TW200948013A - Method for securing messages transmitted by a transmitting terminal to a remote receiving terminal - Google Patents

Description

200948013 六、發明說明： 【發明气屬之技術領域】 發明領域 本毛明疋關於電信領域，尤其是關於一種用於保全由 5 e 10 15 20 發射〜端機發射至—遠端接收終端機的大於或等於1的η 個訊息MUi(i=i至的之方法。 本發明也是關於一種適用於將大於或等於1的η個訊息 MUi (1=1至η)發送至—遠端接收終端機之發射終端機。 本發明也是關於一種適用於接收由該發射終端機發送 的訊息MUi(i=i至η)之接收終端機。 本發明也是關於儲存在一媒體上且被設計用以在該發 射終端機中執行以在發射端使用該方法的電腦程式，以及 關於儲存在一媒體上且被設計用以在接收終端機執行以在 接收端使用該方法的電腦程式。 本發明特別著重改良通過一操作器之網路前端發射給 一用戶端之接收系統的權利管理訊息（EMM)訊息之保護。 然而，本發明尤其應用子通過通訊網路連接的實體之間的 訊息之任何傳輸之保護，獨立於該等實體與該等網路之本 質及特性。 發明背景 隨著通過通訊網路之内容分配的逐漸發展，供應商以 及接收該等内容的個人主要關心盜用該等内容之風險。 因此，以下是非常重要的：首先防止該等被分配的内 3 200948013 容具有與該等内容之存取權利之盜用的風險其次防止一 使用者篡改該等權利。 在條件存取統(CAS)類型系統巾，被分配的内容一般 在邏輯權利之控制下被拌碼且解拌碼（一使用者可在一預 5定期間存取S亥内谷），且被稱為操作金鎗的金錄被用以存取 内容。 邏輯權利及操作金鑰一般以控制存取的特定權利管理 訊息(EMM)發送至接收終端機。EMM訊息也包括預期限制 之前由使用者擁有的權利之指令。 10 存取條件一般以特定權利控制訊息（ECM)發送至接收 終端機。 EMM及ECM訊息必須由它們本身保護。 為了較佳地理解該技術領域特定的術語，參考文件： 《FUNCTIONAL MODEL OF A CONDITIONAL ACCESS 15 SYSTEM》EBU技術評論歐洲廣播聯盟、be、序號266 21， 1995年12月21日。 習知技術之一缺點在於以下事實：該等訊息可被截取 且被分析以決定用以解拌碼該等内容所需的存取條件及金 錄。因此盜用最終需要以下能力.保持一被接收的内容且 2〇 修改該被接收的内容，接著將該被接收的内容重新發送給 其接收終端機，使得該接收終端機處理該被接收的内容。 接著盜用者可能需要或找到他沒有或不再合法擁有的權 利。由於相同的目標，他也可能需要他自己計算他選擇的 訊息以及使該接收終端機處理的欺騙性訊息作為由操作器 200948013 計算出的訊息之能力。 欺詐之另一方法包含：對由操作器發送的訊息過據以 防止匕們被接收終端機上的保全處理Is處理，例如對於可 能剝奪使用者之前已獲得的權利之訊息。 5 ❹ 10 15 ❹ 防止存取控制訊息被攻擊之習知領域包含各種解決方 法’其中： -被發送的訊息之加密，使得當盜用者接收該等訊息 時’就其觀點而言，他不知道該萍息是包含正指令 還是負指令。因此，此步驟防止他決定他應線上據 除哪些訊息’因此濾除EMM較困難。 -增加被發送的訊息之加密冗餘度。這提供驗證該等 訊息已被用於授權執行此計算的一特定金鑰之一實 體計算出的方法。因此，此步驟使得盜用者選擇的 可信訊息之計算變得困難，且這防止系統被插入此 等訊息。 -就盜用者觀點而言，一個單一訊息中是正及負的指 令之邏輯組合’使得接收系統無法成功地接收正指 令’除非該接收系統之前已接收負指令。此組合是 基於盜用者處理正指令比處理負指令失敗較易被處 罰之假設。此步驟接著防止濾除包含該組合的 EMM，因此其保護該系統。 