SISTEMA PARA RECIBIR DATOS DIGITALES DE RADIODIFUSIÓN QUE COMPRENDE UNA TERMINAL DIGITAL PRINCIPAL Y AL MENOS UNA TERMINAL DIGITAL ESCLAVA DESCRIPCIÓN DE LA INVENCIÓN Descripción La presente invención se refiere a un sistema para recibir datos digitales de radiodifusión que comprende una terminal digital principal y al menos una terminal digital esclava conectada a la terminal principal. El mercado para los decodificadores digitales de televisión está llegando actualmente a un punto de transición. La mayoría de los suscriptores, especialmente en los países europeos, están equipados con una sola terminal digital (o "decodificador") por hogar, siendo que f ecuentemente poseen al menos dos aparatos de televisión. Por consiguiente, existe una demanda de equipos múltiples en lo que se refiere a los decodificadores para una y la misma casa. Se hace notar que subsiguientemente los términos "decodificador" o "terminal digital" designan uno y el mismo tipo de dispositivo que permite recibir y decodificar (y posiblemente restaurar) las señales digitales difundidas por un operador (en particular, un operador de televisión digital) . En la descripción subsiguiente también se usarán los términos "mezclar" / "restaurar" o "cifrar" / "descifrar"' para indicar que a los datos se les aplica un algoritmo de criptografía / descriptografía utilizando una clave . Determinados operadores de televisión digital de paga desean ofrecer a sus suscriptores la posibilidad del equipamiento con varias terminales digitales, de manera que se puedan beneficiar de sus servicios en cada uno de los aparatos de televisión instalados en su sitio, sin obligarlos, sin embargo, a pagar el precio de una suscripción de tarifa completa por las terminales adicionales, el cual sería prohibitivo, sino mas bien el de una tarifa reducida (o incluso una tarifa cero) . Sin embargo, el operador se debe asegurar de que las terminales y las suscripciones "asociadas" realmente permanezcan dentro del mismo hogar, ya que en el caso contrario su ingreso está en riesgo de verse afectado considerablemente mediante esto. Una solución conocida consiste en utilizar la "trayectoria de retorno" de las terminales digitales al requerir que el suscriptor enlace todas las terminales de su casa a una y la misma línea telefónica. El operador entonces verifica periódicamente la conexión de las terminales a esta línea telefónica mediante la instrucción remota para que las terminales efectúen llamadas telefónicas a un servidor del operador. Sin embargo, esta solución no es satisfactoria en virtud de que implica la conexión permanente de las terminales digitales del suscriptor a una linea telefónica. Otra solución que se describe en la Solicitud de Patente Francesa No. 02 09362 presentada el 24 de julio de 2002 por la misma solicitante de la presente solicitud, THOMSON Licensing S.A., consiste en garantizar que siempre existe un enlace de comunicación físico entre una terminal secundaria (o una terminal "esclava") y una terminal principal (o terminal "maestra") con la cual se encuentra emparejada. La terminal o terminales esclava (s) (para la(s) que el suscriptor se beneficia con una tarifa preferencial) no puede (n) operar, es decir, proporcionar datos francos al aparato de televisió . al que se encuentran conectadas, a menos que se verifique que la terminal "principal" a la que se encuentran emparejadas se encuentra presente en proximidad. Son imaginables diversas estrategias de comunicación entre estos decodificadores, pero algunas de ellas pueden exhibir riesgos de "piratería" o de "burlado". La finalidad de la presente invención es la de ofrecer una mejora a la invención descrita en la solicitud de patente precedentemente citada, que implica minimizar los riesgos de piratería o de burlado. El principio de la invención es como sigue: una terminal digital "principal" contiene una tarjeta inteligente en la cual se registran los derechos pagados por el suscriptor a la tarifa normal. Una terminal digital "esclava" contiene una tarjeta inteligente cuyos derechos, idénticos o diferentes de aquellos de la tarjeta inteligente del decodificador "maestro" han sido pagados por el mismo suscriptor de manera más económica. Esta tarifa preferencial de la suscripción del decodificador "cautivo" es otorgada por el operador con la condición de que el decodificador cautivo sea utilizado por el mismo suscriptor en el mismo sitio que el decodificador "maestro" . La idea básica en la que se funda la invención consiste en considerar que si la terminal digital "esclava" no se encuentra en la proximidad inmediata de la terminal digital "principal", entonces está siendo utilizada en un sitio diferente, y, por lo tanto, el suscriptor está violando el contrato que le permite beneficiarse de una tarifa preferencial. En virtud de la presente invención, si se detecta una situación de esta índole del uso fraudulento de la terminal digital "esclava", esta última deja de operar de manera normal; en este caso ya no le permite mas al suscriptor acceder a todos los servicios que se supone que debe recibir (imagen y sonido) . Se notará que la invención se puede instrumentar entre una terminal digital principal y varias esclavas, si el operador permite esto. Por consiguiente, la invención se refiere a un sistema para recibir datos digitales de radiodifusión que comprende una terminal digital principal y al menos una terminal digital esclava conectada a la terminal principal mediante un enlace, y capaz de recibir datos digitales protegidos. De conformidad con la invención, la terminal digital esclava solamente puede acceder a los datos protegidos si la información necesaria para el acceso a estos datos, y recibida por la terminal digital principal, es enviada por via de este enlace a la terminal digital esclava dentro de un plazo predeterminado. Los datos digitales protegidos son en particular los servicios de televisión mezclados mediante claves, y la información para el acceso a los datos protegidos son en particular mensajes que contienen derechos de acceso a los servicios, o sino parámetros que permiten la extracción de estos mensajes de los datos recibidos, o sino mensajes que contienen una parte de los derechos de acceso. En una forma de realización particular de la invención, la información necesaria para el acceso a los datos protegidos que es recibida por la terminal digital principal se origina en el sistema de difusión de datos. Ventajosamente la información para el acceso a los datos recibidos por la terminal digital principal se transforma antes de ser enviada a la terminal digital esclava . En otra forma de realización particular, la información necesaria para el acceso a los datos protegidos que es recibida por la terminal digital principal se origina en la terminal digital esclava y se transforma antes de ser reenviada a la terminal digital esclava. La operación de transformación en las formas de realización precedentes comprende, en particular, un restaurado y/o descifrado de la información en la terminal digital principal, siendo que el restaurado/descifrado se lleva a cabo con el auxilio de claves recibidas previamente por la terminal digital principal del sistema de radiodifusión. De acuerdo a una característica particular de la invención, el conteo para el plazo predeterminado se inicia a partir del despacho de un mensaje de la terminal digital esclava a la terminal digital principal. De acuerdo a otra característica, el conteo para el plazo predeterminado se inicia a partir del despacho de los datos de un mensaje por el sistema de radiodifusión a la terminal digital principal. La invención también se refiere a una terminal digital destinada a recibir datos digitales protegidos, y que solamente puede acceder a estos datos protegidos si la información necesaria para el acceso a estos datos, y recibida por otra terminal digital a la que se puede conectar, es enviada a ella por esta otra terminal dentro de un plazo predeterminado. La invención se refiere además a una primera terminal digital destinada a ser conectada a una segunda terminal digital, siendo que la primera terminal digital es capaz de recibir información necesaria para que la segunda terminal digital acceda a datos digitales protegidos, y es capaz de despachar esta información a esta segunda terminal . En suma, el mecanismo básico de la invención es como sigue: - la terminal digital principal recibe una parte de los elementos necesarios para la restauración de los servicios por parte de la terminal digital esclava; estos elementos se envían a la terminal digital esclava al amparo de condiciones bien definidas y de una manera única por vía de un enlace de comunicación físico entre las dos terminales; - si la terminal digital principal no es capaz de proporcionar estos elementos a la terminal digital esclava dentro de un plazo predeterminado, la terminal digital esclava no es capaz de acceder al servicio recibido . La invención se entenderá mejor leyendo la siguiente descripción detallada de varias modalidades. Esta descripción únicamente se da a guisa de ejemplo y se refiere a los dibujos anexos, en los que: Figura 1 representa un diagrama esquemático de un sistema de acuerdo a la invención. Figura 2 ilustra una primera modalidad