Способ защиты, способ расшифрования, носитель информации и терминал для способа защиты

Изобретение относится к способу защиты передачи мультимедийного содержимого или управляющего слова между процессором безопасности и терминалом. Задачей изобретения также является способ расшифровки мультимедийного содержимого или управляющего слова, а также носитель информации и терминал для реализации этого способа защиты.

Термин "мультимедийное содержимое" в этом документе обозначает содержимое, которое должно быть отображено на экране и/или воспроизведено посредством громкоговорителей. Обычно мультимедийное содержимое представляет собой последовательность аудиовизуальной программы, такой как телевизионная передача или фильм.

Для защиты передачи мультимедийного содержимого на терминалы по сети общего пользования мультимедийное содержимое зашифровывают с помощью управляющего слова, а затем передают по сети общего пользования.

Более конкретно, управляющее слово - это слово, закодированное несколькими информационными битами, используемое для шифрования шифрпериода мультимедийного содержимого. Шифрпериод - это период мультимедийного содержимого, которое зашифровывают с помощью одного и того же управляющего слова, и в течение которого права доступа к мультимедийному содержимому не изменяют.

Здесь термины "скремблировать" и "шифровать" рассматриваются как синонимы. Это верно и для терминов "дескремблировать" и "расшифровывать".

Для защиты передачи управляющих слов на терминалы через сеть общего доступа эти управляющие слова перед передачей также зашифровывают, например, с помощью ключа Ка подписки.

Процессор безопасности - это процессор, который обрабатывает конфиденциальную информацию, такую как криптографические ключи, или выполняет криптографические алгоритмы. Для того чтобы сохранить конфиденциальность этой информации, такой процессор разрабатывают так, чтобы он был устойчивым по отношению к попыткам хакерских атак, насколько это возможно. Поэтому он является более устойчивым к этим атакам, чем другие компоненты терминала. Во многих приложениях этот процессор безопасности является съемным, т.е. его можно периодически легко ставить и удалить из терминала. В этом случае он часто принимает форму чип-карты.

В контексте шифрования мультимедийного содержимого процессор безопасности содержит секретную информацию, позволяющую расшифровывать мультимедийное содержимое, полученное терминалом. Более конкретно, имеется два возможных режима функционирования этого процессора безопасности:

- либо процессор безопасности сам расшифровывает мультимедийное содержимое и передает расшифрованное мультимедийное содержимое на терминал,

- либо процессор безопасности расшифровывает управляющее слово и передает расшифрованное управляющее слово на терминал.

Если не принимается никаких мер предосторожности, то расшифрованное мультимедийное содержимое или расшифрованное управляющее слово передают в открытом или расшифрованном виде от процессора безопасности на терминал.

Термин "открытый" или "в открытом виде" обозначает состояние порции информации, соответствующее тому состоянию, которое было перед его скремблированием или зашифрованием с помощью секретных управляющих слов или секретных ключей.

Открытое мультимедийное содержимое или открытое управляющее слово, передаваемые между процессором безопасности и терминалом, являются уязвимыми. Были предложены атаки, использующие эту уязвимость. Например, было предложено перехватывать открытое управляющее слово на этом интерфейсе, а затем незаконно транслировать его на другие терминалы.

Для преодоления этого недостатка уже было предложено зашифровывать мультимедийное содержимое или управляющее слово, передаваемое от процессора безопасности на терминал.

Таким образом, имеются способы защиты передачи мультимедийного содержимого или управляющего слова между процессором безопасности и терминалом, в которых:

- процессор безопасности строит текущий сеансовый ключ SK_c путем расширения главного ключа SK_root как функции параметра P_c, переданного терминалом,

- процессор безопасности расшифровывает мультимедийное содержимое или управляющее слово, а затем зашифровывает расшифрованное мультимедийное содержимое или управляющее слово с помощью текущего сеансового ключа SK_c и, наконец, передает мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SK_c на терминал, и

- терминал расшифровывает мультимедийное содержимое или управляющее слово, зашифрованное с помощью построенного ключа SK_c с использованием секретного кода $$C_{с}^{-1}$$ , чтобы получить открытое мультимедийное содержимое или открытое управляющее слово.

Например, способ такого типа описан в патентной заявке ЕР 1862096. В этом способе известного уровня техники параметр P_c представляет собой идентификатор терминала.

Однако может случиться так, что безопасность текущего сеансового ключа SK_c может быть скомпрометирована. Например, были предприняты попытки осуществления хакерских атак, чтобы получить текущий сеансовый ключ SK_c и/или главный ключ SK_root, из которого он был получен.

Если была скомпрометирована безопасность текущего сеансового ключа, то его необходимо заменить. Замена сеансового ключа - это долгая и сложная процедура. Например, в системе, описанной в патентной заявке ЕР 1867096, требуется замена главного ключа SK_root в каждом процессоре безопасности и замена криптограммы SK_H* или SK_S* в каждом терминале. Эта замена может быть осуществлена только индивидуально путем обращения к каждому терминалу, а это очень длительный процесс, который не может быть выполнен одновременно для всех терминалов. Смена сеансового ключа также требует отправления нескольких сообщений одному и тому же терминалу, включая, в частности, сообщение, чтобы заменить криптограмму SK_H* или SK_S*, и сообщение, чтобы заменить ключ SK_root. Более того, сообщения, адресуемые индивидуально каждому терминалу, можно легко отфильтровать с тем, чтобы их удалить. Таким образом, злонамеренный пользователь может легко предотвратить обновление его сеансового ключа.

