WO2004051390A2 - Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant - Google Patents
Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant Download PDFInfo
- Publication number
- WO2004051390A2 WO2004051390A2 PCT/EP2003/050922 EP0350922W WO2004051390A2 WO 2004051390 A2 WO2004051390 A2 WO 2004051390A2 EP 0350922 W EP0350922 W EP 0350922W WO 2004051390 A2 WO2004051390 A2 WO 2004051390A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- secure
- module
- software
- secure software
- software module
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/41—Structure of client; Structure of client peripherals
- H04N21/418—External card to be used in combination with the client device, e.g. for conditional access
- H04N21/4181—External card to be used in combination with the client device, e.g. for conditional access for conditional access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/81—Monomedia components thereof
- H04N21/8166—Monomedia components thereof involving executable data, e.g. software
- H04N21/8193—Monomedia components thereof involving executable data, e.g. software dedicated tools, e.g. video decoder software or IPMP tool
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/163—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/165—Centralised control of user terminal ; Registering at central
Definitions
- the present invention relates to the field of protection of so-called “secure” software and their renewal when they are installed in devices.
- any so-called “secure” system may one day be “broken”. This flaw may be due to the fact that more powerful means of calculation than those existing at the time of the system design became available to "hackers". This is the case for example when the length of the keys used for cryptographic operations in the system becomes too short.
- the hacking of the system can also come from new advances in cryptanalysis or from new discovered attacks. But hacking can also be due to a flaw in the system during its design or implementation.
- Another solution consists in using detachable secure processors (such as those of smart cards - or “smart cards” in English) to store any software managing operations or secure protocols. These processors are intended to be inserted into devices using the software. When it is necessary to renew the software, we replace all the detachable processors (in practice, we change the smart cards), the replacement processors containing the new software.
- This solution if it is more secure, nevertheless has the disadvantage of being more expensive (in particular for large-scale systems in which many devices are deployed with users) and involves the use of a complex infrastructure. for card renewal.
- An object of the invention is to provide an alternative to the solutions set out above which solves the problems associated with these solutions.
- the subject of the invention is a device containing an application software module capable of using a secure software module, characterized in that it further comprises a module responsible for choosing which secure software module should be used from among a secure software module internal to the device and an external secure software module contained in a detachable processor capable of being inserted into said device. Thanks to the invention, the device can be marketed initially with an internal secure software module and therefore of reduced cost and this secure software can be renewed if necessary by using smart cards (or detachable processors) containing a new version of the software.
- each secure software module has an associated version number and the module responsible for choosing the secure software module to be used chooses the one with the most recent version number.
- the device comprises means for destroying all or part of the internal secure software module intended to render said internal secure software module unusable when the module responsible for choosing the secure software module which is to be used chooses a secure external software module.
- the invention also relates to a method of using secure software in a device as above.
- This method comprises the steps consisting, each time a detachable processor is inserted into the device, in verifying the version number associated with the external secure software module; compare this version number with that of the internal secure software module; and in the case where the version number of the external secure software is the most recent, to use for the application module only the external secure software module.
- the method can also, in the latter case, further include a step of destroying all or part of the internal secure software module so as to make it permanently unusable.
- Figure 1 schematically illustrates the hardware of a device according to the invention.
- FIG. 2 illustrates the software elements of a device according to the invention.
- FIG. 3 represents the different states in which a module illustrated in FIG. 2 can be found.
- FIG. 1 we have shown an apparatus 1 which contains an integrated processor 11 and a smart card reader 12.
- the apparatus is for example a digital decoder (or Digital Set-Top Box in English) which makes it possible to decrypt television programs transmitted in encrypted form and reserved only for users who have paid a subscription to receive them.
- digital decoder or Digital Set-Top Box in English
- This type of device indeed contains software managing cryptographic operations or secure protocols, for example for managing messages called ECM (from the English “Entitlement Control Message” or EMM (from the 'English “Entitlement Management Message” meaning rights management message).
- ECM from the English “Entitlement Control Message” or EMM (from the 'English “Entitlement Management Message” meaning rights management message).
- EMM from the 'English “Entitlement Management Message” meaning rights management message.
- These messages are defined in particular in ISO / IEC 13818-1. They contain decryption parameters (such as keys) for ECMs or rights updating elements associated with decoders for EMMs and must therefore be managed by secure software.
- the invention is naturally not limited to this type of device and applies to any device in which at least one software module must be secured.
- the integrated processor 11 is a secure processor, that is to say protected against any attempt to access its content. It contains in an exemplary embodiment: a CPU (from the English "Central
- Central Processing Unit (meaning Central Processing Unit), a random access memory (RAM) and a read only memory (ROM) in which the secure software is stored.
- RAM random access memory
- ROM read only memory
- the smart card reader 12 provides the physical and logical interface with an external processor 2.
- This detachable processor 2 is preferably a secure processor included in a smart card.
