способ защиты данных безопасности, передаваемых устройством передатчика в устройство приемника

Формула изобретения

1. Способ защиты данных безопасности, передаваемых передатчиком в приемник, содержащий этап, на котором поочередно с данными безопасности периодически передают в приемник нейтральные данные, предназначенные для недопущения фильтрации данных безопасности,

при этом способ дополнительно содержит этапы, на которых:

задают (20) длительность DR, разделяющую два последовательных приема приемником данных, передаваемых передатчиком, и

в фиксированный момент t измеряют (22) временной интервал TR, прошедший после приема приемником данных, переданных передатчиком,

если временной интервал TR времени больше длительности DR, передают сигнал (28) тревоги в модуль управления противодействием.

2. Способ по п.1, в котором передачу нейтральных данных запускают через заданное время после последней передачи данных из передатчика в приемник.

3. Способ по п.1, в котором нейтральные данные имеют структуру, аналогичную структуре данных безопасности.

4. Способ по п.1, дополнительно содержащий этап, на котором подсчитывают число N сигналов тревоги, переданных приемником в модуль управления противодействием, и сохраняют число N в памяти модуля управления противодействием.

5. Способ по п.4, дополнительно содержащий этапы, на которых:

задают число SA сигналов тревоги, представляющих пороговое значение для запуска санкции;

сравнивают число SA с числом N, сохраненным в памяти модуля управления противодействием, и

осуществляют процедуру противодействия, если число N больше числа SA.

6. Способ по п.5, в котором процедуру противодействия активируют локально с помощью приемника.

7. Способ по п.5, в котором процедуру противодействия активируют дистанционно с помощью передатчика.

8. Способ по п.6 или 7, в котором процедура противодействия заключается во временном или постоянном приостановлении работы приемника.

9. Способ по п.1, в котором данные безопасности и нейтральные данные передают в приемник в сообщениях EMM.

10. Способ по п.9, в котором данные безопасности и нейтральные данные кодируют.

11. Способ по п.1, в котором данные безопасности и нейтральные данные передают в приемник в потоке данных, дополнительно содержащем кодированные аудиовизуальные программы.

12. Способ по п.8, в котором временное или постоянное приостановление работы заключается в том, что прекращают обработку сообщений ЕСМ при считывании мультимедийного содержания.

13. Терминал передатчика, установленный в головном модуле сети оператора и выполненный с возможностью передачи потока рабочих сообщений способом по п.11 в терминал приемника, характеризующийся тем, что содержит средства для:

a) хранения максимальной длительности D интервала между двумя последовательными передачами сообщений в потоке,

b) измерения времени T, прошедшего после последней передачи сообщения,

c) передачи сообщения EMM санкции терминалу приемника, если временной интервал T, прошедший после последней передачи сообщения, больше или равен длительности D.

14. Носитель, содержащий компьютерную программу, предназначенную для исполнения в терминале передатчика по п.13:

a) для сохранения максимальной длительности D интервала между двумя последовательными передачами сообщений в потоке,

b) для измерения времени T, прошедшего после последней передачи сообщения,

c) для передачи сообщения EMM санкции терминалу приемника, если временной интервал T, прошедший после последней передачи сообщения, больше или равен длительности D.

15. Терминал приемника, выполненный с возможностью приема сообщения, передаваемого терминалом передатчика по п.13, характеризующийся тем, что содержит средство для:

a) хранения максимальной длительности DR интервала между двумя последовательными приемами сообщений в потоке,

b) измерения временного интервала TR, прошедшего после последнего приема сообщения,

c) уведомления о превышении времени в модуль управления противодействием, если временной интервал TR, прошедший после последней передачи сообщения, больше или равен длительности DR.

16. Носитель, содержащий компьютерную программу, предназначенную для исполнения в терминале приемника по п.15:

a) для сохранения максимальной длительности DR интервала между двумя последовательными приемами сообщений в потоке,

b) для измерения временного интервала TR, прошедшего после последнего приема сообщения,

c) для уведомления о превышении времени в модуль запуска противодействия, если временной интервал TR, прошедший после последнего приема сообщения, больше или равен длительности DR.

Описание изобретения к патенту

Область техники, к которой относится изобретение

Изобретение относится к области передачи данных и более конкретно относится к способу защиты данных безопасности, передаваемых устройством передатчика в устройство приемника.

Изобретение также относится к терминалу передатчика, который расположен в головном модуле сети оператора и выполнен с возможностью передавать рабочие сообщения в терминал приемника.

Изобретение, кроме того, относится с компьютерной программе, которая хранится на носителе и предназначена для работы в терминале передатчика, для осуществления способа в соответствии с изобретением на стороне передачи.