Известный уровень техники также включает в себя известные патенты ЕР 0889956А2 и US 2009/238363 A1.

В изобретении пытаются найти способ преодоления, по меньшей мере, одного из этих недостатков. Поэтому задача изобретения - способ защиты передачи мультимедийного содержимого или управляющего слова между процессором безопасности и терминалом, причем способ содержит следующие этапы:

- предварительно записывают в терминал несколько секретных кодов $$C_i^{-1}$$ , каждый секретный код $$C_i^{-1}$$ позволяет только расшифровать мультимедийное содержимое или управляющее слово, зашифрованное с помощью соответствующего сеансового ключа SK_i, полученного путем расширения ключа SK_root посредством параметра P_i, причем один из параметров P_i является параметром P_c,

- принимают параметр P_c посредством терминала в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и

- в ответ на прием параметра P_c посредством терминала из набора записанных секретных кодов выбирают секретный код $$C_c^{-1}$$ , подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью секретного ключа SK_c, являющегося функцией параметра P_c или другого параметра, содержащегося в указанном сообщении.

В вышеупомянутом способе изменение сеансового ключа производится быстрее, так как параметр или параметры, используемые для обновления сеансового ключа и в процессоре безопасности, и в терминале, передают в одном и том же сообщении. Таким образом, для активации смены сеансового ключа достаточно единственного сообщения. Более того, эти параметры содержатся в том же сообщении, которое содержит зашифрованное мультимедийное содержимое или зашифрованное управляющее слово. Таким образом, если это сообщение уничтожат для недопущения смены сеансового ключа, то расшифровка мультимедийного содержимого становится невозможной, так как необходимое для этого скремблирование мультимедийное содержимое или зашифрованное управляющее слово не передают процессору безопасности.

Наконец, каждый терминал предварительно уже содержит несколько секретных кодов, что позволяет каждому из них расшифровывать мультимедийное содержимое или управляющее слово, зашифрованное с помощью сеансового ключа SK_i, отличного от других сеансовых ключей. Таким образом, сеансовый ключ может быть изменен незамедлительно, без какого-либо переходного периода, в течение которого предыдущий сеансовый ключ уже не применим, а новый сеансовый ключ еще не доступен.

Варианты осуществления этого способа защиты могут содержать одну или несколько из следующих отличительных признаков:

- каждый секретный код $$C_i^{-1}$$ представляет собой код, непосредственно исполняемый или интерпретируемый терминалом, этот терминал уже параметризован своим сеансовым ключом SK_i. так что его не надо снова параметризовать этим ключом SK_i во время его выполнения или интерпретации;

- каждый секретный код $$C_i^{-1}$$ представляет собой ключ SK_i или криптограмму этого ключа SK_i, делая возможным расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_i, когда его используют для параметризации алгоритма расшифровки, предварительно записанного в терминал;

- сообщение, содержащее параметр P_c, представляет собой ЕСМ-сообщение (управляющие сообщение на право доступа);

- процессор безопасности передает мультимедийное содержимое или управляющее слово, зашифрованное дважды, один раз с помощью отдельного ключа, определяемого независимо от параметра P_c, и один раз с помощью сеансового ключа Sk_c;

- процессор проверяет наличие в переданном сообщении параметра P_c, и если параметр P_c отсутствует, то процессор не зашифровывает мультимедийное содержимое или управляющее слово с помощью текущего сеансового ключа Sk_c;

- секретный код или коды $$C_c^{-1}$$ передают на терминал до приема сообщения, содержащего параметр P_c посредством ЕММ-сообщения (сообщения о санкционировании приема).

Эти варианты осуществления способа защиты дополнительно имеют следующие преимущества:

- если код является исполняемым кодом или интерпретируемым кодом, то компрометация этого кода не дает никакой информации о главном ключе или криптографическом алгоритме, осуществляемом, чтобы сделать другие секретные ключи, являющиеся исполняемыми или интерпретируемыми,

- использование ЕСМ-сообщения для передачи параметра P_c делает возможной очень частую смену этого сеансового ключа,

- передача дважды зашифрованного мультимедийного содержимого или управляющего слова повышает безопасность системы.

Целью изобретения также является способ расшифровки мультимедийного содержимого или управляющего слова посредством терминала, чтобы применить на практике вышеупомянутый способ, содержащий следующие этапы:

- передают параметр P_c на процессор безопасности, способный расшифровать мультимедийное содержимое или управляющее слово,

- посредством терминала принимают мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SKC, построенного процессором безопасности путем расширения главного ключа SK_root в зависимости от параметра P_c, переданного терминалом,

- посредством терминала расшифровывают мультимедийное содержимое или управляющее слово, зашифрованное с помощью ключа SKC, с использованием секретного кода $$C_c^{-1}$$ , чтобы получить открытое мультимедийное содержимое или управляющее слово,

- в терминал предварительно записывают несколько секретных кодов $$C_i^{-1}$$ , каждый секретный код $$C_i^{-1}$$ позволяет только расшифровать мультимедийное содержимое или управляющее слово, зашифрованное с помощью соответствующего сеансового ключа SK_i, полученного путем расширения ключа SK_root посредством параметра P_i, причем один из этих параметров P_i является параметром P_c,

- посредством терминала принимают параметр P_c в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и

- в ответ на прием параметра P_c, на терминале из всех записанных секретных кодов выбирают секретный код $$C_c^{-1}$$ , подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_c, являющегося функцией параметра P_c или любого другого параметра, содержащегося в том же сообщении.

