ES2612011T3 - Procedimiento de protección de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor - Google Patents

Procedimiento de protección de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor Download PDF

Info

Publication number
ES2612011T3
ES2612011T3 ES09772576.6T ES09772576T ES2612011T3 ES 2612011 T3 ES2612011 T3 ES 2612011T3 ES 09772576 T ES09772576 T ES 09772576T ES 2612011 T3 ES2612011 T3 ES 2612011T3
Authority
ES
Spain
Prior art keywords
receiver
data
duration
sender
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES09772576.6T
Other languages
English (en)
Inventor
Anthony Chevallier
Mathieu Phirmis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Application granted granted Critical
Publication of ES2612011T3 publication Critical patent/ES2612011T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25833Management of client data involving client hardware characteristics, e.g. manufacturer, processing or storage capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Graphics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Communication Control (AREA)

Abstract

Procedimiento de protección de datos de seguridad transmitidos por un emisor a un receptor que incluye una etapa que consiste en transmitir periódicamente a dicho receptor, alternativamente a dichos datos de seguridad, mensajes funcionalmente neutros, sintácticamente válidos y destinados a analizarse por dicho receptor, pero que no contienen solicitud de activación de tratamiento en dicho receptor, caracterizado por que incluye las siguientes etapas: - definir (20) una duración DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor, y - en un instante t dado, medir (22) el intervalo de tiempo TR transcurrido desde una recepción por el receptor de datos emitidos por el emisor, - si el intervalo de tiempo TR es superior a dicha duración DR, transmitir (28) una señal de alarma a una unidad de gestión de contramedidas.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Procedimiento de proteccion de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor Campo tecnico
La invencion se situa en el campo de las telecomunicaciones y se refiere mas especificamente a un procedimiento de proteccion de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor.
La invencion se refiere igualmente a un terminal emisor dispuesto en cabecera de red de un operador y configurado para transmitir mensajes utiles a un terminal receptor.
La invencion se refiere, ademas, a un programa informatico memorizado en un soporte y destinado a ejecutarse en el terminal emisor para poner en practica el procedimiento segun la invencion del lado emision.
La invencion tambien se refiere a un terminal receptor configurado para recibir los mensajes transmitidos por dicho terminal emisor y a un programa informatico memorizado en un soporte y destinado a ejecutarse en un terminal receptor para poner en practica el procedimiento segun la invencion.
La invencion tiene por objeto de manera mas precisa una mejora de la proteccion de los mensajes EMM enviados por la cabecera de red de un operador al sistema de recepcion de un cliente. Sin embargo, se aplica de manera mas general a la proteccion de cualquier transmision de mensajes entre entidades unidas por unas redes de comunicacion independientemente de la naturaleza y de las caracteristicas de dichas entidades y de dichas redes.
Estado de la tecnica anterior
Con el desarrollo creciente de la distribucion de contenidos por medio de las redes de comunicacion, el riesgo de pirateo de estos contenidos se convierte en una preocupacion importante, tanto de los proveedores como de los destinatarios de estos contenidos.
Por consiguiente, es primordial proteger los contenidos distribuidos contra, por una parte, los riesgos de uso indebido de los derechos de acceso asociados a estos contenidos y, por otra parte, contra la falsificacion de estos derechos por un usuario.
De hecho, en los sistemas de control de acceso de tipo CAS, los contenidos distribuidos estan, por lo general, aleatorizados y su desaleatorizacion esta condicionada por permisos logicos (un usuario puede acceder al contenido durante una duracion determinada) combinados con unas claves, llamadas claves de explotacion, permitiendo estas ultimas descifrar otros mensajes que permiten acceder a los contenidos. Los permisos logicos y las claves de explotacion se transmiten, por lo general, a los terminales receptores en mensajes de control de acceso especificos eMm (para Entitlement Management Message) y ECM (para Entitlement Control Message) que deben ellos mismos estar protegidos.
Para una mejor comprension en lo que se refiere a la terminologia propia de este campo tecnico, podra consultarse el siguiente documento: “FUNCTIONAL MODEL OF A CONDITIONAL ACCESS SYSTEM” EBU REVIEW- TECHNICAL EUROPEAN BROADCASTING UNION. BRUSSELS, BE, n.2 266, 21 de diciembre de 1995.
