WO2002035763A2 - Modul zur sicheren übertragung von daten - Google Patents

Modul zur sicheren übertragung von daten Download PDF

Info

Publication number
WO2002035763A2
WO2002035763A2 PCT/EP2001/012480 EP0112480W WO0235763A2 WO 2002035763 A2 WO2002035763 A2 WO 2002035763A2 EP 0112480 W EP0112480 W EP 0112480W WO 0235763 A2 WO0235763 A2 WO 0235763A2
Authority
WO
WIPO (PCT)
Prior art keywords
data packets
module
computer
interface
data
Prior art date
Application number
PCT/EP2001/012480
Other languages
English (en)
French (fr)
Other versions
WO2002035763A3 (de
Inventor
Christophe Genevois
Jean Luc Duhamel
Original Assignee
Scm Microsystems Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scm Microsystems Gmbh filed Critical Scm Microsystems Gmbh
Priority to EP01988996A priority Critical patent/EP1329050A2/de
Priority to US10/415,141 priority patent/US20040221156A1/en
Publication of WO2002035763A2 publication Critical patent/WO2002035763A2/de
Publication of WO2002035763A3 publication Critical patent/WO2002035763A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]

Definitions

  • the invention relates to a module for the secure transmission of data in a computer network, in which data is transmitted according to a network protocol, the data being organized in data packets, consisting of a header and a content that can be encrypted.
  • DVD Digital Video Broadcasting
  • the object of the invention is to provide a module for secure data transmission in a computer network, which offers the highest level of security with high data throughput and easy connection to existing computers.
  • a module of the type mentioned at the beginning is provided: a bidirectional interface to a computer connected to the network, the module via the interface with the computer
  • a processor can exchange data packets, commands and messages, an interface to a smart card on which an identifier is stored, a filter logic circuit that filters out authorization messages from the data packets received from the computer via the network and forwarded to the module via the bidirectional interface with memory for controlling the module, which calculates at least one cryptographic key by means of the authorization messages and by means of the germination stored in the smart card, a decryption logic circuit which can separate the header from the content of the data packets, the content contained in the data packets by means of the processor calculated cryptographic key, which interacts with a decryption method implemented in the hardware of the logic circuit, can decrypt and attach the header again to the decrypted content of the data packets, the data packets then using the bid directional interface to the computer.
  • Such a module has considerable advantages: On the one hand, the decryption of the data in a hardware logic circuit takes place very quickly, so that large amounts of data can be processed in a short time, which is particularly important in DVB. On the other hand, the module is as
  • Hardware is secured much better against unauthorized access (hacking) to the encrypted data and the keys themselves than a Software decoder in an open, unsecured environment, as represented by a computer.
  • a module of the type mentioned at the outset which provides: a first interface to a computer network, via which the module can receive data packets from the computer network, a second interface to a computer, via which the module can send data packets to the computer, - an interface to a smart card on which an identifier is stored, a filter logic circuit that filters authorization messages from the data packets received from the network and forwarded to the module via the first interface, a processor with Memory for controlling the module, using the authorization messages and the ones stored in the smart card
  • Identifier calculates at least one cryptographic key
  • a decryption logic circuit that can separate the header from the content of the data packets, can decrypt the content contained in the data packets by means of the cryptographic key calculated by the processor, which interacts with a decryption method implemented in the hardware of the logic circuit Can attach the header again to the decrypted content of the data packets, the data packets then being routed to the computer via the second interface.
  • FIG. 1 shows a block diagram of a first embodiment of a module according to the invention
  • FIG. 2 shows a block diagram for an application of the module from FIG. 1 in a network
  • FIG. 3 shows a block diagram of a second embodiment of a module according to the invention.
  • FIG. 4 shows a block diagram for one possible application of the module from FIG.
  • CA Conditional Access
  • data packets are created according to a network protocol. eg the well-known Internet Protocol (IP), whereby the media content in the packets can be encrypted.
  • IP Internet Protocol
  • the module 10 is designed as a plug-in card for a PCMCIA slot in a computer, advantageously a laptop 12, which is connected to a computer network 34.
  • the module 10 itself contains a bidirectional interface module 14, which for the sake of simplicity is referred to below as a bidirectional interface 14, a processor 20 with memory and an interface module 22 to a slot 24 (not shown) for a smart card 26 , which in the following are called the interface for a smart card for the sake of simplicity.
  • the processor 20 is connected via the control lines 25 to all other modules of the module and controls the functions of the module 10.
  • the bidirectional interface 14 is connected via the bus 15 to an interface module (not shown) in the computer 12.
  • the module can receive data packets received from the computer via the network 34 via the bus 15 and, after decryption, pass them on to the computer 12. It is also conceivable that the module 10 can communicate with the computer 12 via the bus 15, which makes it possible to operate the module 10 from the computer 12.
  • the interface 15 can forward data to a filter logic circuit 16 via a connection 30 and exchange data with a decryption logic circuit 18 via a second connection 32.
  • FIG. 2 shows a section of a network 40 to which the computer 12 is connected.
  • the function of the module 10 is described below using the example of a DVB transmission from the service provider 42 to the customer's computer 12.
  • the service provider 42 provides a DVB signal 44.
  • This signal is intended to be sent over the network 40 in data packets in such a way that only certain authorized customers are able to receive and read this signal.
  • the signal is packaged in data packets in a known manner and the content of the data packets is encrypted in an encoder 46 (also called a scrambler) with changing cryptographic keywords that are generated in a word generator 48.
  • the information required to decrypt the data packets is sent as so-called Entitlement Control Message (ECM) and as Entitlement Management Message (EMM) together with the signal in the data packets.
  • ECM Entitlement Control Message
  • EMM Entitlement Management Message
  • the EMMs contain user-specific data that give a certain customer or a certain group of customers access to certain Enable programs (pay per channel) or for certain programs (pay per view).
