FR2892259A1 - Systeme d'acces conditionnel perfectionne pour une securite accrue. - Google Patents

Systeme d'acces conditionnel perfectionne pour une securite accrue. Download PDF

Info

Publication number
FR2892259A1
FR2892259A1 FR0510608A FR0510608A FR2892259A1 FR 2892259 A1 FR2892259 A1 FR 2892259A1 FR 0510608 A FR0510608 A FR 0510608A FR 0510608 A FR0510608 A FR 0510608A FR 2892259 A1 FR2892259 A1 FR 2892259A1
Authority
FR
France
Prior art keywords
emm
message
terminal
messages
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0510608A
Other languages
English (en)
Other versions
FR2892259B1 (fr
Inventor
Anthony Chevallier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Priority to FR0510608A priority Critical patent/FR2892259B1/fr
Publication of FR2892259A1 publication Critical patent/FR2892259A1/fr
Application granted granted Critical
Publication of FR2892259B1 publication Critical patent/FR2892259B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un système d'accès conditionnel comportant un terminal (52) recevant un signal comportant des messages EMM de contrôle d'accès spécifiques et un processeur de sécurité (53), coopérant avec le terminal pour traiter lesdits messages EMM. Dans ce système, le terminal, au sens de l'invention, fractionne (523) chaque message EMM en une succession (54) comportant un ou plusieurs segments et transmet (522) chaque segment au processeur de sécurité. De son côté, le processeur de sécurité concatène (532) les segments reçus pour reconstituer le message EMM à traiter (533).

