способ контроля длительности действия полномочий в модуле защиты

Формула изобретения

1. Способ контроля длительности действия полномочий в модуле защиты, установленном в устройстве, имеющем внутренние часы, указанное устройство принимает цифровой поток данных, зашифрованный с помощью контрольных слов, содержащихся в контрольных сообщениях полномочий, включающий в себя следующие шаги:

посредством модуля защиты принимают данные, поступающие от внутренних часов устройства и содержащие информацию о текущем времени;

сохраняют в модуле защиты информацию о текущем времени;

посредством модуля защиты принимают контрольное сообщение полномочий, для которого требуется дешифрование по меньшей мере одного контрольного слова;

считывают информацию о предыдущем времени, в который производилась обработка предыдущего контрольного сообщения полномочий;

осуществляют обработку контрольного сообщения полномочий, если время, указанное в информации о текущем времени, опережает время, указанное в информации о предыдущем времени.

2. Способ по п.1, отличающийся тем, что условие опережения по времени определяется периодичностью смены контрольных слов.

3. Способ по п.1, отличающийся тем, что информацию о текущем времени сохраняют в памяти, а после приема новой информации о текущем времени заменяют имеющуюся информацию о текущем времени новой информации о текущем времени при условии, если время, указанное в новой информации о текущем времени, опережает время, указанное в имеющейся информации о текущем времени.

4. Способ по п.1, отличающийся тем, что информация о времени определяет дату и время.

5. Способ по п.4, отличающийся тем, что информация о текущем времени в модуле защиты используется для проверки длительности действия полномочий, необходимых для дешифрования цифрового потока данных.

6. Способ по п.1, отличающийся тем, что устройство получает информацию о времени при его соединении с центром управления, причем на основе указанной информации производится обновление счетчика в устройстве, предоставляющем значение, представляющее дату и время, которое сохраняется и впоследствии сравнивается со значением информации о времени, генерируемой внутренними часами устройства.

7. Способ по п.6, отличающийся тем, что показания внутренних часов устройства обновляются в соответствии с результатом сравнения, причем новое значение передается в модуль защиты.

8. Способ по п.1, отличающийся тем, что показания внутренних часов устройства обновляются на основе информации о времени, широковещательно передаваемой в составе контрольных сообщений, в период, когда указанное устройство связано с центром управления.

9. Способ по любому из пп.1-8, отличающийся тем, что устройство представляет собой цифровой видеомагнитофон, предназначенный для просмотра и записи программ цифрового платного телевидения.

Описание изобретения к патенту

Область техники, к которой относится изобретение

Настоящее изобретение относится к области модулей защиты, подключаемых к устройству, принимающему зашифрованные цифровые данные. В частности, способ по изобретению предназначен для передачи данных о дате и текущем времени в модуль защиты, а также для управления полномочиями на дешифрование на основе периода действительности данных, которые принимаются указанным устройством или сохранены в нем.

Уровень техники

Указанный способ применяется, например, в области цифровых видеомагнитофонов, используемых для приема и сохранения платных телевизионных программ.

Цифровой видеомагнитофон, далее называемый PVR (Personal Video Recorder, персональный видеомагнитофон), представляет собой приемник/декодер платного телевидения со встроенным жестким диском, позволяющий сохранять зашифрованные цифровые аудио- и видеоданные для их просмотра в более позднее время.

PVR, как и видеомагнитофон на магнитной ленте, такой как VHS (Video Home System, стандарт для аналоговой видеозаписи на видеокассеты), также снабжен функциями быстрой "перемотки" вперед и назад. Эти функции позволяют, например, находить определенную последовательность среди данных, записанных на жестком диске, или возвращаться к началу записанной программы после первого просмотра.

Сохраненные цифровые аудио/видеоданные проходят шифрование с помощью контрольных слов (control words, CW), которые содержатся в контрольных сообщениях ЕСМ (Entitlement Control Message, контрольное сообщение полномочий), передаваемых вместе с зашифрованными аудио/видеоданными. Это сочетание аудио/видеоданных и ЕСМ далее в описании изобретения называется содержанием. Модуль управления доступом или модуль защиты, имеющий форму сменной смарт-карты или интегрированный в PVR, содержит предоставляемые пользователю полномочия, необходимые для дешифрования аудио/видеоданных.