Изобретение также относится к терминалу приемника, выполненному с возможностью принимать сообщения, передаваемые упомянутым терминалом передатчика, и к компьютерной программе, хранящейся на носителе и предназначенной для работы в терминале приемника для осуществления способа в соответствии с изобретением.

Более конкретно, изобретение направлено на улучшение защиты сообщений EMM, передаваемых головным модулем сети оператора в систему приема потребителя. Однако в более общем случае оно относится к защите всех передач сообщений между объектами, соединенными сетями передачи данных, независимо от характера и характеристик упомянутых объектов и упомянутых сетей.

Уровень техники

В ходе развития распространения содержания через сети передачи данных риск, что такое содержание подвергнется хакерской атаке, становится основной заботой как для поставщиков, так и для получателей этого содержания.

Следовательно, главной задачей становится защита распределяемого содержания от риска того, что право доступа, ассоциированное с этим содержанием, будет перенаправлено обманным путем, а также против фальсификации этих прав пользователем.

Действительно, в системах управления доступом типа CAS распределяемое содержание обычно кодируют и его декодирование обусловлено логической авторизацией (пользователь может получать доступ к содержанию в течение определенного времени), скомбинированной с ключами, называемыми операционными ключами, причем последние обеспечивают возможность декодирования других сообщений, которые авторизуют доступ к содержанию. Логическая авторизация и операционные ключи обычно передают в терминалы приемника в EMM (Сообщение распоряжения предоставлением прав) и ЕСМ (Сообщение управления предоставлением прав) в специфичных сообщениях управления доступом, которые сами по себе должны быть защищены.

Для лучшего понимания терминологии, специфичной в данной области техники, к которой относится изобретение, может быть сделана ссылка на следующий документ: "FUNCTIONAL MODEL OF A CONDITIONAL ACCESS SYSTEM", EBU REVIEW-TECHNICAL EUROPEAN BROADCASTING UNION. BRUSSELS, BE, no 266, 21 December, 1995.

Один недостаток предшествующего уровня техники возникает из того факта, что эти сообщения могут быть перехвачены и проанализированы для определения условий доступа и ключей, требуемых для декодирования содержания.

В некоторых случаях оператор может пожелать удалить или ограничить права на доступ определенных получателей. В этом случае сообщения EMM и ЕСМ содержат соответствующую этой цели информацию.

Другая форма мошенничества состоит в фильтрации сообщений, передаваемых оператором, для предотвращения их использования процессором безопасности терминала приемника.

Кроме того, хакер, желающий восстановить сообщение EMM, может определить его эффект экспериментально, подвергая его, например, обработке в системе приема, зарезервированной для этого тестирования.

Кроме того, операция системы управления доступом, выполняемая оператором, вводит сообщения EMM для добавлений, модификаций или удаления прав в определенные даты месяца, что представляет собой результат групповой обработки данных компьютером и может помочь хакеру различать новые сообщения EMM, получаемые в результате этой обработки, и может позволить хакеру разрабатывать стратегию фильтрации.

В случае когда аутентификация сообщений управления доступом осуществляется, используя криптографическую избыточность, эта мера не оказывает какого-либо эффекта в следующих случаях:

- если хакер успешно получил ключ или если он успешно получил правильную криптографическую избыточность. Такой вариант особенно возможен, если упомянутая криптографическая избыточность является симметричной.

- если хакеру удалость сделать так, чтобы процессор безопасности принял сообщение как содержащее правильную криптографическую избыточность и, таким образом, как аутентичное сообщение. Такой случай особенно возможен при физическом нарушении операционной среды процессора безопасности системы приема, ответственной за проверку такой аутентичности. Такие нарушения включают в себя, например, резкое увеличение температуры, колебания сигнала электропитания или тактовой частоты, воздействие на компонент лазерными импульсами, передача электромагнитных волн или излучение радиоактивных частиц.

В случае когда сообщения защищены путем передачи в терминал приемника комбинации положительных и отрицательных указаний, эта мера представляет интерес только в случае, когда у хакера есть что терять. В частности, некоторые атаки состоят в нелегальном добавлении прав в официальные процессоры обеспечения безопасности (называемые MOSC, модифицированная оптическая интеллектуальная карта). В этом случае хакер только теряет при фильтрации сообщений, если оператор изменяет операционные ключи.

Таким образом, предпочтительно не передавать такие ключи в мультиплексированном сигнале для исключения их ненужного раскрытия.

Поэтому представляется, что не всегда возможно для системы управления доступом (CAS) противостоять атакам хакеров, и, в частности, противостоять удалению нежелательных сообщений или вставке сообщений, которые не должны быть переданы в процессор обеспечения безопасности.