de la invención . Figura 3 ilustra una segunda modalidad de la invención . Figura 4 ilustra una tercera modalidad de la invención . Figura 5 ilustra una cuarta modalidad de la invención. Figura 6 ilustra una variante de la segunda modalidad. Figura 7 ilustra una variante de la cuarta modalidad. En la figura 1 hemos representado dos terminales digitales (o decodificadores ) : una terminal principal 1 y una terminal esclava 2, las cuales se encuentran conectadas mediante un enlace 3 de comunicación. Las dos terminales reciben, por via de una antena 4 de satélite, datos digitales difundidos por un operador de servicio, en particular, datos de audio/video. Cada una de ellas comprende una tarjeta inteligente 15 / 25 insertada en un lector de tarjeta de la terminal, y en la cual almacenan derechos del suscriptor para acceso a los servicios (en particular los canales que transmiten programas audiovisuales) del operador. Los datos recibidos se encuentran mezclados de acuerdo al principio convencional de televisión digital de paga, mediante claves de mezclado (frecuentemente llamadas "palabras de control") , y las claves mismas se encuentran cifradas y se envían en mensajes calificados de EC s (acrónimo que significa "mensaje de control de derecho") con datos relacionados al servicio. Los mensajes personalizados, calificados de EMMs (que significa "mensaje de administración de derecho") permiten actualizar en cada tarjeta inteligente el "derecho" de cada suscriptor (estos derechos también se pueden recibir por vía de una línea telefónica del suscriptor a la cual se conecta la terminal, como en el caso de, por ejemplo, "pago por evento") . Para restaurar un servicio al cual tiene derecho un suscriptor, los ECMs se despachan a un módulo de control de acceso 14 / 24, el cual, en conjunción con la tarjeta inteligente 15 / 25, proporciona correspondientes claves de restauración descifradas, siendo que estas claves permiten restaurar el servicio. La tarjeta inteligente 15 / 25 contiene en realidad los elementos necesarios (tales como algoritmos y claves de descifrado) para descifrar las claves de restauración contenidas en los mensajes ECM. Las claves de restauración son dinámicas y cambian cada 10 segundos como máximo. Este período durante el cual una clave de restauración específica es válida para restaurar los datos se llama el "período de clave" o "cripto-período" . Se notará que el módulo 14 / 24 de control de acceso y la tarjeta inteligente 15 / 25 son meramente una forma de realización ejemplar del sistema de control de acceso en las terminales 1 / 2. El módulo 14 / 24 se puede realizar en un módulo removible, mismo que contiene posiblemente una tarjeta inteligente o un procesador seguro y destinado a ser enchufado al decodificador (por ejemplo, un módulo de acuerdo al estándar DVB-CI, que significa "Interfaz Común de Difusión de Vídeo Digital", o de acuerdo al estándar NRSS-B, que significa "Estándar de Seguridad Nacional Renovable") . De igual manera, la tarjeta inteligente 15 / 25 removible se puede sustituir con un procesador seguro integrado en la terminal 1 / 2. En la figura 1, los datos digitales mezclados son recibidos por un sintonizador/desmodulador 10 / 20 en cada terminal 1 / 2. Un dispositivo de desmultiplexión y filtración 11 / 21 extrae los mensajes ECM y EMM de los datos recibidos, los cuales se dirigen al módulo 14 / 24 de control de acceso. Este módulo 14 / 24, en conjunción con la tarjeta 15 / 25, descifra las claves de restauración para poder enviarlas a un restaurador 12 / 22, el cual recibe los datos A/V de audio/vídeo del módulo 11 / 21 de desmultiplexión y filtración. En virtud de las claves de restauración recibidas del módulo 14 / 24, el restaurador 12 / 22 puede restaurar los datos A/V y enviarlos a un decodificador, en particular un decodificador MPEG 13/23 que emite señales de audio/vídeo francas para un aparato de televisión . De conformidad con la invención, en la terminal principal 1 y en la esclava 2 se encuentra un módulo para administrar la aplicación de emparejamiento 17 / 27. Administra las comunicaciones entre las dos terminales, y en particular la transferencia de la información de la terminal principal a la terminal esclava de modo que permite que la terminal esclava acceda a los datos recibidos. Este módulo también controla el tiempo que transcurre antes de la recepción de esta información, de manera que bloquea la operación de la terminal esclava si la información no se recibe dentro del plazo fijado. Un puerto 16 / 26 de comunicación dispuesto en cada terminal administra el enlace entre las dos terminales. Figura 