴覚情報Ecw2(m2)を連続的に受信する。第一デコーダ24A及び第二デコーダ24Bは、第一スクランブルをかけられた視聴覚情報Ecw1(m1)と第二スクランブルをかけられた情報Ecw2(m2)とのリアルタイムスクランブル解析を個々に提供することを可能とする。
第一スクランブルをかけられた視聴覚情報Ecw1(m1)と第二にスクランブルをかけられた情報Ecw2(m2)とは、第一デコーダ24Aの第一メモリ25Aに格納された第一制御言語CW1と第二デコーダ24Bの第二メモリ25Bに格納された第二制御言語CW2とを用いながら個々にスクランブル解析される。
それぞれの暗号時間で、言い換えれば例えば10秒ごとに、第一デコーダ24Aと第二デコーダ24Bとは、第一ライセンス制御メッセージECM1と第二ライセンス制御メッセージECM2とをそれぞれ受信する。
スプリッタ構成において、第一デコーダ24Aと第二デコーダ24Bとは、暗号時間の間に第一ライセンス制御メッセージECM1と第二ライセンス制御メッセージECM2とを、例えばスプリッタ22のような単一のサーバーへそれぞれ伝達する。
スプリッタ22は、例えばECM1のような伝達されたライセンス制御メッセージのひとつを例えばスマートカード21のような単一の形態セキュリティモジュールへ転送する。スマートカードメモリ26の中へ格納された開発キーを用いながら、スマートカードは、転送されたライセンス制御メッセージ(ECM1)の受信を受けた上で例えばCW1のような対応する制御言語を解読する。対応する制御言語CW1はスプリッタ22へ伝達される。一旦、スプリッタ22が伝達された制御言語ECW1を受信すると、スプリッタ22は、例えばCW2のような伝達されたライセンス制御メッセージの間の異なるライセンス制御メッセージをスマートカード21へ転送する。スマートカードは、転送されたライセンス制御メッセージ(ECM2)の受信を受けた上で例えばCW2のような対応する制御言語を解読する。対応する制御言語CW2はスプリッタ22へ伝達される。
スプリッタ22は解読された制御言語CW1へ転送し、CW2は第一デコーダ24Aと第二デコーダ24Bとへそれぞれ転送する。
サーバーは、単一のスマートカードを有するスクランブルをかけられた視聴覚情報のスクランブルを解くために複数個のデコーダを許可する。
つまり、契約者は例えばスマートカードのような単一の携帯セキュリティモジュールを一般的に備える。しかしながら、例えばスプリッタ又は制御言語サーバーのような不正なユーザーのセットアップに対する記述のようにサーバーは、単一のスマートカードを有するスクランブルをかけられた視聴覚情報のスクランブルを解くために複数個のデコーダを許可する。従って、契約者は、どんなスマートカードも所有しない一つ或いはそれ以上の非認定ユーザーに対して契約者に解読された視聴覚情報へのアクセスを提供することができる。
スプリッタ構成においてサーバーの使用をブロックする方法が必要である。しかしながら、スマートカードで直接的に伝達するデコーダを所有する通常契約者は問題に遭遇するべきではない。
第一手段は、スローイングソフトウェアがそれぞれのスマートカードの演算処理を低下させるようなスローイングソフトウェアをスマートカードの中へ導入することを含む。従って、スマートカードは、例えば10秒の暗号時間の間で複数の制御言語を解読することができない。
第二手段は、例えば3秒毎のような短い暗号化時間でライセンス制御メッセージを発令することを含む。
第一手段と第二手段の両方は、暗号化時間毎に単一のECMを演算処理することを制限させる。結果として、サーバーは複数個のデコーダと単一のスマートカードとの間で通信を同期することが一般的にできない。単一のデコーダのみが単一のスマートカードで正確に機能することとなる。
しかしながら、単一のデコーダを所有する通常の契約者が比較的高いザッピング率でひとつのチャンネルから他のチャンネルへチャンネルを変えるならば、暗号化時間毎の複数個の受信されたECMを解読することにもスマートカードは失敗することとなる。従って、通常の契約者は、さまざまに提供された視聴覚情報の間でザッピングをできなくなる。実際、通常の契約者のスクリーンは、加入者が通常の契約者であれば、ザッピングアクションで何も見えなくなるかもしれない。
第一の特徴として、本発明は、携帯セキュリティモジュールと解読要素とがスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする解読要素の使用のための携帯セキュリティモジュールを保護ための方法を提供する。該方法は、スクランブルをかけられた視聴覚情報のスクランブル解析を可能するために携帯セキュリティモジュールで受信されたライセンス制御メッセージ(ECM)を携帯セキュリティモジュールで演算処理することを含む。該方法は、ECMのシーケンスを携帯セキュリティモジュールで解析し、ECMのシーケンスが新しいECMと前回受信された前ECMとを含み、シーケンスのECMが異なった時間に受信され、解析が新しいECMの受信により実行される。エラーレジスタは、決められた解析結果上で解析することでインクリメントして、演算処理を低下させるために演算処理での不感時間を導入することによりエラーレジスタの値に依存している携帯セキュリティモジュールにペナルティを適用する。
好適な第一実施形態において、ECMがライセンス管理メッセージ(EMM)に置換される。
好適な第二実施形態において、不感時間がエラーレジスタの値に依存する継続時間を有する。
好適な第三実施形態において、不感時間の継続時間は最高時間値より短い。最高時間値は単一の暗号化時間の間で携帯セキュリティモジュールが複数のライセンス制御メッセージを演算処理することを回避するために十分高い。
好適な第四実施形態において、ライセンス制御メッセージそれぞれは、チャンネル識別子を含む。チャンネル識別子は決定チャンネルと関連付けられている。ECMのシーケンス解析は、新しいECMのチャンネル識別子と前ECMのチャンネル識別子とを比較することを含む。
好適な第五実施形態において、ライセンス制御メッセージそれぞれは第一暗号化制御言語と第二暗号化制御言語とを含む。第一制御言語が、第一暗号化時間の間にスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にし、第二制御言語が、第一暗号化時間とは異なる第二暗号化時間の間にスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする。ECMのシーケンス解析は、前ECMの第二制御言語53nを新しいECM54n+1の第一制御言語52nと比較することを含む。
好適な第六実施形態において、ECMのシーケンス解析は、ECMのシーケンスの第一ECMの決定内容をECMのシーケンスの第二ECMの第二決定内容と比較することを含む。
好適な第七実施形態において、リセット不感時間は、ライセンス制御メッセージのそれぞれの演算処理でリセットにおいて導入される。該リセット不感時間は、リセット後に携帯セキュリティモジュールで受信された多くのライセンス制御メッセージに依存する継続時間を有する。継続時間は、リセットに即座に続く第一演算処理で第一リセット時間値と等しい。第一リセット時間値は最大時間値より小さい。