- the integrated processor 11 contains at the start, that is to say when the device 1 is delivered for the first time to a user, conventional application software and an initial version of secure software.
- the secure software of processor 11 has an associated version number which we will denote by V em b ⁇ .
- the application software of the device 1 uses the secure software included in the integrated processor 11 for its "sensitive" operations .
- a specific application module of the integrated processor 11 verifies that the inserted card is of a predetermined type (in particular containing a secure software) and is authentic. If not, the inserted card is ignored. If this is the case, however, the specific application module is responsible for verifying the version number of the software contained in the detachable processor 2. We will note this number Vcar.
- the specific application module of the integrated processor 11 compares the version numbers V ⁇ mbe d (of the secure software included in the integrated processor 11) and Vca-d- If Vcard is greater than or equal to V em ⁇ ( j, then the software application of device 1 will use the secure software of the detachable processor 2 instead of that of the integrated processor 11. Otherwise (Vca rt ⁇ V e mbed), the presence of the card in the reader 12 is ignored.
- the integrated processor 11 can, at the request of the detachable processor 2, transmit to it certain data, such as keys, necessary for the use of the secure software.
- the application software of the device 1 again uses the secure software of the integrated processor 11; - Either, the application software of the device 1 no longer uses the secure software of the integrated processor 11 and can therefore no longer receive a result involving secure operations carried out by this software. It is even possible in this case to make the secure software of the integrated processor 11 unusable by physical means (consisting for example of blowing a fuse in the integrated processor 11) or logic (command to destroy all or part of the secure software of the processor integrated 11 for example).
- FIG. 2 we have represented the different software modules used by the device in FIG. 1 in a preferred embodiment of the invention.
- the software which is used in the integrated processor 11 of FIG. 1 includes:
- a secure API module 111 also called in English “Virtual Secure API module”, the acronym API coming from “Application Programming Interface” meaning “Application Programming Interface” .
- This secure API module 111 is also responsible for communication with the software 114 for managing the interface of the card reader 12. According to the principle of the invention, the secure API module 111 can be in one of the three states The following are shown schematically in Figure 3:
- the “external” state 32 which means that all the commands of the application software 110 requiring the use of secure software are directed to the module 114 of the card reader interface in order to use the secure software 212 included in the processor detachable 2; - the “inhibited” state 33 in which the commands of the application software
- the initial state of the module 111 is the internal state 31. When in this state, each time a smart card (ie a detachable processor 2) is inserted into the reader 12 of the device 1, the following operations are carried out by the secure API module 111: 1. Authentication of the card inserted: the module 111 authenticates the card and verifies that it is of the correct category.
- the module 111 transmits an error message to the application software 110 and it remains in the internal state.
- the module 111 checks the version numbers of the internal secure software 112 (Ve e) and the secure software 212 of the card (Va, *.).
- Vcard which means that the most recent secure software is in the integrated processor of the device 1, then the secure API module transmits another error message to the application software 110 and it remains in the internal state.
- This transition 312 triggers a secure data exchange so as to transfer data used by the internal secure software 112 to the secure software of the detachable processor 2.
- a secure memory 113 of the device 1 to which only the internal secure software 112 can access.
- an authenticated Diffie-Hellmann key exchange protocol (or “Authenticated Diffie-Hellman Key exchange protocol”) is used for the secure data exchange procedure to define a session key common to the module.
- the secure exchange module 115 then encrypts the data extracted from the memory 113 using this session key to transmit them to the detachable processor 2.
- the software secure 212 of the latter deciphers them using the same session key.
- a transition 321 (shown in dotted lines in FIG. 3) from the external state 32 to the internal state 31 can also be envisaged when the detachable processor 2 is removed in certain cases where there is no need for a very high security level but the preferred solution is automatic transition 323.
- the module 111 authenticates the card and verifies that it is of the correct category. 2. If the authentication fails, then the module 111 transmits an error message to the application software 110 and it remains in the inhibited state.
- the module 111 checks the version numbers of the internal secure software 112 (V em e d) and of the secure software 212 of the newly inserted card (Vca ⁇ i). 4. If Vembe Vcar, which means that the most recent secure software is located in the integrated processor of the device 1, then the secure API module transmits another error message to the application software 110 and it remains in the inhibited state.
- V em ⁇ d ⁇ Vcar which means that the most recent secure software is located in the detachable processor 2
- the module 111 changes state to be in the external state 32 during a transition 332.
- this transition does not trigger a secure data exchange process like the transition 312. In this case, it is necessary to provide an update of the secure data according to another mechanism. For example, this data is directly inserted into the new detachable processor at the same time as the newer version of the secure software.
- the invention is naturally not limited to the examples which have just been described.