Description

Système d'accès conditionnel perfectionné pour une sécurité accrue
La présente invention se situe dans le domaine de l'accès aux services multimédia en télévision. Les solutions de protection de contenus concernées sont les systèmes de contrôle d'accès ou "CAS" (pour "Conditional Access Systems") dans le contexte de réseaux connectés ou diffusés (réseaux de télévision diffusée par satellite, sur Internet, ou autres). 10 Cette invention vise à améliorer la sécurité du système de protection de contenu, tout particulièrement en empêchant un tiers non autorisé de générer des messages de gestion de droits d'accès aux contenus et/ou de secrets cryptographiques à destination d'un système de réception. 15 Les systèmes de contrôle d'accès actuels fonctionnent suivant des principes d'architecture et une cinématique illustrés sur la figure 1. La protection d'un programme (ou d'une composante de programme) durant son transport et le contrôle de son accès par un abonné mettent en oeuvre, d'une part, une 20 fonction (11a, 11 b) d'embrouillage/désembrouillage du programme, d'autre part, une fonction de contrôle d'autorisation d'accès de I"abonné (10, 12, 13, PS) s'appuyant sur une distribution de titres d'accès gérés à distance par l'opérateur. On décrit ci-après les principes généraux de l'embrouillage. 25 L'embrouillage 11 a permet de rendre inintelligible le programme durant son transport, quand il peut être capté sans restriction. Diverses solutions d'embrouillage/désembrouillage peuvent être mises en oeuvre. Ce sont des algorithmes de chiffrement/déchiffrement propriétaires ou normalisés, choisis selon le contexte. 15 Afin de rendre l'embrouillage imprédictible et donc le désembrouillage fortuit quasiment impossible, les algorithmes de chiffrement/déchiffrement utilisent une clé appelée communément "mot de contrôle" ou "CW' ci-après (pour "Control Word" ). Il est d'usage de modifier la valeur du mot de contrôle de façon aléatoire, selon des stratégies variables choisies selon le contexte. Par exemple, un mot de contrôle peut être modifié toutes les dix secondes, de façon classique, en télévision diffusée ou, à l'extrême, à chaque film uniquement notamment en contexte de vidéo sur demande (ou "Video On Demand') avec particularisation individuelle par abonné.
Le système d'accès conditionnel peut ne pas inclure de solution d'embrouillage/dé-sembrouillage, mais peut rester néanmoins compatible avec une solution d'embrouillage dès lors qu'elle peut être initialisée par un mot de contrôle. On décrit ci-après l'intervention du contrôle d'accès pour l'embrouillage/désembrouillage. La mise en ceuvre de l'embrouillage/désembrouillage particularisé par mot de contrôle dynamique nécessite que l'embrouilleur et le désembrouilleur soient 20 synchronisés avec précision quant à la valeur du mot de contrôle courant et quant à l'instant du changement de celui-ci. En outre, le contrôle par l'opérateur de l'accès à un programme par un usager s'effectue en conditionnant l'accès au mot de contrôle à la disponibilité d'une autorisation "commerciale". L'opérateur attache au programme une condition 25 d'accès qui doit être remplie par l'abonné pour pouvoir désembrouiller ce programme. La transmission des mots de contrôle et la description d'une condition d'accès peuvent être deux des fonctionnalités d'un système d'accès conditionnel. Elles sont matérialisées par des messages de contrôle d'accès spécifiques, dits 30 messages "ECM" (pour "Entitlement Control Message"), calculés par un sous- système d'exploitation 10 de la figure 1, et destinés à être traités par le processeur de sécurité PS de la partie terminale, typiquement la carte à puce de l'abonné. Dans la partie terminale, un message ECM est vérifié quant à sa sécurité puis la condition d'accès est comparée aux titres d'accès présents dans la mémoire non volatile du processeur de sécurité. Si le processeur de sécurité détient un titre d'accès satisfaisant la condition d'accès, il restitue par déchiffrement le mot de contrôle CW et le fournit à un terminal (appelé communément "décodeur", par abus) à disposition d'un utilisateur, permettant ainsi le o désembrouillage 11 b. On décrit ci-après la gestion des titres d'accès. L'abonné peut satisfaire à une condition d'accès à un programme s'il dispose d'un titre d'accès correspondant à cette condition, par exemple un titre is d'abonnement, la référence d'un programme acquise à l'avance ou en temps réel, ou autre. D'autres critères peuvent intervenir dans la satisfaction de l'abonné à une condition d'accès, tels que la détention d'une référence géographique particulière, le respect d'un niveau moral, ou autre. Les titres d'accès ou les moyens de les acquérir (tels des jetons d'achat) sont 20 gérés et inscrits à distance par l'opérateur dans la mémoire non volatile du processeur de sécurité de l'abonné. Les actions à distance par l'opérateur sur les titres d'accès d'un abonné constituent un troisième ensemble 12 de fonctionnalités du système d'accès conditionnel de la figure 1. Elles sont matérialisées par des messages de 25 contrôle d'accès spécifiques, dits messages "EMM" (pour "Entitlement Management Message"), calculés par le sous-système "Gestion" de la figure 1, et traités par le processeur de sécurité PS de la partie terminale.
Bien entendu, un système de contrôle d'accès tel que décrit précédemment ne 30 remplit son rôle que s'il n'est pas compromis ou détourné. En particulier les messages destinés au système de réception (messages ECM et EMM) ne doivent être susceptibles d'être générés et exploités que par des dispositifs dûment habilités par un opérateur de service. Cette restriction fondamentale est assurée par le module 13 de la figure 1, en protégeant les messages destinés au système de réception par des modalités cryptographiques garantissant l'intégrité de ces messages, leur authenticité et la confidentialité des données sensibles qu'ils peuvent transporter. En particulier, authenticité et intégrité des messages sont protégées en associant à chaque message sa propre redondance cryptographique. to Ces modalités cryptographiques mettent en oeuvre des algorithmes spécifiques paramétrés par des clés. La modification des valeurs de clés est un moyen complémentaire de renforcer la sécurité du système. La mise à jour de ces clés est assurée par des messages de gestion EMM spécifiques à la sécurité. 