好適な第八実施形態において、更なるリセットの種類は中間命令メッセージの中間グループによりを判断される。中間グループが更なるリセットに先行する前リセットの後に受信されたECMを更に含む。
好適な第九実施形態において、中間ECMの数をカウントされる。比較結果は更なるリセットの種類を判断可能にする。該中間ECMの数がリセット限界数と比較される。更なるリセットが間違って判断されれば、リセットエラーレジスタが更なるリセットの後にインクリメントされる。リセットエラーレジスタがリセットエラー閾値より高い値を有するならば、携帯セキュリティモジュールはブロックされる。
好適には、携帯セキュリティモジュールはスマートカードであり、解読要素はデコーダーである。
第二の特徴として、本発明は、携帯セキュリティモジュールと解読要素とがスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする解読要素の使用のための携帯セキュリティモジュールを提供する。携帯セキュリティモジュールは、ライセンス制御メッセージ(ECM)を受信するための受信手段と、スクランブルをかけられた視聴覚情報のスクランブル解析を可能にするために携帯セキュリティモジュールで受信されたECMを演算処理するための演算処理手段とを含む。該携帯セキュリティモジュールは、前回受信した中へ前ECMに命令メッセージメモリが格納されることとなり、ECMのシーケンスを解析するためで、ECMのシーケンスが新しいECMと前ECMとを含み、シーケンスのECMが異なった時間に携帯セキュリティモジュールで受信され、そして解析が新しいECMのそれぞれの受信で実行されている解析手段をさらに含む。該携帯セキュリティモジュールは、ECMシーケンスの新しいECM及び前ECMを比較するための比較手段と、エラーレジスタと、比較結果に依存しているエラーレジスタをインクリメントするためのインクリメント手段と、演算処理を低下させるためにそれぞれの演算処理で不感時間を導入するための遅延手段とを更に含む。
好適な第十実施形態において、遅延手段がリセットに続くそれぞれの演算処理でリセット不感時間を導入することをリセットの後にも可能とする。リセット不感時間はリセットに続く多くの演算処理に依存する継続時間を有する。継続時間はリセットに即座に続く第一演算処理で第一リセット時間値と等しい。
好適な第十一実施形態において、携帯セキュリティモジュールは、多くの中間ECMを格納することを可能しているカウンタレジスタを更に含む。中間ECMは前リセットの後に携帯セキュリティモジュールで受信される。該携帯セキュリティモジュールはフラグを更に含む。フラグは、リセット限界数に対するカウンタレジスタの比較結果に依存する値を有する。リセットエラーレジスタは更なるリセットの後にフラグの値に依存してインクリメントされる。ブロック手段はリセットエラーレジスタの値により携帯セキュリティモジュールをブロックすることを可能にする。
好適な第十二実施形態において、ECMがライセンス管理メッセージ(EMM)に置換される。
第三の特徴として、本発明は、携帯セキュリティモジュールと共に使用するためのソフトウェアを提供する。ソフトフェアは本発明による方法を導入ことを可能とする。
第三の特徴として、本発明は、携帯セキュリティモジュールを保護するための方法を提供する。方法は、製造で本発明の第三の特徴によるソフトウェアをダウンロードすることを含む。
第三の特徴として、本発明は、携帯セキュリティモジュールを保護するための方法を提供する。方法は、本発明の第三の特徴によるソフトウェアをダウンロードすることを含む。ダウンロードは、解読要素から少なくともひとつの構成メッセージを携帯セキュリティモジュールで受信することを含む。
本発明の他の特徴及び利益は、次の発明の詳細及び添付された特許請求の範囲により明らかにされる。
図3は、本発明による携帯セキュリティモジュールの一例を示す。例えばスマートカードのような携帯セキュリティモジュール31は、例えばデコーダのような解読機器(図示しない)と用いられるために発明される。携帯セキュリティモジュールと解読機器とはスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする。携帯セキュリティモジュール31は、例えばライセンス制御メッセージのような複数個の情報を受信する。携帯セキュリティモジュールは、デコーダへ送信されるための制御言語CWn+1を展開するためにそれぞれ受信されたライセンス制御メッセージECMn+1を演算処理することを可能にする。
従来技術の携帯セキュリティモジュール同様、本発明によるスマートカード31は、携帯セキュリティモジュールで受信されたライセンス制御メッセージ又は他のメッセージだけを演算処理する演算処理ユニット32を備える。携帯セキュリティモジュール31は、パラメータが格納された、例えば電気的消去可能ロム33のようなパラメータメモリを含む。処理ユニット32は、電気的消去可能ロム33の中へ格納されたパラメータが正確であることを確認する。
本発明の携帯セキュリティモジュール31は、一連の命令メッセージ(CMn+1、CMn)を解析するための解析手段35を含む。シーケンス(CMn+1、CMn)の命令メッセージは、異なった時間に携帯セキュリティモジュール31で受け取られる。
一般的に、新しい命令メッセージCMn+1が受信されるときはいつでも、解析は形成される。命令メッセージのシーケンスは、新しい命令メッセージCMn+1と、新しい命令メッセージCMn+1の前に例えば即座に受信される命令メッセージCMnとを含む。命令メッセージのシーケンスは、少なくともひとつ以上の命令メッセージをさらに含むことになる。
解析は、命令メッセージ(CMn+1、CMn)のシーケンスの命令メッセージの決定内容を比較することを含む。エラーレジスタ37は、比較する決定結果の上でインクリメントされる。
従って、本発明のスマートカードは、新しい命令メッセージCMn+1の前に受信される命令メッセージと展開された情報が比較されていることで、例えばエラーレジスタ37の値のような情報を展開することが可能である。ペナルティは、エラーレジスタ37の値に依存しているスマートカード31へ適用されるかもしれない。本発明によるそのような手段は、第一手段及び第二手段とは異なり、比較的高いザッピング率でひとつのチャンネルから他へチャンネルを変える単一のデコーダを所有している通常の契約者に悪影響をもたらすことを回避することができる。
スマートカード31は、連続して受け取られたメッセージの間の少なくともひとつの命令メッセージが格納される命令メッセージメモリ36を更に備える。
また、命令メッセージメモリは、例えば解析手段の一部であり、一般的に、命令メッセージメモリは解析手段又はその他の演算処理手段の単一のレジスタである。
解析手段35は、図3で示されるような演算処理ユニット32とは異なるハードウェアデバイスであるかもしれない。できるだけ、解析手段は、スマートカードの中へ備えられる解析ソフトウェアである。中央演算処理ユニットは演算処理ソフトウェアと解析ソフトウェアとを備える。