Задачей изобретения также является носитель информации, содержащий команды для реализации одного из вышеупомянутых способов, когда эти команды выполняются электронным вычислительным устройством.

Наконец, задачей изобретения также является терминал для расшифровки зашифрованного мультимедийного содержимого или управляющего слова, выполненный с возможностью:

- передавать параметр P_c на процессор безопасности, способный расшифровывать мультимедийное содержимое или управляющее слово,

- принимать мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SKC, построенного процессором безопасности путем расширения главного ключа SK_root в зависимости от параметра P_c, передаваемого терминалом,

- расшифровывать мультимедийное содержимое или управляющее слово, зашифрованное с помощью ключа SKC, с использованием секретного кода $$C_c^{-1}$$ , чтобы получить открытое мультимедийное содержимое или управляющее слово,

при этом:

- терминал содержит память, в которую предварительно записано несколько секретных кодов $$C_i^{-1}$$ , причем каждый секретный код $$C_i^{-1}$$ позволяет расшифровать только мультимедийное содержимое или управляющее слово, зашифрованное с помощью соответствующего сеансового ключа SK_i, полученного путем расширения ключа SK_root посредством параметра P_i, при этом один из этих параметров P_i является параметром Р_с,

- при этом терминал выполнен с возможностью:

- принимать параметр P_c в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и

- в ответ на прием параметра P_c выбирать секретный код $$C_c^{-1}$$ из набора записанных секретных кодов, подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_c, являющегося функцией параметра P_c или другого параметра, содержащегося в том же сообщении.

Изобретение будет более понятным из последующего описания, данного полностью в виде неисчерпывающего примера, ссылаясь на прилагаемые чертежи, на которых:

- на фиг.1 показан схематический вид системы для передачи и приема зашифрованного мультимедийного содержимого,

- на фиг.2 показан схематический и частичный вид ЕСМ-сообщения, используемого в системе, показанной на фиг.1,

- на фиг.3 показан схематический и частичный вид ЕММ-сообщения (сообщения о санкционировании приема), используемого в системе, показанной на фиг.1,

- на фиг.4 показана таблица, также используемая в системе, показанной на фиг.1,

- на фиг.5 показана блок-схема последовательности операций способа передачи и приема зашифрованного мультимедийного содержимого, выполняемого посредством системы, показанной на фиг.1, и

- на фиг.6 показана блок-схема последовательности операций способа записи секретных кодов в терминал системы, показанной на фиг.1.

На этих чертежах одинаковые ссылочные позиции используются для обозначения одних и тех же элементов.

Здесь и ниже в этом описании характеристики и функции хорошо известные специалистам в данной области техники подробно не описываются. Более того, используемая терминология соответствует системам условного доступа к мультимедийному содержимому. Для дополнительной информации об этой терминологии читатель может обратиться к следующему документу:

- "Функциональная модель системы условного доступа", обзор Европейского радиовещательного союза (EBU), Технический Европейский радиовещательный союз, Брюссель, Бельгия, №266, 21 декабря 1995 г.

На фиг.1 показана система 2 для отправления и приема зашифрованного мультимедийного содержимого. Мультимедийное содержимое, например, соответствует последовательности аудиовизуальной программы, такой как телевизионная передача или фильм.

Открытое мультимедийное содержимое генерируют одним или несколькими источниками 4 и передают на устройство 6 вещания. Устройство 6 вещания транслирует мультимедийное содержимое одновременно на множество приемных терминалов через сеть 8 передачи информации. Передачи мультимедийного содержимого синхронизированы по времени друг с другом, чтобы, например, соответствовать заданной программе передач.

Сеть 8 обычно представляет собой сеть передачи информации дальнего действия, как, например, Интернет, или спутниковая сеть, или сеть вещания любого типа, такая как одна из тех, что используются для цифрового наземного телевидения (DTTV).

Для простоты на фиг.1 показано только три приемных терминала 10-12.

Устройство 6 содержит кодер 16, который сжимает принимаемое им содержимое. Кодер 16 обрабатывает цифровое мультимедийное содержимое. Например, кодер работает в соответствии со стандартом MPEG2 (экспертная группа по движущимся изображениям, Moving Picture Expert Group - 2) или со стандартом UIT-T Н264.

Сжатое мультимедийное содержимое отправляют на вход скремблера 22. Скремблер 22 шифрует каждую сжатую передачу мультимедийного содержимого для того, чтобы его просмотр был возможен при определенных условиях таких, как покупка права доступа пользователями приемных терминалов. Зашифрованное мультимедийное содержимое выводят на выход, соединенный с входом мультиплексора 26.

Скремблер 22 зашифровывает каждую передачу мультимедийного содержимого с использованием управляющего слова CW_j,t, которое предоставлено ему, а также системе 28 условного доступа, генератором 32 ключей.

Система 28 известна как СAS (система условного доступа).

Индекс j является идентификатором канала, на котором осуществляют вещание зашифрованного мультимедийного содержимого, а индекс t - идентификатор шифрпериода, зашифрованного на этом управляющем слове. Здесь и далее в этом описании шифрпериод, зашифровываемый в текущий момент терминалами, является шифрпериодом t-1.