當EMM被加密時：若盜用者之前忽略了他正在處理的 訊息，則他可藉經驗決定：例如，藉將訊息發送至預留給 他測試的一接收系統。 20 200948013 他也無法將被加密的訊息發送至他的接收系統，直到 該接收系統不再運作，因此可能獲得被考慮的内容之一額 外及合法的存取時間。 在存取權利訊息藉加密冗餘度被認證之情形中在以 5 下情形中該步驟不具有任何影響： -若盜用者成功地獲得金鑰或若他成功獲得—正碟的 加密冗餘度。若該加密冗餘度對稱，則其特別可#。 -若盜用者成功獲得保全處理器處理的—訊·φ(因為 包含一正確的加密冗餘度），則被認為是可信的。藉 10 干擾接收系統之保全處理器的操作環境，這特別可 能，該接收系統被設計用以檢查可信度。例如，該 等干擾包括一突然的溫度增加、電源供應信號或時 鐘信號之變化、雷射脈衝之分量的暴露、電磁發射 或放射性微粒之輕射。 若訊息藉發送正指令與負指令之一組合給該接收終端 機被保護，則該步驟只在盜用者失去一些東西的時候是感 興趣的。特別地，一些攻擊由合法地將權利加入正式保全 處理器組成(被稱為修改式正式智慧卡(M〇sc))。在此情形 2〇中，當盜用者濾除該等訊息時，盜用者沒有失去任何訊息， 20除非操作器已改變操作金鑰。 以一多工器發送該等金鑰不是較佳地，以避免不必要 地暴露該等金瑜。 因此’一條件存取系統(C A S)防止本身受到盜用攻擊不 〜疋可能的’且特別是不期望的訊息之刪除或不應被發送 200948013 至保全處理器之訊息的插入。 本發明之目的是克服依據以上所描述的習知領域之條 件存取系統之缺點。 C發明内容】 5 ❹ 10 15 發明概要 本發明是基於代替有用訊息之概念，換言之，傳遞藉 包含以一預定順序的次訊息之訊息的一序列之被保護的有 用 > 訊之訊息以供拌碼目的（在外表上較佳地類似且具有 預疋數目），且除了被保護的訊息之外沒有傳遞用於其他 目的之任何資訊。 為了達成此，本發明推薦一保全程序給由一發射終端 機發射至一接收終端機的大於或等於1的11個訊息Mui(i=1 至n)，此程序包括以下步驟： 在發射之前，由該發射終端機： a'產生包含N個資料塊Bj(j=l至N)的一有序序列，其中 N是大於或等於n的一整數； b、對每個訊息MUi(i=l至η)’利用一函數ρ計算Ν個資料 塊之該有序序列中的一位置pi ; c'將每個訊息MUi(i=l至η)封裝到位於位置pi的資料塊 Bj中；以及 將包含sfl息MUi的該有序序列發送至該接收終端 機； 以及當接收時，由該接收終端機 e、利用該函數F重新計算封裝訊息M u i的資料塊Bj·之 20 200948013 位置pi(i=l至η); f-取出位於該被接收的有序序列中的位置pi(i=l至η) 的貢料塊Bj， g-取出封裝在該等資料塊Bj中的該等訊息MUi。 5 利用依據本發明的方法，當被該接收終端機接收的訊 息之序列不遵循預定結構時，用以增加、替換或刪除一訊 息的任何嘗試將被檢測出。 此外，若由依據本發明的一發射終端機產生的訊息之 一序列被發射至與依據本發明的接收終端機不一致的終端 10 機，則此控制訊息被發送至該接收終端機。 例如，該等控制訊息可傳遞可引起檢測或計數器-測量 操作之檢測或批准指令。檢測可以是不同的類型，例如一 曰誌之記憶體或增加一檢測計數器；計數器-測量可（例如） 包含基數之臨時不合法或毁壞。 15 較佳地，函數F是由該發射終端機與該接收終端機共用 的至少一秘密資料初始化的一偽隨機函數。 在依據本發明的方法之一第一變化實施例中，該秘密 資料被定義為數目N及/或數目η之一函數。 在一第二變化中，該秘密資料被定義為產生的有序序 20 列之至少一特定參數之一函數。 依據本發明之另一特性，該秘密資料之值可利用只為 該發射終端機已知的一序列被該發射終端機修改。 為了使接收終端機管理資料塊，該有序序列中的每個 資料塊Bj包含一標頭，該標頭表示該序列之一識別符以及 200948013 該序列中的資料塊Bj之位置。 在一變化中，該標頭也包含數目N之值以及數目η之值。 5 10