- the internal secure software 112 and the secure memory 113 are included in a dedicated secure internal CPU and that the other software such as the application software 110 and the secure API module 111 are included in another CPU.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
Le dispositif contient un module logiciel applicatif (110) susceptible d'utiliser un module logiciel sécurisé (112, 212). II comporte en outre un module (111) chargé de choisir le module logiciel sécurisé qui doit être utilisé parmi un module logiciel sécurisé interne (112) au dispositif et un module logiciel sécurisé externe (212) contenu dans un processeur détachable susceptible d'être inséré dans le dispositif. Ce choix est effectué avantageusement en fonction de numéros de version associés aux modules logiciels sécurisés interne et externe. L'invention concerne aussi un procédé d'utilisation de tels modules logiciels sécurisés.
Description
Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant
Domaine de l'invention La présente invention se rapporte au domaine de la protection des logiciels dits « sécurisés » et à leur renouvellement lorsqu'ils sont installés dans des appareils.
Etat de la technique II est bien connu que tout système dit « sécurisé » risque un jour d'être « cassé ». Cette faille peut être due au fait que des moyens de calculs plus puissants que ceux existants au moment de la conception du système deviennent disponibles pour des « pirates ». Ceci est le cas par exemple lorsque la longueur des clés utilisées pour des opérations cryptographiques dans le système devient trop courte. Le piratage du système peut également venir de nouvelles avances en cryptanalyse ou de nouvelles attaques découvertes. Mais le piratage peut également être du à une faille du système lors de sa conception ou de son implémentation.
Il est donc indispensable lors de la conception de tout système sécurisé de prévoir des moyens pour qu'il puisse se remettre de toute attaque. En particulier, la possibilité de renouveler les logiciels gérant des protocoles sécurisés est maintenant obligatoire sur ce type de système.
Lorsque le logiciel gérant des protocoles ou des opérations sécurisées se trouve dans un processeur intégré dans un appareil, une solution connue pour remplacer ce logiciel lorsqu'une attaque est constatée, consiste à télécharger un nouveau logiciel dans le processeur de l'appareil, ce nouveau logiciel utilisant par exemple des nouveaux algorithmes ou des clés de longueurs plus importantes. Malheureusement, cette solution ne suffit pas car il est possible que le mécanisme de téléchargement lui-même soit cassé. Dans ce cas, le renouvellement du logiciel n'est pas garanti.
Une autre solution consiste à utiliser des processeurs sécurisés détachables (tels que ceux des cartes à puces - ou « smart cards » en anglais) pour stocker tout logiciel gérant des opérations ou des protocoles sécurisés. Ces processeurs sont destinés à être insérés dans des appareils utilisant le logiciel. Lorsqu'il est nécessaire de renouveler le logiciel, on procède au remplacement de tous les processeurs détachables (en pratique, on change les cartes à puce), les processeurs de remplacement contenant le nouveau logiciel.
Cette solution, si elle est plus sûre, présente néanmoins l'inconvénient d'être plus chère (en particulier pour des systèmes à grande échelle dans lesquels beaucoup d'appareils sont déployés chez des utilisateurs) et implique l'utilisation d'une infrastructure complexe pour le renouvellement des cartes.
Exposé de l'invention
Un but de l'invention est de proposer une alternative aux solutions exposées ci-dessus qui résolve les problèmes liés à ces solutions.
L'invention a pour objet un dispositif contenant un module logiciel applicatif susceptible d'utiliser un module logiciel sécurisé, caractérisé en ce qu'il comporte en outre un module chargé de choisir quel module logiciel sécurisé doit être utilisé parmi un module logiciel sécurisé interne au dispositif et un module logiciel sécurisé externe contenu dans un processeur détachable susceptible d'être inséré dans ledit dispositif. Grâce à l'invention, le dispositif peut être commercialisé initialement avec un module logiciel sécurisé interne et donc de coût réduit et ce logiciel sécurisé peut être renouvelé si nécessaire en utilisant des cartes à puces (ou processeurs détachables) contenant une nouvelle version du logiciel.
Selon une caractéristique particulière de l'invention, chaque module logiciel sécurisé possède un numéro de version associé et le module chargé de choisir le module logiciel sécurisé qui doit être utilisé choisit celui dont le numéro de version est le plus récent.
Selon une autre caractéristique de l'invention, le dispositif comporte des moyens de destruction de tout ou partie du module logiciel sécurisé interne destinés à rendre ledit module logiciel sécurisé interne inutilisable lorsque le module chargé de choisir le module logiciel sécurisé qui doit être utilisé choisit un module logiciel sécurisé externe.
L'invention concerne également un procédé d'utilisation de logiciel sécurisé dans un dispositif tel que ci-dessus. Ce procédé comporte les étapes consistant, à chaque fois qu'un processeur détachable est inséré dans le dispositif, à vérifier le numéro de version associé au module logiciel sécurisé externe ; à comparer ce numéro de version à celui du module logiciel sécurisé interne ; et dans le cas où le numéro de version du logiciel sécurisé externe est le plus récent, à n'utiliser pour le module applicatif que le module logiciel sécurisé externe.