図4は、本発明のスマートカードによって実行されるアルゴリズムの一例を示す。スマートカードはメッセージを受信する。受信されたメッセージは、例えばECM又はEMM又はその他の決定メッセージのような命令メッセージである。新しい命令メッセージCMn+1が受信されると(箱401)、命令メッセージのシーケンス解析が形成される。一般的に、新しい命令メッセージCMn+1は、その時以前に受信された前の命令メッセージCMnと比較される(箱402)。新しい命令メッセージCMn+1と前の命令メッセージCMnとの比較は、例えば識別子のようなそれぞれの命令メッセージ(CMn+1、CMn)の決定部分を含む。その比較は、例えばスマートカードにより解読される制御言語ようなそれぞれの命令メッセージ(CMn、CMn+1)の展開された情報を比較することも含む。
エラーレジスタ error_regは、比較結果によりインクリメントされる(箱403)。アルゴリズムは、スマートカードに受信されたライセンス制御メッセージのそれぞれの演算処理に不感時間τを導入することを更に含む(箱404)。そのような不感時間ペナルティは、スマートカードを低下されることになる。本発明の手段において、不感時間τは、エラーレジスタ error_regの値に依存する継続時間を有する。一般的に不感時間τの継続時間はエラーレジスタの値に伴い増加する。
スプリッタ構成の場合、スマートカードは暗号化時間ごとに複数のECMを受信する。スマートカードは、スクランブルをかけられた視聴覚情報をスクランブル解析することを可能にするためにそれぞれ受信されたECMを演算処理する。しかしながら、解析は、例えば10秒毎にそれぞれの暗号化時間で問題を検出するので、エラーレジスタは比較的高い値を有することとなる。従って、不感時間τは、単一のスマートカードを備える複数の送信された視聴覚問題のスクランブル解析を中断させるような、それぞれの暗号化時間でスマートカードが複数のECMの演算処理をすることを妨げる比較的高い暗号化時間を有する。
通常の解読システムを所有している通常の契約者において、通常の契約者は、あるチャンネルから他へザッピングする場合に、エラーレジスタ error_regの2、3のインクリメントを発生させるかもしれない。結果として、不感時間τはペナルティとして導入される、しかし不感時間τは比較的小さい継続時間を有する。そのよな短い不感時間は、暗号化時間の間で単一のデコーダーから単一の通常のECMをスマートカードが演算処理することを可能にする。本発明による手段は、例えばスプリッタ構成のような非認定構成とともにスクランブル解析を中断するのみである。
不感時間τの値はRAMメモリに格納される。非認定構造において、スクランブル解析が中断されれば、非認定ユーザーは、不感時間τをリセットして通常のスクランブル解析を可能するために、スマートカードをリセットする。従って、アルゴリズムは、スマートカードのリセット(箱405)の上でリセットされた不感時間τ_resetによりインクリメントされることを含む。リセットされた不感時間τ_resetは、そのリセットに従うスマートカードで受信された多くのECMに依存する継続時間を有する。リセットに即座に続く第一処理演算で、リセットされた不感時間τ_resetの継続時間は、比較的高い第一リセット時間値と同等である。従って、スマートカードをリセットする非認定のユーザーは通常のスクランブル解析を取得し損ねる。
スマートカードの低下に加え、ペナルティを課すことはスマートカードのブロッキングを含む。スマートカードが前の命令メッセージを解析する場合、カードのブロッキングのため比較的少ない不感時間の導入からペナルティを課すことが可能である。
さらに、ハッカーは、本質的なパラメータを展開するために多数の攻撃メッセージと共にスマートカードを攻撃するかもしれない。従来において、スマートカードは、命令メッセージのシーケンス解析を提供し損ねる。前回受信された命令メッセージのシーケンス解析を提供することにより、本発明の手段はそのような攻撃を検出できるようにする。十分な解析が形成されるならば、攻撃メッセージは実際には比較的同等であり、エラーレジスタ エラー_レジスタは比較的高い値を有することとなる。例えば不感時間τの導入やスマートカードのブロッキングのようなスマートカードへ適用されたペナルティは、攻撃を低下又は止めさせることとなる。
ECM数列の解析
図5A及び図5Bは、本発明による携帯セキュリティモジュールにより受信された命令メッセージのシーケンスの一例を示す。示されたシーケンスは、二つの成功したライセンス制御メッセージを含む。図5Aの命令メッセージのシーケンスは、通常の構成において用いられている、例えばスマートカードのような携帯セキュリティモジュールにより受信される。実質的には、前のライセンス制御メッセージECMnの受信の後に通常の契約者が決定チャンネルiから第二チャンネルjへチャンネルを変える場合、図5Bの命令メッセージのシーケンスは、スプリッタ構成において用いられているスマートカードにより、或いは通常の構成で用いられるスマートカードにより受信される。
図5Aと図5Bとの両方のライセンス制御メッセージ(54n、54n+1)は最初に暗号化された制御言語(52n、52n+1)を含む。スマートカードは、最初に暗号化された制御言語(52n、52n+1)を解読することを可能にする。前のライセンス制御メッセージECMnから展開された第一制御言語CWi[1]は、第一暗号化時間の間に決定チャンネルiのスクランブルをかけられた視聴覚情報のスクランブル解析を可能にする。
本発明の第一の実施形態のおいて、ライセンス制御メッセージ(54n、54n+1)は、第二暗号化制御言語(53n、53n+1)を更に含む。スマートカードは、第二暗号化制御言語(53n、53n+1)を解読することを可能にする。前のライセンス制御メッセージECMnから展開された第二制御言語CWi[2]は、第一暗号化時間とは異なる第二暗号化時間の間に決定チャンネルiのスクランブルをかけられた視聴覚情報のスクランブル解析を可能にする。第二暗号化時間は第一暗号化時間を即座に続くこととなる。
通常の構成において、図5Aに示されるように、通常の契約者が決定チャンネルのひとつだけの番組を視聴する場合、前のライセンス制御メッセージECMnから展開された第二制御言語CWi[2]は新しいライセンス制御メッセージECMn+1の第一制御言語CWi[2]と同様である。
前のライセンス制御メッセージECMnの受信と後のライセンス制御メッセージECM’n+1の受信との間の実質的なザッピングの場合、図5Bに示すように、スマートカードは、決定チャンネルiとは異なる第二チャンネルjと関連付けられるライセンス制御メッセージECM’n+1を後のライセンス制御メッセージとして受信する。従って、前のライセンス制御メッセージECMnから展開された第二制御言語CWj[2]は新しいライセンス制御メッセージECM’n+1の第一制御言語CWi[1]とは異なる。