Un inconveniente de la tecnica anterior proviene del hecho de que estos mensajes pueden interceptarse y analizarse con el fin de determinar las condiciones de acceso y las claves necesarias para la desaleatorizacion de los contenidos.
En algunos casos, el operador puede desear suprimir o limitar los derechos de acceso de algunos destinatarios. En este caso, los mensajes EMM y ECM incluyen unas informaciones para ello.
Otra forma de fraude consiste en filtrar estos mensajes transmitidos por el operador para impedir su toma en cuenta por el procesador de seguridad del terminal receptor.
Por otra parte, un pirata que desee recuperar un mensaje EMM puede determinar los efectos de este por la experiencia sometiendolo, por ejemplo, a un sistema de recepcion reservado para sus pruebas.
Ademas, la explotacion del sistema de control de acceso por el operador introduce mensajes EMM de adicion, de modificacion o de supresion de derechos en unas fechas especificas mensuales, lo que es el resultado del tratamiento informatico por lotes (“batch”) y puede contribuir a ayudar al pirata a hacer la distincion entre los mensajes nuevos EMM que resultan de este tratamiento y le permite construir una estrategia de filtrado.
En el caso en el que la autentificacion de los mensajes de control de acceso se hace por una redundancia criptografica, esta medida no tiene efecto en los siguientes casos:
5
10
15
20
25
30
35
40
45
50
55
60
65
- si el pirata ha conseguido obtener la clave o si ha conseguido obtener una redundancia criptografica correcta. Esto es particularmente posible si dicha redundancia criptografica es simetrica. - si el pirata ha conseguido hacer aceptar un mensaje, por el procesador de seguridad, como que incluye una redundancia criptografica correcta y, por lo tanto, como autentico. Esto es posible, en concreto, perturbando fisicamente el entorno de funcionamiento del procesador de seguridad del sistema de recepcion encargado de verificar esta autenticidad. Entre estas perturbaciones figuran, por ejemplo, la elevacion brusca de la temperatura, la variacion de la senal de alimentacion electrica o del reloj, la exposicion del componente a impulsos laser, emisiones electromagneticas o radiaciones de particulas radioactivas.
En el caso en el que la proteccion de los mensajes se realiza por transmision al terminal receptor de una combinacion de ordenes positivas y negativas, la medida solo es interesante cuando el pirata tiene algo que perder. En particular, algunos ataques consisten en anadir de manera ilegal derechos en procesadores de seguridad oficiales (casos denominados MOSC, Modified Official SmartCard). En este caso, el pirata solo experimenta una perdida filtrando los mensajes si el operador cambia las claves de explotacion.
Ahora bien, es preferible no transferir estas claves en un multiplex, con el fin de no exponerlas inutilmente.
Por lo tanto, resulta que no siempre es posible para un sistema de control de acceso (CAS) contrarrestar los ataques de los piratas y, en particular, contrarrestar la supresion de mensajes no deseados o la insercion de mensajes que no deberian someterse al procesador de seguridad.
La finalidad de la invencion es paliar las carencias de los sistemas de control de acceso de la tecnica anterior descritos mas arriba.
El documento de los Estados Unidos US 2005/039025 A1 describe un metodo para controlar un acceso remoto de un cliente a una red que tiene al menos un servidor.
Este metodo incluye una comunicacion entre el cliente y el servidor y una verificacion por el servidor de una clave de dicho cliente cuando dicho cliente se inicializa, cuando dicho servidor requiere una verificacion de dicho cliente, durante un acontecimiento predeterminado cuyo timing es al azar, a la expiracion de un periodo predeterminado, o incluso a la desconexion de dicho cliente del servidor.
El documento europeo EP-A-1 353 511 A2 describe un procedimiento de gestion de derecho de acceso a servicios de television para impedir la utilizacion de una tarjeta fraudulenta.
Exposicion de la invencion
La invencion esta basada en la idea de mantener un flujo regular de mensajes entre el emisor y el receptor de modo que se transmitan mensajes aunque el operador no ha formulado la solicitud de ello.
La invencion preconiza un procedimiento que consiste en transmitir periodicamente a dicho receptor, alternativamente a dichos datos de seguridad, datos neutros destinados a impedir el filtrado de dichos datos de seguridad.
Esta regularidad permite aleatorizar la comunicacion entre el emisor y el receptor para un observador externo, haciendo de esta manera dificil el filtrado fraudulento de los mensajes de seguridad. Ademas, puede permitir que el receptor detecte un eventual filtrado de estos mensajes.