При выводе содержания, сохраненного на жестком диске, декодер выполняет дешифрование указанного содержания с помощью сообщений управления полномочиями EMM (Entitlement Management Message, сообщения управления полномочиями), записанных в модуле защиты, причем эти сообщения содержат ключи, необходимые для дешифрования ЕСМ, содержащих контрольные слова (CW), которые, в свою очередь, используются для дешифрования содержания.

Цифровой поток данных, передаваемый центром управления на PVR, проходит шифрование, что позволяет контролировать использование этого потока и определять условия такого использования. Контрольные слова (CW), используемые при шифровании, сменяются через определенные интервалы времени (как правило, от 5 до 30 секунд) с целью предотвращения любых несанкционированных попыток извлечения этих контрольных слов.

PVR/декодер должен осуществлять дешифрование зашифрованного потока с использованием указанных контрольных слов, для чего они передаются в составе сообщений управления (ЕСМ) и шифруются с помощью ключа передачи, специфичного для данной системы.

В процессе дешифрования сообщений управления (ЕСМ) производится проверка наличия полномочий на доступ к содержанию в модуле защиты. Эти полномочия определяются в соответствии с сообщениями управления полномочиями (EMM), посредством которых осуществляется загрузка этих полномочий в модуль защиты.

Тарификация использования зашифрованного содержания в общем случае основывается на принципе подписки, единовременной или эпизодической покупки содержания телевизионных программ или оплате по квантам времени.

Подписка позволяет определять полномочия, связанные с одним или несколькими каналами телевизионного вещания, по которым передается это содержание, и позволяет пользователю просматривать его в незашифрованном виде, если соответствующие полномочия присутствуют в его модуле защиты.

С другой стороны, можно определять полномочия, соотносимые с конкретным содержанием, таким как фильм, спортивное событие или другая программа. Пользователь может купить это содержание, и доступ к нему будет контролироваться конкретно этими полномочиями. Этот метод известен как "плата за просмотр" (pay-per-view, PPV).

При оплате по квантам времени используется кредит, который хранится в модуле защиты и дебетуется в соответствии с фактическим потреблением услуги данным абонентом. В этом случае дебетование этого кредита на один квант производится, например, каждую минуту независимо от используемого канала или просматриваемого содержания. При этом в различных технических реализациях может производиться изменение кванта тарификации по длительности интервала времени, соответствующего данному кванту тарификации, по его величине или по обоим этим параметрам, посредством чего осуществляется адаптация тарификации к типу передаваемого содержания.

Каждое контрольное сообщение (ЕСМ) содержит не только контрольное слово (CW), но также и условия для этого контрольного слова, выполнение которых необходимо для его передачи обратно в PVR. При дешифровании контрольных слов производится проверка наличия полномочий, соответствующих указанным в сообщении условиям доступа, в модуле защиты. Контрольное слово возвращается в PVR только в том случае, если сравнение дает положительный результат. Указанное контрольное слово содержится в контрольном сообщении (ЕСМ), в общем случае также зашифрованном с помощью ключа передачи.

Таким образом, для дешифрования цифрового потока аудио/видеоданных, передаваемых в конкретное время, необходимы следующие три элемента:

- содержание, зашифрованное с помощью одного или нескольких контрольных слов (CW);

- контрольное сообщение (сообщения) (ЕСМ), в котором (которых) содержатся контрольные слова (CW) и условия доступа;

- соответствующие полномочия, хранящиеся в модуле защиты и используемые для проверки указанных условий доступа.

Условие доступа, связанное с полномочиями, может включать в себя длительность действия, т.е. период, в течение которого возможно дешифрование содержания с использованием контрольных слов. После истечения этого периода условие доступа к контрольным словам, необходимым для дешифрования содержания, становится недействительным, и дальнейшее дешифрование становится невозможным.