スプリッタ構成の場合、図5Bに示すように、スマートカードは、対応するチャンネルのスクランブルをかけられた視聴覚情報のフローをスクランブル解析することを可能にする多数のデコーダからライセンス制御メッセージを受信する。例えば、スプリッタは、スマートカードが二つのデコーダと共に伝達することを許可するならば、異なるユーザーとして明確になるであろう二つの関連するチャンネルは必ずしも同じテレビ番組を見ることはない。
対応するチャンネルが異なる場合、それぞれ対応するチャンネルよりスクランブルをかけられた視聴覚情報をスクランブル解析することを可能にする制御言語は異なる。従って、前のライセンス制御メッセージECMnから展開された第二制御言語CWi[2]は、新しいライセンス制御メッセージECM’n+1の第一制御言語CWj[1]とは異なる。
第一実施形態において、命令メッセージのシーケンスの解析は、前のライセンス制御メッセージから新しいライセンス制御メッセージの第一制御言語へ展開された第二制御言語と比較するなかで例えば構成される。そのような解析は、新しいライセンス制御メッセージのそれぞれの受信で、又は定期的に形成されることとなる。
新しいライセンス制御メッセージが比較される前のライセンス制御メッセージは新しいライセンス制御メッセージより前に即座に受信される。さらに具体的に言うと、二重のストリーミングの場合、前のライセンス制御メッセージは前の決定命令により選択される。
図5A及び図5Bにも示される本発明の第二実施形態において、受信されたライセンス制御メッセージ(54n、54n+1)はチャンネル識別子(51n、54n+1)を含む。前のライセンス制御メッセージ54nのチャンネル識別子51nは、第一制御言語CWi[1]がスクランブルを解くことを可能にするということを決定チャンネルへ関連付ける。
通常の構成の場合、図5Aで示されるように、通常の契約者が前のライセンス制御メッセージECMnの受信と新しいライセンス制御メッセージECMn+1の受信との間で実質的にチャンネルを変えないならば、決定チャンネルからのスクランブルをかけられた視聴覚情報はスクランブルを解かれるのみである。従って、前のライセンス制御メッセージECMnのチャンネル識別子51nは新しいライセンス制御メッセージECMn+1のチャンネル識別子51n+1と同じである。
前のライセンス制御メッセージECMnの受信と後のライセンス制御メッセージECM’n+1の受信との間の実質的のザッピングの場合、図5Bに示すように、スマートカードは、決定チャンネルiとは異なる第二チャンネルjと関連付けられるライセンス制御メッセージECM’n+1を後のライセンス制御メッセージとして受信する。従って、前のライセンス制御メッセージECMnのチャンネル識別子51nは新しいライセンス制御メッセージECM’n+1のチャンネル識別子51n+1とは異なる。
スプリッタ構成の場合、図5Bにも示されるように、前段の説明にあるように、少なくとも二つの異なるチャンネルと関連付けられたライセンス制御メッセージをスマートカードは恐らく受信する。従って、前のライセンス制御メッセージECMnのチャンネル識別子51nは、新しいライセンス制御メッセージECM’n+1のチャンネル識別子51n+1とは異なる。
第二実施形態において、命令メッセージのシーケンス解析は、例えば新しいライセンス制御メッセージのチャンネル識別子と前のライセンス制御メッセージのチャンネル識別子を比較する時に存在する。そのような解析は、新しいECMのそれぞれの受信で、又は定期的に形成される。新しいライセンス制御メッセージが比較される前のライセンス制御メッセージは新しいライセンス制御メッセージの前に即座に受信されることとなる。
二重のストリームの場合、第二実施形態は、通常の構成においてチャンネル識別子の変更がなくスプリッタ構成のチャンネル識別子の少なくともひとつの変更を検出することを可能にする。この後者の構成において、暗号化時間中、スマートカードは、少なくとも、
第一デコーダ及び第一ストリームと関連付けられた第一ECM Aと、
第一デコーダ及び第二ストリームと関連付けられた第二ECM A’と、
第二デコーダ及び第一ストリームと関連付けられた第三ECM Bと、
第二デコーダ及び第二ストリームと関連付けられた第四ECM B’とを受信する。
第一ECMと第二ECMと第三ECMと第四ECMとは、以下の命令:A、A’、B、B’において受信される。解析は、チャンネル識別子の少なくともひとつの変更を検出する。ECMと第二ECMと第三ECMと第四ECMとが以下の命令:A、B、A’、B’において受信されることとなるならば、解析はチャンネル識別子の少なくとも三つの変更を検出する。
ザッピングなしの通常の構成における二重のストリーミングの場合、第一ECM A及び第二ECM A’のみが受信され、そしてチャンネル識別子の変更がないことを検出される。この後者の場合、本発明の第一実施形態による手段は、前のライセンス制御メッセージの第二制御言語と新しいライセンス制御メッセージの第一制御言語との間の変更を検出する。解析において二重のストリーミングを考慮にいれる必要があり、前のライセンス制御メッセージは決定命令により選ばれる。第二実施形態はそのような警戒を避けることを可能にする。
しかしながら、ハッカーが比較的似かよった数多くの攻撃のライセンス制御メッセージと共にスマートカードを攻撃するならば、第一実施形態による手段は、前のライセンス制御メッセージの第二制御言語と新しいライセンス制御メッセージの第一制御言語との間の数多くの変更を検出することを可能にする。第二実施形態の手段は、チャンネル識別子において変更がないことを検出することとなる。
図5A及び図5Bに示されるように、受信されたライセンス制御メッセージはチャンネル識別子(51n、51n+1)と第二暗号化制御言語(53n、53n+1)とを含む。第一実施形態の比較と第二実施形態の比較とは、命令メッセージのシーケンス解析として両方ともに形成されることとなる。
解析は、例えばEMM又はリセットメッセージのようなスマートカードで受信されたその他のメッセージ上で形成される。解析は、例えばチャンネル識別子のような決定内容又は例えば制御言語のような展開された情報と、二つの命令メッセージを比較する中でなされる。比較された決定内容及び又は展開された情報が異なるならば、エラーレジスタはインクリメントされることとなる。ペナルティは、エラーレジスタの値に依存しながら適用される。ペナルティの適用は、ライセンス制御メッセージのそれぞれの演算処理をする不感時間を導入しながら一般的にはなされる。
不感時間の管理
図6Aは、本発明による携帯セキュリティモジュールのエラーレジスタの値の考えられるシーケンスを示す。
図6Bは、本発明による携帯セキュリティモジュールの不感時間の継続時間の値の考えられるシーケンスを示す。図6Bの不感時間シーケンスは、図6Aのエラーレジスタシーケンスに相当する。
両方のシーケンスは、リセット後に受信される多くのライセンス制御メッセージの要素としてプロットされる。
示されるシーケンスは、スプリッタ構成において又は通常の契約者の高い頻度のザッピング行為において見られるかもしれない。受信されたライセンス制御メッセージの解析は、連続して受信されたライセンス制御メッセージの比較された決定内容及び/又は展開された情報における違いを検出することを可能にする。リセットに続く第一フェーズ61の間で、従って、エラーレジスタは、例えば1つのライセンス制御メッセージをそれぞれ受信するような通常のインクリメントをされる。