Segun la implementacion realizada de la invencion y la naturaleza de los mensajes secundarios de la secuencia, puede estar seguida de operaciones de deteccion o de contramedidas. La deteccion puede ser de diferentes tipos, como la memorizacion de un log o el incremento de un contador de detecciones. Las contramedidas pueden, por ejemplo, consistir en una invalidacion temporal o en la destruccion de la tarjeta que aloja al procesador de seguridad.
Segun otra caracteristica de la invencion, la transmision de dichos datos neutros se desencadena al cabo de un plazo predeterminado desde la ultima transmision de datos del emisor hacia el receptor.
Preferentemente, dichos datos neutros presentan una estructura similar a las de los datos de seguridad.
En una variante, el procedimiento segun la invencion incluye las siguientes etapas:
- definir una duracion DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor, y
- en un instante t dado, medir el intervalo de tiempo TR transcurrido desde una recepcion por el receptor de datos emitidos por el emisor,
- si el intervalo de tiempo TR es superior a dicha duracion DR, transmitir una senal de alarma a una unidad de gestion de contramedidas.
5
10
15
20
25
30
35
40
45
50
55
60
65
En esta variante, el procedimiento incluye, ademas, una etapa que consiste en contar el numero de senales de alarma N transmitido por el receptor a dicha unidad de gestion de contramedidas, en memorizar el numero N en dicha unidad de gestion de contramedidas, en definir un numero SA de senales de alarmas que representa un umbral de desencadenamiento de una sancion, en comparar el numero SA con el numero N memorizado en la unidad de gestion de contramedidas y en ejecutar un procedimiento de contramedidas si el numero N supera el numero SA.
Dicho procedimiento de contramedidas puede activarse localmente por el receptor o en remoto por el emisor y consiste en una suspension temporal o definitiva del funcionamiento del receptor.
En una aplicacion particular del procedimiento segun la invencion destinada a reforzar la seguridad de un sistema de control de acceso de tipo CAS, los datos de seguridad y los datos neutros se transmiten al receptor en mensajes EMM.
Dichos datos de seguridad y dichos datos neutros pueden cifrarse con el fin de reforzar la seguridad. Sin embargo, pueden transmitirse en forma no cifrada.
Los datos de seguridad y los datos neutros pueden transmitirse al receptor en un flujo de datos que incluye, ademas, programas audiovisuales aleatorizados. En este caso, la suspension temporal o definitiva de funcionamiento consiste en no tratar ya los mensajes EMM durante la lectura de un contenido multimedia.
El procedimiento segun la invencion se pone en practica por medio de un terminal emisor dispuesto en cabecera de red de un operador y configurado para transmitir mensajes utiles a un terminal receptor entre una pluralidad de terminales conectados a la red de dicho operador.
Este terminal incluye medios para almacenar una duracion maxima D para el plazo entre dos transmisiones sucesivas de mensajes en dicho flujo, medios para medir el plazo T transcurrido desde la ultima transmision de un mensaje y medios para insertar en dicho flujo un mensaje neutro si el intervalo de tiempo T transcurrido desde la ultima transmision de un mensaje es superior o igual a dicha duracion D.
El procedimiento segun la invencion se implementa, del lado cabecera de red, por medio de un programa informatico memorizado en un soporte y destinado a ejecutarse en el terminal emisor para almacenar una duracion maxima D para el plazo entre dos transmisiones sucesivas de mensajes en dicho flujo, medir el plazo T transcurrido desde la ultima transmision de un mensaje e insertar en dicho flujo un mensaje neutro si el intervalo de tiempo T transcurrido desde la ultima transmision de un mensaje es superior o igual a dicha duracion D.
El terminal receptor segun la invencion incluye medios para almacenar una duracion maxima DR superior o igual a la duracion D para el plazo entre dos recepciones sucesivas de mensajes en dicho flujo, medios para medir el intervalo de tiempo TR transcurrido desde la ultima recepcion de un mensaje y medios para notificar que se ha superado el plazo a la unidad de desencadenamiento de contramedidas si el intervalo de tiempo TR transcurrido desde la ultima recepcion de un mensaje es superior o igual a dicha duracion DR.
El procedimiento segun la invencion se implementa, del lado receptor, por medio de un programa informatico memorizado en un soporte y destinado a ejecutarse en un terminal receptor para almacenar una duracion maxima DR o igual a la duracion D para el plazo entre dos recepciones sucesivas de mensajes en dicho flujo, medir el intervalo de tiempo TR transcurrido desde la ultima recepcion de un mensaje y notificar que se ha superado el plazo a la unidad de desencadenamiento de contramedidas si el intervalo de tiempo TR transcurrido desde la ultima recepcion de un mensaje es superior o igual a dicha duracion DR.