15 On décrit ci-après le traitement des messages EMM par le système de réception. La majorité des solutions opérationnelles des systèmes de contrôle d'accès s'appuie sur un système de réception composé de deux parties. Une partie 20 terminale (comprenant un récepteur appelé ici "terminaf') assure notamment : o la réception du signal contenant en particulier le service choisi par l'utilisateur, o son démultiplexage, o le désembrouillage des composantes du service choisi, et 25 o leur décodage. Une partie processeur de sécurité PS, fréquemment concrétisée par une carte à puce, supporte, quant à elle, les fonctions du contrôle d'accès avec les traitements cryptographiques associés. En particulier, le processeur de sécurité traite les messages EMM et ECM pour : contrôler l'accès aux services, - mémoriser, gérer et vérifier les droits d'accès à ces services, mémoriser, gérer et exploiter les secrets cryptographiques et appliquer aux messages reçus les traitements et contrôles cryptographiques de sécurité. On indique que le terminal et la carte à puce peuvent dialoguer via une interface connue en soi, par exemple conforme à la norme ISO 7816. Dans cette architecture, certaines fonctions liées au contrôle d'accès peuvent to être traitées par le terminal en collaboration avec le processeur de sécurité. Il s'agit notamment des fonctions de sélection des messages ECM et EMM à traiter, des fonctions de dialogue avec l'utilisateur et de la communication avec le désembrouilleur. Ce contexte d'architecture, dans lequel se place la présente invention, 15 s'applique également quand un module de contrôle d'accès et de désembrouillage externe au décodeur est utilisé, tel que conforme au module à interface commune défini par DVB selon la norme européenne EN50221. Dans ce qui suit, un tel module est considéré comme faisant partie du terminal.
20 Dans l'état de l'art des systèmes d'accès conditionnel, la cryptographie retenue pour protéger les messages ECM et EMM est dans la grande majorité des cas une cryptographie symétrique. Notamment pour la redondance qui permet de garantir l'intégrité et l'authenticité d'un message, la caractéristique principale de cette cryptographie est que la même valeur de clé est utilisée 25 pour générer la redondance à l'émission et pour la vérifier dans le processeur de sécurité. Ainsi, un utilisateur malveillant qui connaîtrait la syntaxe des messages EMM et qui parviendrait à connaître la clé dans sa carte pourrait générer lui-même ses propres messages EMM.
Le choix d'appliquer aux messages EMM une cryptographie symétrique a initialement été retenu du fait que son niveau de sécurité était estimé suffisant, et qu'elle permettait une implémentation plus économique en termes de ressources consommées (puissance de calcul et place mémoire).
Ce choix constitue néanmoins une faiblesse sécuritaire. Il n'empêche pas l'un des modes de piratage des systèmes de contrôle d'accès consistant à fournir aux usagers le moyen de disposer de messages EMM valides à destination de leur système de réception, essentiellement pour inscrire frauduleusement des droits dans leur carte à puce officielle. io Ainsi, il est souhaitable de pouvoir mettre en oeuvre une cryptographie résistant à ce type de détournement.
Par ailleurs, les messages EMM sont des messages courts, typiquement inférieurs à 255 octets. Il s'agit là d'une limite fréquemment présente dans ls diverses spécifications ou normes d'interface avec une carte à puce, telle que la norme ISO 7816-3 (même si la norme 7816-4 lève cette restriction par une modalité spécifique au niveau logique). Cette longueur limitée est compatible avec les fonctionnalités, le plus souvent simples, transportées par un message EMM. Cette limite de longueur est d'autre part compatible avec la 20 cryptographie symétrique qui génère des redondances de quelques octets. Dès lors qu'il est souhaité d'appliquer aux messages EMM des mécanismes de sécurité plus puissants tels qu'une signature pouvant occuper plusieurs dizaines, voire quelques centaines d'octets, ou enrichir les fonctionnalités des messages EMM, ce qui se traduit dans les deux cas par une augmentation de 25 la longueur du message, la limite à 255 octets communément imposée par les diverses interfaces normalisées à ces messages devient contraignante. Ainsi, il est souhaitable en outre de pouvoir mettre en oeuvre des protocoles capables de transférer à la carte à puce des messages EMM de grande longueur. 30 Par ailleurs, un système d'accès conditionnel applique généralement une seule solution cryptographique. Cette restriction induit des contraintes d'exploitation lourdes quand il s'agit de faire évoluer la solution cryptographique pendant une période transitoire, notamment quand il faut faire coexister pendant un certain temps sur un parc de cartes à puces les deux solutions cryptographiques, l'une symétrique, l'autre asymétrique, tout en garantissant le passage irréversible vers la nouvelle solution. Ainsi, il est souhaitable de pouvoir mettre en oeuvre un mécanisme permettant une transition progressive, commandable mais irréversible, de chaque io processeur de sécurité d'un système cryptographique à un autre. La présente invention vient améliorer la situation. Un but de la présente invention est de proposer un ensemble fonctionnel, 15 cohérent, appliqué aux messages EMM transitant entre un terminal et une carte à puce et capable à la fois : - d'assurer une cryptographie résistante, de transférer à la carte à puce des messages EMM de grande longueur, d'assurer une transition progressive d'un système cryptographique à un 20 autre.
Elle propose à cet effet un système d'accès conditionnel comportant : un terminal recevant un signal comportant des messages EMM de contrôle d'accès spécifiques et 25 - un processeur de sécurité, coopérant avec le terminal pour traiter lesdits messages EMM. Dans ce système, le terminal : • fractionne chaque message EMM en une succession comportant un ou plusieurs segments, • et transmet chaque segment au processeur de sécurité, et le processeur de sécurité concatène les segments reçus pour reconstituer le message EMM à traiter.
Avantageusement, les messages EMM reçus par le terminal sont protégés en cryptographie asymétrique, la mise en oeuvre de l'invention permettant en effet de transmettre une signature de grande taille (en cryptographie asymétrique) du terminal vers le processeur, par segments successifs, chaque segment comportant, au plus, un nombre limite d'octets, dans une réalisation to avantageuse. Préférentiellement, le terminal transmet les segments avec un indicateur de position du segment dans la succession précitée, cet indicateur permettant d'identifier, par exemple, au moins : 15 - un segment correspondant à un message EMM complet, et un segment correspondant à une fraction seulement d'un message EMM, et, dans ce dernier cas, d'identifier, encore dans un exemple de réalisation, au moins : 20 - un segment correspondant à un début de message EMM, - un segment correspondant à une fin de message EMM, et - un segment intermédiaire dans ladite succession de segments. D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen 25 de la description détaillée ci-après, et des dessins annexés sur lesquels, outre la figure 1 décrite ci-avant : la figure 2 représente schématiquement les champs d'un message EMM, 9 les figures 3A et 3B illustrent la transmission vers un processeur de sécurité respectivement d'un message EMM court sans fragmentation en segments et d'un message EMM long avec fragmentation en segments, la figure 4 illustre les étapes d'un procédé avantageux pour le verrouillage 5 irréversible du système d'accès en cryptographique asymétrique, - la figure 5 illustre schématiquement un système d'accès conditionnel au sens de l'invention. Le perfectionnement au sens de l'invention a pour but d'empêcher les pirates io de calculer des messages EMM valides à destination d'un système de réception officiel, en particulier des messages EMM d'inscription de droits, que ce soit en réaction à une situation de piratage avéré, ou a priori, pour empêcher une telle situation de piratage. L'amélioration que propose l'invention, reposant sur l'exploitation de nouveaux 1s modes de calcul et de prise en compte des messages EMM, applique un passage, par exemple irréversible, du mode de traitement initial des messages EMM, identique à un mode classique de l'art antérieur, vers un nouveau mode au sens de l'invention. Ce passage consiste lui-même en la combinaison : - d'un changement de type de fonctionnement du processeur de sécurité, 20 - de l'activation en tête de réseau du nouveau mode de calcul des messages EMM, - et de sa prise en compte automatique par le système de réception.