Для использования параметров времени или длительности в качестве условий доступа необходимо наличие надежных эталонных часов. Истечение периода действия полномочий должно контролироваться как абсолютное время (в отличие от относительной длительности). Например, действие полномочий на 24-часовой доступ к содержанию, которое зашифровано и сохранено на жестком диске, начинается в момент, соответствующий определенной дате и времени, и заканчивается на следующий день в то же самое время. Таким образом, для этих полномочий недостаточно предоставить длительность доступа, равную 24 часам, поскольку при этом остается возможность перенастройки часов, позволяющей "сдвинуть" текущую дату на один день, и, таким образом, получить постоянно действующие полномочия, имеющие длительность в 24 часа.

Данные о текущей дате и времени поступают в модуль защиты от внутренних часов PVR, также нзываемых RTC (Real Time Clock, часы реального времени), которые в общем случае запитываются от батареи, что позволяет им функционировать при выключенном устройстве.

В целях просмотра содержания, полномочия на которое истекли, эти часы могут быть установлены на дату и время меньше текущих значений. Таким образом, возможно несанкционированное продление полномочий с измененными условиями доступа в модуле защиты путем манипуляций с часами PVR.

Таким образом, возникает вопрос создания таких полномочий в модуле защиты, передаваемых посредством сообщений авторизации (EMM), действие которых начиналось бы в определенный момент и заканчивалось бы по истечении определенного периода действительности. В большинстве случаев PVR не имеет канала обратной связи с центром управления, поэтому регулярная посылка данных о текущей дате и времени в модуль защиты безопасным способом непосредственно от центра управления невозможна.

Другой аспект проблемы заключается в том факте, что модуль защиты имеет защищенную память, но не имеет часов реального времени, поэтому определение реальной длительности, например 24 часа, его собственными средствами также невозможно. Таким образом, если пользователь имеет полномочия на доступ к услуге (или фильму) в течение 24 часов, модуль защиты остается зависимым от внешних данных и только на их основе может определять истечение этого периода.

Раскрытие изобретения

Задача, на решение которой направлено настоящее изобретение, состоит в создании способа контроля длительности действия полномочий, хранящихся в модуле защиты, в абсолютных единицах, посредством управления другими принимаемыми параметрами, позволяющими определять дату и время истечения.

Другая задача изобретения состоит в предотвращении создания полномочий в модуле защиты до или после предварительно определенной даты или времени.

В соответствии с изобретением решение поставленной задачи достигается путем использования способа контроля длительности действия полномочий в модуле защиты, установленном в устройство, имеющее внутренние часы, причем указанное устройство принимает цифровой поток данных, зашифрованный с помощью контрольных слов, находящихся в контрольных сообщениях (ЕСМ), причем указанный способ включает в себя следующие шаги:

- прием данных, поступающих от внутренних часов устройства и содержащих информацию о текущем времени;

- сохранение текущих данных, представляющих информацию о текущем времени, в модуле защиты;

- прием контрольного сообщения (ЕСМ), для которого требуется дешифрование по меньшей мере одного контрольного слова;

- чтение предыдущих данных, представляющих информацию о предыдущем моменте времени, в который производилась обработка предыдущего контрольного сообщения (ЕСМ);

- обработка контрольного сообщения (ЕСМ), если время, указанное в текущих данных, опережает время, указанное в предыдущих данных.

Таким образом, способ согласно изобретению гарантирует, что дешифрование сообщения ЕСМ осуществляется только при наличии опережения по времени.

Перечень фигур чертежей

Другие свойства и достоинства настоящего изобретения станут ясны из нижеследующего описания, содержащего ссылки на прилагаемый чертеж, который иллюстрирует пример осуществления изобретения, не вносящий каких-либо ограничений. На чертеже представлена система для осуществления способа по изобретению.

Осуществление изобретения

Информация о времени рассматривается как любая форма счетчика, значение которого не обязательно соответствует дате и/или времени. Основная задача состоит в передаче информации о фактическом увеличении значения времени в модуль защиты для определения предварительно заданной длительности.