Breve descripcion de los dibujos
Otras caracteristicas y ventajas de la invencion se desprenderan de la descripcion que va a seguir, tomada a titulo de ejemplo no limitativo, con referencia a las figuras adjuntas en las que:
- la figura 1 representa un organigrama general que ilustra las etapas esenciales del procedimiento segun la invencion.
- la figura 2 representa esquematicamente un organigrama que ilustra la deteccion de filtrado de mensaje por un terminal receptor segun la invencion.
Exposicion detallada de modos de realizacion particulares
La descripcion que va a seguir se refiere a una puesta en practica del procedimiento segun la invencion en aplicacion particular en la que un terminal emisor, dispuesto en cabecera de red de un operador, transmite un contenido digital a receptores conectados a la red de dicho operador. El contenido digital esta previamente aleatorizado por una palabra de control que se transmite a los terminales receptores en mensajes EMM.
5
10
15
20
25
30
35
40
45
50
55
60
65
El operador puede utilizar diferentes vias para difundir los mensajes EMM y diferentes modos de direccionamiento con el fin de enviar mensajes a diferentes audiencias. De esta manera, un EMM-GA esta destinado a todos los usuarios (GA - global audience), un EMM-S esta destinado a un grupo de usuarios (S - Shared) y un EMM-U esta destinado a un usuario unico (U - User). Tradicionalmente se utiliza una via para la difusion de los mensajes EMM de cada uno de estos modos de direccionamiento.
Es igualmente posible, incluso en el caso de un modo de direccionamiento unico, tener diferentes vias EMM. Por ejemplo, en telefono movil, algunos mensajes pueden enviarse en el mismo multiplex que el que contiene el video y otros pueden vehicularse en SMS. Es igualmente probable que varios usuarios deban recibir mensajes. Cada EMM- U enviado a un usuario debe considerarse como que es una via EMM en el contexto de la invencion.
Con el fin de mantener un trafico regular en cada una de las vias EMM abiertas entre el terminal emisor y cada terminal receptor, el procedimiento segun la invencion se aplica para cualquier tipo de via EMM, independientemente del tipo de mensaje transportado por esta via.
Como en un sistema CAS clasico, el operador hace sus peticiones de envio de mensajes al sistema CAS. En la continuacion de esta descripcion, asociaremos el epiteto “util” a estos mensajes.
Si no esta asociado ningun mensaje a una via EMM, esta puede, no obstante, permanecer activa: de esta manera, un mensaje “funcionalmente neutro” se insertara por el sistema CAS en la via considerada. Un mensaje funcionalmente neutro es un mensaje sintacticamente valido y destinado a analizarse por los terminales destinatarios, pero que no contiene informacion que proviene del operador y, en particular, sin solicitud de activacion de tratamiento en el terminal.
Los flujos de mensajes en salida del sistema CAS son, por lo tanto, flujos de mensajes, compuestos por mensajes utiles o neutros.
La figura 1 ilustra esquematicamente las etapas esenciales del procedimiento segun la invencion en el caso en el que los mensajes utiles se transmiten en unas vias EMMs independientes que tienen cada una su propio contexto de “constancia” en el flujo.
La etapa 2 es una fase previa de configuracion por el operador de los terminales emisor y receptor. Esta fase consiste en definir una duracion maxima de inactividad permitida para un flujo dado y para un usuario dado, en caso de flujo personal. Se fija un valor por defecto de esta duracion.
Hay que senalar que el operador puede modificar la duracion maxima de inactividad permitida para un flujo dado. Por ejemplo, en caso de duda sobre la integridad de un usuario, el operador puede forzar la necesidad de recepcion de un mensaje al dia en la via EMM-U.
El terminal receptor se configura entonces para aceptar un cierto plazo entre varios mensajes, para cada via que le esta destinada.
Durante la explotacion, el programa informatico implantado en el terminal de emision en cabecera de red efectua la prueba de la etapa 4 que consiste en determinar si el operador desea enviar un mensaje util a los terminales receptores.
En caso afirmativo, se define un mensaje util en la etapa 6, y en la etapa 8, el mensaje util se envia al terminal receptor. A continuacion, el proceso se reproduce a partir de la etapa 4.
En caso negativo, se ejecuta una prueba para saber si se ha transmitido un mensaje al receptor al cabo de un plazo inferior a la duracion D definida en la etapa 2.
En caso afirmativo, el proceso se reproduce a partir de la etapa 4.
En caso negativo, se define un mensaje neutro en la etapa 12, despues se transmite (etapa 8) al terminal receptor.