Назначение изобретения состоит в том, чтобы преодолеть недостатки систем управления доступом предшествующего уровня техники, описанные выше.

Раскрытие изобретения

Изобретение основано на идее поддержания регулярного потока сообщений между передатчиком и приемником таким образом, чтобы сообщения были переданы, даже если оператор не подал какой-либо запрос.

В изобретении рекомендуется способ, состоящий в периодической передаче в упомянутый приемник, поочередно с упомянутыми данными безопасности, нейтральных данных, предназначенных для предотвращения фильтрации упомянутых данных безопасности.

Такая регулярность позволяет шифровать передачу данных между передатчиком и приемником для внешнего наблюдателя, затрудняя, таким образом, злоумышленную фильтрацию сообщений безопасности. Она также может обеспечивать для приемника возможность обнаруживать возможную фильтрацию этих сообщений.

В зависимости от варианта осуществления изобретения и характера вторичных сообщений в последовательности после нее могут следовать операции детектирования или противодействия. Разные типы детектирования можно использовать, такие как запись в память журнала событий или последовательное приращение счетчика детектирования. Меры противодействия могут, например, заключаться во временном отключении или разрушении карты, содержащей процессор безопасности.

В соответствии с другой характеристикой изобретения, передачу упомянутых нейтральных данных запускают через заданное время, следующее после последней передачи данных из передатчика в приемник.

Предпочтительно, упомянутые нейтральные данные представляют структуру, аналогичную структуре данных безопасности.

В одном варианте осуществления способ в соответствии с изобретением содержит следующие этапы:

- определяют длительность DR, разделяющую два последовательных приема приемником данных, передаваемых передатчиком, и

- в данный момент t измеряют интервал TR времени, прошедший после приема приемником данных, переданных передатчиком,

- если интервал TR времени больше, чем длительность DR, передают сигнал тревоги в модуль управления противодействием.

В этом варианте способ дополнительно содержит этап, состоящий в подсчете числа сигналов N тревоги, переданных приемником в упомянутый модуль управления противодействием, записи числа N в упомянутый модуль управления противодействием, определении числа SA сигналов тревоги, представляющих пороговое значение для запуска разрешения сравнения числа SA с числом N, записанным в модуле управления противодействием, и выполнении процедуры противодействия, если число N больше числа SA.

Упомянутая процедура противодействия может быть активирована локально приемником или дистанционно передатчиком и состоит во временном или постоянном приостановлении работы приемника.

В одном конкретном варианте осуществления способа в соответствии с изобретением, предназначенным для повышения безопасности системы управления доступом типа CAS, данные безопасности и нейтральные данные передают в приемник в сообщениях EMM.

Упомянутые данные безопасности и упомянутые нейтральные данные могут быть кодированы для повышения безопасности. Однако они могут быть переданы в кодированном виде.

Данные безопасности и нейтральные данные могут быть переданы в приемник в потоке данных, дополнительно содержащем кодированные аудиовизуальные программы. В этом случае временное или постоянное приостановлении работы состоит в том, что больше не выполняют обработку сообщений EMM, когда считывается мультимедийное содержание.

Способ в соответствии с изобретением реализован посредством терминала передатчика в головном модуле сети оператора, выполненном с возможностью передачи рабочих сообщений в терминал приемника из множества терминалов, подключенных сети упомянутого оператора.

Этот терминал содержит средство хранения максимальной длительности D интервала между двумя последовательными передачами сообщений в упомянутом потоке, средство измерения интервала Т, прошедшего после последней передачи сообщения, и средство вставки нейтрального сообщения в упомянутый поток, если временной интервал Т, прошедший после последней передачи сообщения, больше или равен упомянутой длительности D.

Способ в соответствии с изобретением реализован на стороне головного модуля сети посредством компьютерной программы, хранящейся на носителе и предназначенной для запуска в терминале передатчика для сохранения максимальной длительности D интервала между двумя последовательными передачами сообщений в упомянутом потоке, для измерения интервала Т, прошедшего после последней передачи сообщения, и для вставки в упомянутый поток нейтрального сообщения, если временной интервал Т, прошедший после последней передачи сообщения, больше или равен упомянутой длительности D.

Терминал приемника в соответствии с изобретением содержит средство хранения максимальной длительности DR, большей или равной длительности D интервала между двумя последовательными приемами сообщений в упомянутом потоке, средство измерения временного интервала TR, прошедшего после последнего приема сообщения, и средство уведомления о превышении времени в модуль запуска противодействия, если временной интервал TR, прошедший после последнего приема сообщения, больше или равен длительности DR.