В качестве рассматриваемого устройства может быть применен декодер цифрового телевидения, цифровой видеомагнитофон PVR или даже персональный компьютер.

Значения времени и даты, генерируемые декодером, не обязательно должны соответствовать общеупотребительным значениям. Например, система Swatch Beat предлагает единицы времени, получаемые путем деления 24 часов на 1000. Декодер генерирует импульсы (или сигналы времени) с постоянным периодом в 3 секунды. Эти сигналы передаются и подсчитываются декодером, который при этом формирует собственные данные о времени, имеющиеся в этой системе. Текущее значение этого параметра будет, таким образом, больше предыдущего значения, что позволяет обнаруживать сдвиг значения времени в сторону увеличения. Текущее значение сохраняется в памяти; после того, как будет получено новое значение, текущее значение заменяется этим новым значением, но только в том случае, если новая информация о времени по значению превышает текущую информацию о времени. Таким образом, при каждом импульсе декодер определяет текущие данные о времени и передает указанные данные в модуль защиты. Содержание его текущей памяти заменяется на эти новые данные.

Кроме того, информация о времени может сохраняться в форме представления (сжатие) или криптограммы при условии, что при этом возможно обнаружение сдвига в сторону возрастания (увеличение значения предварительно определенных чисел или битов, изменение определенных префиксов или суффиксов и т.д.).

Если устройство связано с центром управления так, как в случае цифрового видеомагнитофона (PVR), центр управления может передавать информацию о текущем времени по радиоканалу для обновления показаний внутренних часов декодера.

Согласно предпочтительному варианту способ по изобретению может применяться в цифровых видеомагнитофонах для приема платных программ цифрового телевидения; при этом PVR должен иметь часы реального времени (RTC).

Согласно варианту осуществления в процессе приема модулем защиты новой информации о времени выполняется дополнительная проверка того, что значение времени в принятых данных превышает значение времени в данных, принятых ранее, независимо от момента дешифрования контрольных слов. Фактически, периодичность передачи сообщений, содержащих эту временную информацию, от декодера является специфичной для этого декодера. Это дополнительное условие обеспечивает непрерывное возрастание значения времени.

PVR эпизодически соединяется с центром управления, от которого поступает цифровой поток аудио/видеоданных, зашифрованный с помощью контрольных слов, заключаемых в контрольные сообщения (ЕСМ), которые сопровождают указанные аудио/видеоданные. Указанные контрольные сообщения также содержат информацию о времени, которая является защищенной, поскольку она проходит шифрование в центре управления.

В модуле защиты хранятся полномочия, предназначенные для проверки условий доступа, содержащихся в контрольных сообщениях (ЕСМ) вместе с контрольными словами.

Полномочия, хранящиеся в модуле защиты, позволяют осуществлять дешифрование сообщений ЕСМ только в том случае, если текущие данные о времени, представляющие дату и время по часам PVR, по значению превышают предыдущие данные о времени. Если внутренние часы PVR переставлены на более раннее время, это условие не выполняется. Фактически, дешифрование контрольных сообщений (ЕСМ), сохраненных на жестком диске, в этом случае не может выполняться без наличия действительных полномочий. Обновление значения часов возможно только при соединении PVR с центром управления и производится посредством широковещательно передаваемых сообщений ЕСМ, которые содержат информацию о времени, представляющую реальную дату и время.

Согласно варианту осуществления дата и время в PVR передаются в модуль защиты после прохождения шифрования с помощью ключа сеанса для предотвращения любой модификации их значения. При этом также выполняется проверка во избежание установки новых фиктивных значений.

На чертеже показан PVR, оборудованный жестким диском DD и имеющий внутренние часы RTC. Съемный модуль защиты SM предоставляет полномочия, необходимые для дешифрования потока аудио/видеоданных, поступающего от центра управления CG, а также для дешифрования содержания, сохраненного на жестком диске DD. В дополнение к длительности действия полномочий модуль защиты SM содержит дату/время начала периода действия, полученные от часов RTC.