La figura 2 ilustra esquematicamente las etapas que permiten la deteccion de un filtrado fraudulento de mensajes utiles transmitidos por el terminal emisor al terminal receptor. Senalemos que el operador puede activar o desactivar la deteccion, por el terminal receptor, del filtrado eventual de mensajes utiles por envio de un comando especifico al receptor designado.
Senalemos que para poner en practica este procedimiento de deteccion, el operador define una duracion DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor y, en un instante t dado, el software implantado en el terminal receptor mide el intervalo de tiempo TR transcurrido desde una recepcion por el receptor de datos emitidos por el emisor y transmite si el intervalo de tiempo TR es superior a dicha duracion DR una senal de alarma a una unidad de gestion de contramedidas.
5
10
15
20
25
30
35
40
45
50
55
En este ejemplo, la unidad de gestion de contramedidas esta dispuesta en el terminal receptor de modo que el terminal no emite ninguna informacion hacia la cabecera de red.
En la etapa 20, el operador envia al receptor un comando para activar la deteccion de filtrado fraudulento.
En la etapa 22, el software implantado en el terminal receptor mide el plazo entre dos mensajes sucesivos transmitidos en la via considerada y compara, en la etapa 24, el plazo medido con la duracion DR.
Si el intervalo de tiempo TR es superior a la duracion DR, el terminal receptor considera que hay intento de filtrado fraudulento y transmite esta alarma a la unidad de gestion de contramedidas (etapa 26) y la unidad de gestion de contramedidas ejecuta una sancion (etapa 30).
La sancion puede consistir en no tratar ya los mensajes ECM durante la lectura de un contenido multimedia, lo que hace imposible la desaleatorizacion de este ultimo.
Otra sancion puede consistir en el borrado del conjunto de las claves de explotacion y del conjunto de los derechos contenidos en el procesador de seguridad del terminal receptor.
En una primera variante, la unidad de gestion de contramedidas solo ejecuta el procedimiento de sancion despues de un numero N predefinido de senales de alarma transmitido por el receptor a la unidad de gestion de contramedidas.
En una segunda variante, la unidad de gestion de contramedidas selecciona gradualmente el procedimiento de contramedidas que hay que aplicar segun el numero de senales de alarmas consignadas. La contramedida puede, por ejemplo, consistir en no tratar ya los ECM al cabo de dos senales de alarma o incluso en borrar los derechos y las claves de explotacion del procesador de seguridad al cabo de diez senales de alarma.
Si el intervalo de tiempo TR es inferior a la duracion DR, en la etapa 28, el software implantado en el terminal receptor ejecuta los comandos transmitidos en los mensajes utiles.
Senalemos que el tratamiento por el terminal receptor se ejecuta segun las siguientes etapas:
• Durante su arranque o su salida de en reposo, el terminal se pone en espera de mensajes EMM,
• A la recepcion de un mensaje EMM, ya se trate de un mensaje util o de un mensaje funcionalmente neutro, este se trata igualmente de manera conocida en la tecnica anterior.
En el caso en el que la deteccion de filtrado fraudulento de mensajes esta activada, el tratamiento se modifica de modo que durante la recepcion de un mensaje EMM, su fecha (de emision o de recepcion) se memoriza o la fecha maxima esperada de la proxima emision o recepcion de mensajes EMM se calcula como suma de la anterior fecha y de la duracion maxima de inactividad, despues se memoriza, y a la recepcion de un mensaje EMM, si la fecha calculada es superior a la anterior fecha memorizada de emision o de recepcion de mensajes EMM, en mas de la duracion maxima de inactividad, o si esta fecha es superior a la anterior fecha maxima esperada de la proxima emision o recepcion de mensajes EMM memorizada, entonces el terminal memoriza la deteccion del filtrado de mensaje(s).
Hay que senalar que los tiempos de tratamiento de un mensaje util y de un mensaje neutro no permiten diferenciar el tipo de mensaje.
En una tercera variante de la invencion, la unidad de gestion de contramedidas esta dispuesta en cabecera de red y esta controlada por el operador. En este caso, el procedimiento de contramedidas consiste en configurar el terminal emisor para enviar un mensaje EMM de sancion con destino al terminal receptor. Este mensaje EMM de sancion y tratado por el terminal receptor, e indica que contramedida debe aplicar este ultimo en el caso en el que esten previstos varios niveles de contramedidas.
La invencion puede ponerse en practica de forma selectiva, en concreto, en funcion de la via EMM considerada o de forma comun al conjunto de estas vias, o en funcion de la naturaleza de los mensajes utiles que hay que difundir.