15 G 在本發明之另一變化中，該有序序列也包含封裝在位 於不同於該有序序列中的位置pi(i=l至η)之位置的一資料 塊Bj中的至少一額外訊息，在一欺騙者之動作之後沒有動 作或致能一檢測及/或一批准以轉移有用訊息]^111或嘗試此 動作。 在被設計用以增加一 C A s類型條件存取系統之保全的 依據本發明之方法的一特定應用中，該等有用訊息厘以包 含至少一EMM訊息及/或至少一ECM訊息，且該發射終端機 設置在一操作器之網路前端。 在此情形中’該等n個訊息MUi包含至少一EMM訊息及 /或至少一ECM訊息，且該等數目N&n中的至少一者以一加 密訊息發射給該接收終端機。 該發射終端機將該等n個訊息以一資料流發送至該接 收終端機，該資料流也包含拌碼視聽程式。 依據本發明的方法被一發射終端機使用，該發射終端 機設置在一操作器之網路前端，且被組配成用以將大於或 等於1的η個訊息MUi(i= 1至η)發送至一接收終端機。 依據本發明之發射終端機，包含： -用於產生包含Ν個資料塊之一有序序列的 裝置，其中Ν是大於或等於η的一整數； -用於對每個有用訊息MUi(i=l至η)利用一函數F計算 Ν個資料塊之該有序序列中的一位置pi之裝置； 20 200948013 -用於將每個訊息MUi(i=l至n)封裝在位於位置pi的資 料塊Bj之裝置； -用於將包含訊息MUi的該有序序列發射至該接收終 端機的裝置。 5 依據本發明的接收終端機包含： -用於利用該函數F重新計算封裝訊息河^^的資料塊 Bj之位置pi(i=l至η)的裝置； -用於取出該被接收的有序序列中的位置pi(i=1至η) 之該等資料塊Bj之裝置； 1〇 -用於自該等資料塊Bj取出訊息MUi之裝置。 最後，依據本發明的方法利用儲存在一媒體上且被設 計用以在該發射終端機中執行的一電腦程式實施，用以： -產生包含N個資料塊Bj(j=l至η)的一有序序列，其中 Ν是大於或等於η的一整數； 15 -對每個有用訊息MUi(i=l至η)，利用一函數F計算Ν 個資料塊之該有序序列中的一位置pi ; -將每個訊息MUi(i=l至η)封裝到位於位置pi的資料塊 Bj中； -將包含訊息MUi的該有序序列發送至該接收終端 20 機。 在接收端’依據本發明的方法利用位於一媒體上且被 設計用以在該接收終端機中執行的一電腦程式實施，用以： -利用該函數F重新計算封裝MUi之資料塊Bj的位置 Pi(i=l至η); 200948013 出°亥被接收的有序序列中的位置pi(i=l至η)之該 等資料塊; _自該等資料塊Bj取出訊息MUi。 圖式簡單說明 本毛明之其他特性及優點在閱讀以下描述之後將清 邊參考附圖作為-非限制例子給出，其中： _第1圖以圖式描述了依據被該發射終端機使用的本 發明之方法中的步驟之一般流程圖； -第2圖以圖式描述了依據本發明的資料傳輸訊息之 有序序列之兩個流程； -第3圖顯示了以圖式方式了描述依據被接收終端機 使用的本發明之方法中的步驟之一流程圖。 C贫方包】 較佳實施例之詳細說明 本發明在一條件存取(CAS)類型系統之一特定應用中 被描述。需破發射的有用訊息是傳輸秘密資料之EMM或 ECM，例如由~操作器發送幾個接收終端機的一内容之加 密/解密金H個純終端频提供—餘處理器，該保 全處理器包含用於處理由操作器發射的有用訊息之軟體。 在此情形中，操作器可使用不同的頻道用於廣播EMM 及ECM訊息。操作器可利用不同的定址模式以收信人或特 定組群的收信人為目標。因此，一EMM-GA類型訊息被定 址給-給定組群中的所有使用者(ga 一般接收者）、一 EMM-S類魏息彳蚊址給_特㈣_使用者(s‘共用）， 11 200948013 且-EMM.U類型訊息被定址給—個單—使用者⑴使用 者）。一般而言，—頻道被用以以該等定址模式中的每個廣 播EMM訊息。 注意到在一個單—宗 疋址Μ式之情形中，也可能具有不 5 10 15 20 同的EMM頻道。例如，力— 在—仃動電話上，一些訊息可以與 包含視訊的多工器之相同的多^被發送，且其他訊息可 以SMS傳輸。幾個使用者需要接收訊息也是可能的。在本