2 ilustra una primera modalidad de la invención basada en los EMM. Consiste en proporcionar los derechos (EMMs) de la terminal digital esclava 2 por vía de la terminal digital principal 1 y del enlace 3 de comunicación de emparejamiento en lugar de por vía de una antena 4 de satélite. En la práctica, durante una primera etapa 200 la terminal digital esclava 2 recibe por satélite, del sistema 5 de difusión, un mensaje "EMM (eliminar derechos)" que suprime todos o parte de los derechos de su tarjeta inteligente 25. Inmediatamente después, durante la etapa 201, recibe una partida de información "mensaje (petición de derechos de (terminal) principal)" que debe enviar a la terminal principal 1 por via del enlace 3 físico (etapa 202) . La terminal digital principal utiliza esta partida de información para captar un EMM enviado un poco mas tarde (etapa 203). Este mensaje "EMM (derechos de esclava)" entonces se envía inmediatamente de regreso a la terminal digital esclava vía el enlace 3 de comunicación durante la etapa 204. El mensaje "EMM (derechos de esclava)" permite a la terminal esclava 2 actualizar sus derechos en su tarjeta inteligente en la etapa 205. Preferiblemente, el mensaje "EMM (derechos de esclava) " se envía durante la etapa 204 mientras está protegido mediante el cifrado. Por ejemplo, se supone que los módulos para administrar las aplicaciones de em arejamiento 17 y 27 que se encuentran presentes en las terminales 1 y 2 poseen cada uno una clave secreta compartida por los dos módulos 17 y 27. El módulo 17 cifra el mensaje "EMM (derechos de esclava)" con la clave secreta antes de despacharlo por el enlace 3, y el módulo 27 lo descifra con la clave secreta al recibirlo. Esta clave secreta compartida puede haber sido recibida del sistema 5 de difusión en E Ms específicos, o puede haber sido programada en las terminales 1 y 2 al momento de su manufactura o cuando se pusieron en servicio. De acuerdo al principio de la invención, si la respuesta de la terminal principal 1 no se recibe antes del vencimiento de un plazo (plazo máximo At) , el decodificador cautivo se bloquea (etapa 206) hasta el siguiente envío de EMMs. Se notará que la frecuencia de envío de los EMMs puede ser pequeña (uno o varios días) . Además, el plazo máximo At de vencimiento debe ser suficientemente largo para que las terminales digitales tengan tiempo de procesar la información y suficientemente corto para que un retardo introducido por un intermediario de tipo red de Internet sea prohibitivo, y bloquee la terminal esclava. Un plazo At del orden de, por ejemplo, un segundo, puede ser adecuado. La figura 3 ilustra una segunda modalidad de la invención, asimismo basada en EMMs.
Consiste en proporcionar en la terminal digital esclava 2 la información de filtración para los EMMs por medio de la terminal principal 1 y del enlace 3 de comunicación de emparejamiento. Durante una primera etapa 301, la terminal esclava 2 recibe del sistema 5 de difusión un mensaje ? ? (suprimir derechos)", que cancela toda la parte de los derechos de su tarjeta 25. Inmediatamente después, durante la etapa 302, la terminal principal recibe y retorna (etapa 303) un mensaje que contiene los parámetros de filtración para los EMMs "mensaje (información para filtración de EMMs a esclava) " de la terminal esclava, siendo que esta información se debe despachar a la terminal esclava por vía del enlace 3 de comunicación dentro de un tiempo de respuesta máximo determinado. Entonces la terminal digital esclava 2 inicializa (etapa 304) sus filtros (contenidos en el módulo 21 de desmultiplexor/filtros ) con los parámetros recibidos. Preferiblemente, el mensaje enviado en la etapa 303 está protegido mediante cifrado de la misma manera (expuesta en lo anterior) como la que se emplea para proteger el mensaje enviado en la etapa 204 de la figura 2. Cuando, en la etapa 305, los derechos ("EMM (derechos de esclava)") son entonces difundidos mediante el operador de servicios (desde el sistema 5 de difusión) a la terminal esclava 2, esta última, en virtud de la información recibida de la terminal principal puede captar el EMM que contiene los derechos de la tarjeta 25 "esclava" y actualizar sus derechos en la etapa 306 para asi seguir operando de manera normal . Si la terminal digital esclava 2 no ha recibido la información para filtración de EMMs antes del vencimiento del tiempo de respuesta máximo impuesto para que la terminal principal los envié de regreso, los derechos de la terminal esclava 2 no se restauran, y ya no opera de manera normal. En la práctica, el tiempo máximo de respuesta se cuenta al nivel del sistema 