L'amélioration proposée peut être mise en oeuvre : 25 - avantageusement en cas de piratage du système par fourniture aux usagers du moyen de disposer de messages EMM valides à destination de leur système de réception, - de façon plus avantageuse, avant une survenance du piratage ci-dessus, mais après une mise en exploitation du système, io de façon encore plus avantageuse, avant la mise en exploitation du système, c'est-à-dire lors de la personnalisation des cartes (pendant la phase de production du système).
Le nouveau mode de calcul des messages EMM repose préférentiellement sur la signature des messages EMM par un algorithme de cryptographie asymétrique. Dans un tel algorithme, la signature du message est calculée au moyen d'une clé (détenue par la seule tête de réseau, et dite "privée"), différente de la clé dite "publique", nécessaire à sa vérification (qui doit donc to être à disposition des processeurs de sécurité des systèmes de réception destinataires). Autrement dit, dans un tel contexte, la connaissance du contenu du processeur de sécurité, notamment des clés publiques de services qu'il peut détenir, ne permet pas au pirate de calculer des messages EMM valides pour modifier ce contenu, et en particulier pour y inscrire des droits is usurpés. La taille d'une telle signature pouvant être de l'ordre de quarante octets ou plus, celle des messages EMM résultants peut dépasser la limite de 255 octets. Il s'agit alors de messages EMM "longs", dont la taille dépasse cette limite.
20 Pour les messages EMM longs, qui n'étaient pas traités dans l'art antérieur, on prévoit alors : un fractionnement du message EMM par le terminal, de façon à le soumettre par segments à son processeur de sécurité ; - et un chaînage des segments résultant du fractionnement ci-dessus par le 25 terminal, pour que le processeur de sécurité puisse reconstituer le message EMM originel préalablement à son traitement, ce traitement lui-même restant néanmoins similaire aux traitements classiques de l'art antérieur.
Des exemples de réalisation sont décrits ci-après.
Dans la description ci-après, on se place dans le contexte d'un piratage du système de contrôle d'accès, dans lequel des pirates ont réussi : s - à connaître la messagerie mise en oeuvre par le système de contrôle d'accès ; et à savoir lire le contenu d'une carte à puce du système. Dans l'art antérieur, la carte à puce met en oeuvre un seul système cryptographique et un message d'accès conditionnel EMM est habituellement : ~o protégé en cryptographie symétrique, de longueur maximale de 255 octets ; - lors de sa réception, transmis sans être fractionné par le terminal à la carte, et directement traité par la carte. 15 Plus particulièrement, la nature symétrique de la cryptographie habituellement appliquée implique qu'un message d'accès EMM : - en tête de réseau, fait l'objet du calcul d'une redondance cryptographique à l'aide d'une clé secrète KS propre au service ; - et, dans la carte, sa redondance cryptographique est vérifiée à l'aide de la 20 même clé secrète K. Dans la situation de piratage mentionnée plus haut, il est supposé que les pirates savent lire le contenu de la carte à puce, en particulier la clé KS nécessaire au calcul de la redondance cryptographique d'un message EMM 25 d'inscription de droits dont ils connaissent la syntaxe. Ils sont donc capables de calculer de façon autonome un tel message EMM.
L'amélioration proposée au sens de la présente invention s'appuie sur la capacité de la carte à puce à supporter deux systèmes cryptographiques et elle permet de passer irréversiblement (bien entendu pour une raison de sécurité) de l'un à l'autre, c'est-à-dire du mode classique de prise en compte des messages EMM exposé ci-dessus, au mode au sens de l'invention second décrit ci-après.
Après passage du système au nouveau mode de prise en compte de ces messages, un message d'accès conditionnel EMM : 10 est protégé en cryptographie asymétrique, c'est-à-dire, en particulier : • qu'en tête de réseau, il fait l'objet du calcul d'une signature à l'aide d'une clé privée KPR propre au service, • et dans la carte, sa signature est vérifiée par la clé publique Kpu associée à la clé privée KPR, 15 • les clés KPR et KPU étant différentes, en particulier la clé privée n'étant pas déductible de la clé publique ; - peut être de longueur supérieure à 255 octets ; - peut être fractionné par le terminal en segments de 255 octets, sauf éventuellement le dernier segment (faisant moins de 255 octets) ; 20 peut être soumis à la carte par segments (les segments issus du fractionnement ci-dessus), chaque segment comportant une mention indiquant qu'il est : o soit le premier et dernier segment (un seul segment correspondant simplement au message EMM lui-même), 25 o soit le premier segment du fractionnement du message EMM d'origine, o soit un segment intermédiaire du fractionnement du message EMM d'origine, o soit le dernier segment du fractionnement du message EMM d'origine ; peut être reconstitué par la carte par concaténation des segments reçus de son fractionnement antérieur ; peut finalement être traité par la carte. On notera ici que la cryptographie asymétrique, bien qu'avantageuse dans le contexte de l'invention, n'est pas le seul mode de réalisation possible. Il peut en effet être souhaitable de traiter des messages EMM longs dans un contexte to de protection par une cryptographie simplement symétrique. Dans la situation de piratage mentionnée plus haut, les pirates ne pourraient donc lire dans la carte que la clé publique Kpu, ce qui ne permet pas de retrouver la clé privée KPR nécessaire au calcul de la signature d'un message 15 EMM d'inscription de droits. Cette signature ne peut ainsi être générée qu'en tête de réseau qui, seule, dispose de la clé privée KPR. S'ils restent donc, par hypothèse, capables de lire le contenu de la carte, les informations lues, néanmoins, sont insuffisantes pour leur permettre de calculer des messages de modification de ce contenu. 