申。月案之脈絡下，發送給—使用者的每細MM U必須被認 為是一EMM頻道。 以上闡述的EMM頻道是獨立的，且每個EMM頻道具有 其本身的有序脈絡。 依據本發明的方法中的不同步驟在以下參看第1圖被 描述。 在網路前端，在步驟2中，操作器需要發送n個有用訊 息 MUi (1=1 至η)(ΕΜΜ及/或 ECM)給CAS 系統。 步驟6包含產生包含!^個資料塊Bj的有序序列。

步驟8包含利用一函數1?對每個訊息MUi(i=1至n)計算N 個資料塊之有序序列中的一位置pi。 步驟10包含將每個訊息MUi(i= 1至η)封裝到位於位置pi 中的資料塊Bj。 步驟12包括將包含訊息MUi的有序序列發送至接收終 端機。 每個接收終端機： -利用該函數F重新計算封裝訊息MUi的資料塊Bj之 12 200948013 位置Pi(i=l至η)(步驟14); -取出被接收的有序序列中佔用位置Pi(i=1至η)的負 料塊Bj (步驟16)。 -取出封裝在該等資料塊Bj中的訊息厘1^(步驟18)。 5 ❹ 10 15 ❹ 20 第2圖以圖式描述了 一第一序列流2〇以及一第二序列 流22。該第一序列流20包含具有整數數目N1個資料塊26之 一第一有序序列24，且一第二有序序列28也包含N1個資料 塊30。該第二序列流22包含一第一有序序列32以及一第二 有序序列36，該第一有序序列32包含一整數數目N2個資料 塊34，且該第二有序序列36也包含N2個資料塊38。 每個資料塊(26、30、34、38)包含形成一標頭40的一第 一子區塊以及包含該資料塊中的有用資料之一第二子區塊 42 〇 該標頭40包含一序列識別符SN、指示該序列中的一資 料塊Bj之位置的一參數〇，以及可能表示由該參數8]^識別 的序列之發射日期的一曰期。 除了有用訊息之外，步驟10中產生的有序序列之資料 塊至η)之該等子區塊42將至少一額外的訊息裝入位 於與該函數F計算出的位置pi(i=1至η)之位置不同的一位置 的貢料塊Bj中。在-欺編者之動作之後，該等額外訊息致 動檢測及/或批准以轉移有用訊息Mui或者嘗試此—動作。 雖然第2圖描述了序列之有序流程，但是在一可變實施 例中’-有序序列巾的資料塊可依據—隨機定律以一無 順序被發射。 13 200948013 雖然第2圖描述了序列之個別有序流，但是在一可變實 施例中，資料流之傳輸可被組織，使得在至少一個單一有 序序列中的，資料塊之間，！於至少另-有序序列的至少 一資料塊被發送。 5 函數F之特性。 果不應由系統外部的-觀察者預測，故 該函數較佳地被選擇是一偽隨機函數，換言之，其遵守一 偽隨機定律，自利用在發射終端機與接收終端機中具有相 等值的參數初始化的偽隨機產生器建立。

10 在依據本發明的方法之一第一可變實施例中，函數F 被保持秘密。 在此情形中，只有被操作器認證的終端機被授權在序 列流被發送之前記住該函數。 用於利用函數F計算位置pi的參數可以或可以不是秘 15 密的。 在一第二變化中’函數F是公開的’且特別地其可以文 本方式保存在終端機中或其可自一操作伺服器下載。 在此情形中’利用函數F計算位置pi的參數中的至少一 者被保持秘密且以加密形式發送給接收終端機。 20 此一函數F之一示範性結構在以下被描述。 函數F之結構是基於數目N及數目n之值的增加，換言 之，由參數SN識別出的一序列決定的位置之數目之增加， 為一十（10)之一因數。由於此決定取決於一亂數目中的連續 位元組之選擇，故十也增加此亂數目中的位元組之數目， 200948013 因此在以下描述中這被認為以16位元組編碼。 記住X模Y表示整數X除以非零整數丫值整除之餘數。 