Способ в соответствии с изобретением воплощен на стороне приемника посредством компьютерной программы, хранящейся на носителе и предназначенной для запуска в терминале приемника для хранения максимальной длительности DR интервала между двумя последовательными приемами сообщений в упомянутом потоке, для измерения временного интервала TR, прошедшего после последнего приема сообщения, и для уведомления о превышении времени в модуль запуска противодействия, если временной интервал TR, прошедший после последнего приема сообщения, больше или равен упомянутой длительности DR.

Краткое описание чертежей

Другие свойства и преимущества изобретения будут понятны после чтения следующего описания, которое представлено в качестве неограничительного примера, со ссылкой на приложенные чертежи, на которых:

- на фиг.1 представлена общая блок-схема последовательности операций, иллюстрирующая основные этапы способа в соответствии с изобретением.

- на фиг.2 схематически представлена блок-схема последовательности операций, иллюстрирующая детектирование фильтрации сообщения терминалом приемника в соответствии с изобретением.

Подробное описание изобретения

Следующее описание относится к одному варианту осуществления способа в соответствии с изобретением в конкретном варианте применения, в котором терминал передатчика, расположенный в головном модуле оператора, передает цифровое содержание в приемники, подключенные к сети упомянутого оператора. Цифровое содержание вначале кодируют с использованием управляющего слова, которое передают в терминалы приемника в сообщениях EMM.

Оператор может использовать разные каналы для широковещательной передачи сообщения EMM и разные режимы адресации для передачи сообщения разным людям. Таким образом, EMM-GA разработан для всех пользователей (GA - глобальная аудитория), EMM-S разработан для группы пользователей (S - совместно используемый), и EMM-U разработан для одного пользователя (U - пользователь). Канал типично используется для широковещательной передачи сообщений EMM в каждом из этих способов адресации.

Также возможно, даже в случае одного режима адресации, иметь разные каналы EMM. Например, в мобильном телефоне некоторые сообщения могут быть переданы в том же мультиплексированном сигнале, который содержит видеоданные, а другие могут быть переданы в виде SMS. Также вероятно, что несколько пользователей примут сообщения. Каждое EMM-U, переданное пользователю, следует рассматривать, как канал EMM в контексте изобретения.

Для поддержания регулярного графика в каждом из каналов EMM, открытых между терминалом передатчика и каждым терминалом приемника, способ в соответствии с изобретением применяется ко всем типам канала EMM, независимо от типа сообщения, транспортируемого в этом канале.

Как и в стандартной системе CAS, оператор подает запрос на передачу сообщения в систему CAS. В остальной части данного описания такие сообщения называются "рабочими".

Если ни одно сообщение не ассоциировано с каналом EMM, последний, тем не менее, может оставаться активным: тогда "функционально нейтральное" сообщение будет вставлено системой CAS в данный канал. Функционально нейтральное сообщение представляет собой сообщение с действительным синтаксисом, которое предназначено для анализа терминалами адресата, но которое не содержит какую-либо информацию от оператора и, в частности, какой-либо запрос на активацию обработки в терминале.

Поток сообщений, поступающий из системы CAS, поэтому представляет собой поток сообщений, состоящих из рабочих или нейтральных сообщений.

На фиг.1 схематично иллюстрируются основные этапы способа в соответствии с изобретением, для случая, когда рабочие сообщения передают в независимые каналы EMM так, что каждый из них имеет свой собственный контекст "неизменности" в потоке.

Этап 2 - это предварительная фаза конфигурации оператором терминалов передатчика и приемника. Эта фаза состоит из определения максимальной длительности отсутствия активности, разделенной для данного потока, а также для данного пользователя, в случае персонального потока. Принятое по умолчанию значение устанавливается для этой длительности.

Следует отметить, что оператор может изменять максимальную длительность отсутствия активности, размещенную для данного потока. Например, в случае сомнения в безупречности пользователя оператор может принудительно установить требование для приема сообщения до определенного дня по каналу EMM-U.

Терминал приемника тогда выполнен с возможностью принимать определенный промежуток времени между несколькими сообщениями для каждого канала, в которые они адресованы.

Во время этой операции компьютерная программа, воплощенная в терминале передачи в головном модуле сети, запускает проверку этапа 4, состоящую в определении, желает ли оператор передать рабочее сообщение в терминалы приемника.

Если это подтверждается, рабочее сообщение определяют на этапе 6 и на этапе 8, рабочее сообщение передают в терминал приемника. Процесс затем повторяется с этапа 4.