Обычно шифрование осуществляется согласно стандарту такому, как стандарт DVB-CSA (Общий алгоритм скремблирования цифрового телевидения), ISMA Cryp (шифрование потокового медиа Интернет-альянса), ISMA Cryp (шифрование Альянса потокового медиавещания через интернет), SRTP (безопасный протокол передачи данных в реальном времени), AES (усовершенствованный стандарт шифрования) и т.д.

Система 28 генерирует ЕСМ-сообщения (управляющие сообщения на право доступа), содержащие криптограмму CW*_j,t управляющего слова CW_j,t, выработанного генератором 32 и использованного скремблером 22 для зашифрования шифрпериода t канала j. Эти ЕСМ-сообщения и зашифрованное мультимедийное содержимое объединяются мультиплексором 26, это содержимое соответственно выдают системой 28 условного доступа и скремблером 22, а затем передают по сети 8.

Система 28 также может вставлять в ЕСМ-сообщение два параметра P_i и Px_i.

Система 28 также вырабатывает ЕММ-сообщения (сообщения о санкционировании приема), такие как сообщение, показанное на фиг.3.

Здесь в качестве примера зашифрование и мультиплексирование мультимедийного содержимого соответствует протоколу DVB-Simulcrypt (ETSI TS 103197).

Система 28 также соединена с блоком 34 для управления обновлением сеансовых ключей. Этот блок 34 предоставляет системе 28 параметры P_i, Px_i, а также соответствующие секретные коды $$C_i^{-1}$$ . Эти параметры и эти коды описаны ниже более подробно.

Для примера, терминалы 10-12 идентичны, поэтому более подробно описан только терминал 10.

Терминал 10 имеет приемник 70 передач мультимедийного содержимого. Этот приемник 70 присоединен к входу демультиплексора 72, который сначала передает мультимедийное содержимое на дескремблер 74, а затем передает ЕСМ-сообщения и ЕММ-сообщения (сообщения о санкционировании приема) на модуль 76 безопасности.

Дескремблер 74 расшифровывает зашифрованное мультимедийное содержимое с использованием управляющего слова, переданного модулем 76. Расшифрованное мультимедийное содержимое передают на декодер 80, который его декодирует. Распакованное или декодированное мультимедийное содержимое передают графической карте 82, которая управляет отображением этого мультимедийного содержимого на дисплее 84, оборудованном экраном 86.

Дисплей 84 отображает мультимедийное содержимое на экране 86 в открытом виде.

Модуль 76 управляет обменом информацией со съемным процессором 80 безопасности. В частности, он взаимодействует с процессором 80, чтобы защитить интерфейс между этим процессором 80 и терминалом 10. Для этого этот модуль 76 встраивают в поток информации, передаваемый от терминала 10 процессору 80 и обратно. Модуль 76 выполнен, например, с программируемым электронным вычислительным устройством. Он соединен с памятью 82, содержащей все команды и данные, необходимые для выполнения способов, показанных на фиг.5 и 6. Поэтому эта память 82 имеет, в частности, следующие элементы:

- идентификатор D_ID терминала 10, позволяющий идентифицировать этот терминал 10 среди всех терминалов системы 2,

- криптограмма TSK* сеансового ключа TSK, полученного путем расширения главного ключа TSK_root с идентификатором D_ID,

- персональный ключ Ki, позволяющий расшифровать криптограмму TSK*,

- таблица 84, связывающая секретный код $$C_i^{-1}$$ с каждым параметром Px_i, позволяя расшифровать порцию информации, зашифрованной на текущем сеансовом ключе SK_i, и

- коды $$C_i^{-1}$$ .

В этом варианте осуществления каждый код $$C_i^{-1}$$ является функцией расшифрования информации, зашифрованной на соответствующем сеансовом ключе SK_i. Каждый код $$C_i^{-1}$$ непосредственно выполняется модулем 16. Каждый код $$C_i^{-1}$$ соответствует функции расшифрования, принимающей информацию, которую необходимо расшифровать, в качестве единственного параметра. Поэтому этот код уже параметризован сеансовым ключом SK_i. Этот сеансовый ключ SK_i получен путем расширения главного ключа SK_root посредством параметра P_i.

Процессор 80 также выполнен с электронным вычислительным устройством 86, реализующим модуль зашифрования и расшифрования информации. Для этого процессор 80 также имеет память 88, соединенную с вычислительным устройством 86. Эта память 88 представляет собой защищенную память, содержащую, в частности, секретную информацию, необходимую для выполнения способа, показанного на фиг.5. В частности, этот способ содержит среди прочего:

- заголовки доступа к одному или нескольким передачам мультимедийного содержимого,

- один или несколько ключей Ka подписки,

- главный ключ TSK_root,

- главный ключ SK_root, и

- команды для выполнения способа, показанного на фиг.5.

На фиг.2 показан участок кадра ЕСМ-сообщения 90, вырабатываемого системой 28. Это ЕСМ-сообщение содержит, в частности, поле 92, содержащее параметры P_i и Px_i. Параметр Px_i может представлять собой весь или часть параметра Pj и наоборот. Роль этих параметров P_i и Px_i более подробно описана со ссылкой на фиг.5.