基數以Card表示，換言之一組件中的元件之數目。 我們考慮： 5 · SN，被考慮需在發射收終端機方建構或者在接收終 端機端處理的序列之識別符； -N，序列之長度； -η，該序列中的有用訊息之數目； ❹ -MU^MUj、…、MUn，該序列中需被發送的η個有 10 用訊息； -Κ，由發射及接收裝置共用的一密鑰。 . 特定用於序列SN的一亂數RAND利用一偽隨機產生器 . (例如一C加密函數）以以下形式計算出： C (K, SN) = RAND = RAND[i], 1 < i < 16 15 其中RAND[i]表示RAND中的位元組排列i _ C一般可以是： •施加給金鑰K以及序列識別符SN之級聯的散列函數 Η ;則計算出的亂數是： Η (Κ || SN) = RAND = RAND[i], 1 < i < 16 20 •利用金鑰K施加給序列識別符SN的進階加密標準 (AES)加密演算法；則計算出的亂數是： AES (K, SN) = RAND = RAND[i], 1 < i < 16 SN中的MUi之位置pi以如下形式計算出： pi = RAND[1]模N ; 15 200948013 對於1 < i < η : 2’…’ N} \ {Rj / 1 ”，所有正整數小於或等於N，沒有 之前分配的位置，換言之，所有位置仍可用； 5 令只=㈤ e Ei / V 1 S k，B Card (Ei)，k < i ㈡ Xk < xl}，相同的集合排序； 接著我們得到：Pi = x RAND[i]模(N-i+1)。 換言之： -Rl= RAND[1U^N，得到SN中的MUi之位置，在其 1〇 餘N個可能的選擇之間； _ R2=RAND[2]模N-1，得到SN中的MU2之位置，在其 餘N-1個可能的選擇之間； _ Rn= RAND[n]模Ν-η+ι ’得到SN中的MUn之位置，在 15 其餘N_n+1個可能的選擇之間。 第3圖顯示了描述儲存在接收終端機中實施該方法的 該接收終端機内的軟體中的步驟之一流程圖。 當在接收終端機執行軟體時，以下步驟可被執行。 接收N個資料塊(步驟72)。 20 步驟74包含驗證被接收的序列之結構是否合法。 若是’則函數F被保全處理器執行以決定被接收的序列 中的有用資訊之位置pi(i=l至n)是否合法（步驟76)。 在步驟78，位置pi(i=i至η)之資料塊Bj自被接收的有序 序列取出。 16 200948013 在步驟80中，有用訊息MUi自該等資料塊Bj取出。 C圖式簡單說明3 -第1圖以圖式描述了依據被該發射終端機使用的本 發明之方法中的步驟之一般流程圖； -第2圖以圖式描述了依據本發明的資料傳輸訊息之 有序序列之兩個流程； 〇 -第3圖顯示了以圖式方式了描述依據被接收終端機 使用的本發明之方法中的步驟之一流程圖。 【主要元件符號說明】 2〜18…步驟 20…第一序列流 22…第二序列流 24…第一有序序列 26…資料塊 28…第二有序序列 30…資料塊 32…第一有序序列 34…資料塊 36··‘·第二有序序列 38…資料塊 40…標頭 42…子區塊 72~80…步驟 17

Claims (1)

1. 200948013 七、申請專利範圍： 1. 一種用於保全由一發射終端機發送至一接收終端機的 大於或等於1的η個訊息MUi(i=l至η)之方法，該程序包 括以下步驟： 5 在發射之前，由該發射終端機 a-產生包含Ν個資料塊Bj(j=l至Ν)的一有序序列，其 中N是大於或等於η的一整數； b-對每個訊息MUi(i=l至η)，利用一函數F計算Ν個 ❿ 資料塊之該有序序列中的一位置pi ; 10 c-將每個訊息MUi(i= 1至η)封裝到位於位置pi的資 料塊Bj中；以及 d -將包含訊息M U i的該有序序列發送至該接收終端 . 