Le procédé peut également, dans ce dernier cas, comporter en outre une étape de destruction de tout ou partie du module logiciel sécurisé interne de manière à le rendre définitivement inutilisable.
Brève description des dessins
L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés sur lesquels :
La figure 1 illustre schématiquement les éléments matériels d'un dispositif selon l'invention.
La figure 2 illustre les éléments logiciels d'un dispositif selon l'invention.
La figure 3 représente les différents états dans lesquels peut se trouver un module illustré à la figure 2.
Description détaillée d'un mode de réalisation de l'invention
Sur la figure 1 , nous avons représenté un appareil 1 qui contient un processeur intégré 11 et un lecteur de carte à puce 12. L'appareil est par exemple un décodeur numérique (ou Digital Set-Top Box en anglais) qui permet de décrypter des programmes télévisés transmis sous forme cryptée et réservés aux seuls utilisateurs qui ont payé un abonnement pour les recevoir.
Ce type d'appareil contient en effet du logiciel gérant des opérations cryptographiques ou des protocoles sécurisés, par exemple pour la gestion des messages appelés ECM (de l'anglais « Entitlement Control Message » signifiant message de contrôle des droits) ou EMM (de l'anglais « Entitlement Management Message » signifiant message de gestion des droits). Ces messages sont définis notamment dans la norme ISO/IEC 13818-1. Ils contiennent des paramètres (tels que des clés) de décryptage pour les ECM ou des éléments de mise à jour des droits associés à des décodeurs pour les EMM et doivent donc être gérés par des logiciels sécurisés.
L'invention n'est naturellement pas limitée à ce type d'appareil et s'applique à tout appareil dans lequel au moins un module logiciel doit être sécurisé.
Préférentiellement, le processeur intégré 11 est un processeur sécurisé, c'est à dire protégé contre toute tentative d'accès à son contenu. Il contient dans un exemple de réalisation : une CPU (de l'anglais « Central
Processing Unit » signifiant Unité de traitement central), une mémoire vive
(RAM) et une mémoire morte (ROM) dans laquelle est stocké le logiciel sécurisé.
Le lecteur de carte à puce 12 assure l'interface physique et logique avec un processeur externe 2. Ce processeur détachable 2 est préférentiellement un processeur sécurisé inclus dans une carte à puce.
Selon le principe de l'invention, le processeur intégré 11 contient au départ, c'est à dire au moment où l'appareil 1 est délivré pour la première fois à un utilisateur, un logiciel applicatif classique et une version initiale de logiciel sécurisé. Le logiciel sécurisé du processeur 11 a un numéro de version associé que nous noterons Vembβ .
Tant qu'aucune carte à puce (contenant un processeur détachable) n'est insérée dans le lecteur 12 de l'appareil, le logiciel applicatif de l'appareil 1 utilise le logiciel sécurisé inclus dans le processeur intégré 11 pour ses opérations « sensibles ». Lorsqu'une carte à puce est insérée dans le lecteur 12, alors un module applicatif spécifique du processeur intégré 11 vérifie que la carte insérée est d'un type prédéterminé (notamment contenant un logiciel sécurisé) et est authentique. Si ce n'est pas le cas, la carte insérée est ignorée. Si c'est le cas par contre, le module applicatif spécifique est chargé de vérifier le numéro de version du logiciel contenu dans le processeur détachable 2. Nous noterons ce numéro Vcar .
Le module applicatif spécifique du processeur intégré 11 compare ensuite les numéros de version Vθmbed (du logiciel sécurisé inclus dans le processeur intégré 11) et Vca-d- Si Vcard est supérieur ou égal à Vem θ(j, alors le logiciel applicatif de l'appareil 1 utilisera le logiciel sécurisé du processeur détachable 2 au lieu de celui du processeur intégré 11. Dans le cas contraire (Vcart < Vembed). la présence de la carte dans le lecteur 12 est ignorée.
Lorsque le logiciel sécurisé du processeur détachable 2 est utilisé, le processeur intégré 11 peut, sur requête du processeur détachable 2, lui transmettre certaines données, telles que des clés, nécessaires pour l'utilisation du logiciel sécurisé.
Lorsque le logiciel sécurisé du processeur détachable 2 était utilisé et que ce processeur 2 est retiré du lecteur de carte 12, deux alternatives sont possibles :
- soit le logiciel applicatif de l'appareil 1 utilise à nouveau le logiciel sécurisé du processeur intégré 11 ;
- soit, le logiciel applicatif de l'appareil 1 n'utilise plus le logiciel sécurisé du processeur intégré 11 et ne peut donc plus recevoir de résultat impliquant des opérations sécurisées effectuées par ce logiciel. On peut même prévoir dans ce cas de rendre le logiciel sécurisé du processeur intégré 11 inutilisable par des moyens physique (consistant par exemple à griller un fusible dans le processeur intégré 11) ou logique (commande de destruction de tout ou partie du logiciel sécurisé du processeur intégré 11 par exemple).