Обычно это ЕСМ-сообщение 90 также содержит:

- идентификатор j канала,

- криптограммы CW*_j,t и CW*_j,t+1 управляющих слов CW_j,t и CW_j,t+1, дающие возможность расшифровать шифропериоды t и t+1 канала j.

- права доступа DA, которые сравнивают с заголовками доступа, приобретенными пользователем, и

- подпись или криптографическая избыточность MAC для проверки целостности ЕСМ-сообщения.

На фиг.3 показан схематический и частичный вид ЕММ-сообщения 100, вырабатываемого системой 28. Это ЕММ-сообщение 100, в частности, содержит идентификатор Message_Type, указывающий на тот факт, что это ЕММ-сообщение предназначено для терминала, а не для процессора безопасности.

Это сообщение 100 также содержит:

- несколько кодов $$C_i^{-1}$$ , где i принимает значения от 1 до n, n - целое число, большее или равное двум,

- параметры Px_i, каждый из этих параметров связан с соответствующим кодом $$C_i^{-1}$$ , и

- CRC-код, позволяющий проверить целостность сообщения 100.

На фиг.4 показан возможный пример структуры таблицы 84. Эта таблица 84 содержит два столбца 102 и 104. Столбец 102 включает в себя параметр Px_i, в то время как столбец 104 включает в себя соответствующий связанный код $$C_i^{-1}$$ или адрес этого кода $$C_i^{-1}$$ в памяти 82.

Теперь работа системы 2 будет описана со ссылкой на способ, приведенный на фиг.5.

Сначала, во время этапа ПО инициализации, процессор 80 вставляют в терминал 10. В ответ терминал 10 отправляет свой идентификатор D_ID процессору 80. Этот процессор 80 затем вырабатывает сеансовый ключ TSK. Этот сеансовый ключ TSK получен путем расширения главного ключа TSK_root. записанного в памяти 88.

Подробности, касающиеся зашифрования или расшифрования управляющих слов на этом сеансовом ключе, не описаны подробно в этом документе. Действительно, здесь используют тот же самый способ зашифрования управляющих слов на интерфейсе между процессором 80 и терминалом 10, что и описанный в патентной заявке ЕР 1867096. Таким образом, для дополнительной информации читатель может обратиться к этой патентной заявке.

В течение этапа инициализации процессор 80 также получает, например, через ЕММ-сообщения, заголовки доступа и ключи Ka подписки. Эти заголовки доступа и ключи Ka дают ему возможность расшифровывать криптограммы управляющих слов каналов, для которых была оформлена подписка у оператора.

Теперь для частного случая терминала 10 будет описана передача мультимедийного содержимого от устройства 6 на терминал.

Во время этапа 112 генератор 32 вырабатывает управляющее слово, которое передают скремблеру 22 и системе 28.

На этапе 114 это управляющее слово зашифровывают на ключе Ka подписки, чтобы получить криптограмму CW*_Ka. Обновление ключа Ka осуществляют, например, раз в месяц.

Затем на этапе 116 система 28 вырабатывает ЕСМ-сообщение, содержащее криптограмму CW*_Ka, а также соответствующие права доступа. При необходимости, это ЕСМ-сообщение также содержит параметры P_c и Px_c, если требуется повысить уровень безопасности интерфейса между процессором 80 и терминалом 10. Параметры P_c и Px_c выбирают из пар параметров P_i и Px_i, использованных для создания таблицы 84.

В то же время во время этапа 118 выработанное управляющее слово передают скремблеру 22, который зашифровывает шифрпериод мультимедийного содержимого с помощью этого управляющего слова перед передачей зашифрованного шифрпериода на мультиплексор 26.

На этапе 120 мультиплексор 26 мультиплексирует ЕСМ-сообщения, выработанные с зашифрованным мультимедийным содержимым, а затем транслирует их на все терминалы системы 2 через сеть 8.

На этапе 122 терминал 10 получает сигналы, транслируемые устройством 6 с помощью своего приемника 70.

На этапе 124 эти сигналы демультиплексируют демультиплексором 72.

На этапе 126 зашифрованное мультимедийное содержимое отправляют на дескремблер 74.

На этапе 128 ЕСМ-сообщения и ЕММ-сообщения в свою очередь передают на модуль 76 безопасности.

На этапе 130 модуль 76 проверяет, имеются ли новые параметры P_c, Px_c в полученном ЕСМ-сообщении. "Новые параметры" P_c, Px_c - это параметры P_c, Px_c, значения которых отличаются от значений этих параметров, полученных ранее.

Если ответ положительный, то модуль выполняет этап 132, во время которого он извлекает параметр Px_c, а затем выбирает код $$C_c^{-1}$$ , связанный с этим параметром посредством таблицы 84.

В конце этапа 132, или если ЕСМ-сообщение не содержит параметра P_c, Px_c или новых параметров P_c, Px_c, то на этапе 133 модуль 76 передает полученное ЕСМ-сообщение процессору 80.

На этапе 134 процессор 80 сравнивает заголовки доступа, содержащиеся в памяти 88, с правами доступа, содержащимися в полученном ЕСМ-сообщении.

Если заголовки доступа не соответствуют правам доступа, то процессор 80 выполняет этап 138, чтобы запретить расшифрование полученного мультимедийного содержимого. Например, для этого он не передает на терминал 10 управляющее слово, необходимое для расшифрования мультимедийного содержимого.