5 de difusión entre el envió del "mensaje (información para filtración de EMMs a esclava)" y el envió del mensaje ???? (derechos de esclava)". Este tiempo máximo de respuesta es, por ejemplo, del orden de un segundo, y puede variar de un sistema a otro. Es posible visualizar otras variantes sencillas: por ejemplo, la terminal principal recibe del sistema 5 de difusión una parte del EMM (respectivamente del ECM) de la terminal esclava, luego lo envía de regreso a la terminal esclava dentro de un período de tiempo limitado. La figura 4 ilustra una tercera modalidad de la invención, ahora basada en los ECMs en lugar de en los EMMs. De acuerdo a este método, los ECMs que contienen las claves de restauración necesarias para restaurar los datos de audio/vídeo del programa seleccionado en la terminal esclava 2 no se descifran en la terminal esclava (mediante el módulo 24 de control de acceso en conjunción con la tarjeta inteligente 25) , sino que en la terminal principal 1 (mediante el módulo 14 de control de acceso en conjunción con la tarjeta inteligente 15) . Los elementos (claves y algoritmos) necesarios para descifrar las claves de restauración solamente están contenidos en la terminal principal (mas precisamente, en su tarjeta inteligente 15) . En la práctica, y como se ilustra en la figura 4, cuando la terminal esclava 2 recibe un ECM con el flujo de datos mezclados que contiene, en particular, programas audiovisuales (etapa 401), el ECM (o solamente las claves de restauración cifradas que contiene) se despacha inmediatamente a la terminal principal 1 por vía del enlace 3 físico (etapa 402). A continuación las claves de restauración son descifradas en la etapa 403 con el auxilio de los elementos que contiene la tarjeta inteligente 15. Luego, durante la etapa 404, las claves de restauración descifradas de esta manera se retornan a la terminal esclava 2, la cual de esta manera puede inicializar al restaurador 22 para el siguiente cripto-período (o "período de clave") . La restauración de los programas puede de esta manera llevarse a cabo exitosamente en la etapa 405.
Si en cambio las claves de restauración descifradas no son recibidas a tiempo por la terminal esclava 2, ésta última no puede restaurar los datos que contienen los programas que recibe. La operación que se describe en lo anterior se repite para cada cripto-periodo (o "periodo de clave"), y las etapas 406 y 407 corresponden a las etapas 401 y 402, respectivamente . Preferiblemente el mensaje que contiene las claves de restauración descifradas enviado en la etapa 404 se encuentra protegido mediante cifrado local entre la terminal principal 1 y la terminal esclava 2 de la misma manera (expuesta en lo anterior) como la empleada para proteger el mensaje enviado en la etapa 204 de la figura 2. Es posible imponer adicionalmente un intervalo de tiempo limitado (designado "tiempo máx. de respuesta" en la figura 4) , el cual puede variar de un sistema a otro y que es, por ejemplo, del orden de un segundo, entre el despacho (etapa 402) de los mensajes que contienen las claves de restauración cifradas de la terminal esclava 2 a la terminal principal 1 y la recepción (etapa 404) de las claves descifradas por parte de la terminal esclava 2. Esta restricción permite limitar las posibilidades de burlado por Internet. Las formas de realización descritas en lo anterior involucran determinadas restricciones de uso de la terminal principal: debe estar activa y capaz de recibir los mensajes EMM/ECM permanentemente, por una parte debido a que la difusión de la información por parte del sistema de difusión no es predecible a lo largo del tiempo, y por otra parte debido a que el sistema de difusión no tiene información de retorno con respecto al hecho de que estos mensajes EMM/ECM han sido recibidos por los recipientes a que están destinados. La cuarta modalidad de la invención que sigue, ilustrada por la figura 5, permite reducir estas restricciones . De acuerdo con esta modalidad de la invención, toda o parte de la información que permite a la terminal esclava 2 construir sus derechos se recibe en la forma de EMM que llamaremos "EMM (derechos de esclava parciales)" y es almacenada por la terminal principal 1. La terminal esclava 2 requerirá esta información de la terminal principal en un tiempo posterior. En la figura 5, en la etapa 501, la terminal esclava 2 recibe del sistema 5 de difusión un EMM que contiene parte de la información que permite la reconstrucción de sus derechos, y en la etapa 502 la terminal principal 1 recibe un EMM que contiene información complementaria a la que se envió a la terminal esclava 2 en la etapa 501, para reconstruir los derechos de la terminal esclava. Naturalmente que las etapas 501 y 502 se pueden llevar a cabo de manera simultánea o en orden inverso. El momento en el cual ocurre el intercambio de información entre las dos terminales se selecciona preferiblemente de una manera que asegure que este intercambio será exitoso (por ejemplo, justamente después de haber verificado que la comunicación entre los dos decodificadores es operativa y/o asegurándose de la presencia del suscriptor cerca de su terminal esclava, de manera que pueda seguir cualesquiera instrucciones). La etapa designada como etapa 503 en la figura 5 representa esta espera de un momento apropiado para transferir los derechos parciales de la terminal esclava. Sin embargo, la operación de transferencia de los derechos debe tener lugar durante un intervalo de tiempo limitado, que corresponde a la "ventana de actualización" en la figura 5 (por ejemplo, unos cuantos días) tras la llegada de los E Ms, ya que de otra manera el módulo 27 de soporte lógico de la terminal esclava cancela los derechos de su tarjeta inteligente 25. Habiendo llegado el momento apropiado (etapa 504), la terminal esclava 2 solicita la información EMM de la terminal principal 1 despachándole un "mensaje (solicitud de derechos de esclava)" durante la etapa 505. La terminal principal 1 debe devolver esta información en la forma de un "mensaje (derechos de esclava)" (despachado en la etapa 506 en la figura 5) dentro de un plazo máximo de unas cuantas decenas de milisegundos ("tiempo máximo de respuesta" en la figura 5) . Si los derechos parciales complementarios de la esclava se reciben dentro de este plazo, entonces la actualización de los derechos de la terminal esclava 2 se lleva a cabo con éxito (etapa 507) . Por otra parte, si esta información no se recibe dentro del plazo de "tiempo máximo de respuesta", entonces la terminal esclava deja de esperar nuevos derechos (etapa 508), y el módulo para administrar la aplicación 27 de emparejamiento de la terminal esclava cancela los derechos de su tarjeta inteligente 25. Preferiblemente, el mensaje despachado en la etapa 506 se encuentra protegido mediante cifrado, como se vio previamente para las otras formas de realización ej emplares . Si la ventana de actualización expira sin que se detecte un momento apropiado para la transferencia, el módulo 27 de soporte lógico de la terminal esclava también cancela los derechos que contiene su tarjeta inteligente 25 (etapa 509) . La siguiente quinta modalidad de la invención, la cual es ilustrada por la figura 6, permite reducir un riesgo relacionado con la posible emulación de los mensajes despachados por la terminal principal a la terminal esclava por un dispositivo externo. La información que se proporciona a la terminal esclava es extraída por la terminal principal del flujo difundido por el sistema de difusión. En las dos primeras formas de realización ilustradas por las figuras 2 y 3, la información recibida por la terminal principal 1 debe ser transferida a la terminal esclava 2 inmediatamente después de recibida. Un dispositivo pirata podría estar tentado a descubrir una correlación entre el mensaje que fluye por el enlace 3 de comunicación y el contenido del flujo de transporte de la difusión recibido por la terminal principal en los instantes previos, y de esta manera ser capaz de reproducir el sistema de procesamiento del flujo de transporte, para así generar un mensaje idéntico para la terminal esclava dentro de un plazo suficientemente corto. Este dispositivo podría ser, o bien una computadora equipada con un sintonizador/desmodulador/desmultiplexor, o el equivalente de otro decodificador en combinación con soporte lógico adecuado, y estar localizado en la proximidad de la terminal esclava, lejos de la terminal principal . Para prevenir que sea posible encontrar una correlación de este tipo, la información recibida por la terminal digital principal 1 debe ser transformada, de acuerdo a esta forma de realización preferida de la invención, antes de ser despachada a la terminal esclava 2. El medio mas seguro disponible en una terminal digital para llevar a cabo esta transformación es el uso del restaurador DVB 12/22 en la figura 1. En la práctica, el sistema de difusión despacha un ECM especial a la terminal principal 1, siendo que este ECM especial contiene una clave de restauración especifica destinada a restaurar un mensaje que se despacha subsiguientemente a la terminal principal 1. Este mensaje ECM se encuentra protegido de una manera en si conocida mediante cifrado. Cuando la terminal principal 1 recibe el ECM, este se descifra en una tarjeta 15 inteligente principal, para de esta manera obtener la clave de restauración especifica. El mensaje que contiene la información para la terminal esclava 2 se despacha entonces a la terminal principal 1 en paquetes de datos mezclados con la clave especifica. La terminal principal restaura estos paquetes de datos con el auxilio de la clave especifica previamente recibida. Una vez restaurados, los paquetes pueden ser procesados por la terminal principal 1 de manera que se genera el mensaje destinado para la terminal esclava 2. Este método es aplicable a todas las diversas modalidades citadas en lo precedente. En la figura 6 se encuentra aplicado a la segunda modalidad de la invención.
Durante la etapa 601, el EC que contiene las claves de restauración especificas es despachado por el sistema 5 de difusión a la terminal principal 1, luego es descifrado por la terminal principal en la etapa 602 para obtener las claves de restauración. Después de esto, las etapas 603 a 609 son similares a las etapas 301 a 306 descritas previamente en conjunción con la figura 3, a excepción del hecho que el mensaje que contiene la información para filtrar el EMM de la esclava, siendo que este último fue despachado a la terminal principal durante la etapa 604, se despacha en paquetes de datos mezclados con el auxilio de las claves especificas previamente recibidas, luego se restaura durante una etapa 605 complementaria en la terminal principal 1. También se notará que la etapa 603 que ocurre después de las etapas 601 y 602 en la figura 6 también puede tener lugar justamente antes de la etapa 601, ó entre las etapas 601 y 602. La figura 7 ilustra otra variante de modalidad que permite tomar en cuenta otro riesgo. Este riesgo que se identifica en particular para el cuarto tipo de forma de realización (descrito previamente en conjunción con la figura 5) es el de la emulación por parte de un dispositivo externo de los mensajes (del tipo "mensaje (petición de derechos de esclava)") despachados por la terminal esclava 2 a la terminal principal 1 para extraer la información parcial almacenada en la terminal principal 1 que permite reconstruir los derechos de la terminal esclava. Un dispositivo externo conectado a la terminal principal podría de esta manera emular la petición de la terminal esclava, e interceptar la respuesta de la terminal principal. Esta respuesta podría entonces ser despachada por el Internet a otro dispositivo externo enlazado a la terminal esclava, el cual entonces podría proporcionar la información correcta cuando la terminal esclava lo solicita . Para prevenir esta emulación es posible proponer, o bien el uso de un protocolo asegurado con autentificación, o más sencillamente usar, al igual que en las variantes previas, los recursos de la tarjeta inteligente y del sistema de difusión. De acuerdo al principio de esta variante de modalidad, el sistema 5 de difusión despacha a la terminal principal 1 y a la terminal esclava 2, en un momento dado (en este caso, después de haber despachado los mensajes EMM que contienen la información que permite reconstruir los derechos de la terminal esclava durante las etapas 701 y 702 - que corresponden a las etapas 501 y 502 de la figura 5) , un ECM especial que contiene una o varias claves para restaurar una clave secreta. Este ECM se despacha a la terminal esclava durante una etapa 703, y a la terminal principal durante una etapa 704. El ECM recibido por cada terminal se descifra a continuación en la tarjeta inteligente 15/25 de cada terminal (etapas 705 a 706) para obtener la clave o claves para restaurar la clave secreta. A continuación, el sistema 5 de difusión despacha a cada una de las terminales, en las etapas 707 y 708, un mensaje idéntico ("mensaje (clave secreta mezclada)") mezclado con estas claves previamente recibidas. Los mensajes que contienen la clave secreta se restauran en cada terminal 1/2 con el auxilio de las tarjetas inteligentes 15/25 y del restaurador 12/22 durante la etapa 709 y 710. Luego la terminal esclava 2 despacha a la terminal principal 1 un mensaje que contiene la clave secreta obtenida (etapa 711) . La terminal principal 1 espera este mensaje durante un intervalo de tiempo limitado indicado en la figura 7 mediante "tiempo máximo de respuesta de la esclava". Si lo recibe a tiempo, durante una etapa 712 verifica que se trata efectivamente de la clave secreta esperada al compararla con aquella que ella misma recibió, y luego, en caso de una verificación positiva, responde despachando a la terminal esclava 2 un mensaje que contiene la información necesaria para reconstruir los derechos de la terminal esclava (etapa 713) . Entonces la terminal esclava 2 puede actualizar exitosamente sus derechos en su tarjeta inteligente 25 (etapa 714) . Si la terminal principal 1 no recibió el mensaje esperado que contiene la clave secreta dentro del plazo establecido (etapa 715), o si el mensaje recibido de la terminal esclava 2 no contiene la clave secreta que la terminal principal recibió previamente del sistema 5 de difusión, no despacha la información para reconstruir los derechos de la esclava. Una vez que el mensaje fue despachado, la terminal esclava 2 espera igualmente la respuesta de la terminal principal 1 durante un intervalo de tiempo limitado indicado en la figura 7 mediante "tiempo máximo de respuesta de la principal". Si la información no llega dentro de los plazos establecidos (etapa 716) , entonces la terminal esclava 2 no actualiza los derechos de su tarjeta inteligente. Por consiguiente, un dispositivo de esta índole permite, por una parte, hacer que el intercambio de información sea impredecible, y por otra parte impone la restricción de tiempo real que previene un burlado potencial por parte del Internet. En otra variante también es posible usar el principio descrito en la figura 7 en una forma de realización diferente de aquella que consiste en despachar EMMs que contienen información parcial para reconstruir los derechos de la terminal esclava. En particular es posible estipular que el sistema 5 de difusión despache a intervalos regulares, (por ejemplo, cada semana o cada dia) , mensajes ECM como aquellos despachados en las etapas 703 y 704 a la terminal principal 1 y a la terminal esclava 2. Las etapas 707 a 712 se desarrollan de la misma manera que en la figura 7, y luego, en caso de una verificación positiva de la clave secreta en la etapa 712, la terminal principal despacha un mensaje indicando que la clave recibida es correcta. Si este mensaje se recibe después de expirado el "tiempo máximo de respuesta de la principal", o si la clave recibida no es correcta, en este caso se encuentra estipulado que la terminal esclava cancele ella misma los derechos contenidos en su tarjeta inteligente 25. La invención no está limitada a las modalidades descritas en lo precedente. En particular es posible pensar en otra variante en las modalidades ilustradas en las figuras 2, 3 y 6. En todas estas modalidades es posible, en lugar de despachar un mensaje "EMM (eliminar derechos)" al inicio del protocolo, para asi eliminar los derechos de la terminal esclava, esperar el final del protocolo y, si el plazo predeterminado pasa sin que la terminal esclava haya recibido la información necesaria de la terminal principal, entonces se puede estipular que la terminal esclava misma elimine sus derechos (por ejemplo, borrándolos de su tarjeta inteligente 25) .
Las ventajas de la invención son las siguientes: puesto que se basa en elementos de seguridad del mismo sistema de difusión (la información intercambiada entre las terminales se encuentra cifrada con secretos administrados por el sistema de difusión de datos y por las tarjetas inteligentes de las terminales digitales) , se reduce el riesgo de piratería al nivel de la tarjeta inteligente o de la terminal digital. Mas aún, ya que la invención puede depender del aspecto de "tiempo real" de la forma de realización, se reduce considerablemente el riesgo de prolongar el enlace físico entre dos terminales digitales por teléfono o red de Internet. Específicamente, el enlace físico entre las dos terminales digitales principal y esclava se podría "alargar" de manera indefinida mediante un enlace Internet: entonces el operador del servicio ya no tendría la garantía de que las dos terminales se encuentran en la misma casa de un suscriptor. Mediante la imposición, de acuerdo al principio de la invención de un plazo máximo para la transferencia de los datos, se asegura de esta manera que la información no viaja por vía de un enlace tipo Internet. Otra ventaja de la invención reside en que garantiza que cada intercambio de datos es diferente del anterior, y, por consiguiente, impredecible . Especialmente, un pirata podría estar tentado a espiar la información que es recibida por las terminales para asi emular la información esperada por la terminal digital esclava por parte de la terminal digital principal con el auxilio de un dispositivo pirata (por ejemplo, una computadora) . Puesto que la información que se intercambia entre las terminales cambia con cada comunicación, no es predecible y, por consiguiente, no puede ser emulada fácilmente por un dispositivo pirata.