  • the assignment to a specific customer or a specific customer group is established by an identifier, which can be stored in the smart card, for example.
  • the service provider therefore has the corresponding customer data in a database 50 so that the EMMs can be sent automatically.
  • the ECMs contain program-specific data, namely the key words by means of which the data packets can be decrypted again. To make it even more difficult to break up the encryption without authorization, the keywords are changed frequently during the broadcast.
  • the ECMs are sent much more frequently than the EMMs, since the user-specific data rarely change compared to the keywords.
  • the data packets are sent via the network 40, which can be, for example, the Internet, a private network or a company-internal intranet. They are given a header specific to the respective network protocol, which contains certain information that is important for transmission to the network. With the Internet protocol IP this can e.g.
  • the computer 12 which e.g. Via a modem 46, as shown, can be connected to the network via a network card or in some other way, receives the data packets and forwards them to module 10 without further processing via the PCMCIA interface.
  • the data packets can be passed on both to the filter logic circuit 16 and to the decryption logic circuit 18.
  • the filter logic circuit filters out any EMMs and ECMs contained in the data and passes them on to the processor 20 via the bus 25.
  • the processor 20 When the processor 20 receives an EMM which is intended for the customer identified by the identifier contained in the smart card 26, it loads the information contained therein into the memory and holds it there until it is replaced by more current information from a new one EMM can be overwritten. This information includes, for example, the authorization to be able to access a specific program or a specific program. If the processor 20 then receives ECMs relating to this particular program or program, it can use this information and the identifier stored in the smart card 26 from the ECMs to obtain the cryptographic keys for decrypting the content of the data packets from which the program is made exists, calculate. The processor 20 forwards the calculated keys to the decryption logic circuit 18.
  • the decryption logic circuit 18 includes a header logic circuit, not shown in detail, that the
  • the header logic circuit can be used with others Embodiments of the invention may also be part of the interface module 14, so that the data to the filter logic circuit 16 via the connection 30 only consist of the content of the data packets.
  • the decryption logic circuit 18 uses the calculated keys to decrypt the content of the data packets using an encryption method implemented in their hardware and to return the decrypted content to the interface again.
  • the header logic circuit then retrieves the stored header from the memory and adds it to the now decrypted content of the data packet, so that the packet is complete again. and forwards this via the bidirectional bus 15 to the computer 12, in which further processing can take place in the usual way.
  • the content of data packets for which the customer does not have access authorization cannot be decrypted by the decryption logic circuit 18. These data packets are either not sent to the interface at all or are not encrypted
  • Computer 12 forwarded so that they can not be processed by the computer 12.
  • the interface 14 can be generated by the computer 12 via its interface module (not shown) and the bus 15 in the computer
  • the invention offers the advantage of being easy to use, since the computer can be equipped with access to the offers of the service provider without opening the computer or changing its hardware in any other way.
  • the hardware implementation of the encryption logic offers the advantage that the processor of the computer is not additionally burdened with decryption or encryption. This also means a considerable speed advantage, which is essential for a smooth display, especially with the large amounts of DVB data.
  • such a module is independent of the respective operating system of the computer, since it works purely at the protocol level of the network. This means that the module has a much larger application area than a purely software-based decryption system.
  • the module 100 has a first interface 160 to a computer network 140 and a second interface 162 to a computer 1 12. Both interfaces work according to the same protocol and on the same physical layer, for example Ethernet, so that the module 100 directly into the network line 150 the computer network 140 and the computer 1 12 can be switched on.
  • the interfaces 160, 162 in the module 100 merely take on the function of connecting to the network, comparable to a network card in a computer.
  • CA Conditional Access
  • the data packets received from the network 140 are passed through the IP switch 164.
  • the IP switch 164 data packets received via the first interface 160, which are intended for the CA unit 110 based on their IP address, are filtered out and fed to the CA unit 110, which decrypts the data content of the packets as previously described and returns the data packets.
  • the CA unit 1 10 can have a connection 166 to the second interface 162, by means of which the module 100 can be controlled by the computer 1 12 via the network line 152.
  • the computer thus already receives the data packets transmitted in encrypted form by the service provider 42, so that it can proceed further as with the offers distributed in the network 140 without access restrictions.
  • the module 100 can also be completely transparent to the other data packets, i.e. the network connection can run undisturbed, as if the module 100 were not present at all.
  • a particular advantage of this embodiment is that the secure access option can be created even more easily. There is no need for an additional interface on the computer 112, since the module 100 is looped into the existing network connection line 150.
  • a subnetwork that is to say a plurality of interconnected computers, can also be provided with the access option in this way.
  • Decrypting data packets as well as encrypting unencrypted content can be done with the help of the described modules, in principle any content to be protected, e.g. emails that are sent in packets according to a network protocol, securely between two or more computers, or between different computers Transfer subnets of a network safely.
  • An exemplary arrangement is shown schematically in FIG. 4, where the modules 200 act as a kind of lock between a secure subarea 270, for example a company's internal network, and an unsecured public area 272 of the network.
  • each computer 212 or each sub-area of the network 270 from which access to the saved data should be possible is connected to the public sub-network via a module according to the invention.
  • the data to be protected is sent unencrypted within the secure subareas 270, outside, ie in the unsecured public area 272 of the network, the data packets are only on the way with encrypted content.
  • the module according to the invention thus fulfills the function of a “hardware firewall” in an efficient manner.