Если это не подтверждается, выполняют проверку для определения, было ли сообщение передано в приемник через время, меньшее длительности D, определенной на этапе 2.

Если это подтверждается, процесс повторяют с этапа 4.

Если это не подтверждается, нейтральное сообщение определяют на этапе 12, которое затем передают (этап 8) в терминал приемника.

На фиг.2 схематично иллюстрируются этапы, которые обеспечивают возможность детектирования злоумышленной фильтрации рабочих сообщений, передаваемых терминалом передатчика в терминал приемника. Можно отметить, что оператор может включить или отключить детектирование терминалом приемника возможной фильтрации рабочих сообщений путем передачи определенной команды в соответствующий приемник.

Следует отметить, что для выполнения такой процедуры детектирования оператор определяет длительность DR, разделяющую два последовательных приема приемником данных, передаваемых передатчиком в заданный момент времени t, программное средство, установленное в терминале приемника, измеряет интервал TR времени, прошедший после того, как приемником был выполнен прием данных, переданных передатчиком, и передает, если временной интервал TR больше, чем упомянутая длительность DR, сигнал тревоги в модуль администрирования противодействия.

В данном примере модуль управления противодействием установлен в терминале приемника таким образом, что терминал не передает какую-либо информацию в головной модуль сети.

На этапе 20 оператор передает команду в приемник для включения детектирования злоумышленной фильтрации.

На этапе 22 программное средство, установленное в терминале приемника, измеряет время между двумя последовательными сообщениями, переданными через данный канал, и сравнивает на этапе 24 измененное время с длительностью DR.

Если интервал времени TR больше, чем длительность DR, терминал приемника считает, что произошла попытка злонамеренной фильтрации и передает сигнал тревоги в модуль управления противодействием (этап 26), и модуль управления противодействием применяет санкцию (этап 30).

Санкция может состоять в том, что больше не выполняют обработку сообщений ЕСМ при считывании мультимедийного содержания, что делает невозможным декодирование последнего.

Другая санкция может состоять в удалении всех операционных ключей и всего содержания с авторским правом в процессоре безопасности терминала приемника.

В первом варианте модуль управления противодействием применяет только процедуру санкции через заданное количество N сигналов тревоги, переданных приемником в модуль управления противодействием.

Во втором варианте модуль управления противодействием постепенно выбирает подлежащую применению процедуру противодействия в соответствии с количеством записанных сигналов тревоги. Противодействие может, например, состоять в том, что больше не выполняют обработку ЕСМ после двух сигналов тревоги, или даже в удалении прав и операционных ключей процессора безопасности после десяти сигналов тревоги.

Если интервал TR времени короче, чем длительность DR, на этапе 28, программное средство, установленное в терминале приемника, запускает команды, переданные в рабочих сообщениях.

Следует отметить, что обработку терминалом приемника выполняют в соответствии со следующими этапами:

- когда включают терминал или когда он начинает работу после периода ожидания, терминал ожидает сообщений EMM,

- когда принимают сообщение EMM, независимо от того, является ли оно рабочим сообщением или функционально нейтральным сообщением, его также обрабатывают, как и в предшествующем уровне техники.

В случае когда включено детектирование злонамеренной фильтрации сообщений, обработка изменяется таким образом, что когда принимают сообщение EMM, его дату (переданную или принятую) сохраняют в памяти, или максимальную дату, ожидаемую для следующей передачи или приема сообщений EMM, рассчитывают как сумму предыдущей даты и максимальной длительности отсутствия активности, затем сохраняют в запоминающем устройстве, и когда сообщение EMM будет принято, если рассчитанная дата будет больше предыдущей сохраненной даты для передачи или приема сообщений EMM более чем на максимальную длительность отсутствия активности, или, если эта дата будет больше предыдущей максимальной ожидаемой даты следующей передачи или приема сохраненных в памяти сообщений EMM, тогда терминал сохраняет в памяти детектирование фильтрации сообщения (сообщений).

Следует отметить, что время обработки рабочего сообщения и нейтрального сообщения не позволяет различать тип сообщения.

В третьем варианте изобретения модуль управления противодействием установлен в головном модуле сети, и оператор управляет этим модулем. В этом случае процедура противодействия состоит в установке конфигурации терминала передатчика для передачи сообщения EMM санкции, предназначенного терминалу приемника. Такое сообщение санкции EMM обрабатывают с помощью терминала приемника, и оно указывает, какое противодействие последний должен предпринять в случае когда существуют несколько уровней противодействия.

Изобретение может быть воплощено избирательно, в частности, в зависимости от канала EMM или в целом для всех этих каналов, или в зависимости от характера рабочих сообщений, предназначенных для широковещательной передачи.