図6A及び図6Bに示される例において、あるチャンネルから他のチャンネルへチャンネルを変える通常の契約者に悪影響を与えることを避けるために、エラーレジスタの値が最小の閾値C_min_thrより小さい場合、不感時間は、ゼロに等しい継続時間を有する。
第二フェーズ62の間で、エラーレジスタの値は最小閾値C_min_thrと等しくなり、従って、不感時間の継続時間は、空値ではなくエラーレジスタの値と共に増加する。しかしながら、不感時間の継続時間は、エラーレジスタの最大閾値C_max_thrに対応している最大時間値τ_maxより小さいままである。最大時間値τ_maxは、スマートカードが単一の暗号化時間の間に複数のライセンス制御メッセージを演算処理することを妨げるに十分である。二重のストリーミングにおいて、与えられたデコーダは、それぞれの暗号化時間で与えらた多くのライセンス制御メッセージを送り、最大時間値τ_maxは、多数のデコーダが与えられた多くのライセンス制御メッセージの演算処理することを防ぐ。一般的に、スマートカードは、暗号化時間ごとにたった一つの与えられたライセンス制御メッセージを演算処理することとなる。
不感時間が最大時間値と実質的に等しい継続時間を有するならば、スマートカードは複数個のデコーダから複数個のスクランブルをかけられた視聴覚情報のスクランブル解析を行うことに失敗する。少なくとも1人の非認定ユーザー、又は非認定ユーザーと共にそのスマートカードを共有する契約者は、スクリーンが空白になることを目撃するかもしれない。
あるチャンネルから他のチャンネルへチャンネルを多く変える通常の契約者は、不感時間の増加を発生させ、付加的なザッピングの後にある暗号化時間の間にスクリーンが空白になることを目撃するかもしれない。通常の契約者は空白のスクリーンを放送問題として考え、エラーレジスタの値を増加ながら他のチャンネルを見ようする。図6Aに示される例において、エラーレジスタの値は、スマートカードの過度の負担を避けるために、常に最大値C_max以下である。しかしながら、最大時間値τ_maxや最小閾値C_min_thr等のパラメータは、スクリーンが空白になることを通常の契約者が目撃することを避けるために選択されることとなる。
もはや特にスプリッタ構成の場合において、不感時間の継続時間が最大時間値τ_maxと等しいならば、エラーレジスタは第三フェーズ63の間で増加し続けるかもしれない。
エラーレジスタは循環原理に基づいており、古いライセンス制御メッセージにより作成された早期のインクリメントは消去される。例えば、決められたサイズを有する循環レジスタは、エラーレジスタを評価するために用いられることとなる。解析が形成される時はいつでも、循環レジスタの2進値は移行されたままとなる。従って、循環レジスタの左端で元の記憶場所の2進値は消去される。解析結果に依存する新しい2進値は循環レジスタの右端で現在空の場所に書き込まれる。一般的には、解析されたライセンス制御メッセージの比較された決定内容及び/又は展開された情報の間での違いが検出されれば、「1」と書き込まれ、検出されなければ、「0」と書き込まれる。
エラーレジスタは、循環レジスタの2進値の合計に等しい値を有する。従って、エラーレジスタの値は、循環レジスタの大きさに対応する最大値と常に小さいか或いは等しく、もし等しければ、循環レジスタの場所すべてが「1」となる。最大値は、図6Aにおいて説明された最大値C_maxであるかもしれない。
解析されたライセンス制御メッセージの比較された決定内容及び/又は展開された情報の間での違いがもはや検出されなければ、図6Aに示されるように、エラーレジスタの値もまた減少するかもしれない。その減少はさまざまな理由によるかもしれない。スプリッタ構成において、非認定ユーザーはそれらのデコーダを消すかもしれない。通常の契約者はもはやチャンネルをその他に変えることはない。
また、エラーレジスタは、命令メッセージのシーケンス解析の結果に依存しながらインクリメント又はデクリメントされる単一の整数であるかもしれない。
エラーレジスタの値が、例えば最大閾値C_max_thrのような減少域よりも高い間は、不感時間の継続時間は最大時間値τ_maxと等しいままである。
第四フェーズ64で、エラーレジスタの値が最大閾値C_max_thrより小さくなる場合、不感時間の継続時間は減少し始める。
スプリッタ構成の場合、非認定ユーザーが第三フェーズ63でデコーダを保有し続けるならば、不感時間の継続時間は最大時間値τ_maxのままである。非認定ユーザーが第四フェーズ64でデコーダを交換するならば、エラーレジスタは再度増加し始める(シーケンスを図示しない)。
非認定ユーザーは不感時間の継続時間の値をリセットするために第三フェーズでスマートカードもリセットするかもしれない。不感時間の継続時間の値とエラーレジスタの値とは、リセット直後に消去される揮発性メモリに実際には格納されることとなる。
図6Cは、本発明による携帯セキュリティモジュールの不感時間の継続時間の値のシーケンスの一例を示す。シーケンスは、リセットの後に受信された多くのライセンス制御メッセージの要素としてプロットされる。図6Bに示されるシーケンスの例とは違い、図6Cのシーケンスの例は、リセットの後に即座に空値でない値を有する。リセットされた不感時間は、リセットの後にひとつのライセンス制御メッセージの各演算処理で導入される。リセットされた不感時間は、リセットの後にスマートカードで受信された多くのライセンス制御メッセージに依存する継続時間を有する。リセット不感時間の継続時間は、リセットに即座に続き受信されたライセンス制御メッセージの数を減少する第一演算処理で第一リセット時間値τ_reset_maxと等しい。
リセット不感時間の導入と不感時間の導入とは単一のソフトウェアプログラムの中に導入され、全体の不感時間は、電気的消去可能ロムにおいて読み取られるリセット不感時間と揮発性メモリに格納された循環レジスタから判断される不感時間との合計と等しくなる。
従って、スマートカード演算処理は、リセットの上のリセット不感時間により低下させられる。
第一リセット時間値τ_reset_maxは、例えば停電によるような通常のリセットの後に通常の契約者に悪影響があることを回避するために、不感時間の最大時間値τ_maxよりもできるだけ小さいほうがよい。
第一リセット時間値τ_reset_maxが最大時間値τ_maxよりも小さい場合、非認定ユーザーは、スクランブルをかけられた視聴覚情報のスクランブル解析が正しく動作しない時はいつでもスマートカードをリセットしようと試みるかもしれない。ハッカーは、正しいスクランブル解析を実行するため又は攻撃目的のために、各暗号化時間でスマートカードのリセットをもはや作成するかもしれない。
スマートカードブロッキング
図7は、本発明による携帯セキュリティモジュールの中に導入されたアルゴリズムの一例を示す。図7のアルゴリズムは、介在する命令メッセージの介在するグループにより更にリセットの種類を判断することを可能にする。介在するグループは、更なるリセットに先行している前リセットの後に受信された、例えばライセンス制御メッセージのような命 令メッセージのシーケンスを含む。