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

Die Erfindung bettrift ein Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk. Das Modul weist eine bidirektionale Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner auf, wobei das Modul über die Schnittstelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann. Darüber hinaus besitzt das Modul eine Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist. Im Modul befindet sich eine Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, ein Prozessor mit Speicher zur Steuerung des Moduls, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptographischen Schlüssel berechnet und eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann, und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden.

Description

Modul zur sicheren Übertragung von Daten
Die Erfindung betrifft ein Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind. Die Erfindung betrifft außerdem ein System zur sicheren Übertragung von Daten zwischen zwei Rechnern, die durch ein Rechner-Netzwerk miteinander verbunden sind. Die sichere Datenübertragung in Rechnernetzwerken gewinnt zunehmend an Bedeutung. Da die Grenzen zwischen den einzelnen Medienendgeräten wie Rundfunk- und Fernsehempfänger und PC immer mehr verschwimmen werden insbesondere für die Bereitstellung kostenpflichtiger Dienste etwa über das Internet, z.B. Digitales Fernsehen (DVB = Digital Video Broadcasting) Mög- lichkeiten gesucht, große Datenmengen weiträumig zu verbreiten, zu denen der Zugriff gezielt gestattet oder verweigert werden kann.
Aufgabe der Erfindung ist es, ein Modul zur sicheren Datenübertragung in einem Rechnernetzwerk zu schaffen, das ein Höchstmaß an Sicherheit bei hohem Datendurchsatz und einfachem Anschluß an bestehende Rechner bietet.
Zu diesem Zweck ist bei einem ein Modul der eingangs genannten Art vorgesehen: eine bidirektionale Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner, wobei das Modul über die Schnittstelle mit dem Rechner
Datenpakete, Befehle und Meldungen austauschen kann, eine Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Keimung wenigstens einen kryptographischen Schlüssel berechnet, eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden.
Ein derartiges Modul hat erhebliche Vorteile: Zum einen erfolgt die Entschlüsselung der Daten in einer Hardware-Logikschaltung sehr schnell, so daß große Datenmengen in kurzer Zeit verarbeitet werden können, was insbesondere bei DVB von wesentlicher Bedeutung ist. Zum anderen ist das Modul als
Hardware gegenüber unberechtigten Zugriffen (Hacken) auf die verschlüsselten Daten und die Schlüssel selbst wesentlich besser abgesichert als ein Softwaredecoder in einer offenen ungesicherten Umgebung, wie sie ein Rechner darstellt.
Die Aufgabe der Erfindung wird ebenfalls von einem Modul der eingangs genannten Art gelöst, bei dem vorgesehen ist: eine erste Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann, einer zweite Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann, - eine Schnittstelle zu einer Smart-Card auf der eine Kennung hinterlegt ist, eine Filterlogikschaltung, die aus den vom Netzwerk empfangenen und über die erste Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften heraus filtert, ein Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten
Kennung wenigstens einen kryptographischen Schlüssel berechnet, eine Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden. Bei dieser Ausgestaltung ist es möglich, das Modul auf einfache Weise in die Verbindung zum Rechner-Netzwerk einzuschalten, so daß keine zusätzliche Schnittstelle am Rechner erforderlich ist.
Die Erfindung wird nachfolgend anhand bevorzugter Ausfuhrungsformen ausführlicher beschrieben. Dabei wird Bezug genommen auf die beigefügten Zeichnungen, in denen:
Fig. 1 ein Blockschaltbild einer ersten Ausfuhrungsform eines erfindungsgemäßen Modules;
Fig. 2 ein Blockschaltbild für eine Anwendungsmöglichkeit des Modules aus Fig. 1 in einem Netzwerk;
Fig. 3 ein Blockschaltbild einer zweiten Ausführungsform eines erfindungsgemäßen Modules; und
Fig. 4 ein Blockschaltbild für eine Anwendungsmöglichkeit des Modules aus Fig.