PVR используется, с одной стороны, в качестве декодера передаваемого потока аудио/видеоданных, работающего в реальном времени, и, с другой стороны, в качестве устройства записи данных для их последующего просмотра.

В первом режиме использования, называемом режимом реального времени, контрольные сообщения (ЕСМ), содержащие условия доступа и информацию о времени, являются сами по себе достаточными для управления полномочиями, основанными на длительности, так как каждое контрольное сообщение (ЕСМ) уже содержит данные о времени, которые позволяют определять длительность действия полномочий.

Во втором режиме, когда содержание записывается при передаче и просматривается позднее, содержащаяся в контрольных сообщениях (ЕСМ) информация о времени игнорируется; в этом случае для вычисления длительности действия полномочий используются данные о времени, поступающие от декодера PVR.

Текущее время, сохраненное в модуле защиты, используется для вычисления длительности действия полномочий, предоставленных при покупке программы; управление этой покупкой осуществляется посредством сообщений авторизации (EMM). Согласно варианту осуществления может использоваться как прием сообщений EMM в реальном времени (непосредственно из потока) или использование этих сообщений, сохраненных в устройстве хранения. В первом случае оптимальным является использование информации о времени, содержащейся в этих сообщениях, поскольку эта информация рассматривается как защищенная ввиду того, что она поступает непосредственно от центра управления. Следует отметить, что модуль защиты будет выполнять проверку того, что значение этой даты равно значению последней известной даты или превышает его, несмотря на указанную очевидную защищенность.

Во втором случае сохраненные сообщения авторизации (EMM) не могут использоваться для обновления внутренних часов модуля защиты, и для вычисления длительности действия полномочий используется последняя известная дата.

Контрольные сообщения (ЕСМ), используемые в способе согласно изобретению, содержат информацию о времени в дополнение к описанию типа содержания и соответствующим контрольным словам. В процессе непосредственного приема потока, содержащего контрольные сообщения (ЕСМ), информация о времени используется для определения текущего времени.

Определение временного сдвига, позволяющего выполнять дешифрование контрольных слов, устанавливается по разнице между текущими данными о времени, которые основываются на показаниях часов декодера, и данных о времени, представляющими момент последней операции дешифрования контрольного слова. Эта разница не может просто быть равной (или почти равной) периоду смены контрольных слов. На практике должно учитываться то, что в режиме перемотки этот период умножается, например, на 10.

В данном примере, таким образом, определим эту разницу как 1/10 периода смены контрольных слов.

Это значение разницы определяет коэффициент расширения реального периода действительности. Например, если период смены контрольных слов равен 10 сек, а отношение между скоростью перемотки и скоростью нормального просмотра равно 10, минимальное значение разницы будет равно 10 сек, разделенным на 10, т.е. 1 секунде. Следовательно, модуль защиты допускает дешифрование нового контрольного слова при условии, что время по его данным на одну секунду опережает момент дешифрования последнего контрольного слова.

Потенциальное мошенничество в данном случае представляет собой передачу информации в модуль защиты с более низкой частотой. Это может быть реализовано путем установки кварцевого резонатора с более низкой частотой на внутренних часах PVR. Модуль защиты не имеет возможности отличить изначально быструю скорость просмотра от нормальной скорости в процессе дешифрования сообщений ЕСМ. В этом случае длительность действия полномочий умножается на 10, т.е., к примеру, предусмотренный период в 1 день был бы "растянут" на 10 дней.

Следует отметить, что при этом исчезает возможность использования режима быстрого просмотра, поскольку период смены контрольных слов оказывается ниже минимального значения разницы.

Этот недостаток можно рассматривать как допустимый, поскольку пользователю необходимо приобрести полномочия по меньшей мере один раз. Кроме того, при последующей легальной покупке происходит замена старой информации о времени, хранящейся в модуле защиты, на новую информацию о времени, представляющую дату/время указанной покупки. Таким образом, несанкционированно продленные полномочия немедленно истекают, и значение этого типа мошенничества остается, таким образом, достаточно ограниченным.