Claims (15)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Procedimiento de proteccion de datos de seguridad transmitidos por un emisor a un receptor que incluye una etapa que consiste en transmitir periodicamente a dicho receptor, alternativamente a dichos datos de seguridad, mensajes funcionalmente neutros, sintacticamente validos y destinados a analizarse por dicho receptor, pero que no contienen solicitud de activacion de tratamiento en dicho receptor, caracterizado por que incluye las siguientes etapas:
    - definir (20) una duracion DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor, y
    - en un instante t dado, medir (22) el intervalo de tiempo TR transcurrido desde una recepcion por el receptor de datos emitidos por el emisor,
    - si el intervalo de tiempo TR es superior a dicha duracion DR, transmitir (28) una senal de alarma a una unidad de gestion de contramedidas.
  2. 2. Procedimiento segun la reivindicacion 1, en el que la transmision de dichos datos neutros se desencadena al cabo de un plazo predeterminado desde la ultima trasmision de datos del emisor hacia el receptor.
  3. 3. Procedimiento segun la reivindicacion 1, en el que dichos datos neutros presentan una estructura similar a las de los datos de seguridad.
  4. 4. Procedimiento segun la reivindicacion 1, que incluye una etapa que consiste en contar el numero de senales de alarma N transmitido por el receptor a dicha unidad de gestion de contramedidas y en memorizar el numero N en dicha unidad de gestion de contramedidas.
  5. 5. Procedimiento segun la reivindicacion 4, que incluye ademas las siguientes etapas:
    - definir un numero SA de senales de alarmas que representa un umbral de desencadenamiento de una sancion;
    - comparar el numero SA con el numero N memorizado en la unidad de gestion de contramedidas, y
    - ejecutar un procedimiento de contramedidas si el numero N supera el numero SA.
  6. 6. Procedimiento segun la reivindicacion 5, en el que dicho procedimiento de contramedidas se activa localmente por el receptor.
  7. 7. Procedimiento segun la reivindicacion 5, en el que dicho procedimiento de contramedidas se activa en remoto por un emisor.
  8. 8. Procedimiento segun una de las reivindicaciones 6 o 7, en el que el procedimiento de contramedidas consiste en una suspension temporal o definitiva del funcionamiento del receptor.
  9. 9. Procedimiento segun una cualquiera de las reivindicaciones 1 a 8, en el que los datos de seguridad y los datos neutros se transmiten al receptor en mensajes EMM.
  10. 10. Procedimiento segun la reivindicacion 9, en el que los datos de seguridad y los datos neutros estan cifrados.
  11. 11. Procedimiento segun una cualquiera de las reivindicaciones 1 a 10, en el que los datos de seguridad y los datos neutros se transmiten al receptor en un flujo de datos que incluye, ademas, programas audiovisuales aleatorizados.
  12. 12. Procedimiento segun la reivindicacion 8, en el que la suspension temporal o definitiva de funcionamiento consiste en no tratar mas los mensajes ECM durante la lectura de un contenido multimedia.