Le choix de l'une ou l'autre des alternatives ci-dessus dépend de l'application gérée par le module opérationnel (ou « operating module ») de l'appareil 1.
Sur la figure 2, nous avons représenté les différents modules logiciels utilisés par l'appareil de la figure 1 dans un mode de réalisation préféré de l'invention. Les logiciels qui sont utilisés dans le processeur intégré 11 de la figure 1 comprennent :
- le logiciel applicatif précité de l'appareil 1 noté 110 sur la figure 2 ;
- le logiciel sécurisé interne 112.
Ces deux logiciels communiquent entre eux par l'intermédiaire d'un module API sécurisé 111 (appelé aussi en anglais « Virtual Secure API module », l'acronyme API venant de « Application Programming Interface » signifiant « Interface de Programmation d'Application »). Ce module API sécurisé 111 est également chargé de la communication avec le logiciel 114 de gestion de l'interface du lecteur de carte 12. Selon le principe de l'invention, le module API sécurisé 111 peut se trouver dans l'un des trois états suivants qui sont représentés de manière schématique à la figure 3 :
- l'état « interne » 31 qui signifie que toutes les commandes du logiciel applicatif 110 requérant l'utilisation d'un logiciel sécurisé sont dirigées vers le logiciel sécurisé interne 112 ;
- l'état « externe » 32 qui signifie que toutes les commandes du logiciel applicatif 110 requérant l'utilisation d'un logiciel sécurisé sont dirigées vers le module 114 d'interface du lecteur de carte pour utiliser le logiciel sécurisé 212 inclus dans le processeur détachable 2 ; - l'état « inhibé » 33 dans lequel les commandes du logiciel applicatif
110 requérant l'utilisation d'un logiciel sécurisé sont écartées et ne sont transmises à aucun logiciel sécurisé.
L'état initial du module 111 est l'état interne 31. Lorsque l'on se trouve dans cet état, chaque fois qu'une carte à puce (c'est à dire un processeur détachable 2) est insérée dans le lecteur 12 de l'appareil 1 , les opérations suivantes sont effectuées par le module API sécurisé 111 : 1. Authentifïcation de la carte insérée : le module 111 authentifie la carte et vérifie qu'elle est de la bonne catégorie.
2. Si l'authentification échoue, alors le module 111 transmet un message d'erreur au logiciel applicatif 110 et il reste dans l'état interne.
3. Si l'authentification réussit, alors le module 111 vérifie les numéros de version du logiciel sécurisé inteme 112 (Ve e ) et du logiciel sécurisé 212 de la carte (Va,*.).
4. Si Vem ed > Vcard. ce qui signifie que le logiciel sécurisé le plus récent se trouve dans le processeur intégré de l'appareil 1 , alors le module API sécurisé transmet un autre message d'erreur au logiciel applicatif 110 et il reste dans l'état interne.
5. Si par contre em θd ≤ Vcard, ce qui signifie que le logiciel sécurisé le plus récent se trouve dans le processeur détachable 2, alors le module 111 change d'état pour se trouver dans l'état externe 32 lors d'une transition 312.
Cette transition 312 déclenche un échange de données sécurisé de manière à transférer des données utilisées par le logiciel sécurisé inteme 112 vers le logiciel sécurisé du processeur détachable 2.
Ces données sont mémorisées dans une mémoire sécurisée 113 de l'appareil 1 à laquelle seul le logiciel sécurisé interne 112 peut accéder. Les autres logiciels applicatifs de l'appareil 1, tels le logiciel 110, n'ont pas accès à la mémoire 113. Il existe cependant un module dédié, appelé module d'échange sécurisé 115, qui peut lire les données contenues dans la mémoire 113 pour les transférer de manière sécurisée vers le processeur détachable 2, à travers l'interface de lecteur de carte à puce 114.
Selon un mode de réalisation préféré, on utilise pour la procédure d'échange de données sécurisée un protocole d'échange de clé Diffie-Hellmann authentifié (ou « Authenticated Diffie-Hellman Key exchange protocol ») pour définir une clé de session commune au module d'échange sécurisé 115 et au logiciel sécurisé 212 du processeur détachable 2. Le module d'échange sécurisé 115 chiffre ensuite les données extraites de la mémoire 113 à l'aide de cette clé de session pour les transmettre au processeur détachable 2. Le logiciel sécurisé 212 de ce dernier les déchiffre à l'aide de la même clé de session.