3 in einem Netzwerk zeigen. In Fig. 1 ist ein erfindungsgemäßes Modul 10 zu sehen, das für den bedingten Zugriff (CA = Conditional Access) auf Medieninhalte aus einem Netzwerk, z.B. dem Internet, vorgesehen ist. In diesem Netzwerk werden Datenpakete gemäß einem Netzwerkprotokoll. z.B. dem bekannten Internetprotokoll (IP), transportiert, wobei die Medieninhalte in den Paketen verschlüsselt sein können. Das Modul 10 ist bei dieser Ausführungsform als Steckkarte für einen PCMCIA- Steckplatz in einem Rechner, vorteilhafterweise ein Laptop 12, ausgebildet, der an ein Rechner-Netzwerk 34 angeschlossen ist. Das Modul 10 selbst beinhaltet einen bidirektionalen Schnittstellen-Baustein 14, der im folgenden der Einfachheit halber als bidirektionale Schnittstelle 14 bezeichnet wird, einen Prozessor 20 mit Speicher und einen Schnittstellen-Baustein 22 zu einem (nicht dargestellten) Steckplatz 24 für eine Smart-Card 26, die im folgenden der Einfachheit halber als Schnittstelle für eine Smart-Card bezeichnet werden. Der Prozessor 20 steht über den Steuerleitungen 25 mit allen anderen Baugruppen des Moduls in Verbindung und steuert die Funktionen des Moduls 10. Die bidirektionale Schnittstelle 14 ist über den Bus 15 mit einem (nicht dargestellten) Schnittstellen-Baustein im Rechner 12 verbunden. Über den Bus 15 kann das Modul vom Rechner über das Netzwerk 34 empfangene Datenpakete erhalten und nach Entschlüsselung an den Rechner 12 weitergeben. Außerdem ist es denkbar, daß das Modul 10 über den Bus 15 mit dem Rechner 12 kommunizieren kann, wodurch die Möglichkeit besteht, das Modul 10 vom Rechner 12 aus zu bedienen. Die Schnittstelle 15 kann über eine Verbindung 30 Daten an eine Filterlogikschaltung 16 weitergeben und über eine zweite Verbindung 32 Daten mit einer Entschlüsselungslogikschaltung 18 austauschen.
In Fig. 2 ist ein Ausschnitt aus einem Netzwerk 40 dargestellt, an welches der Rechner 12 angeschlossen ist. An das Netzwerk 40 ist der Rechner eines Diensteanbieters 42 angeschlossen, der in dieser Ausfuhrungsform digitales Fernsehen (DVB = Digital Video Broadcasting) bereitstellt.
Im folgenden wird die Funktion des Modules 10 am Beispiel einer DVB- Übertragung vom Diensteanbieter 42 zum Rechner 12 des Kunden beschrieben. Der Diensteanbieter 42 stellt ein DVB-Signal 44 bereit. Dieses Signal soll über das Netzwerk 40 in Datenpaketen versandt werden, und zwar so, daß nur bestimmte, dazu berechtigte Kunden imstande sind, dieses Signal zu empfangen und zu lesen. Zu diesem Zwecke wird das Signal in bekannter Weise in Datenpakete verpackt und der Inhalt der Datenpakete in einem Encoder 46 (auch Scrambler genannt) mit wechselnden kryptographischen Schlüsselwörtern verschlüsselt, die in einem Wortgenerator 48 erzeugt werden. Die zur Entschlüsselung der Datenpakete notwendigen Informationen werden als sogenannte Zugangsberechtigungsbotschaften (Entitlement Control Message, ECM) und als Zugangsverwaltungsbotschaften (Entitlement Management Message, EMM) zusammen mit dem Signal in den Datenpaketen verschickt. Dabei enthalten die EMMs nutzerspezifische Daten, die einem bestimmten Kunden oder einem bestimmten Kundenkreis den Zugang zu bestimmten Programmen (Pay per Channel) oder zu bestimmten Sendungen (Pay per View) ermöglichen. Die Zuordnung zu einem bestimmten Kunden oder einem bestimmten Kundenkreis wird durch eine Kennung hergestellt, die beispielweise in der Smart-Card gespeichert sein kann. Der Diensteanbieter hält deshalb in einer Datenbank 50 die entsprechenden Kundendaten bereit, so daß die EMMs automatisch versandt werden können. Die ECMs hingegen enthalten programmspezifische Daten, nämlich die Schlüsselwörter mittels welchen die Datenpakete wieder entschlüsselt werden können. Damit ein unberechtigtes Aufbrechen der Verschlüsselung weiter erschwert ist, werden die Schlüsselwörter während der Sendung häufig geändert. Die ECMs werden sehr viel häufiger gesendet als die EMMs, da sich die nutzerspezifischen Daten ja im Vergleich zu den Schlüsselwörtern selten ändern.
Die Datenpakete werden über das Netzwerk 40, welches beispielsweise das Internet, ein privates Netzwerk oder ein firmeninternes Intranet sein kann, versandt. Dabei werden sie vorher mit einem für das jeweilige Netzwerkprotokoll spezifischen Header versehen, der bestimmte für die Übertragung ins Netzwerk wichtige Informationen enthält. Beim Internet-Protokoll IP können das z.B.