  13. 13. Terminal emisor dispuesto en cabecera de red de un operador y configurado para transmitir periodicamente a un receptor en un flujo de datos que incluye, ademas, programas audiovisuales aleatorizados, alternativamente, datos de seguridad y mensajes funcionalmente neutros, sintacticamente validos y destinados a analizarse por dicho receptor, pero que no contienen solicitud de activacion de tratamiento en dicho receptor, terminal emisor caracterizado por que incluye:
    a) medios para definir una duracion maxima DR para el plazo entre dos transmisiones sucesivas de mensajes en dicho flujo,
    b) medios para transmitir la duracion maxima DR al terminal receptor,
    c) medios para medir el plazo T transcurrido desde la ultima transmision de un mensaje al receptor, y
    d) medios para insertar en dicho flujo un mensaje funcionalmente neutro si el plazo T transcurrido desde la ultima transmision de un mensaje al receptor es superior a la duracion DR.
  14. 14. Programa informatico memorizado en un soporte y destinado a ejecutarse en el terminal emisor segun la reivindicacion 13 para realizar las etapas:
    - definir una duracion maxima DR para el plazo entre dos transmisiones sucesivas de mensajes en dicho flujo,
    b) transmitir la duracion maxima DR al terminal receptor,
    c) medir el plazo T transcurrido desde la ultima transmision de un mensaje al receptor, y
    d) insertar en dicho flujo un mensaje funcionalmente neutro si el plazo T transcurrido desde la ultima transmision 5 de un mensaje al receptor es superior a la duracion DR.
  15. 15. Terminal receptor configurado para recibir periodicamente de un emisor en un flujo de datos que incluye, ademas, programas audiovisuales aleatorizados, alternativamente, datos de seguridad y mensajes funcionalmente neutros, sintacticamente validos y destinados a analizarse por dicho receptor, pero que no contienen solicitud de 10 activacion de tratamiento en dicho receptor, terminal receptor caracterizado por que incluye:
    a- medios para almacenar una duracion DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor, y
    b- medios para medir (22) el intervalo de tiempo TR transcurrido desde una recepcion por el receptor de datos 15 emitidos por el emisor,
    - medios para notificar que se ha superado el plazo a una unidad de desencadenamiento de contramedidas si el intervalo de tiempo TR es superior o igual a dicha duracion DR.
    20 16. Programa informatico memorizado en un soporte y destinado a ejecutarse en un terminal receptor segun la
    reivindicacion 15 para:
    a- almacenar una duracion DR que separa dos recepciones sucesivas por el receptor de datos emitidos por el emisor, y
    25 b- medir (22) el intervalo de tiempo TR transcurrido desde una recepcion por el receptor de datos emitidos por el emisor,
    - notificar que se ha superado el plazo a una unidad de desencadenamiento de contramedidas si el intervalo de tiempo TR es superior o igual a dicha duracion DR.
ES09772576.6T 2008-07-01 2009-07-17 Procedimiento de protección de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor Active ES2612011T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0854457A FR2933561B1 (fr) 2008-07-01 2008-07-01 Procede de protection de donnees de securite transmises par un dispositif emetteur a un dispositif recepteur
FR0854457 2008-07-01
PCT/EP2009/059262 WO2010000876A1 (fr) 2008-07-01 2009-07-17 Procédé de protection de données de sécurité transmises par un dispositif émetteur à un dispositif récepteur.