Lorsque le module API sécurisé 111 se trouve dans l'état externe 32 utilisant le logiciel sécurisé 212 et que le processeur détachable 2 est retiré du lecteur de carte 12, alors le module 111 change d'état pour se trouver dans l'état inhibé 33 (transition 323 sur la figure 3). Une transition 321 (représentée en pointillés à la figure 3) de l'état externe 32 vers l'état interne 31 peut aussi être envisagée lors du retrait du processeur détachable 2 dans certains cas où l'on n'a pas besoin d'un niveau de sécurité très élevé mais la solution préférée est la transition automatique 323.
Lorsque le module API sécurisé 111 se trouve dans l'état inhibé 33, à chaque fois qu'une carte à puce est insérée dans le lecteur 12 de l'appareil 1, les opérations suivantes sont effectuées par le module 111 :
1. Authentification de la nouvelle carte insérée : le module 111 authentifie la carte et vérifie qu'elle est de la bonne catégorie. 2. Si l'authentification échoue, alors le module 111 transmet un message d'erreur au logiciel applicatif 110 et il reste dans l'état inhibé.
3. Si l'authentification réussit, alors le module 111 vérifie les numéros de version du logiciel sécurisé inteme 112 (Vem ed) et du logiciel sécurisé 212 de la carte nouvellement insérée (Vcaπi). 4. Si Vembe Vcar , ce qui signifie que le logiciel sécurisé le plus récent se trouve dans le processeur intégré de l'appareil 1 , alors le module API sécurisé transmet un autre message d'erreur au logiciel applicatif 110 et il reste dans l'état inhibé.
5. Si par contre Vem βd < Vcar , ce qui signifie que le logiciel sécurisé le plus récent se trouve dans le processeur détachable 2, alors le module 111 change d'état pour se trouver dans l'état externe 32 lors d'une transition 332.
On notera que cette transition ne déclenche pas un processus d'échange de données sécurisé comme la transition 312. Il faut dans ce cas prévoir une mise à jour des données sécurisées selon un autre mécanisme. Par exemple, ces données sont directement insérées dans le nouveau processeur détachable en même temps que la version plus récente du logiciel sécurisé.
L'invention n'est naturellement pas limitée aux exemples qui viennent d'être décrits. En particulier, il est possible dans un autre mode de réalisation que le logiciel sécurisé interne 112 et la mémoire sécurisée 113 soient inclus dans une CPU interne sécurisée dédiée et que les autres logiciels tel le logiciel applicatifs 110 et le module API sécurisé 111 soient inclus dans une autre CPU.
Claims
1. Dispositif contenant un module logiciel applicatif (110) susceptible d'utiliser un module logiciel sécurisé (112, 212), caractérisé en ce qu'il comporte en outre un module (111) chargé de choisir quel module logiciel sécurisé doit être utilisé parmi un module logiciel sécurisé interne (1 2) au dispositif et un module logiciel sécurisé externe (212) contenu dans un processeur détachable susceptible d'être inséré dans ledit dispositif.
2. Dispositif selon la revendication 1, caractérisé en ce que chaque module logiciel sécurisé possède un numéro de version associé et en ce que le module (111) chargé de choisir le module logiciel sécurisé qui doit être utilisé choisit celui dont le numéro de version est le plus récent.
3. Dispositif selon l'une des revendications 1 ou 2, caractérisé en ce qu'il comporte des moyens de destruction de tout ou partie du module logiciel sécurisé inteme (112) destinés à rendre ledit module logiciel sécurisé interne inutilisable lorsque le module (111) chargé de choisir le module logiciel sécurisé qui doit être utilisé choisit un module logiciel sécurisé externe (212).
4. Procédé d'utilisation de logiciel sécurisé dans un dispositif selon la revendication 2 ou la revendication 3, prise dans sa dépendance de la revendication 2, caractérisé en ce qu'il comporte les étapes consistant, à chaque fois qu'un processeur détachable (2) est inséré dans ledit dispositif, - à vérifier le numéro de version associé au module logiciel sécurisé externe (212) ;
- à comparer ce numéro de version à celui du module logiciel sécurisé interne (112) ; et dans le cas où le numéro de version du logiciel sécurisé externe est le plus récent, à n'utiliser pour le module applicatif (110) que le module logiciel sécurisé externe.