機； · 以及當接收時，由該接收終端機 15 e-利用該函數F重新計算封裝訊息MUi的資料塊Bj 之位置pi(i=l至η) ; q f-取出位於該被接收的有序序列中的位置pi(i= 1至η) 的資料塊Bj ; g -取出封裝在該等資料塊Bj中的該等訊息M U i。 20 2.如申請專利範圍第1項所述之方法，其中該函數F是一偽 隨機函數，該偽隨機函數由被該發射終端機與該接收終 端機共用的至少一秘密資料初始化。 3.如申請專利範圍第2項所述之方法，其中該秘密資料被 定義為數目N及/或數目η之一函數。 18 200948013 4. 如申請專利範圍第2項所述之方法，其中該秘密資料被 定義為產生的有序序列之至少一特定參數的一函數。 5. 如申請專利範圍第2項所述之方法，其中該秘密資料之 值可被該發射終端機修改。 5 6.如申請專利範圍第5項所述之方法，其中該秘密資料之 值利用只為該發射終端機已知的一序列被修改。 7. 如申請專利範圍第1項所述之方法，其中該有序序列也 包含封裝在不同於該有序序列中的位置pi(i=l至η)的一 ® 位置之一資料塊Bj内的至少一額外訊息，在一欺騙者之 10 動作之後沒有動作或致能一檢測及/或批准以轉移有用 的訊息MUi或嘗試此動作。 8. 如申請專利範圍第1項所述之方法，其中該有序序列中 . 的每個資料塊Bj包含一標頭，該標頭表示該序列之一識 別符以及該序列中的該資料塊Bj之位置。 15 9.如申請專利範圍第8項所述之方法，其中該標頭也包含 數目N之值以及/或數目η之值。 ❿ 10. 如申請專利範圍第1項所述之方法，其中該發射終端機 設置在一操作器之網路前端。 11. 如申請專利範圍第10項所述之方法，其中該η個訊息 20 MUi包含至少一 EMM訊息以及/或至少一 ECM訊息。 12. 如申請專利範圍第1項所述之方法，其中該等數目N及η 中的至少一者以一加密訊息發送至該接收終端機。 13. 如申請專利範圍第1項所述之方法，其中該發射終端機 以一資料流發送該η個訊息MUi至該接收終端機，該資 19 200948013 料流也包含拌碼視聽程式。 14. 一種設置在一操作器之網路前端的發射終端機且被組 配成用以將大於或等於1的η個訊息MUi(i=l至η)發送 至一接收終端機，其特徵在於其包含： 5 -用於產生包含Ν個資料塊BjG=l至η)之一有序序 列的裝置，其中Ν是大於或等於η的一整數； -用於對每個有用訊息MUi(i=l至η)利用一函數F計 算Ν個資料塊之該有序序列中的一位置pi之裝置； -用於將每個訊息MUi(i=l至η)封裝在位於位置pi 10 的資料塊Bj之裝置； -用於將包含訊息MUi的該有序序列發射至該接收 終端機的裝置。 15. —種被組配成用以接收如申請專利範圍第14項所述之 發射終端機發射的訊息MUi之接收終端機，其特徵在於 15 其包含： -用於利用該函數F重新計算封裝訊息MUi的資料 塊Bj之位置pi(i=l至η)的裝置； -用於取出該被接收的有序序列中的位置pi(i=l至 η)之該等資料塊Bj之裝置； 20 -用於自該等資料塊Bj取出訊息MUi之裝置。 16. —種儲存在一媒體上且被設計用以在依據如申請專利 範圍第14項所述之發射終端機内執行的電腦程式，用 以： -產生包含N個資料塊BjG=l至η)的一有序序列， 200948013 其中N是大於或等於n的一整數； -對每個有用訊息MUi(i=l至η) ’利用一函數F計算 N個資料塊之該有序序列中的一位置pi ; -將每個訊息MUi(i=l至η)封裝到位於位置pi的資 5 料塊Bj中； -將包含訊息MUi的該有序序列發送至該接收終端 機。 17.—種儲存在一媒體上且被設計用以在如申請專利範圍 〇 第15項所述之接收終端機中執行的電腦程式，用以： 10 -利用該函數F重新計算封裝MUi之資料塊Bj之位 置 pi(i=l 至 n); . _取出§亥被接收的有序序列中的位置pi(i=1至η)之 • 該等資料塊Bj; -自該等資料塊Bj取出訊息MUi。 ❿ 21