Модуль защиты может получать информацию о режиме, который установлен в PVR, и соответственно корректировать минимальную длительность периода между двумя операциями дешифрования контрольных слов. В режиме перемотки эта длительность будет равна одной секунде, а в обычном режиме эта длительность будет равна 10 секундам. Таким образом, потенциальный мошенник изменит своими действиями не только частоту часов PVR, но также и команд, передаваемых между PVR и модулем защиты.

Действительность полномочий определяется модулем защиты на основе информации о времени, записанной при покупке программы. Таким образом, рекомендуется обеспечить обновление этой информации в модуле защиты при каждой операции покупки, в противном случае вновь созданные полномочия будут иметь сниженный период действия в случае, если записанная в модуле защиты информация о времени окажется устаревшей.

Вследствие того, что модуль защиты не принимает от декодера PVR информацию о времени в случае, если эта информация указывает на время до текущего значения по часам реального времени, управление этими часами должно соответствовать определенным требованиям:

- часы реального времени PVR предпочтительно должны иметь питание от батареи для поддержания их работы при выключенном PVR;

- значение, представляющее дату и время, должно передаваться в модуль защиты часами реального времени;

- обновление показаний указанных часов реального времени предпочтительно должно вызывать сдвиг текущего времени в сторону увеличения;

- значения корректируются по таблице описания даты и времени TDT (Time and Date Description Table, таблица описания времени и даты), к которой обращается PVR при работе в подключенном состоянии, т.е. в процессе связи с центром управления. Эта таблица синхронизируется с информацией о времени, содержащейся в сообщениях ЕСМ, широковещательно передаваемых центром управления;

- пользователь PVR не должен непосредственно корректировать часы реального времени. Если необходимо обеспечить коррекцию даты и времени, отображаемых на экране лицевой панели PVR, то их настройка вначале сохраняется в энергонезависимой памяти в качестве значения расхождения с текущим значением часов реального времени. Отображаемая новая дата/время после этого вычисляется на основе этого сохраненного расхождения;

- если PVR не имеет связи, часы реального времени не должны корректироваться, или по меньшей мере не должны переводиться назад относительно значения, записанного в модуле защиты;

- если PVR находится на связи, и часы реального времени были переведены относительно эталонного времени/даты в таблице TDT, то часы реального времени повторно синхронизируются с этой эталонной информацией одним действием;

- если часы реального времени оказываются переведенными вперед относительно эталонных данных в TDT, то непосредственная повторная синхронизация, выполняемая в предыдущем случае, нежелательна, поскольку новая информация о текущем времени будет сдвинута назад относительно предыдущих данных о времени, сохраненных в модуле защиты. Условие положительного значения разницы между этими двумя наборами данных не будет выполняться, и модуль защиты прекратит дешифрование контрольных слов.

Например, PVR был подключен к каналу связи в 10.00.00, но часы реального времени в PVR имели значение 10.02.00, т.е. на 2 минуты больше. Разница времени ожидания дешифрования контрольных слов составляет 10 секунд.

PVR посылает сообщения следующим образом:

первое сообщение в 10.00.00 указывает на время 10.02.01;

второе сообщение в 10.00.20 указывает на время 10.02.10;

третье сообщение в 10.00.40 указывает на время 10.02.20; и так далее.

Через 4 минуты производится повторная синхронизация часов реального времени в PVR со временем, указанным центром управления; при этом сохраняется возможность дешифрования данных, сохраненных на жестком диске, в соответствии с временем, записанным в модуле защиты.

В случае персонального компьютера способ по изобретению применяется при загрузке различных файлов, таких как программное обеспечение, игры, фильмы и музыка, из Интернета. В компьютер устанавливается модуль защиты, который контролирует полномочия на доступ к загружаемым файлам или на использование указанных файлов в течение ограниченного времени. Необходимая информация о времени генерируется внутренними часами компьютера, которые также могут обновляться в период, когда компьютер подключен к Интернету.