В противном случае на этапе 140 процессор 80 расшифровывает криптограмму CW*_Ka на ключе Ka, чтобы получить в открытом виде управляющее слово CW.

Затем на этапе 142 вычислительное устройство 86 зашифровывает управляющее слово CW на сеансовом ключе TSK, записанном в памяти 88 и выработанном на этапе 110. В результате получают криптограмму CW*_TSK.

На этапе 144 процессор 80 проверяет, имеется ли параметр P_c в полученном ЕСМ-сообщении.

Если ответ положительный, то процессор выполняет этап 146, во время которого он строит новый сеансовый ключ SKC путем расширения главного ключа SK_root с использованием полученного параметра P_c. Этап 146 выполняют только в том случае, если параметр P_c новый. Если параметр P_c уже был получен, то ключ SKC уже был построен, и можно перейти непосредственно к следующему этапу.

Затем на этапе 148 он зашифровывает криптограмму CW*_TSK на ключе SKC, чтобы получить криптограмму CW**_(Tsk)(Skc). Эта криптограмма CW**_(TSK)(SKc) соответствует управляющему слову, зашифрованному дважды, один раз на ключе TSK и один раз на ключе SKC. В этом случае также говорят, что управляющее слово CW перешифровано на ключе S_Kc.

В конце этапа 148 или, если ЕСМ-сообщение не содержит параметра P_c, то на этапе 150 процессор 80 передает криптограмму управляющего слова на терминал 10. В зависимости от того, были ли выполнены этапы 146, 148 или нет, эта криптограмма является либо криптограммой CW**_(TSK)(SKc), либо криптограммой CW*_TSK.

Затем, если параметр Px_c присутствует в полученном ЕСМ-сообщении, то во время этапа 152 модуль 76 расшифровывает криптограмму CW**_(TSK)(SKc), применяя код $$C_c^{-1}$$ , выбранный во время этапа 132. Более конкретно, на этом втором этапе код $$C_c^{-1}$$ получает в качестве входного параметра только криптограмму CW**_(TSK)(SKc), которую необходимо расшифровать. На этом этапе нет необходимости параметризовать его сеансовым ключом SK_c, так как этот параметр уже интегрирован в исполняемый код. В конце этапа 152 из криптограммы CW**_(TSK)(SKc) получают криптограмму CW*_TSK.

После этапа 152 или, если управляющее слово, переданное процессором 80, было зашифровано только один раз, то на этапе 154 модуль 76 расшифровывает криптограмму CW*_TSK на ключе TSK. На этом этапе 154 ключ TSK, например, получен путем расшифрования на персональном ключе K_i криптограммы этого ключа, сохраненной в памяти 82. В конце этапа 154 получают открытое управляющее слово CW.

На этапе 156 модуль 76 передает это открытое управляющее слово CW на дескремблер 74, который затем расшифровывает на этом управляющем слове соответствующий шифрпериод зашифрованного мультимедийного содержимого.

На шаге 158 расшифрованное мультимедийное содержимое отправляют декодеру 80, который декодирует его.

На этапе 160 графическая плата получает декодированное мультимедийное содержимое и управляет его отображением на экране 86. Таким образом, на этапе 162 открытое мультимедийное содержимое отображают на экране 86.

В способе, показанном на фиг.5, если необходимо усилить защиту интерфейса между процессором 80 и терминалом 10, достаточно вставить в ЕСМ-сообщение параметры P_c и Px_c. Начиная с этого момента, управляющее слово, переданное от процессора 80 на терминал 10, зашифровано дважды, вместо только одного раза. Более того, для замены сеансового ключа SK_c достаточно изменить параметры Р_с и Рх_с, содержащиеся в ЕСМ-сообщении. Тем не менее, такая смена сеансового ключа SKC содержит в себе предположение, заключающееся в том, что соответствующие коды $$C_c^{-1}$$ были предварительно записаны в память 82. Это осуществляют посредством способа, показанного на следующей фиг.6.

Если необходимо увеличить безопасность, то на этапе 170 выбирают несколько пар параметров P_i и Px_i.

Затем на этапе 172 блок 34 строит сеансовый ключ SK_i для каждого параметра P_i, выбранного на этапе 170. Здесь каждый сеансовый ключ SK_i получен путем расширения главного ключа SK_root как функции параметра P_i. Один пример способа расширения описан в патентной заявке ЕР 1867096.

Затем на этапе 174 вырабатывают эти коды $$C_i^{-1}$$ , используемые, чтобы расшифровать криптограммы, полученные на ключах SK_i. Например, с этой целью для каждого кода $$C_i^{-1}$$ тот же алгоритм расшифрования, что использует процессор 80, параметризуют ключом SK_i, а затем компилируют посредством компилятора. Предпочтительно, чтобы исполняемый код был стойким к попыткам криптоанализа, например, для идентификации сеансового ключа, главного ключа или алгоритма, используемого для расшифрования сообщений. Например, для этого изучают следующий документ:

С. Чоу (S. Chow), П. Эйзен (P. Eisen), Г. Джонсон (Н. Johnson), П. Ван Ооршот (Р.С. Van Oorchot), "White-Box криптография и реализация AES", Труды SAC 2002, 9th Ежегодный семинар по избранной области криптографии, 15-16 августа 2002, Сент-Джонс, Канада.