20 On décrit ci-après quelques modes de réalisation particuliers. En référence à la figure 2, un message EMM inclut les champs fonctionnels suivants : • ADDRESS : adresse de la partie terminale, typiquement du processeur de sécurité, concernée par le message EMM (le message peut être 25 destiné à une partie terminale, à plusieurs parties terminales d'un même groupe, à toutes les parties terminales ; certaines parties de l'adresse peuvent être rendues confidentielles par chiffrement spécifique), 20 • SOID : identification du contexte cryptographique appliqué au message EMM (ce paramètre précise notamment le système de clés mises en oeuvre dans la cryptographie appliquée au message, en indiquant les clés utilisées et où les trouver), • PARAM : ensemble des paramètres transportés par le message EMM (ces paramètres sont représentatifs du rôle dévolu au message EMM tel que l'inscription et la mise à jour de clé, l'inscription, l'effacement et la mise à jour de droit, la gestion de données privées, ou autres), • REDUND : redondance cryptographique du message EMM. Une implémentation préférée des paramètres fonctionnels ci-dessus, y compris les paramètres présents dans PARAM, est la combinaison de ces paramètres par structure "TLV" (pour "Type ù Longueur - Valeur"). Ces paramètres peuvent être dans un ordre dépendant de l'implémentation retenue.
Par ailleurs, tout ou partie de l'ensemble de paramètres PARAM peut être confidentiel par chiffrement, selon des modalités implicites ou définies dans PARAM ou dans SOID. Dans le cas du procédé proposé de redondance cryptographique par signature asymétrique, au sens de l'invention, l'organisation des messages EMM telle que décrite ci-dessus reste inchangée : • ADDRESS : aucune modification 25 • SOID : l'identification du contexte cryptographique précise encore quelles sont et où se trouvent les clés utilisées dans le message, dont la clé utilisée pour la signature. On indique toutefois ici que la robustesse de la cryptographie asymétrique peut dispenser de disposer de plusieurs clés publiques nécessaires à la vérification de la signature, auquel cas la désignation de la clé de signature dans le contexte SOID peut être implicite. Le contexte cryptographique précise alors uniquement les autres clés utilisées dans le message (chiffrement pour confidentialité), ce qui n'induit aucune modification dans la structure du s paramètre SOID par rapport à la situation antérieure. • PARAM : aucune modification • REDUND : pas de modification fonctionnelle, seules la valeur et la longueur de la redondance sont différentes car générées par un algorithme différent (asymétrique au lieu de symétrique). Io L'identification du paramètre REDUND dans la syntaxe du message EMM (typiquement, l'identifiant T du paramètre T L V) peut différencier les deux cas symétrique et asymétrique. Toutefois, avantageusement, cette identification du paramètre REDUND peut rester la même car si la carte à puce est conçue pour n'appliquer que, par exemple, un algorithme symétrique, tandis que 15 l'algorithme à appliquer normalement est asymétrique, la carte à puce ne pourra pas, de toutes façons, conclure que la redondance est correcte.
Selon l'implémentation choisie, l'inscription et la mise à jour d'une clé publique dans la carte à puce, par des données ad hoc présentes dans le champ 20 PARAM, peut être une nouvelle commande dédiée, au sens de l'invention, ou s'effectuer de la même façon que pour une clé secrète habituelle, à la longueur de la valeur de la clé près. Dans ce dernier cas, un message EMM procédant à cette inscription ou une mise à jour est donc similaire à un message EMM d'inscription ou de mise à jour d'une clé secrète classique. 25 On décrit ci-après la fragmentation d'un message transmis vers la carte à puce. Un message EMM reçu dans le signal subit un premier formatage par le terminal pour en extraire une partie significative et pour y ajouter quelques données relatives au protocole d'échange avec la carte à puce. Il est alors noté ci-après comme "message EMM global".
En référence à la figure 3A, un message EMM global 31 de taille classique est suffisamment court pour que le message transmis (flèche F-31) du terminal TER à la carte à puce PS soit de taille inférieure à la limite de 255 octets et puisse être transmis d'un seul échange à la carte. Un champ 32 identifiant, au sens de l'invention, le type de segment résultant d'une éventuelle fragmentation du message EMM indique que le segment lu est le premier et dernier segment (un seul segment correspondant au message EMM lui-même et de taille inférieure à 255 octets). La carte peut lire alors le contenu 33 du message EMM global, directement.
Au sens de l'invention, le message EMM global à transmettre à la carte peut toutefois être trop long pour pouvoir être transmis à la carte en un seul message. Il est alors transmis par le terminal à la carte par segments consécutifs selon un protocole spécifique illustré sur la figure 3B. En référence à la figure 3B, le terminal TER découpe le message EMM global 35, qu'il reçoit dans le signal, en autant de segments courts 351, 352, 353 que nécessaire avant de les transmettre à la carte PS (avec un formatage de transport ad hoc). A chaque segment transmis à la carte est associé un indicateur BLOCKTYPE prenant l'une des quatre valeurs fonctionnelles suivantes : • FIRST&LAST : ce segment constitue un message EMM global, ce message EMM étant suffisamment court (cas de la Figure 3A). • FIRST : ce segment est le premier résultant du découpage en plusieurs segments par le terminal d'un message EMM global long (cas du segment 351 et de son indicateur 371). • LAST : ce segment est le dernier résultant du découpage en plusieurs segments par le terminal d'un message EMM global long (cas du segment 353 et de son indicateur 373). • INTERMEDIATE : segment intermédiaire résultant du découpage en 5 plusieurs segments par le terminal d'un message EMM global long (cas du segment 352 et de son indicateur 372). Par interprétation de l'indicateur BLOCKTYPE associé à chaque segment, la carte repère le début, le cours et la fin d'un message EMM et peut ainsi reconstituer le message EMM global avec les contenus 361, 362, 363 des 10 segments successifs reçus avant de traiter ce message.
Le codage des différentes valeurs de cet indicateur dépend de la mise enoeuvre retenue. Avantageusement, le codage de la valeur FIRST&LAST peut être choisi de façon telle que le message transmis à la carte dans ce cas soit 15 similaire au cas d'un message au sens de l'art antérieur (de taille classique) à la carte.