Informationen über die Version des Protokolls, die Header-Länge, die Art des Dienstes, die Gesamtlänge des Datenpakets, die Lebensdauer des Pakets, eine
Prüfsumme, die Art des übergeordneten Transportprotokolls (z.B. TCP UDP), die
Rechner-Quelladresse und die Rechner-Zieladresse sein.
Der Rechner 12, der z.B. über ein Modem 46, wie dargestellt, über eine Netzwerkkarte oder auf sonstige Weise an das Netzwerk angeschlossen sein kann, empfängt die Datenpakete und leitet diese zunächst ohne weitere Verarbeitung über die PCMCIA-Schnittstelle an das Modul 10 weiter. Die Datenpakete können sowohl an die Filterlogikschaltung 16 als auch an die Entschlüsselungslogikschaltung 18 weitergegeben werden. Die Filterlogikschaltung filtert die eventuell in den Daten enthaltenen EMMs und ECMs heraus und gibt diese über den Bus 25 an den Prozessor 20 weiter.
Wenn der Prozessor 20 eine EMM erhält, die für den durch die in der Smart-Card 26 enthaltenen Kennung identifizierten Kunden bestimmt ist, lädt er die darin enthaltene Information in den Speicher und hält sie dort so lange, bis sie durch aktuellere Informationen aus einer neuen EMM überschrieben werden kann. Diese Informationen umfassen beispielsweise die Berechtigung, auf eine bestimmte Sendung oder ein bestimmtes Programm zugreifen zu können. Erhält der Prozessor 20 dann ECMs, die diese bestimmte Sendung oder dieses Programm betreffen, dann kann er mit Hilfe dieser Informationen und der in der Smart-Card 26 hinterlegten Kennung aus den ECMs die kryptographischen Schlüssel zur Entschlüsselung des Inhaltes der Datenpakete, aus denen die Sendung besteht, berechnen. Die berechneten Schlüssel gibt der Prozessor 20 an die Entschlüsselungslogikschaltung 18 weiter. Die Entschlüsselungslogikschaltung 18 umfaßt eine nicht im einzelnen dargestellte Header-Logikschaltung, die den
Header der Datenpakete vom Inhalt abtrennt und den Header über den Bus 25 im Speicher ablegt. Die Header-Logikschaltung kann bei anderen Ausfuhrungsformen der Erfindung auch Bestandteil des Schnittstellen-Bausteins 14 sein, so daß auch die zur Filterlogikschaltung 16 über die Verbindung 30 Daten nur noch aus dem Inhalt der Datenpakete bestehen. Die Entschlüsselungslogikschaltung 18 benutzt die berechneten Schlüssel, um mittels eines in ihrer Hardware realisierten Verschlüsselungsverfahrens den Inhalt der Datenpakete zu entschlüsseln und den entschlüsselten Inhalt wieder an das Interface zurückzugeben. Die Header-Logikschaltung holt dann den abgespeicherten Header aus dem Speicher zurück und fügt ihn an den nunmehr entschlüsselten Inhalt des Datenpaketes, so daß das Paket wieder vollständig ist. und reicht dieses über den bidirektionalen Bus 15 an den Rechner 12 weiter, in dem die weitere Verarbeitung in üblicher Weise erfolgen kann. Der Inhalt von Datenpaketen, für die der Kunde keine Zugangsberechtigung besitzt, kann von der Entschlüsselungslogikschaltung 18 nicht entschlüsselt werden. Diese Datenpakete werden vom Interface entweder überhaupt nicht oder unverschlüsselt an den
Rechner 12 weitergeleitet, so daß sie vom Rechner 12 nicht verarbeitet werden können.
Im umgekehrten Weg kann die Schnittstelle 14 vom Rechner 12 über dessen nicht dargestellten Schnittstellen-Baustein und den Bus 15 im Rechner erzeugte
Datenpakete mit unverschlüsseltem Inhalt erhalten, diese Inhalte verschlüsseln und an den Rechner 12 über die Schnittstelle 14 und den Bus 15 zurücksenden, wobei der Rechner die Pakete dann über das Netzwerk sendet. Wie aus der Beschreibung hervorgeht, bietet die Erfindung den Vorteil einer bequemen Anwendbarkeit, da der Rechner mit der Zugriffsmöglichkeit auf die Angebote des Diensteanbieters ausgerüstet werden kann, ohne den Rechner zu öffnen oder dessen Hardware in einer sonstigen Weise zu verändern. Im Vergleich zu einer reinen Softwarelösung bietet die Erfindung durch die Hardwareimplementation der Verschlüsselungslogik den Vorteil, daß der Prozessor des Rechners nicht zusätzlich mit der Ent- oder Verschlüsselung belastet wird. Dies bedeutet auch einen erheblichen Geschwindigkeitsvorteil, der besonders bei den großen Datenmengen des DVB für eine flüssige Darstellung unerläßlich ist.
Außerdem ist ein derartiges Modul vom jeweiligen Betriebssystem des Rechners unabhängig, da es rein auf der Protokollebene des Netzwerkes arbeitet. Damit bietet sich für das Modul ein viel größerer Anwendungsbereich als für eine rein softwarebasiertes Entschlüsselungssystem.