メッセージがスマートカードで受信される時、スマートカードは、メッセージがECMであるか否かを検証する(箱71)。メッセージがECMであれば、スマートカードは、例えばスマートカードがライセンス制御メッセージの中で含まれた暗号化された制御言語を解読するようなライセンス制御メッセージを演算処理する。多くの介在する命令メッセージは、各演算処理の後にカウントレジスタ nb_ECMをインクリメントすることによりカウントされる(箱72)。
介在する命令メッセージの数はリセット限界数 nb_ECM_minと比較される(箱73)。比較結果は、更なるリセットの種類を判断することを可能とし、カウントレジスタ nb_ECMがリセット限界数 nb_ECM_minと等しいならば、それぞれのリセットの後に、例えば「0」のようなNOK値を有するフラグ(箱75)が、例えば「1」のようなOK値(箱74)に設定される。
カウントレジスタ nb_ECMがリセット限界数 nb_ECM_minよりも高ければ、フラグはOK値を既に有する。カウントレジスタ nb_ECMがリセット限界数 nb_ECM_minよりも小さければ、フラグはNOK値を有する。従って、フラグの値は、介在する命令メッセージの数値がリセット限界数 nb_ECM_minよりも高いかどうかを示す。フラグの値は不揮発性メモリに格納される。更なるリセットが起こる時(箱76)、フラグの値はNOK値へ導かれ比較される(箱77)。
例えばスマートカードが、前リセットからライセンス制御メッセージのリセット限界数 nb_ECM_min以上を受信した場合のような、フラグ値がOKである場合、更なるリセットは正しく判断される。フラグは再びNOK値へリセットされ(箱75)、スマートカードは新しいメッセージを待つ(箱78)。それぞれ新しいECMが演算処理され(箱72)、ライセンス制御メッセージのリセット限界数 nb_ECM_minが、前段落の記述のように、受信され演算処理されるまで、フラグはNOK値のままである。
フラグの値がNOKならば、つまり前リセットから介在する命令メッセージの数がリセット限界数 nb_ECM_minよりも小さい場合、更なるリセットは疑わしいと判断される。リセットエラーレジスタ nb_reset_offはインクリメントされ(箱79)その値はリセットエラー閾値reset_max(箱710)と比較される。
リセットエラーレジスタ nb_reset_offの値がリセットエラー閾値reset_maxと等しければ、スマートカードはブロックされる(箱711)。リセットエラーレジスタ nb_reset_offの値がリセットエラー閾値reset_maxより小さければ、スマートカードはメッセージを待ち(箱78)介在する命令メッセージを更にカウントする。リセットエラーレジスタ nb_reset_offの値がリセットエラー閾値reset_maxと等しい時スマートカードはブロックされるので、リセットエラーレジスタ nb_reset_offの値がリセットエラー閾値reset_maxより高くなることはない。
そのようなアルゴリズムは、スクランブルをかけられた視聴覚情報が間違ってスクランブル解析を行われるときはいつでもスマートカードをリセットし、或いは数少ない暗号化時間の後にスマートカードを自動的にリセットする非認定ユーザーにペナルティを科す。
アルゴリズムは、攻撃命令の間でリセットと共にそれらを受信するスマートカードをブロックすることも可能にする。
リセットエラー閾値reset_maxやリセット限界数 nb_ECM_minのようなパラメータは、通常の契約者、及び非認定ユーザー、及びハッカーの起こりうる動作に適応されるに十分な値を有する。
ペナルティを管理するためのその他のアルゴリズムはスマートカードにおいて適用されることとなり、例えば、エラーレジスタの値が最大閾値 C_max_thrより高くなる限界値に近づく場合に、スマートカードはブロックされることとなる。
命令メッセージのシーケンス解析は、新しいライセンス制御メッセージと前のライセンス制御メッセージとを比較する場合にできるだけ含むこととなる。また、EMM又はリセットメッセージ又はスマートカードで受信されたその他のメッセージは解析されることとなる。前リセットの種類を判断するために二つのリセットの間で多くの介在する命令メッ セージをカウントする中に命令メッセージのシーケンス解析は存在する。
解析は、できるだけ前記解析の組み合わせであり、例えば、スマートカードの保護を強化するために、それぞれの新しいライセンス制御メッセージは前のライセンス制御メッセージと比較され、二つのリセット間での多くのライセンス制御メッセージはカウントされる。前記解析の組み合わせの他の例は、それぞれ新しいECMと前ECMとの、及びそれぞれ新しいEMMと前のEMMとの、及び新しい他の命令メッセージと前の他の命令メッセージとの比較する中に含まれる。両方のECM及びEMM及びの命令メッセージはリセットを判断するためにカウントされることとなる。また、3つの異なるカウント手段は、ユーザーの行動の完全な理解を提供するためにインクリメントされ、従って十分なペナルティを適用する。
また、スマートカードに適用されるペナルティはECMの演算処理を中断することを可能にする。ペナルティは、EMM演算処理、又はスマートカードでのメッセージの受信、又はスマートカードのその他の動作も中断することを可能にする。
本発明による手段を導入することを可能にするソフトウェアもまた本発明の範囲の中にも含まれる。
ソフトウェアは、携帯セキュリティモジュールの生産でダウンロードされることとなる。また、既に加入者により使用中で、ソフトウェアをダウンロードすることを許可している場合、少なくともひとつの構成メッセージが携帯セキュリティモジュールで受信される。両方の手段は本発明の範囲の中に含まれる。
本発明は限られた数の実施例に関しての説明であったので、本開示の恩恵を有する当業者は、ここに開示されるように発明の範囲から逸脱することのなく他の実施例が考案されうることを認識する。従って、発明の範囲は添付された特許請求の範囲によりのみ制限されるべきである。
従来技術によるスマートカードの一例を図式的に示す。 従来技術によるスプリッタ構成の一例を図式的に示す 本発明による携帯セキュリティモジュールの一例を示す。 本発明によるスマートカードにより実行されるためのアルゴリズムの一例を示す。 (A)及び(B)は、本発明による携帯セキュリティモジュールにより受信された命令メッセージのシーケンスの一例を示す。 本発明による携帯セキュリティモジュールにおけるエラーレジスタの値の起こりうるシーケンスを示す。 本発明による携帯セキュリティモジュールにおける不感時間の継続時間の値の起こりうるシーケンスを示す。 本発明による携帯セキュリティモジュールの不感時間の継続時間の値のシーケンスの一例を示す。 本発明による携帯セキュリティモジュールにおいて導入されるためのアルゴリズムの一例を示す。
符号の説明
31・・・携帯セキュリティモジュール、32・・・処理ユニット、33・・・電気的消去ロム