5. Procédé selon la revendication 4, caractérisé en ce que dans le cas où le numéro de version du logiciel sécurisé externe est le plus récent, le procédé comporte en outre une étape de destruction de tout ou partie du module logiciel sécurisé interne (112) de manière à le rendre définitivement inutilisable.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2003302511A AU2003302511A1 (en) | 2002-12-02 | 2003-12-02 | Device which can use secure internal or external software and corresponding use method |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0215728 | 2002-12-02 | ||
| FR0215728 | 2002-12-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2004051390A2 true WO2004051390A2 (fr) | 2004-06-17 |
| WO2004051390A3 WO2004051390A3 (fr) | 2004-09-30 |
Family
ID=32406129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2003/050922 WO2004051390A2 (fr) | 2002-12-02 | 2003-12-02 | Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant |
Country Status (2)
| Country | Link |
|---|---|
| AU (1) | AU2003302511A1 (fr) |
| WO (1) | WO2004051390A2 (fr) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006120702A1 (fr) * | 2005-05-09 | 2006-11-16 | Trinity Future-In Pvt. Ltd, | Systeme electromecanique pour une non duplication du systeme d’exploitation |
| WO2007013091A1 (fr) * | 2005-07-25 | 2007-02-01 | Trinity Future-In Pvt. Ltd | Système électromécanique empêchant la duplication de logiciels |
| EP2151999A1 (fr) * | 2008-08-06 | 2010-02-10 | THOMSON Licensing | Procédé et dispositif pour l'accès à des données de contenu |
| EP2400750A1 (fr) * | 2009-02-23 | 2011-12-28 | Panasonic Corporation | Récepteur de télévision |
| EP2611193A1 (fr) * | 2011-12-30 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil d'affichage, appareil de mise à niveau, système d'affichage et procédé de commande correspondant |
| EP2611195A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd | Appareil dýaffichage et son procédé de commande |
| EP2611192A1 (fr) * | 2011-12-30 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil de mise à niveau d'appareil d'affichage et procédé de commande de celui-ci et système d'affichage |
| EP2611194A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil d'affichage, mise à niveau et système d'affichage le comprenant |
| EP2611191A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd | Système d'affichage comprenant un appareil d'affichage et un appareil de mise à niveau et procédé de commande correspondant |
| CN103227952A (zh) * | 2012-01-27 | 2013-07-31 | 三星电子株式会社 | 显示装置及其升级装置、显示系统及其数据处理方法 |
| EP2648416A3 (fr) * | 2012-04-02 | 2013-12-18 | LG Electronics Inc. | Dispositif d'affichage et procédé de commande et de mise à niveau de celui-ci |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0679029A1 (fr) * | 1991-03-29 | 1995-10-25 | Scientific-Atlanta, Inc. | Système coopérant avec un transpondeur de satellite |
| US6122374A (en) * | 1996-05-22 | 2000-09-19 | U.S. Philips Corporation | Method of reading a service card |
| US20020092011A1 (en) * | 2001-01-05 | 2002-07-11 | Jun Liu | Methods and arrangements for managing devices |
| US20020120885A1 (en) * | 2001-02-28 | 2002-08-29 | Choi Jong Sung | Apparatus and method for upgrading software |
| EP1309182A2 (fr) * | 2001-10-26 | 2003-05-07 | Matsushita Electric Industrial Co., Ltd. | Méthode pour fournir une mise-à-jour de logiciel à un terminal équipé d'une interface pour carte à puce |
-
2003
- 2003-12-02 AU AU2003302511A patent/AU2003302511A1/en not_active Abandoned
- 2003-12-02 WO PCT/EP2003/050922 patent/WO2004051390A2/fr not_active Application Discontinuation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0679029A1 (fr) * | 1991-03-29 | 1995-10-25 | Scientific-Atlanta, Inc. | Système coopérant avec un transpondeur de satellite |
| US6122374A (en) * | 1996-05-22 | 2000-09-19 | U.S. Philips Corporation | Method of reading a service card |
| US20020092011A1 (en) * | 2001-01-05 | 2002-07-11 | Jun Liu | Methods and arrangements for managing devices |
| US20020120885A1 (en) * | 2001-02-28 | 2002-08-29 | Choi Jong Sung | Apparatus and method for upgrading software |
| EP1309182A2 (fr) * | 2001-10-26 | 2003-05-07 | Matsushita Electric Industrial Co., Ltd. | Méthode pour fournir une mise-à-jour de logiciel à un terminal équipé d'une interface pour carte à puce |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006120702A1 (fr) * | 2005-05-09 | 2006-11-16 | Trinity Future-In Pvt. Ltd, | Systeme electromecanique pour une non duplication du systeme d’exploitation |
| WO2007013091A1 (fr) * | 2005-07-25 | 2007-02-01 | Trinity Future-In Pvt. Ltd | Système électromécanique empêchant la duplication de logiciels |
| US8079092B2 (en) | 2005-07-25 | 2011-12-13 | M/s. Trinity Future—In PVT. Ltd. | Electro-mechanical system for non-duplication of software |
| EP2151999A1 (fr) * | 2008-08-06 | 2010-02-10 | THOMSON Licensing | Procédé et dispositif pour l'accès à des données de contenu |
| EP2400750A1 (fr) * | 2009-02-23 | 2011-12-28 | Panasonic Corporation | Récepteur de télévision |
| EP2400750A4 (fr) * | 2009-02-23 | 2012-08-22 | Panasonic Corp | Récepteur de télévision |