Как только коды $$C_i^{-1}$$ были выработаны, на этапе 176 эти коды с соответствующими параметрами Px_i передают системе 28 устройства 6. Для этого система 28 вырабатывает ЕММ-сообщение, такое как ЕММ-сообщение 100, которое затем мультиплексируют с зашифрованным мультимедийным содержимым и транслируют одновременно на все терминалы системы 2.

В ответ на получение этого ЕММ-сообщения 100 на этапе 178 это сообщение передают на модуль 76 безопасности.

На этапе 180 модуль 76 безопасности обновляет таблицу 84, используя информацию, содержащуюся в этом ЕММ-сообщении, и записывает коды $$C_i^{-1}$$ в память 82.

Начиная с этого момента, может быть выполнено перешифрование управляющего слова на одном из ключей SK_i, а также может быть быстро и часто выполнена смена ключа перешифрования.

Возможно множество других вариантов осуществления изобретения. Например, коды $$C_i^{-1}$$ не обязательно являются исполняемыми кодами и могут быть заменены кодами, непосредственно интерпретируемыми виртуальной машиной, реализованной на терминале 10. Обычно эта виртуальная машина представляет собой виртуальную Java® машину.

Код $$C_i^{-1}$$ не обязательно является исполняемым или интерпретируемым кодом. Как вариант, код $$C_i^{-1}$$ может быть ключом SK_i или криптограммой ключа SK_i.

Параметры P_i и Px_i могут составлять весь или часть того же параметра. В частности, параметр Px_i может быть идентичен параметру P_i. Тогда, в этом варианте передают только параметр P_i.

Над параметрами P_i и Px_i могут быть совершены различные операции перед тем, как они будут использоваться терминалом 10 или процессором 80. Например, эти параметры могут быть использованы в качестве начального значения для инициализации генератора псевдослучайных чисел. Затем он вырабатывает псевдослучайные числа, которые используют для расширения главного ключа SK_root, либо используются модулем 76.

В другом варианте перед использованием ключа SK_i на терминалы передают только один параметр Px_i и связанный код $$C_i^{-1}$$ . Таким образом, в памяти 82 имеется только код $$C_c^{-1}$$ и код $$C_i^{-1}$$ , который будет использоваться непосредственно после кода $$C_c^{-1}$$ . Это предотвращает ненужное представление других кодов $$C_i^{-1}$$ , которые могут быть использованы.

Смена ключа SK_c может произойти сразу, как описано выше, или после заданного числа шифрпериодов, полученных после приема сообщения, содержащего новый параметр P_c.

В другом варианте первое зашифрование управляющего слова на ключе TSK не выполняют. В этом случае управляющее слово зашифровывают только на сеансовом ключе SK_c.

Процессор безопасности не обязательно является съемным. Например, он может быть закреплен внутри терминала 10 без какой-либо степени свободы.

Процессор безопасности не обязательно принимает форму чип-карты. Например, он также может иметь вид USB-накопителя (универсальная последовательная шина). В другом варианте он не является съемным, а интегрирован в корпус терминала.

Элементы терминала 10 не обязательно содержатся в одном и том же корпусе. Например, эти элементы могут быть распределены по локальной сети. В этом случае обычно корпус, получающий сигнал, переданный устройством 6, использует процессор 8 для расшифрования управляющих слов и для зашифрования их на сеансовом ключе SK_c. Управляющие слова, зашифрованные таким образом, передают затем через локальную сеть на один или несколько корпусов, расположенных, например, вблизи от экранов. Каждый из этих других корпусов содержит в себе модуль безопасности, который, например, идентичен модулю 76, описанному выше, чтобы иметь возможность расшифровать и получить в открытом виде управляющее слово, необходимое для расшифрования полученного мультимедийного содержимого.

Наконец, система 2 была описана в частном случае, когда используют один процессор 80 для расшифрования полученных управляющих слов. В другом варианте процессор 80 расшифровывает мультимедийное содержимое, это расшифрованное мультимедийное содержимое передают от процессора 80 на терминал 10. В этом варианте осуществляют зашифрование на ключе SK_c мультимедийного содержимого, переданного от процессора 80 на терминал 10, а зашифрование управляющего слова больше не осуществляют, так как это слово больше не передают между терминалом 10 и процессором 80.

1. Способ защиты передачи мультимедийного содержимого или управляющего слова между процессором безопасности и терминалом, содержащий этапы, на которых:
с помощью процессора безопасности строят (146) текущий сеансовый ключ SK_с путем расширения главного ключа SK_root в зависимости от параметра P_c, переданного терминалом,
с помощью процессора безопасности расшифровывают (140) мультимедийное содержимое или управляющее слово, а затем зашифровывают (148) расшифрованное мультимедийное содержимое или управляющее слово с помощью текущего сеансового ключа SK_с и, наконец, передают (150) мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SK_c, на терминал, и
с помощью терминала расшифровывают (152) мультимедийное содержимое или управляющее слово, зашифрованное с помощью построенного ключа SK_с, с использованием секретного кода $$C_c^{-1}$$ для получения открытого мультимедийного содержимого или управляющего слова, $$$$
отличающийся тем, что содержит этапы, на которых:
в терминал предварительно записывают (180) несколько секретных кодов $$C_i^{-1}$$ , причем каждый секретный код $$C_i^{-1}$$ позволяет расшифровать только мультимедийное содержимое или управляющее слово, зашифрованное с помощью соответствующего сеансового ключа SK_i, полученного путем расширения ключа SK_root посредством параметра P_i, при этом один из параметров P_i является параметром P_c,
с помощью терминала принимают (122) параметр P_c в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и
в ответ на прием параметра P_c с помощью терминала из набора записанных секретных кодов выбирают (132) секретный код $$C_c^{-1}$$ , подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью секретного ключа SK_c, являющегося функцией параметра P_c или другого параметра, содержащегося в том же сообщении.