Un exemple de codage de l'indicateur BLOCKTYPE est le suivant, décrit dans le cadre d'échanges de messages, entre terminal et carte, conformes aux 20 commandes APDU de la norme ISO 7816-4 :5 18 Classe d'instruction CLA 'CA Code d'instruction INS '18 (soumission d'un message EMM, spécifique du système d'accès conditionnel décrit ici) Paramètre 1 P1 00xxxxxx FIRST&LAST Olxxxxxx FIRST 10xxxxxx INTERMEDIATE 11 xxxxxx LAST (xxxxxx : autres données spécifiques au message EMM) to Paramètre 2 P2 indice de clé de déchiffrement Corps données d'un segment de message EMM On décrit ci-après l'activation irréversible de la signature asymétrique. Habituellement, la carte à puce dispose d'un seul système cryptographique, 15 traitant notamment la redondance par cryptographie symétrique. Au sens de l'invention, la carte à puce dispose des deux systèmes cryptographiques, traitant la redondance du message, l'un, par cryptographie symétrique, l'autre, par cryptographie asymétrique. La coexistence de ces deux systèmes cryptographiques permet que, à chaque 20 message EMM dont elle doit vérifier la redondance, la carte à puce sélectionne le système cryptographique symétrique ou asymétrique selon une information de sélection présente dans le message EMM lui-même. Toutefois ce mode de réalisation conduit à particulariser, par l'ajout de cette information, chaque message EMM selon la cryptographie à appliquer. 25 Aussi, à la sélection de la cryptographie message par message, on préfère que la carte à puce dispose en outre d'un état interne lui précisant le système cryptographique courant (symétrique ou asymétrique) à appliquer pour vérifier la redondance des messages EMM et d'un mécanisme pour positionner cet état interne lui permettant de passer d'un système cryptographique, symétrique ou asymétrique, à l'autre. Cet état interne, avantageusement rémanent, est alors positionné par une commande explicite de sélection, typiquement par un message EMM spécifique, à la personnalisation de la carte ou durant son utilisation. Ainsi il n'est plus nécessaire de particulariser chaque message EMM par une information de sélection de la cryptographie à appliquer. Enfin, il est avantageux en terme de sécurité que le passage en cryptographie asymétrique soit irréversible, en particulier pour empêcher définitivement un usage frauduleux de message EMM en cryptographie symétrique. Ainsi, to conformément à l'organigramme représenté sur la figure 4, l'implémentation retenue dans la carte à puce rend irréversible le passage en cryptographie asymétrique, que ce système soit activé dès I'initialisation de la carte (branche A) ou par message EMM de commande (branche B). En termes généraux, le procédé dont les étapes sont illustrées sur la figure 4, is selon un aspect avantageux de l'invention, prévoit une transition du système d'accès conditionnel du fonctionnement en cryptographie symétrique vers le fonctionnement en cryptographie asymétrique. A cet effet, un équipement d'émission (non représenté) génère à destination du terminal un message EMM spécifique, pour la sélection irréversible du 20 fonctionnement en cryptographie asymétrique, Dans le processeur de sécurité, la cryptographie peut déjà avoir été activée en mode asymétrique (étape 40A) à la personnalisation de la carte ou suite à une sélection antérieure, ou en mode symétrique (étape 40B) à la personnalisation de la carte. Le processeur de sécurité traite le message EMM spécifique de 25 sélection (étape 41) et teste (étape 42) si la cryptographie courante est la cryptographie symétrique. Si la cryptographie asymétrique est déjà sélectionnée (branche N de l'étape 42), la sélection de la cryptographie asymétrique est confirmée (étape 45). Si la cryptographie courante est la cryptographie symétrique (branche Y de l'étape 42), la cryptographie 30 asymétrique est activée (étapes 43 et 45). On comprend donc que cet automate ne permet plus de revenir en cryptographie symétrique et le message EMM de sélection peut préciser uniquement de changer de cryptographie, implicitement de symétrique vers asymétrique, ou explicitement de passer en cryptographie asymétrique, un message EMM de sélection précisant explicitement de passer en cryptographie symétrique serait de toute façon ineffectif. On notera cependant qu'il est aisé d'adapter l'automate de la figure 4 s'il est souhaité dans une implémentation particulière de pouvoir revenir à la cryptographie symétrique. ro On comprendra que la présente invention vise aussi le signal qui comporte le message EMM de sélection d'un fonctionnement en cryptographie symétrique ou en cryptographie asymétrique et intervenant dans le procédé ci-avant. Ce signal est alors destiné à être émis par un équipement d'émission et contient en particulier une commande de sélection de fonctionnement, pour la mise en 1s oeuvre du procédé de sélection entre un fonctionnement en cryptographie symétrique et un fonctionnement en cryptographie asymétrique. Cette sélection entre ces deux fonctionnements est particulièrement avantageuse, même en dehors du contexte de fractionnement des messages 20 EMM au sens de l'invention. A ce titre, elle pourrait, le cas échant, faire l'objet d'une protection séparée. Le procédé général au sens de l'invention peut être mis en oeuvre dans un système d'accès conditionnel tel qu'illustré sur la figure 5 et comportant : 25 - un équipement d'émission 51 (par exemple une tête de réseau du diffuseur ou autre) d'un signal contenant notamment des messages EMM de contrôle d'accès spécifiques, un terminal 52 recevant les messages EMM dans le signal, et un processeur de sécurité 53, coopérant avec le terminal pour traiter les messages EMM. La présente invention vise un tel système, mais aussi, de façon séparée, le 5 terminal et le processeur de sécurité du système tel que représenté sur la figure 5.
D'une part, le terminal au sens de l'invention comporte : - un module de réception 521 d'un signal comportant des messages EMM de 10 contrôle d'accès spécifiques, - un module de transmission 522 de ces messages EMM, destinés au processeur de sécurité 53, et, en particulier, - un module de fractionnement 523 de chaque message EMM en une succession 54 comportant un ou plusieurs segments. 15 Le module de transmission 522 transmet alors chaque message EMM sous la forme de succession 54 précitée. D'autre part, le processeur de sécurité 53 au sens de l'invention (par exemple le processeur d'une carte à puce telle que représentée sur la figure 5) 20 comporte : - un module de réception 531 de messages EMM de contrôle d'accès spécifiques, issus du terminal 52, sous la forme d'une succession comportant un ou plusieurs segments d'un même message EMM, un module de concaténation 532 des segments reçus pour reconstituer 25 chaque message EMM à appliquer ensuite à un module de traitement 533 que comporte le processeur de sécurité 53.
Avantageusement, en contexte de cryptographie asymétrique, le message EMM reconstitué par le module de concaténation 532 comporte une signature générée à l'aide d'une clé privée Kpr (par exemple au niveau de l'équipement d'émission), tandis que le module de traitement 533 du processeur de sécurité vérifie cette signature à l'aide d'une clé publique Kp,. Bien entendu, la présente invention ne se limite pas à la forme de réalisation décrite ci-avant à titre d'exemple ; elle s'étend à d'autres variantes.
~o On comprendra par exemple que les identifiants de type de segments (FIRST&LAST, FIRST, LAST, INTERMEDIATE) sont, bien entendu, donnés ici à titre d'exemple et sont susceptibles de variantes, voire d'ajout d'identifiants non indiqués ici.
is On a décrit ici un processeur de sécurité en tant que carte à puce pouvant coopérer avec le terminal. Toute autre variante de la mise en forme du processeur de sécurité n'affecte en rien les principes de l'invention exposés ci-avant.