Der Hauptvorteil gegenüber bisherigen auf Software basierenden Sicherheitssystemen (z.B. in Software realisierten Conditional-Access-Systemen) besteht jedoch darin, daß die Schlüssel und Zugangsberechtigungsbotschaften (ECM, EMM) nicht über das Netzwerk von „Hackern" ausgespäht werden können.
Eine zweite Ausführungsform der Erfindung ist in Fig. 3 dargestellt. Das Modul 100 verfügt über eine erste Schnittstelle 160 zu einem Rechner-Netzwerk 140 und eine zweite Schnittstelle 162 zu einem Rechner 1 12. Beide Schnittstellen arbeiten nach demselben Protokoll und auf derselben physikalischen Schicht, beispielsweise Ethernet, so daß das Modul 100 direkt in die Netzwerkleitung 150 zwischen dem Rechner-Netzwerk 140 und dem Rechner 1 12 eingeschaltet werden kann. Die Schnittstellen 160, 162 übernehmen im Modul 100 lediglich die Funktion der Verbindung zum Netzwerk, vergleichbar einer Netzwerkkarte in einem Rechner. Die Schnittstellen 160 und 162 sind mit einer IP- Weiche 164 verbunden, an welche eine CA-Einheit (CA = Conditional Access) 1 10 gekoppelt ist, die im wesentlichen dem im Zusammenhang mit der ersten Ausführungsform beschriebenen Modul 10 entspricht.
Die aus dem Netzwerk 140 empfangenen Datenpakete werden durch die IP- Weiche 164 geschleust. In der IP- Weiche 164 werden über die erste Schnittstelle 160 empfangene Datenpakete, die aufgrund ihrer IP- Adresse für die CA-Einheit 1 10 bestimmt sind, ausgefiltert und der CA-Einheit 1 10 zugeführt, welche den Dateninhalt der Pakete wie vorher beschrieben entschlüsselt und die Datenpakete wieder zurückgibt. Die anderen Datenpakete, sowie die von der CA-Einheit 1 10 bereits entschlüsselten Datenpakete leitet die IP-Weiche 164 an die zweite Schnittstelle 162 weiter, welche dieselben über eine Netzwerkanschlußleitung 152 an den Rechner 1 12 sendet. Zusätzlich kann die CA-Einheit 1 10 eine Verbindung 166 zur zweiten Schnittstelle 162 aufweisen, mittels welcher das Modul 100 vom Rechner 1 12 über die Netzwerkleitung 152 gesteuert werden kann. Der Rechner erhält damit die vom Diensteanbieter 42 verschlüsselt ausgesandten Datenpakete bereits entschlüsselt, so daß er damit weiter verfahren kann, wie mit den in dem Netzwerk 140 ohne Zugangsbeschränkung verbreiteten Angeboten. Für die übrigen Datenpakete kann das Modul 100 darüber hinaus völlig transparent sein, d.h. die Netzwerkanbindung kann ungestört ablaufen, als wäre das Modul 100 überhaupt nicht vorhanden.
Ein besonderer Vorteil dieser Ausführungsform liegt darin, daß die sichere Zugriffsmöglichkeit noch einfacher geschaffen werden kann. Es ist keine zusätzliche Schnittstelle am Rechner 1 12 erforderlich, da das Modul 100 in die in jedem Fall bestehende Netzwerkanschlußleitung 150 eingeschleift wird.
Außerdem kann auf diese Weise auch ein Teilnetz, also mehrere miteinander verbundene Rechner, mit der Zugriffsmöglichkeit versehen werden.
Selbstverständlich ist die Anwendung der Erfindung nicht auf die Verwendung mit DVB beschränkt. Da jedes Modul sowohl den Inhalt verschlüsselter
Datenpakete entschlüsseln als auch unverschlüsselte Inhalte verschlüsseln kann, lassen sich vielmehr mit Hilfe der beschrieben Module prinzipiell beliebige zu schützende Inhalte, also beispielsweise E-Mails, die in Paketen nach einem Netzwerk-Protokoll versandt werden, sicher zwischen zwei oder mehreren Rechnern, oder zwischen verschiedenen Teilnetzen eines Netzwerkes sicher übertragen. Eine beispielhafte Anordnung ist schematisch in Fig. 4 dargestellt, wo die Module 200 als eine Art Schleuse zwischen einem sicheren Teilbereich 270, z.B. dem firmeninternen Netzwerk eines Unternehmens, und einem ungesicherten öffentlichen Bereich 272 des Netzwerkes wirken. In diesem Fall ist jeder Rechner 212 oder jeder Teilbereich des Netzwerkes 270, von dem aus Zugriff auf die gesicherten Daten möglich sein soll, über ein erfindungsgemäßes Modul an das öffentliche Teilnetzwerk angeschlossen. Innerhalb der sicheren Teilbereiche 270 werden die zu schützenden Daten unverschlüsselt versandt, außerhalb, also im ungesicherten öffentlichen Bereich 272 des Netzwerkes sind die Datenpakete nur mit verschlüsseltem Inhalt unterwegs. Das erfindungsgemäße Modul erfüllt so in effizienter Weise die Funktion eines „Hardware-Firewalls".