Claims (16)

  1. 携帯セキュリティモジュールと解読要素とがスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする解読要素の使用のための携帯セキュリティモジュールを保護するために、
    スクランブルをかけられた視聴覚情報のスクランブル解析を可能するために携帯セキュリティモジュールで受信されたライセンス制御メッセージ(ECM)を携帯セキュリティモジュールで演算処理することを含む方法において、
    ECMのシーケンスを携帯セキュリティモジュールで解析し、ECMのシーケンスが新しいECMと前回受信された前ECMとを含み、シーケンスのECMが異なった時間に受信され、解析が新しいECMの受信により実行され(402)、
    決められた解析結果上のエラーレジスタを解析することでインクリメントして(403)、
    演算処理を低下させるために演算処理での不感時間を導入することによりエラーレジスタの値に依存している携帯セキュリティモジュールにペナルティを適用する(404)、ことを含むことを特徴とする方法。
  2. ECMがライセンス管理メッセージ(EMM)に置換される請求項1記載の方法。
  3. 不感時間がエラーレジスタ(404)の値に依存する継続時間を有する請求項1記載の方法。
  4. 不感時間の継続時間が最高時間値より短く、最高時間値が単一の暗号化時間の間で携帯セキュリティモジュール(31)が複数のECMを演算処理することを回避するために十分高いことを特徴とする請求項1乃至3の何れかに記載の方法。
  5. ECM(54n、54n+1)それぞれは、決定チャンネルと関連付けられているチャンネル識別子(51n、51n+1)を含み、
    ECMのシーケンス解析は、新しいECM54n+1のチャンネル識別子51n+1と前ECM54nのチャンネル識別子51nとを比較することを含むことを特徴とする請求項請求項1、3又は4の何れかに記載の方法。
  6. ECM(54n、54n+1)それぞれは第一暗号化制御言語(52n、52n+1)と第二暗号化制御言語(53n、53n+1)とを含み、
    第一制御言語が、第一暗号化時間の間にスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にし、
    第二制御言語が、第一暗号化時間とは異なる第二暗号化時間の間にスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にし、
    ECMのシーケンス解析は、前ECM54nの第二制御言語53nを新しいECM54n+1の第一制御言語52nと比較することを含むことを特徴とする請求項請求項1、3又は4の何れかに記載の方法。
  7. ECMのシーケンス解析は、ECMのシーケンスの第一ECMの決定内容をECMのシーケンスの第二ECMの第二決定内容と比較することを含むことを特徴とする請求項1、3又は4の何れかに記載の方法。
  8. リセット不感時間は、リセット後に携帯セキュリティモジュールで受信された多くのECMに依存し、リセットに即座に続く第一演算処理で第一リセット時間値と等しい継続時間を有し、
    第一リセット時間値が最大時間値より小さい、
    ECMのそれぞれの演算処理でのリセット不感時間をリセット上で導入することを更に含むことを特徴とする請求項1又は3乃至7の何れかに記載の方法。
  9. 中間ECMの中間グループにより更なるリセットの種類を判断し、中間グループが更なるリセットに先行する前リセットの後に受信されたECMを更に含むことを特徴とする請求項1又は3乃至8の何れかに記載の方法。
  10. 中間ECMの数をカウントし(72)、
    比較結果が更なるリセットの種類を判断可能にするような、中間ECMの数とリセット限界数を比較し(73)、
    更なるリセットが間違って判断されれば、更なるリセットの後にリセットエラーレジスタをインクリメントし(79)、
    リセットエラーレジスタがリセットエラー閾値より高い値を有するならば、携帯セキュリティモジュールをブロックする(711)ことを更に含むことを特徴とする請求項9記載の方法。
  11. 携帯セキュリティモジュールと解読要素とがスクランブルをかけられた視聴覚情報のスクランブルを解くことを可能にする解読要素の使用のための携帯セキュリティモジュール(31)で、
    ライセンス制御メッセージを受信するための受信手段(ECM)と、
    スクランブルをかけられた視聴覚情報のスクランブル解析を可能にするために携帯セキュリティモジュールで受信されたECMを演算処理するための演算処理手段(32)とを含む携帯セキュリティモジュールにおいて、
    前回受信した中へ前ECM(ECMn)に命令メッセージメモリが格納されることとなり(36)、
    ECMのシーケンスを解析するためで、ECMのシーケンスが新しいECMと前ECMとを含み、シーケンスのECMが異なった時間に携帯セキュリティモジュールで受信され、そして解析が新しいECM(ECMn+1)のそれぞれの受信で実行されている解析手段(35)と、
    ECMシーケンスの新しいECM及び前ECMを比較するための比較手段と、
    エラーレジスタ(37)と、
    比較結果に依存しているエラーレジスタをインクリメントするためのインクリメント手段と、
    演算処理を低下させるためにそれぞれの演算処理で不感時間を導入するための遅延手段とを更に含むことを特徴とする携帯セキュリティモジュール。
  12. 遅延手段がリセットに続くそれぞれの演算処理でリセット不感時間を導入することをリセットの後にも可能とし、
    リセット不感時間は、リセットに続く多くの演算処理に依存する継続時間を有し、継続時間がリセットに即座に続く第一演算処理で第一リセット時間値と等しいことを特徴とする請求項11記載の携帯セキュリティモジュール(31)。
  13. カウンタレジスタが多くの中間ECMを格納することを可能し、中間ECMが前リセットの後に携帯セキュリティモジュールで受信され、
    リセット限界数に対するカウンタレジスタの比較結果に依存する値を有するフラグと、
    更なるリセットの後にフラグの値に依存してインクリメントされるリセットエラーレジスタと、
    リセットエラーレジスタの値により携帯セキュリティモジュールをブロックするためのブロック手段とを更に含むことを特徴とする請求項11又は12記載の何れかに記載の携帯セキュリティモジュール(31)。
  14. ECMがライセンス管理メッセージ(EMM)に置換されることを特徴とする請求項11乃至13の何れかに記載の携帯セキュリティモジュール。
  15. 携帯セキュリティモジュールと共に使用するためのコンピュータプログラムであって、請求項1乃至10の何れかに記載の方法を導入するようなコンピュータプログラム。
  16. 請求項1乃至10何れかに記載の手段を導入することを可能にするソフトウェアをダウンロードしている携帯セキュリティモジュールを保護するための方法であって、ダウンロードが携帯セキュリティモジュールで少なくともひとつの構成メッセージを解読要素から受信することを含むことを特徴とする方法。
JP2007502325A 2004-03-11 2005-02-18 スマートカード動的管理 Pending JP2007528170A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04290656A EP1575293A1 (en) 2004-03-11 2004-03-11 Dynamic smart card management
PCT/EP2005/050720 WO2005091633A1 (en) 2004-03-11 2005-02-18 Smartcard dynamic management