Publications (1)

Publication Number Publication Date
ES2612011T3 true ES2612011T3 (es) 2017-05-11

Family

ID=40260663

Family Applications (1)

Application Number Title Priority Date Filing Date
ES09772576.6T Active ES2612011T3 (es) 2008-07-01 2009-07-17 Procedimiento de protección de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor

Country Status (7)

Country Link
EP (1) EP2304944B1 (es)
ES (1) ES2612011T3 (es)
FR (1) FR2933561B1 (es)
IL (1) IL209954A (es)
PL (1) PL2304944T3 (es)
RU (1) RU2523952C2 (es)
WO (1) WO2010000876A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9503785B2 (en) 2011-06-22 2016-11-22 Nagrastar, Llc Anti-splitter violation conditional key change
US9392319B2 (en) 2013-03-15 2016-07-12 Nagrastar Llc Secure device profiling countermeasures
EP3580663A4 (en) * 2017-02-07 2020-10-14 Hewlett-Packard Development Company, L.P. DETERMINATION OF CASH DRAWER ACCESS

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2257010C2 (ru) * 2002-03-27 2005-07-20 Государственное предприятие конструкторское бюро "СПЕЦВУЗАВТОМАТИКА" Способ стеганографического преобразования блоков двоичных данных
FR2838587B1 (fr) * 2002-04-12 2004-06-25 Sagem Procede de gestion de droits d'acces a des services de television
US7900041B2 (en) * 2003-07-22 2011-03-01 Irdeto Canada Corporation Software conditional access system
US20070180231A1 (en) * 2006-01-31 2007-08-02 Widevine Technologies, Inc. Preventing entitlement management message (EMM) filter attacks

Also Published As

Publication number Publication date
RU2523952C2 (ru) 2014-07-27
PL2304944T3 (pl) 2017-04-28
FR2933561B1 (fr) 2010-09-17
EP2304944A1 (fr) 2011-04-06
IL209954A0 (en) 2011-02-28
EP2304944B1 (fr) 2016-10-19
WO2010000876A8 (fr) 2010-12-09
FR2933561A1 (fr) 2010-01-08
WO2010000876A1 (fr) 2010-01-07
IL209954A (en) 2015-03-31
RU2011103423A (ru) 2012-08-10

Similar Documents

Publication Publication Date Title
ES2647907T3 (es) Procedimiento de transmisión de un dato complementario a un terminal de recepción
ES2220746T3 (es) Sistema y metodo de transmision segura de datos.
ES2434326T3 (es) Gestión dinámica de tarjetas inteligentes
EP2436184B1 (en) Method for providing access control to media services
ES2295105T3 (es) Sistema para la validacion de tiempo horario.
EP3585023B1 (en) Data protection method and system
JP3665352B2 (ja) アクセスコントロール方法
BRPI0721588B1 (pt) aparelho de gerenciamento de chave de embaralhamento, aparelho de transmissão de informações de gerenciamento de chave de embaralhamento, método de gerenciamento de produção de chave de embaralhamento e meio de armazenamento
KR101406350B1 (ko) 클라이언트 도메인 내에서의 디지털 콘텐츠의 이용을관리하기 위한 방법 및 이 방법을 실행하는 디바이스
JP2009524165A (ja) ネットワークセキュリティシステムおよび方法
JP2008118676A (ja) デジタルコンテンツの著作権侵害を防止するための方法
PL184921B1 (pl) Sposób i system nadawania i odbioru danych
EP3314902B1 (en) Content protection
ES2612011T3 (es) Procedimiento de protección de datos de seguridad transmitidos por un dispositivo emisor a un dispositivo receptor
CN110381334A (zh) 防盗链方法、装置及***
JP2005527890A (ja) 個人用デジタルレコーダでの暗号化データの安全な格納方法
KR101157686B1 (ko) M 개의 조건 접근 제어 카드로 n 개의 수신 단말기를매칭시키는 방법
ES2403241T3 (es) Procedimiento de gestión de derechos de acceso a servicios de televisión
CN101141620A (zh) 一种数字电视有条件接收***及其应用
ES2276273T3 (es) Sistema de television de pago, procedimiento de revocacion de derechos en un sistema de este tipo, descodificador y tarjeta inteligente asociados, y mensaje transmitido por un descodificador de este tipo.
ES2627735T3 (es) Método para acceso seguro a un contenido audio/vídeo en una unidad de descodificación
ES2324468T3 (es) Procedimiento de distribucion de claves de descifrado de datos digitales encriptados.
KR100871619B1 (ko) 이동통신 단말기에서 멀티미디어 메시지를 통해 컨텐트권리를 수신하는 장치 및 방법
KR20060108627A (ko) 라이센스 정보 관리 장치 및 라이센스 정보 관리 방법
KR101528990B1 (ko) 서비스 키 전달 시스템