2. Способ по п.1, в котором каждый секретный код $$C_i^{-1}$$ представляет собой код, непосредственно исполняемый или интерпретируемый терминалом, при этом терминал уже параметризован своим сеансовым ключом SK_i, так что его не требуется снова параметризовать указанным ключом SK_i во время его выполнения или интерпретации.

3. Способ по п.1, в котором каждый секретный код $$C_i^{-1}$$ представляет собой ключ SK_i или криптограмму ключа SK_i для обеспечения возможной расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_i, при его использовании для параметризации алгоритма расшифровки, предварительно записанного в терминал.

4. Способ по п.1, в котором сообщение, содержащее параметр P_c, представляет собой ЕСМ-сообщение (управляющее сообщение на право доступа).

5. Способ по п.1, в котором с помощью процессора безопасности передают (150) мультимедийное содержимое или управляющее слово, зашифрованное дважды, один раз с помощью отдельного ключа, определяемого независимо от параметра P_c, и один раз с помощью сеансового ключа SK_c.

6. Способ по п.5, в котором с помощью процессора проверяют (144) наличие в переданном сообщении параметра P_c и, если параметр P_c отсутствует, не зашифровывают (150) мультимедийное содержимое или управляющее слово с помощью текущего сеансового ключа SK_c.

7. Способ по п.1, в котором секретный код или коды $$C_{с}^{-1}$$ передают на терминал до приема сообщения, содержащего параметр P_c, посредством ЕММ-сообщения (сообщения о санкционировании приема).

8. Способ по п.1, в котором в терминал предварительно записывают (180) более двух секретных кодов $$C_i^{-1}$$ .

9. Способ расшифровки мультимедийного содержимого или управляющего слова посредством терминала для практического применения способа по любому из пп.1-8, содержащий этапы, на которых:
передают (128) параметр P_c на процессор безопасности, выполненный с возможностью расшифровки мультимедийного содержимого или управляющего слова,
посредством терминала принимают мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SK_с, построенного процессором безопасности путем расширения главного ключа SK_root в зависимости от параметра P_c, переданного терминалом,
посредством терминала расшифровывают (152) мультимедийное содержимое или управляющее слово, зашифрованное с помощью ключа SK_c, с использованием секретного кода $$C_c^{-1}$$ для получения открытого мультимедийного содержимого или управляющего слова,
отличающийся тем, что содержит этапы, на которых:
в терминал предварительно записывают (180) несколько секретных кодов $$C_i^{-1}$$ ,
причем каждый секретный код $$C_i^{-1}$$ позволяет расшифровать только мультимедийное содержимое или управляющее слово, зашифрованное с помощью соответствующего сеансового ключа SK_i, полученного путем расширения ключа SK_root посредством параметра P_i, при этом один из параметров P_i является параметром P_c,
с помощью терминала принимают (122) параметр P_c в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и
в ответ на прием параметра P_c с помощью терминала из всех записанных секретных кодов выбирают (132) секретный код $$C_c^{-1}$$ , подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_c, являющегося функцией параметра P_c или любого другого параметра, содержащегося в том же сообщении.

10. Носитель записи информации, содержащий команды для выполнения способа по любому из пп.1-9, при выполнении указанных команд электронным вычислительным устройством.

11. Терминал для расшифровки зашифрованного мультимедийного содержимого или зашифрованного управляющего слова, характеризующийся тем, что выполнен с возможностью:
передавать параметр P_c на процессор безопасности, выполненный с возможностью расшифровки мультимедийного содержимого или управляющего слова,
принимать мультимедийное содержимое или управляющее слово, зашифрованное с помощью текущего сеансового ключа SK_c, построенного процессором безопасности путем расширения главного ключа SK_root в зависимости от параметра P_c, переданного терминалом,
расшифровывать мультимедийное содержимое или управляющее слово, зашифрованное с помощью ключа SK_c, с использованием секретного кода $$C_c^{-1}$$ для получения открытого мультимедийного содержимого или управляющего слова,
отличающийся тем, что:
содержит память, в которую предварительно записано несколько секретных кодов $$C_i^{-1}$$ , причем каждый секретный код $$C_i^{-1}$$ обеспечивает расшифровку только мультимедийного содержимого или управляющего слова, зашифрованного с помощью соответствующего сеансового ключа SK_i, получаемого путем расширения ключа SK_root с помощью параметра P_i, при этом один из параметров P_i является параметром P_c,
при этом терминал выполнен с возможностью:
принимать параметр P_c в сообщении, также содержащем мультимедийное содержимое или управляющее слово, подлежащее расшифровке с помощью процессора безопасности, и
в ответ на прием параметра P_c выбирать секретный код $$C_c^{-1}$$ из набора записанных секретных кодов, подлежащий использованию для расшифровки мультимедийного содержимого или управляющего слова, зашифрованного с помощью ключа SK_c, являющегося функцией параметра P_c или другого параметра, содержащегося в том же сообщении.