Publications (2)

Publication Number Publication Date
JP2007528170A true JP2007528170A (ja) 2007-10-04
JP2007528170A5 JP2007528170A5 (ja) 2011-10-13

Family

ID=34814421

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007502325A Pending JP2007528170A (ja) 2004-03-11 2005-02-18 スマートカード動的管理

Country Status (8)

Country Link
US (1) US7684567B2 (ja)
EP (2) EP1575293A1 (ja)
JP (1) JP2007528170A (ja)
KR (1) KR101120689B1 (ja)
CN (1) CN100592786C (ja)
BR (1) BRPI0508600B1 (ja)
ES (1) ES2434326T3 (ja)
WO (1) WO2005091633A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1382973A1 (en) * 2002-07-19 2004-01-21 Thomson Licensing S.A. Method and test adapter for testing an appliance having a smart card reader
EP1742474A1 (fr) 2005-07-07 2007-01-10 Nagracard S.A. Méthode et dispositif de contrôle d'accès à des données chiffrées
EP1887729A3 (en) * 2006-03-21 2011-07-13 Irdeto Access B.V. Method of providing an encrypted data stream
WO2007145366A1 (en) * 2006-06-15 2007-12-21 Kabushiki Kaisha Toshiba Portable electronic device and control method thereof
FR2907930B1 (fr) * 2006-10-27 2009-02-13 Viaccess Sa Procede de detection d'une utilisation anormale d'un processeur de securite.
JP2008135981A (ja) * 2006-11-28 2008-06-12 Toshiba Corp 情報処理装置
FR2931972A1 (fr) * 2008-05-27 2009-12-04 France Telecom Controle d'acces a un contenu audiovisuel.
FR2935817B1 (fr) * 2008-09-11 2011-12-09 Oberthur Technologies Procede de traitement de donnees et dispositif associe.
FR2947361B1 (fr) 2009-06-29 2011-08-26 Viaccess Sa Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede
FR2954875B1 (fr) * 2009-12-28 2012-01-27 Viaccess Sa Procedes de dechiffrement, de transmission et de reception de mots de controle, support d'enregistrement et serveur pour ces procedes
EP2357783B1 (fr) 2010-02-16 2013-06-05 STMicroelectronics (Rousset) SAS Procédé de détection d'un fonctionnement potentiellement suspect d'un dispositif électronique et dispositif électronique correspondant.
FR2963191B1 (fr) 2010-07-23 2012-12-07 Viaccess Sa Procede de detection d'une utilisation illicite d'un processeur de securite
FR2967002B1 (fr) 2010-10-27 2012-12-14 Viaccess Sa Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle
US8584167B2 (en) 2011-05-31 2013-11-12 Echostar Technologies L.L.C. Electronic programming guides combining stored content information and content provider schedule information
US9503785B2 (en) 2011-06-22 2016-11-22 Nagrastar, Llc Anti-splitter violation conditional key change
US8850476B2 (en) 2011-08-23 2014-09-30 Echostar Technologies L.L.C. Backwards guide
US8627349B2 (en) 2011-08-23 2014-01-07 Echostar Technologies L.L.C. User interface
US8660412B2 (en) 2011-08-23 2014-02-25 Echostar Technologies L.L.C. System and method for dynamically adjusting recording parameters
US8437622B2 (en) 2011-08-23 2013-05-07 Echostar Technologies L.L.C. Altering presentation of received content based on use of closed captioning elements as reference locations
US8763027B2 (en) 2011-08-23 2014-06-24 Echostar Technologies L.L.C. Recording additional channels of a shared multi-channel transmitter
US9185331B2 (en) 2011-08-23 2015-11-10 Echostar Technologies L.L.C. Storing multiple instances of content
US9621946B2 (en) 2011-08-23 2017-04-11 Echostar Technologies L.L.C. Frequency content sort
US8959566B2 (en) 2011-08-23 2015-02-17 Echostar Technologies L.L.C. Storing and reading multiplexed content
US8447170B2 (en) 2011-08-23 2013-05-21 Echostar Technologies L.L.C. Automatically recording supplemental content
US9357159B2 (en) 2011-08-23 2016-05-31 Echostar Technologies L.L.C. Grouping and presenting content
US8819722B2 (en) * 2012-03-15 2014-08-26 Echostar Technologies L.L.C. Smartcard encryption cycling
US9489981B2 (en) 2012-03-15 2016-11-08 Echostar Technologies L.L.C. Successive initialization of television channel recording
US8959544B2 (en) 2012-03-15 2015-02-17 Echostar Technologies L.L.C. Descrambling of multiple television channels
US8989562B2 (en) 2012-03-15 2015-03-24 Echostar Technologies L.L.C. Facilitating concurrent recording of multiple television channels
US8793724B2 (en) 2012-11-08 2014-07-29 Eldon Technology Limited Image domain compliance
US9392319B2 (en) * 2013-03-15 2016-07-12 Nagrastar Llc Secure device profiling countermeasures
EP2802152B1 (en) 2013-05-07 2017-07-05 Nagravision S.A. Method for secure processing a stream of encrypted digital audio / video data
US9628838B2 (en) 2013-10-01 2017-04-18 Echostar Technologies L.L.C. Satellite-based content targeting
US9756378B2 (en) 2015-01-07 2017-09-05 Echostar Technologies L.L.C. Single file PVR per service ID
CN106203578B (zh) * 2015-05-08 2019-03-01 北京数码视讯科技股份有限公司 一种智能卡、智能卡应用的安全服务调用方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001519980A (ja) * 1997-03-21 2001-10-23 カナル プラス ソシエテ アノニム 条件付きアクセスシステムにおける不正なアクセスを防止する方法および装置
JP2002518896A (ja) * 1998-06-08 2002-06-25 カナル プラス ソシエテ アノニム トランスポートパケットストリームを処理するデコーダおよび方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL107967A (en) * 1993-12-09 1996-12-05 News Datacom Research Ltd Apparatus and method for securing communication systems
EP1111924A1 (en) * 1999-12-22 2001-06-27 Irdeto Access B.V. Method for controlling the use of a program signal in a broadcast system, and control device for a receiver for carrying out such a method
WO2003058956A1 (en) * 2002-01-14 2003-07-17 Koninklijke Philips Electronics N.V. Distribution of encrypted information
EP1447976B1 (en) * 2003-02-12 2019-06-19 Irdeto B.V. Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device
US7472337B2 (en) * 2005-03-22 2008-12-30 Cummins, Inc. Method and system for detecting faults in an electronic engine control module

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001519980A (ja) * 1997-03-21 2001-10-23 カナル プラス ソシエテ アノニム 条件付きアクセスシステムにおける不正なアクセスを防止する方法および装置
JP2002518896A (ja) * 1998-06-08 2002-06-25 カナル プラス ソシエテ アノニム トランスポートパケットストリームを処理するデコーダおよび方法

Also Published As

Publication number Publication date
EP1730961B1 (en) 2013-08-21
CN100592786C (zh) 2010-02-24
BRPI0508600A (pt) 2007-07-31
ES2434326T3 (es) 2013-12-16
CN1930879A (zh) 2007-03-14
US20080298585A1 (en) 2008-12-04
BRPI0508600B1 (pt) 2018-10-23
US7684567B2 (en) 2010-03-23
KR101120689B1 (ko) 2012-03-23
EP1575293A1 (en) 2005-09-14
KR20060135808A (ko) 2006-12-29
WO2005091633A1 (en) 2005-09-29
EP1730961A1 (en) 2006-12-13

Similar Documents

Publication Publication Date Title
JP2007528170A (ja) スマートカード動的管理
EP1562318B1 (en) System and method for key transmission with strong pairing to destination client
US9608804B2 (en) Secure key authentication and ladder system
US9461825B2 (en) Method and system for preventing revocation denial of service attacks
US8831219B2 (en) Method of transmitting an additional piece of data to a reception terminal
EP2227015B1 (en) Conditional entitlement processing for obtaining a control word
US7660986B1 (en) Secure control of security mode
CN1282489A (zh) 用于保护通过nrss接口的音频/视频数据的方法
EP2724546B1 (en) Receiver software protection
CN105491409B (zh) 一种数字电视系统中增强ca系统
US10970367B2 (en) Strong authentication of client set-top boxes
CN102714593B (zh) 控制字符的加密方法、传送方法及解密方法和用于执行这些方法的记录媒体
US11308242B2 (en) Method for protecting encrypted control word, hardware security module, main chip and terminal
RU2554825C9 (ru) Способ определения незаконного применения устройства обработки системы безопасности
RU2542934C2 (ru) Способ передачи, способ приема и способ идентификации, процессор безопасности и носитель записи данных для этих способов
JP4521392B2 (ja) デコーダ及びスマートカードに関連した有料テレビジョンシステム、そのようなシステムにおける権利失効方法、及びそのようなデコーダに送信されたメッセージ
EP2724528B1 (en) Anti-splitter violation conditional key change
TWI510045B (zh) 一種保護方法及用於執行這種保護方法的解密方法、記錄媒體與終端
EP3053343B1 (en) Descrambling of data according to the properties of the control words
KR101980928B1 (ko) 디지털 전송 스트림의 디스크램블링 콘텐츠 패킷용 보안 모듈 및 암호 시스템 및 방법
MXPA06010181A (en) Smartcard dynamic management
KR20110044011A (ko) 디지털 방송 수신기의 단말기 인증 시스템 및 방법

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071205

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20071126

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110325

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110627

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110704

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110725

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110803

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20110825

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110930

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120217

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120706