Claims (15)

Revendications
1. Système d'accès conditionnel comportant : un terminal recevant un signal comportant des messages EMM de contrôle 5 d'accès spécifiques et un processeur de sécurité, coopérant avec le terminal pour traiter lesdits messages EMM, système dans lequel le terminal : • fractionne chaque message EMM en une succession comportant un ou to plusieurs segments, et • transmet chaque segment au processeur de sécurité, et dans lequel le processeur de sécurité concatène les segments reçus pour reconstituer le message EMM à traiter. 15
2. Système selon la revendication 1, dans lequel les messages EMM reçus par le terminal sont protégés en cryptographie asymétrique.
3. Système selon la revendication 2, dans lequel la protection desdits messages EMM comprend une signature générée à l'aide d'une clé privée et 20 vérifiée par le processeur de sécurité à l'aide d'une clé publique.
4. Système selon l'une des revendications précédentes, dans lequel chaque segment comporte, au plus, un nombre limite d'octets. 23
5. Système selon l'une des revendications précédentes, dans lequel le terminal transmet les segments avec un indicateur de position du segment dans ladite succession.
6. Système selon la revendication 5, dans lequel l'indicateur permet d'identifier au moins : un segment correspondant à un message EMM complet (FIRST&LAST), et - un segment correspondant à une fraction seulement d'un message EMM (FIRST, INTERMEDIATE, LAST).
7. Système selon l'une des revendications 5 et 6, dans lequel l'indicateur permet d'identifier au moins : - un segment correspondant à un début de message EMM (FIRST), un segment correspondant à une fin de message EMM (LAST), et 15 - un segment intermédiaire dans ladite succession de segments (INTERMEDIATE).
8. Terminal d'un système selon l'une des revendications précédentes, comportant : 20 - un module de réception d'un signal comportant des messages EMM de contrôle d'accès spécifiques, et un module de transmission desdits messages EMM destinés à un processeur de sécurité, caractérisé en ce qu'il comporte en outre un module de fractionnement de 25 chaque message EMM en une succession comportant un ou plusieurs segments, 15et en ce que le module de transmission transmet chaque message EMM sous la forme de ladite succession.
9. Processeur de sécurité d'un système selon l'une des revendications 1 à 7, 5 comportant : un module de réception de messages EMM de contrôle d'accès spécifiques, issus d'un terminal, et - un module de traitement desdits messages EMM, caractérisé en ce que le module de réception reçoit chaque message EMM 10 sous la forme d'une succession comportant un ou plusieurs segments d'un même message EMM, et en ce que le processeur de sécurité comporte un module de concaténation des segments reçus pour reconstituer chaque message EMM à appliquer au module de traitement.
10. Processeur de sécurité selon la revendication 9, caractérisé en ce que : un message EMM reconstitué par le module de concaténation comporte une signature générée à l'aide d'une clé privée, et - le module de traitement vérifie ladite signature à l'aide d'une clé publique, 20 en contexte de cryptographie asymétrique.
11. Procédé d'accès conditionnel, mis en oeuvre dans un système comportant . un équipement d'émission d'un signal contenant notamment des messages 25 EMM de contrôle d'accès spécifiques, un terminal recevant lesdits messages EMM dans ledit signal, et 20- un processeur de sécurité, coopérant avec le terminal pour traiter lesdits messages EMM procédé dans lequel le terminal : • fractionne chaque message EMM en une succession comportant un ou 5 plusieurs segments, et • transmet chaque segment au processeur de sécurité, et dans lequel le processeur de sécurité concatène les segments reçus pour reconstituer le message EMM à traiter. io
12. Procédé selon la revendication 11, dans lequel on prévoit une transition du système entre un fonctionnement en cryptographie symétrique et un fonctionnement en cryptographie asymétrique, et dans lequel : l'équipement d'émission génère à destination du terminal dans un message EMM une commande de sélection du fonctionnement en cryptographie is symétrique ou en cryptographie asymétrique, - le processeur de sécurité traite ladite commande et sélectionne le fonctionnement en cryptographie symétrique ou le fonctionnement en cryptographie asymétrique en fonction de la sélection du fonctionnement présent dans ledit message EMM.
13. Procédé selon la revendication 12, dans lequel la sélection dans le processeur de sécurité entre le fonctionnement en cryptographie symétrique et le fonctionnement en cryptographie asymétrique est rémanente. 25
14. Procédé selon la revendication 13, dans lequel la transition de fonctionnement en cryptographie symétrique vers un fonctionnement en cryptographie asymétrique est irréversible.
15. Signal comportant un message EMM contenant une commande de sélection d'un fonctionnement en cryptographie symétrique ou en cryptographie asymétrique d'un système d'accès conditionnel, et destiné à être émis par un équipement d'émission pour la mise en oeuvre du procédé selon l'une des revendications 12 à 14.
FR0510608A 2005-10-18 2005-10-18 Systeme d'acces conditionnel perfectionne pour une securite accrue. Active FR2892259B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0510608A FR2892259B1 (fr) 2005-10-18 2005-10-18 Systeme d'acces conditionnel perfectionne pour une securite accrue.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0510608A FR2892259B1 (fr) 2005-10-18 2005-10-18 Systeme d'acces conditionnel perfectionne pour une securite accrue.