| EP2611194A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil d'affichage, mise à niveau et système d'affichage le comprenant |
| EP2611191A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd | Système d'affichage comprenant un appareil d'affichage et un appareil de mise à niveau et procédé de commande correspondant |
| EP2611195A1 (fr) * | 2011-12-28 | 2013-07-03 | Samsung Electronics Co., Ltd | Appareil dýaffichage et son procédé de commande |
| EP2611192A1 (fr) * | 2011-12-30 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil de mise à niveau d'appareil d'affichage et procédé de commande de celui-ci et système d'affichage |
| EP2611193A1 (fr) * | 2011-12-30 | 2013-07-03 | Samsung Electronics Co., Ltd. | Appareil d'affichage, appareil de mise à niveau, système d'affichage et procédé de commande correspondant |
| US9307176B2 (en) | 2011-12-30 | 2016-04-05 | Samsung Electronics Co., Ltd. | Display apparatus, upgrade apparatus, display system and control method of the same |
| CN103227952A (zh) * | 2012-01-27 | 2013-07-31 | 三星电子株式会社 | 显示装置及其升级装置、显示系统及其数据处理方法 |
| EP2621182A1 (fr) * | 2012-01-27 | 2013-07-31 | Samsung Electronics Co., Ltd | Appareil d'affichage, appareil de valorisation de dispositif d'affichage, système d'affichage et procédé de traitement de données de système d'affichage |
| EP2648416A3 (fr) * | 2012-04-02 | 2013-12-18 | LG Electronics Inc. | Dispositif d'affichage et procédé de commande et de mise à niveau de celui-ci |
| US8972965B2 (en) | 2012-04-02 | 2015-03-03 | Lg Electronics Inc. | Display device and method for controlling and upgrading the same |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003302511A8 (en) | 2004-06-23 |
| WO2004051390A3 (fr) | 2004-09-30 |
| AU2003302511A1 (en) | 2004-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1815681B1 (fr) | Unité de traitement de données audio/vidéo numériques et méthode de contrôle d'accès audites données | |
| EP2055102B1 (fr) | Procédé de transmission d'une donnée complémentaire a un terminal de réception | |
| EP1766588B1 (fr) | Composant pour module de sécurité | |
| EP0723371B1 (fr) | Procédé de protection des messages de gestion d'un système de controle d'accès et dispositif pour sa mise en oeuvre | |
| EP2060117B1 (fr) | Processeur de securite et procede et support d'enregistrement pour configurer le comportement de ce processeur | |
| WO2003107585A1 (fr) | Procédé d'échange sécurisé d'informations entre deux dispositifs | |
| WO1999057901A1 (fr) | Mecanisme d'appariement entre un recepteur et un module de securite | |
| EP0606792B1 (fr) | Procédé d'authentification d'un ensemble informatique par un autre ensemble informatique | |
| WO2004051390A2 (fr) | Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant | |
| WO2006106262A2 (fr) | Procédé d'authentification d'un utilisateur d'un contenu numérique | |
| WO2007104876A1 (fr) | Procédé pour la distribution sécurisée de séquences audiovisuelles, décodeur et système pour la mise en œuvre de ce procédé | |
| EP1773055B1 (fr) | Méthode de vérification de droits contenus dans un module de sécurité | |
| EP2827601A1 (fr) | Méthode et dispositif pour la protection des clés de déchiffrement d'un décodeur | |
| EP1419640B1 (fr) | Reseau numerique local, procedes d'installation de nouveaux dispositifs et procedes de diffusion et de reception de donnees dans un tel reseau | |
| EP2633677B1 (fr) | Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle et captcha | |
| WO2002056592A1 (fr) | Methode pour stocker des donnees encryptees | |
| WO2007068820A1 (fr) | Processeur de securite et procedes d'inscription de titres d'acces et de cles cryptographiques | |
| WO2004084525A2 (fr) | Procede de protection d’un terminal de telecommunication de type telephone mobile | |
| EP1584190B1 (fr) | Procede et systeme pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede | |
| FR2883683A1 (fr) | Procede d'appariement entre un terminal et un processeur de securite, systeme et programme informatique pour la mise en oeuvre du procede | |
| WO2006095062A1 (fr) | Procede de transmission d'un message contenant une description d'une action a executer dans un equipement recepteur | |
| WO2021229189A1 (fr) | Procédé et système pour authentifier une application informatique, ou une fonction de l'application,exécutée par un récepteur multimédia | |
| FR2891104A1 (fr) | Procede de lutte contre l'usage frauduleux d'un terminal de reception de donnees numeriques | |
| WO2003050756A2 (fr) | Lutte contre la reproduction frauduleuse des cartes a puce et des terminaux de lecture de ces cartes | |
| WO2005096628A1 (fr) | Securisation d’un dispositif d’access a des bouquets de programmes de chaines encryptees |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A2 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A2 Designated state(s): BW GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| 122 | Ep: pct application non-entry in european phase | ||
| NENP | Non-entry into the national phase |
Ref country code: JP |
|
| WWW | Wipo information: withdrawn in national office |
Country of ref document: JP |