Claims

Patentansprüche
1. Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind, mit einer bidirektionalen Schnittstelle zu einem mit dem Netzwerk verbundenen Rechner, wobei das Modul über die Schnittstelle mit dem Rechner Datenpakete, Befehle und Meldungen austauschen kann, - einer Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Rechner über das Netzwerk empfangenen und über die bidirektionale Schnittstelle an das Modul weitergeleiteten Datenpaketen Berechtigungsbotschaften herausfiltert, einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten
Kennung wenigstens einen kryptographischen Schlüssel berechnet, einer Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden.
2. Modul nach Anspruch 1, bei dem die Entschlüsselungslogikschaltung derart ausgebildet ist, daß sie den Inhalt von Datenpaketen, die im Rechner generiert wurden und über die bidirektionale Schnittstelle vom Modul empfangen wurden, mit Hilfe eines vom Prozessor mittels der in der Smart-Card hinterlegten Kennung berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Verschlüsselungsverfahren zusammenwirkt, verschlüsseln kann, wobei die Datenpakete dann über die bidirektionale Schnittstelle zum Rechner zurückgeleitet werden, der sie mit einem Header versieht und an das Netzwerk weitergibt.
3. Modul zur sicheren Übertragung von Daten in einem Rechner-Netzwerk, in dem Daten nach einem Netzwerkprotokoll übertragen werden, wobei die Daten in Datenpaketen, bestehend aus einem Header und einem Inhalt, der verschlüsselt sein kann, organisiert sind, mit einer ersten Schnittstelle zu einem Rechner-Netzwerk, über die das Modul vom Rechner-Netzwerk Datenpakete empfangen kann, einer zweiten Schnittstelle zu einem Rechner, über die das Modul an den Rechner Datenpakete senden kann, einer Schnittstelle zu einer Smart-Card, auf der eine Kennung hinterlegt ist, einer Filterlogikschaltung, die aus den vom Netzwerk empfangenen und über die erste Schnittstelle an das Modul weitergeleiteten Datenpaketen
Berechtigungsbotschaften herausfiltert, einem Prozessor mit Speicher zur Steuerung des Modules, der mittels der Berechtigungsbotschaften und mittels der in der Smart-Card hinterlegten Kennung wenigstens einen kryptographischen Schlüssel berechnet, einer Entschlüsselungslogikschaltung, die den Header vom Inhalt der Datenpakete trennen kann, den in den Datenpaketen enthaltenen Inhalt mittels des vom Prozessor berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Entschlüsselungsverfahren zusammenwirkt, entschlüsseln kann und den Header wieder an den entschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die zweite Schnittstelle zum Rechner geleitet werden.
4. Modul nach Anspruch 3, bei dem die erste und die zweite Schnittstelle jeweils bidirektional sind und die Entschlüsselungslogikschaltung derart ausgebildet ist, daß sie den Header vom Inhalt von Datenpaketen, die im Rechner generiert wurden und über die zweite Schnittstelle empfangen wurden, trennen kann, den in den Datenpaketen enthaltenen Inhalt mit Hilfe eines vom Prozessor mittels der in der Smart-Card hinterlegten Kennung berechneten kryptographischen Schlüssels, der mit einem in der Hardware der Logikschaltung realisierten Verschlüsselungsverfahren zusammenwirkt, verschlüsseln kann und den Header wieder an den verschlüsselten Inhalt der Datenpakete anfügen kann, wobei die Datenpakete dann über die erste Schnittstelle an das Netzwerk geleitet werden.
5. Modul nach Anspruch 3 oder 4, bei dem zwischen dem Modul und den beiden Schnittstellen eine Selektiervorrichtung vorgesehen ist, die ein Datenpaket von einer der Schnittstellen an das Modul weitergibt, wenn sie anhand der Informationen im Header erkennt, daß das Datenpaket zur Ent- bzw. zur Verschlüsselung im Modul vorgesehen ist und die das Datenpaket an die andere Schnittstelle weiterreicht, wenn sie anhand der Informationen im Header erkennt, daß das Datenpaket nicht zur Ent- bzw. zur Verschlüsselung im Modul vorgesehen ist.
6. Modul nach einem der vorhergehenden Ansprüche, für den Empfang eines digitalen Fernsehprogrammes (DVB), bei dem die von der Filterlogikschaltung aus den Datenpaketen herausgefilterten Berechtigungsbotschaften zum einen Zugangsverwaltungsbotschaften (EMM), welche benutzerspezifische Zugangsberechtigungsinformationen enthalten, und zum anderen Zugangskontrollbotschaften (ECM), welche sendungsspezifische Zugangsberechtigungsinformationen enthalten, umfassen und bei dem der Prozessor die im Speicher speichert und den kryptographischen Schlüssel mittels der EMMs, der ECMs und der in der Smart-Card hinterlegten Kennung berechnet.
7. Modul nach einem der vorhergehenden Ansprüche, das mit einem Speicher für asynchron eintreffende Datenpakete versehen ist und einen Taktgeber aufweist, mittels dessen es die gespeicherten Datenpakete nach der Entschlüsselung oder der Verschlüsselung synchron weitergeben kann.
8. Modul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Datenpakete E-Mails sind.
9. System zur sicheren Übertragung von Daten zwischen Rechnern, die durch ein Rechner-Netzwerk miteinander verbunden sind, in dem Daten nach einem Netzwerkprotokoll übertragen werden, dadurch gekennzeichnet, daß mindestens zwei Rechner des Rechner-Netzwerks mit einem Modul nach einem der vorhergehenden Ansprüche verbunden sind.
PCT/EP2001/012480 2000-10-27 2001-10-29 Modul zur sicheren übertragung von daten WO2002035763A2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP01988996A EP1329050A2 (de) 2000-10-27 2001-10-29 Modul zur sicheren übertragung von daten
US10/415,141 US20040221156A1 (en) 2000-10-27 2001-10-29 Module for secure transmission of data

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10053390.6 2000-10-27
DE10053390A DE10053390A1 (de) 2000-10-27 2000-10-27 Modul zur sicheren Übertragung von Daten

Publications (2)

Publication Number Publication Date
WO2002035763A2 true WO2002035763A2 (de) 2002-05-02
WO2002035763A3 WO2002035763A3 (de) 2002-07-04

Family

ID=7661330

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2001/012480 WO2002035763A2 (de) 2000-10-27 2001-10-29 Modul zur sicheren übertragung von daten

Country Status (4)

Country Link
US (1) US20040221156A1 (de)
EP (1) EP1329050A2 (de)
DE (1) DE10053390A1 (de)
WO (1) WO2002035763A2 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EE200000390A (et) * 2000-11-02 2002-06-17 Artec Design Group O� Protokolli analüüsil baseeruv andmete krüpteerimisseade
FR2834154B1 (fr) * 2001-12-21 2005-03-11 Oberthur Card Syst Sa Unite electronique incluant des moyens de cryptographie capables de traiter des informations a haut debit
EP1645929B1 (de) 2004-10-11 2009-02-04 Swisscom (Schweiz) AG Kommunikationskarte für mobile Netzwerkgeräte sowie Authentifikationsverfahren für Benutzer mobiler Netzwerkgeräte
US7822017B2 (en) * 2004-11-18 2010-10-26 Alcatel Lucent Secure voice signaling gateway
EP3852334B1 (de) * 2020-01-20 2023-06-07 Bitfold AG System und verfahren zur sicheren datenübertragung unter verwendung eines luftspalt-hardware-protokolls