Publications (2)

Publication Number Publication Date
FR2892259A1 true FR2892259A1 (fr) 2007-04-20
FR2892259B1 FR2892259B1 (fr) 2008-08-15

Family

ID=36754854

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0510608A Active FR2892259B1 (fr) 2005-10-18 2005-10-18 Systeme d'acces conditionnel perfectionne pour une securite accrue.

Country Status (1)

Country Link
FR (1) FR2892259B1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0866613A1 (fr) * 1997-03-21 1998-09-23 CANAL+ Société Anonyme Système et dispositif pour empêcher l'accès frauduleux d'un système d'accès conditionnel
WO1998052152A2 (fr) * 1997-05-15 1998-11-19 Mondex International Limited Communication entre un dispositif interface et une carte de circuit integre

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0866613A1 (fr) * 1997-03-21 1998-09-23 CANAL+ Société Anonyme Système et dispositif pour empêcher l'accès frauduleux d'un système d'accès conditionnel
WO1998052152A2 (fr) * 1997-05-15 1998-11-19 Mondex International Limited Communication entre un dispositif interface et une carte de circuit integre

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BORST J ET AL: "Cryptography on smart cards", COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 36, no. 4, 16 July 2001 (2001-07-16), pages 423 - 435, XP004304907, ISSN: 1389-1286 *

Also Published As

Publication number Publication date
FR2892259B1 (fr) 2008-08-15

Similar Documents

Publication Publication Date Title
EP2494489B1 (fr) Procédé et agent client pour contrôler l'utilisation d'un contenu protégé
EP0426541B1 (fr) Procédé de protection contre l'utilisation frauduleuse de cartes à microprocesseur, et dispositif de mise en oeuvre
FR2831360A1 (fr) Protocole interactif de gestion a distance du controle d'acces a des informations embrouillees
WO2003107585A1 (fr) Procédé d'échange sécurisé d'informations entre deux dispositifs
WO2007068507A2 (fr) Procede de controle d'acces a un contenu embrouille
EP2168304B1 (fr) Verification de code mac sans revelation
EP2060117A1 (fr) Processeur de securite et procede et support d'enregistrement pour configurer le comportement de ce processeur
EP1055203B1 (fr) Protocole de controle d'acces entre une cle et une serrure electronique
FR3025377A1 (fr) Gestion de tickets electroniques
EP1353511B1 (fr) Procédé de gestion de droits d'accès à des services de télévision
WO2016207715A1 (fr) Gestion securisee de jetons électroniques dans un telephone mobile.
WO2007068820A1 (fr) Processeur de securite et procedes d'inscription de titres d'acces et de cles cryptographiques
EP3732849B1 (fr) Procédé et système d'identification de terminal d'utilisateur pour la réception de contenus multimédia protégés et fournis en continu
WO2004051390A2 (fr) Dispositif susceptible d'utiliser un logiciel sécurisé interne ou externe et procédé d'utilisation correspondant
EP1419640B1 (fr) Reseau numerique local, procedes d'installation de nouveaux dispositifs et procedes de diffusion et de reception de donnees dans un tel reseau
FR2892259A1 (fr) Systeme d'acces conditionnel perfectionne pour une securite accrue.
EP1609326A2 (fr) Procede de protection d'un terminal de telecommunication de type telephone mobile
EP1814331B1 (fr) Procédé d'identification d'un opérateur autorisé au sein d'un décodeur de télévision numérique
EP2372945A1 (fr) Procédé de transmission sécurisée de données entre un terminal numérique et une plateforme de services interactifs
FR2883683A1 (fr) Procede d'appariement entre un terminal et un processeur de securite, systeme et programme informatique pour la mise en oeuvre du procede
EP3021515B1 (fr) Amélioration de l'intégrité authentique de données à l'aide du dernier bloc chiffrant ces données en mode cbc
EP2326035B1 (fr) Procédé de traitement par un module de sécurité de messages de contrôle d'accès à un contenu et module de sécurité associé
EP2464134A1 (fr) Inscription de droit avec activation locale
FR2891104A1 (fr) Procede de lutte contre l'usage frauduleux d'un terminal de reception de donnees numeriques
WO2003055214A1 (fr) Dispositif decodeur de donnees numeriques brouillees et procede de blocage du desembrouillage

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18

PLFP Fee payment

Year of fee payment: 19