TW200401203A

TW200401203A - Safe data exchange method between two devices

Info

Publication number: TW200401203A
Application number: TW092115885A
Authority: TW
Inventors: Marco Sasselli; Christophe Nicolas; Olivier Brique
Original assignee: Nagracard Sa
Priority date: 2002-06-12
Filing date: 2003-06-11
Publication date: 2004-01-16
Also published as: BR0311813A; EP1529369A1; CA2488837A1; KR20050010860A; US20060190726A1; ZA200409819B; US20130101120A1; SG105005A1; DE60308384D1; AU2003240205B2; IL165598A0; KR101009523B1; CA2488837C; US8522028B2; WO2003107585A1; ATE339819T1; BRPI0311813B1; RU2004135376A; IL165598A; CN1659821A

Description

200401203 (1) 玖、發明說明【發明所屬之技術領域】本發明係相關於一彼此連接之兩裝置之間之安全資料交換方法，尤其相關於一接收器與一安全模組之間。本發明亦係相關於一設計用於實現一根據本發明之方法之接收器。【先前技術】目前存在之安全方法允許資料在比如一接收器與一安全模組之兩裝置之間被交換，例如在付費電視之領域。此種方法尤其被描述於已發表之國際專利申請案第 WO 9 7/3 8 5 3 0號中。依據此方法，接收器含有一公共非對稱加密鎖鑰而安全模組含有一相對應之私密非對稱加密鎖鑰。在此方法之初始階段，也就是舉例來說當安全模組嵌入接收器時，接收器會產生一隨機號碼A與一隨機鎖鑰 Ci。這兩個隨機元件經接收器之公共鎖鑰加密後，便以加密之形式被送至安全模組。接著隨機號碼與隨機鎖鑰再藉由私密鎖鑰解密。如一特定實施例，隨機號碼A經私密鎖鑰解密後，可藉由安全模組中之隨機鎖鑰C i加密，並送回至接收器，再藉由相同之初始產生之隨機鎖鑰解密。在此階段得到之隨機號碼A'則與A相比較，A是由接收器所產生用以確認該安全模組相同於須與該接收器共用之安全模組。當另一個安全模組與此接收器共用時，則兩隨機號碼A與 -5- (2) (2)200401203 Α Ί夸無法相對應，而通訊也會中斷。若安全模組與接收器經確認而可互相交換資料，隨機鎖鑰c i即會用作一時段鎖鑰，也就是說在此段期間所有資料都在安全模組與接收器之間以安全的形式交換，例如直到此安全模組再被隨機鎖鑰加密而撤銷。此種實施形式呈現出安全上的缺失。事實上，接收器並不被認爲是一種可靠的元件，它與安全模組不同而可能藉由科技裝置或電腦分析來決定公共鎖鑰。因此有可能改變接收器並產生一預定的公共鎖鑰而非隨機鎖鑰Ci。在這種情形下，與安全模組通訊之確認將會以一預定鎖鏡實行。以此種方式，"隨機〃的鎖鑰Ci已被預知，而訊息也將被解密，同時，尤其是在付費電視的領域，系統運作所必須的資料，特別是 ''控制碼〃將被解密而使得第三人能夠得知，例如經由使用一種區域網路諸如網際網路。同時必須注意隨機鎖鑰Ci是一種對稱型鎖鑰。當鎖鑰已知’不論是因爲它已被預定，或是因爲它被以其他方式獲得，它都可以用來同時譯解由接收器產生以及來自安全模組之訊息。本發明則提出藉由特別複雜的未授權資料解密方式以避免此種因提供一在一接收器與一安全模組間之安全資料傳送過程所生之缺失。【發明內容】 -6- (3) 200401203 這項目標的達成，是藉由一彼此連接之兩裝置之間之安全資料交換方法，特別是在一安全模組與一接收器之間，其中第一裝置包含至少一對非對稱加密鎖鑰中之一第一加密鎖鑰，而第二裝置包含至少該對非對稱加密鎖鑰中之一第二加密鎖鑰，這些鎖鑰已先在第一及第二裝置中初始化，此方法由下述步驟組成：一於第一裝置中產生至少一第一隨機號碼，

-於第二裝置中產生至少一第二隨機號碼， -藉由該第一加密鎖鑰將該第一隨機號碼加密， -藉由該第二加密鎖鑰將該第二隨機號碼加密，一傳送該已加密之第一隨機號碼至第二裝置， -傳送該已加密之第二隨機號碼至第一裝置，一於該第二裝置中解密已加密之第一隨機號碼， -於該第一裝置中解密已加密之第二隨機號碼，

-合倂由其中一裝置產生以及來自另一裝置之該二隨機號碼以產生一時段鎖鑰， -以及使用時段鎖鑰以將全部或部分在該第一與第二裝置之間之交換資料加密。【實施方式】圖示1 0以圖形呈現一安全模組而圖示11則爲一接收器。安全模組10與接收器Π將在後文中共同稱作裝置。如專家們所知，安全模組1 0尤其可以是一微晶片卡的形式或是一含有一晶片之模組諸如已知稱作序列化硬體鎖之 (4) (4)200401203 連接器。很淸楚地，其他具體實施例亦能夠被想像出而無需脫離本發明之範疇。此安全模組1 〇包含一對非對稱鎖鑰中之一私密非對稱鎖鑰PAKV。此鎖鑰可置入安全模組〗〇，例如在模組製造之時或更早的階段，置於一資料管理中心或藉由在該管理中心與安全模組之間之一安全連結。它將被儲存在模組中的非揮發性記憶體。接收器11，尤其是在付費電視的案例，一般是由一盒體連接至一電視機所組成。它包含一來自該對非對稱鎖鑰之一公共非對稱鎖鑰PAKB。此公共鎖鑰因此與安全模組之私密鎖鑰相配對。此公共鎖鑰一般是於接收器製造時或在受保護的環境下於初始期間所程式化而得。它亦可安全地遙控地藉由廣播載入。尤其是在付費電視的領域，我們期望一接收器僅能和一安全模組運作。這可以避免載於安全模組中之屬於某一被受權者之授權用於數個屬於其他被受權者之接收器。爲了這個理由，安全模組和接收器被以一種一安全模組僅能和I 一接收器作用且反之亦然之方式而配對。這種配對之完成是藉由一對非對稱鎖鑰，其中一個載於安全模組而另一個載於接收器中。原則上，這對非對稱鎖鑰是獨一無二的。然而’實務上，當使用者的數量非常多時，是有可能有幾次產生相同的一對鎖鑰，以使交換授權之可能性保持於相當低的水準。藉由使用一種補充性對稱鎖鑰，此種風險可被設定至零，請參考如圖4所述。如圖一所揭露之實施例，本發明之步驟以下述之方式 -8- (5) 200401203 發生：當通訊在兩個命名爲安全模組1 〇與接收置間初始時，安全模組首先產生一隨機號碼A。加以圓圈代表。此隨機號碼於安全模組中以 PAKV加密，以此方式而得到一隨機加密號碼 P AKV ( A ))。再傳輸至接收器1 1。隨機加密接收器中以公共鎖鑰PAKB解密，而得到初始隨〇相反地，接收器1 1產生一隨機號碼B，在加以圓圈代表。此隨機號碼B於接收器中以 P A K B加密。因以而得到一隨機加密號碼b，（ (B ))。再傳輸至安全模組1 0。隨機加密號碼模組中以私密鎖鑰PAKV解密，而得到初始隨機以這種方式’無論安全模組或接收器都不能由安全模組產生的隨機號碼A與接收器產生的隨。此一隨機號碼以某一方式組合而用以產生新隨並將會在第一實施例中用作一時段鎖鑰s K。此以兩個數字的簡單連鎖而實現，採用集i OREXCLUSIVE功能或其他每一個適合的組合方：因而產生之時段鎖鑰S K則用以確保在安全收器之間之安全通訊。

此實施例提供使用者很大的安全性，因爲要於安全模組中之私密鎖鑰被認爲是不可能的。即置入一預定之號碼取代接收器中之隨機號碼B，置入一預定之號碼取代安全模組中之隨機號碼A 器Π之裝在圖一中私密鎖鑰 A ' ( A 1 — 號碼A’在 ί機號碼A :圖一中亦公共鎖鑰 B ' = P A K B B’在安全號碼B。 :單獨處理 ί機號碼B 機號碼，種組合可会或排除式。模組與接知道存在使有可能也不可能 (6) (6)200401203 在一類似方法，以複雜的科技機構，我們可以預定公共鎖鏡PAKB ’但我們無法推算私密鎖鑰PAKV。因此，各裝置分別產生一隨機號碼並且這些號碼以非對稱鎖鑰加拾的事實’避免了以置入鎖鑰和隨機號碼而朦騙裝置。如圖二之實施例’就像圖一之實施例，隨機號碼是由各裝置分別產生。隨機號碼以相對應之鎖鑰加密並且以加密形式被傳送至另一裝置。被接收器1 1收到之隨機號碼 A接著被再度加密，這次是以公共鎖鑰p a κ B加密，以此方式而得到一新加密號碼A，’（ A " = P A K B ( A ))，並被送至安全模組1 0。在那裡它被藉由私密鎖鑰PAKV解密。假如各自使用在安全模組1 〇與在接收器1 1中之公共鎖鑰P A Κ B與私密鎖鑰P A KV是相配對的，因而得到的數字a會相同於安全模組原始產生之隨機號碼A。如圖二中所描述，該方法在來自將接收器1 1加密之號碼A ”解密而得之隨機號碼A 和安全模組1 〇產生之隨機號碼A之間具有一比對階段1 2 。假如這兩個號碼並不相同，可以推演出安全模組和接收器並不相配對，因此通訊或是資料傳輸必須被中斷。這是有可能發生的，例如當一安全模組被帶入一不同於與其原先相配對之接收器或是當一安全模組是由如電腦等機構所模擬時。相同地，安全模組1 〇所收到之隨機號碼B也被模組的私密鎖鑰PAKV加密，以此方式而得到一加密號碼B " (A" = PAKV ( B ))。 -10- (7) (7)200401203 接著被送至接收器1 1，在其中藉由公共鎖鑰p A K B 解密。因而得到一隨機號碼B相同於接收器1 1原始產生之隨機號碼B。如前述’此二隨機號碼在比對階段1 2中相比對。假如這兩個隨機號碼並不相同，通訊會被中斷。倘若隨機號碼的比對得到一正面的結果，這也就是說安全模組1 0是與接收器1 1相配對，則一時段鎖鑰S K將藉由組合隨機號碼A和B而產生。此時段鎖鑰S K被用來在安全模組和接收器之間更安全的通訊。此實施例呈現出隨機號碼在加密之前和之後藉由安全模組1 〇與接收器丨〗相比對的優點。以這種方法，甚至即使第三人盜用接收器的公共鎖鑰，也不能用以解密在安全模組與接收器之間交換的訊息。同樣地，如果一安全模組被用於非預期之接收器，那麼資料將無法解密。在圖三之方法中，如先前所述之隨機號碼已被加入，例如如圖一及圖二所述之隨機號碼A，以及各具有嵌入功能之b和c兩部分。b爲一在安全模組10中產生之隨機號碼。c爲一固定之預設號碼，稱作、原型-，它被記憶於安全模組1 0和接收器1 1中。此原型例如可以是由〇或 1之序號所組成。如第一實施例，此三項元件，名爲隨機號碼A，隨機號碼b以及原型c藉由私密鎖鑰PAKV加密。因而得到一號碼A-，其中 A- = PAKV(A，b，c)。此號碼A-被傳送至接收器11，在其中它被藉由公共鎖鑰PAKB解密。如果安全模組1 〇與接收器1]是相配對的，解密結果必將是 -11 - (8) (8)200401203 三個號碼A，b以及c。既然號碼c爲一已知之預設値’ 接收器可以很輕易地執行此數値的確認。爲了達成此目標，接收器將記憶於接收器中的數値c和解密後所得的數値進行比對。倘若此二數値並不相同，則與安全模組的資料交換將會停止。隨機號碼b被送回安全模組1 0作確認。因此，首先它在接收器1 1中藉由公共鎖鑰PAKB加密，而得到一號碼b1’（ b” = PAKB ( b ))。此號碼b”接著被送至安全模組 1 0藉由私密鎖鑰PAKV解密。解密而得之號碼被與初始號碼b相比，假使此二數値並不相同，則資料的交換將會中斷。如第二實施例，此三項元件，名爲隨機號碼A，隨機號碼b以及原型是在安全模組1 0中分別藉由私密鎖鑰 PAKV加密。接著我們得到三個加密號碼。在解密時，如果安全模組與接收器是相配對的，我們會得到如前述之隨機號碼A ，隨機號碼b以及原型c。時段鎖鑰S K由一依據已知法則之組合而形成，亦即由安全模組10產生之隨機號碼A，與接收器產生之隨機號碼B，可能還有安全模組產生之隨機號碼b，及/或僅有原型c。當所有這些元件藉由安全模組1 0或藉由接收器1 1得知，時段鎖鑰S K將可形成。此實施例之優點在於能擁有不同觀點。 -12- (9) (9)200401203 一方面’它使得我們能藉由原型c，以兩裝置間之單向通訊進行安全模組1 〇與接收器1 1之配對確認。當兩裝置不相配對時，則期望儘可能越少資料進行交換，而這可藉由確S忍原型c的內容而達成。另一方面，藉由送回隨機號碼b，可以肯定地且可靠地確認兩裝置間之配對，然而並無需傳送隨機號碼A兩次。這更加增進了資料交換的安全性，因爲它使兩裝置間父換之保密資料的量降到最小。必須注意的是我們也可以僅加入原型c至隨機號碼A 。只有當存在原型c時，兩裝置間之配對確認才能夠完成。以類似的方法，我們也可以僅加入另一隨機號碼b至隨機號碼A而沒有加入原型c至隨機號碼a，而配對的確認在安全模組1 0中以隨機號碼b完成。如圖四所揭露之實施例，該方法之第一步驟以如同圖二所揭露之相同方式發生。隨機號碼A與隨機號碼B於安全模組1 0與接收器1 1中分別產生。這兩個號碼被互相交換並且以一種能保證安全模組1 0與接收器1 1相配對之方式確認。在此實施例中，安全模組與接收器更產生一對稱鎖鑰PHK，以圖示！ 3表示。隨機號碼A與隨機號碼B 並非很簡單地互相組合以得到一時段鎖鑰S K，就像圖二之實施例中一樣，而是也和對稱鎖鑰1 3組合。此三項元件之組合可以依前述之方式達成，藉由連鎖或藉由其他每一種合適之功能。依照此發明之特定形式，時段鎖鑰S K 是以對稱鎖鑰1 3加密二連鎖號碼A與B而形成（S K = -13- (10) (10)200401203 ΡΗΚ ( A，B ))。這呈現出一項優點，使得未授權之訊息解密更加困難並且避免他人處理所有這些鎖鑰而能夠得到一可用的資訊片段。裝置之安全性因而更強化。此實施例同時也相當有優勢’因爲它相對地繁瑣且難以產生非常大量的成對非對稱鎖鑰。爲了簡單起見，面對數量非常多的使用者時，指定相同之成對鎖鑰於數對安全模組與接收器是較被期望的。另一方面，對稱鎖鑰則是獨一無二的。因此，在其他的鎖鑰中使用對稱鎖鑰，可能可保證一安全模組僅與一相對應之接收器作用。是有可能記憶產生之時段鎖鑰，例如在裝置首次使用時’並且一直使用該鎖鑰。然而，爲了安全理由，建議在每次一新時段開始時產生一新鎖鑰，一時段之定義爲以兩裝置間之資料交換之開始與結束而分隔之期間。爲了更增加通訊之安全性，甚至可能依據所選擇之期間改變鎖鑰，例如規律鎖鑰或依據一定義之推演於一相同之時段期間，比如每兩個小時。因此 ’在此時段鎖鑰確認之最大期間之後，所有可能未經授權而得之資料將無法再使用。依據此發明之特定實施例，我們可以使用一 ''聰明〃安全模組或類似裝置，使我們得以量測不同之物理參數，特別是比如線性阻抗或電子耗損。其値或這些參數値在一規律的期間內被與一參考値相比。當我們注意到在此二相比的數値間有一些差異，超越 -14- (11) (11)200401203 一可容忍的水準’則我們可推演出系統上之資料存在一不相同之讀取風險。在這種情形下，雖然這不是最佳的建議，我們可以切斷所有在接收器與安全模組之間之資料交換。而一較佳之解決方案包含傳送一需求至接收器，以及要求產生一新的時段鎖鑰。假如接收器並不相符，則資料交換將被阻擋。這使我們得到一動態系統，其中所有保密資料的接觸都被監視。物理參數的量測也可被植入於接收器 cjj 〇如專家們所已知，付費電視之接收器必須包括一運算單兀，一唯讀記憶體，一解多工器（demultiplexer)，一解碼器、一數位/類比轉換器、一外部記憶體及一聲音影像解碼器。在目前的系統中，運算單元，唯讀記憶體以及解碼器可被容納於同一個電子晶片中。而在先前技術的系統中，公共鎖鑰P A K B通常被置於外部記憶體中。由於屬於非封閉式，因此有可能去讀取或是修改其內容，而可能產生未授權資料被讀取的風險。爲了使風險降到最小，公共鎖鑰P A K B以及或是對稱鎖鑰1 3可較有利地不被置於唯讀記憶體或解碼器中。如此大大地增進了安全性，因爲，欲修改鎖鑰之中之任一個 ’必須要改變電子晶片，從經濟的觀點來看這並不很有吸引力’並且暗示我們可提供僞造晶片。因而通訊安全性是特別地有效的。必須注意的是，如下所述’圖四中代號1 3的鎖鑰被描述爲一對稱鎖鑰。然而仍有可能使用一對非對稱鎖鑛取 -15 - (12) 200401203 代此對稱鎖鑰。在此案例中，我們採用兩對非對稱鎖鑰。其中一對鎖鑰爲了使用者們可以是一般的而另一對則是5蜀一無二的。這兩對也可以都是獨一無二的。如上例所述，第一裝置對應於安全模組而第二裝置室寸應於接收器。很淸楚的，假使第一裝置爲接收器而第二裝置爲安全模組時，依據本發明之實施方法仍會以相同方式運作。

【圖式簡單說明】本發明及其優點可參考本發明之不同個別實施例與附圖而將會更易於了解，其中： —圖一爲本發明之第一實施例；一圖二爲本發明之第二實施例； -圖三以圖形表現出一種如同依據本發明所述方法之數字結構；

一圖四爲本發明之第三實施例。主要元件對照表

10 安全模組 11 接收器 12 比對階段 13 對稱鎖鑰PHK -16 -

Claims

200401203 (1) 玖、發明說明 1 . 一種資料交換方法，其係在彼此相連接之兩裝置，特別是在一安全模組與一接收器之間安全交換資料，其第一裝置（1 0 )包含至少一對非對稱鎖鑰中之第一加密鎖鑰（PAKV )，而第二種裝置（1 1 )包含至少一對非對稱鎖鑰中之第二加密鎖鑰（PAKB )，此等鎖鑰係預先於該第一及第二裝置中初始化者，此方法包括下述步驟：一於第一裝置（1 〇 )中產生至少一第一隨機號碼（A )，一於第二裝置（11)中產生至少一第二隨機號碼（B )，一藉由該第一加密鎖鑰（PAKV )將該第一隨機號碼 (A )加密，一藉由該第二加密鎖鑰（PAKB )將該第二隨機號碼 (B )加密，一傳送該已加密之第一隨機號碼（A')至第二裝置（ 11)，一傳送該已加密之第二隨機號碼（B ’）至第一裝置（ 10)， -於該第二裝置（1 1 )中解密已加密之第一隨機號碼 (A')，一於該第一裝置（〗〇 )中解密已加密之第二隨機號碼 (B1 )，一合倂由其中一裝置（10, _11)產生以及來自另一裝 -17- (2) (2)200401203 置之該二隨機號碼（A ’ B )以產生一時段鎖鑰（s κ )， -以及使用時段鎖鑰（S K )以將全部或部分在該第 —與第一裝置（1 0 ’ 1 1 )之間之交換資料加密與解密。 2 _如申請專利範圍第1項之資料交換方法，其中以 - 第一裝置（1〇)產生’且以第二裝置（11)解密之隨機號碼（A ) ’ 一係藉由該第二加密鎖鑰（PAkb )以該第二裝置（ 1 1 )加密，一係以加密形式傳送至該第一裝置（1 〇 )，魯係於該第一裝置（i 〇 )中藉由該第—加密鎖鑰（ PAKV )解密，以及 —係與藉由該第一裝置（10)所產生之隨機號碼 )相比較’並且，若經比較之隨機號碼並不相同，則資料傳送將停止。 3' 申請專利範圍第1項之資料交換方法，其中以第n獎窗/ —衣直（11)產生，且以第一裝置（10)解密之隨機號碼（B )， % —係藉由該第一加密鎖鑰（PAKV )以該第一裝置（ ]0 )加密，係以加密形式傳送至該第二裝置（11 )， —係於該第二裝置（1 1 )中藉由該第二加密鎖鑰（ PAKB)解密'，以及 ~係與藉由該第二裝置（Π )所產生之隨機號碼（B )相比較’並且，若經比較之隨機號碼並不相同，則資料 -18- (3) (3)200401203 傳送將停止。 4 如申請專利範圍第]項之資料交換方法，其中該第一裝置（1 〇 )與該第二裝置（1 1 )包含一對稱加密鎖鏡 (13)，其中該隨機號碼（A，B )係與該對稱鎖鏡（i 3 )相組合，以產生一時段鎖鑰（S K )。 5 ·如申請專利範圍第1或4項之資料交換方法，其中該組合係一連鎖者。 6-如申請專利範圍第1項之資料交換方法，其中該時段鎖鏡（S K )係被儲存而功能爲一使用決定參數。 7.如申請專利範圍第6項之資料交換方法，其中該使用決定參數係爲使用期間。 8 ·如申請專利範圍第1項之資料交換方法，其中至少兩裝置（1 0 ’ 1 1 )之一將量測至少一通訊之代表性物理參數’比如線性阻抗及/或電子耗損，並將測得數値與參考數値相比’且當測得參數與參考數値之不同大於一限制値時係相關於資料交換者。 9 如申請專利範圍第8項之資料交換方法，其中其係關於使兩裝置（1 〇，；!丨）之間之資料交換停止。 10.如申請專利範圍第6或8項之資料交換方法，其中使用決定參數係爲通訊之代表性物理參數。 11 如申請專利範圍第1項之資料交換方法，其中 —至少5亥兩裝置（10，之一產生至少一補充隨機號碼（b)，該補充隨機號碼係被該第一加密鎖鑰（PAKV )加 (4) (4)200401203 密， -該補充加密隨機號碼係被傳送至該第二裝置（} i } -該被傳送之補充加密隨機號碼係於該第二裝g (丨^ _ )中解密，一該解密之補充隨機號碼係被該第二加密( PAKB )力口密， -該補充加密隨機號碼係被傳送至該第一裝置（1 〇 > -該第一裝置解密之補充隨機號碼係與於該第—^ s 初始產生之補充隨機號碼（b )相比較， -若比較結果顯示該二隨機號碼並不相同，_胃$ & 換將會中斷。 12.如申請專利範圍第1項之資料交換方法，其+ 一至少該兩裝置（10，11)之一決定至少一預定固定號碼（C )並記憶於該兩裝置（1 0，Π )中，一該預定固定號碼（C )係藉由該第一加密銷'冑< ® PAKV)加密， -該預定固定加密號碼係傳送至該第二裝置（1丨}， - -該被傳送之加密預定固定號碼係於該第二裝g ( } ι )中解密，一於該第二裝置中解密之該預定固定加密號碼係與^ 憶於該第二裝置之預定固定號碼相比較， -若該相比較之二號碼並不相同時，則資訊交換將命 -20- (5) (5)200401203 中斷。 1 3 .如申請專利範圍第1 1或1 2項之資料交換方法，其中各號碼（A，b，c )係分別被加密。 1 4 .如申請專利範圍第1 1或1 2項之資料交換方法，其中各號碼之組合係被加密。 1 5 . —種用於實現如申請專利範圍第1至1 4項中任一項之資料交換方法之接收器，該接收器包含至少一運算單元，一唯讀記憶體，一解多工器demultiplexer，一解碼器，一數位/類比轉換器，一外部記憶體及一聲音影像解碼器，其特徵在於至少有該運算單元，該唯讀記憶體及該解碼器包含於同一電子晶片中，及因此，至少一加密鎖鑰 (PAKB，1 3 )係儲存於該電子晶片中。 1 6 .如申請專利範圍第1 5項之接收器，其中至少一號碼（A，b，c )係儲存於該電子晶片中。