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5680457A (en) * 1995-01-18 1997-10-21 Zenith Electronics Corporation System for updating an authorization memory
EP0949814A2 (de) * 1998-04-08 1999-10-13 Telemann Co., Ltd. Chipkartenleser mit internem drahtlosen Empfangsmodul und Multimediasystem mit Chipkartenleser
US6040851A (en) * 1998-01-20 2000-03-21 Conexant Systems, Inc. Small-format subsystem for broadband communication services
WO2000059210A1 (en) * 1999-03-30 2000-10-05 Sony Electronics, Inc. System for interfacing multiple conditional access devices
WO2001022724A1 (en) * 1999-09-23 2001-03-29 Thomson Licensing S.A. Multimedia digital terminal and detachable module cooperating with the terminal comprising an interface protected against copying

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797928A (en) * 1987-01-07 1989-01-10 Miu Automation Encryption printed circuit board
US5644354A (en) * 1992-10-09 1997-07-01 Prevue Interactive, Inc. Interactive video system
US5521979A (en) * 1994-04-22 1996-05-28 Thomson Consumer Electronics, Inc. Packet video signal inverse transport system
SE509033C2 (sv) * 1996-06-26 1998-11-30 Telia Ab Metod för säker överföring av datainformation mellan Internet www-servar och dataterminaler
US5987606A (en) * 1997-03-19 1999-11-16 Bascom Global Internet Services, Inc. Method and system for content filtering information retrieved from an internet computer network
US6697489B1 (en) * 1999-03-30 2004-02-24 Sony Corporation Method and apparatus for securing control words

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5680457A (en) * 1995-01-18 1997-10-21 Zenith Electronics Corporation System for updating an authorization memory
US6040851A (en) * 1998-01-20 2000-03-21 Conexant Systems, Inc. Small-format subsystem for broadband communication services
EP0949814A2 (de) * 1998-04-08 1999-10-13 Telemann Co., Ltd. Chipkartenleser mit internem drahtlosen Empfangsmodul und Multimediasystem mit Chipkartenleser
WO2000059210A1 (en) * 1999-03-30 2000-10-05 Sony Electronics, Inc. System for interfacing multiple conditional access devices
WO2001022724A1 (en) * 1999-09-23 2001-03-29 Thomson Licensing S.A. Multimedia digital terminal and detachable module cooperating with the terminal comprising an interface protected against copying

Also Published As

Publication number Publication date
EP1329050A2 (de) 2003-07-23
WO2002035763A3 (de) 2002-07-04
US20040221156A1 (en) 2004-11-04
DE10053390A1 (de) 2002-05-08

Similar Documents

Publication Publication Date Title
DE69131680T2 (de) Informationsverarbeitungsgerät mit auswechselbarem Sicherheitselement
DE69802540T2 (de) System mit bedingtem zugang
DE69809757T2 (de) Datenverschlüsselungsgerät für systeme mit bedingtem zugriff
DE69719803T2 (de) Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen
DE69738628T2 (de) Kontrolle für einen globalen datentransportstrom
DE69808741T2 (de) Verfahren und vorrichtung um unerlaubten zugriff in einem system mit bedingtem zugriff zu vermeiden
DE69525170T2 (de) System mit bedingtem zugang
DE69723650T2 (de) Verfahren zur Beglaubigung von Daten mittels Verschlüsselung und System zur Beglaubigung unter Verwendung eines solchen Verfahrens
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE60214015T2 (de) Gerät, Datenverteilungssystem mit einem solchen Geräten, Verfahren zur Übertragung von Daten
DE60306835T2 (de) Vorrichtung zur sicheren Mehrfachsendung
DE60217576T2 (de) Vorrichtungen und Verfahren zur Übertragung und Implementierung von Steuerungsanweisungen zum Zugriff auf Empfängerfunktionalitäten
DE60222012T2 (de) System und verfahren für hybriden bedingten zugang für empfänger verschlüsselter übertragungen
DE68928355T2 (de) Reproduktion von geschützten Schlüsseln durch Erzeugungsdaten von verteilten Schlüsseln
DE69227487T2 (de) Verfahren zum Senden und Empfangen von personalisierten Programmen
DE60131990T2 (de) Vorrichtung und verfahren zur selektiven verschlüsselung von über ein netzwerk zu übertragenden multimediadaten
DE69608609T2 (de) Datensicherungsschema für Punkt-zu-Punkt Kommunikationssitzungen
DE69512335T2 (de) Verfahren zur Steuerung verschiedener Systeme mit bedingtem Zugriff zur Übertragung von Video-, Audio- und Daten-Diensten und Empfänger zur Anwendung mit diesem Verfahren
EP2146285A1 (de) Verfahren zum betrieb eines systems mit zugangskontrolle zur verwendung in computernetzen und system zum ausführen des verfahrens
WO2014118306A1 (de) Eingebettetes system zur videoverarbeitung mit hardware-mitteln
WO2019145207A1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE69835670T2 (de) Datenübertragungssystem
DE69808113T2 (de) Quellenauthentifizierung von datenfernladungsinformation in einem system mit bedingtem zugang
DE69821183T2 (de) Zugangskontrollverfahren für Hausnetz und Anordnung zu dessen Durchführung
DE69802288T2 (de) Autorisierung von diensten in einem system mit bedingtem zugriff

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A3

Designated state(s): JP SG US

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2001988996

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2001988996

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10415141

Country of ref document: US

WWW Wipo information: withdrawn in national office

Ref document number: 2001988996

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP