コントロールワードを取得するための条件付エンタイトルメント処理
【課題】コントロールワードを取得するための改善された方法および受信機を提供する。
【解決手段】2またはそれ以上のサブキーが、受信機において取得される。それぞれのサブキーは、エンタイトルメント・メッセージにおいて受信されたキーの制御下で暗号化されるか、またはエンタイトルメント・メッセージにおいて受信されたシードの制御下で変換される。復号または変換された後は、前記サブキーは、前記コントロールワードを取得するために結合される。通常、少なくとも1つの前記エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、また少なくとも1つのエンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージである。本発明は、有料テレビシステムなどの限定受信システムにおいて使用可能である。
【解決手段】2またはそれ以上のサブキーが、受信機において取得される。それぞれのサブキーは、エンタイトルメント・メッセージにおいて受信されたキーの制御下で暗号化されるか、またはエンタイトルメント・メッセージにおいて受信されたシードの制御下で変換される。復号または変換された後は、前記サブキーは、前記コントロールワードを取得するために結合される。通常、少なくとも1つの前記エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、また少なくとも1つのエンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージである。本発明は、有料テレビシステムなどの限定受信システムにおいて使用可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、受信機においてコントロールワードを取得するための方法、およびコントロールワードを取得するための受信機に関する。より具体的には、本発明は、例えば、有料テレビ(Pay-TV)システムなどの限定受信システムにおける方法および受信機に関する。
【背景技術】
【0002】
例えば有料テレビアプリケーションなどの限定受信アプリケーションは、エンタイトルメントを安全に処理し、復号キーを格納するために受信機を使用する。キーは、通常個別のレイヤーとのキー管理構造により構成されている。それぞれのレイヤーは、下位レイヤーにおいてキーを供給するために使用されている。キーは、暗号化されたコンテンツを制御アクセスするために更新される。有料テレビのコンテンツを復号化するためのキーは、コントロールワードCWとして知られている。
【0003】
受信機に新しいキー値を提供するヘッドエンドシステムからのエンタイトルメント・メッセージ(entitlement message)は、ポジティブ・エンタイトルメントと呼ばれている。通常、例えばECM(entitlement control message)などのポジティブ・エンタイトルメントは、安全ではあるが、不都合なことに、かなりの帯域幅のオーバーヘッドを生ぜしめる。ネガティブ・エンタイトルメントは、無効するとともに特定のキーを使用しないように受信機に指示する、例えばEMM(entitlement management message)などの、エンタイトルメント・メッセージである。その結果、前記受信機は、有料テレビのコンテンツを復号できなくなる。通常、限定受信システムは、ポジティブ・エンタイトルメントおよびネガティブ・エンタイトルメントが混合しているものを使用する。前記受信機が、ネガティブ・エンタイトルメントをブロックまたは取り除く場合には、不都合なことに、前記受信機が認証されていないキーを、コンテンツを復号するために使用することが可能となってしまう。
【0004】
従来、有料テレビの実施は、暗号化キーの格納を保護するとともにエンタイトルメント・メッセージの処理を確実にするためにハードウェアによる耐タンパー(tamper resistance)に頼ってきた。耐タンパーハードウェアの例は、スマートカードおよびデジタルTV受信機に組み込まれた安全な計算チップデバイスである。チップ製造技術の進歩および関連コストの削減により、有料テレビの実施において特別なハードウェア要素を取り除くことが望まれている。
【0005】
特定の耐タンパーチップが不要である有料テレビソリューションが知られている。前記ソリューションは、デジタルTV受信機における前記キーの格納およびエンタイトルメント処理ステップを保護するために、ソフトウェアによる耐タンパー(tamper resistance)を使用している。ソフトウェアによる耐タンパー技術は、PCのDRMシステム、携帯電話、およびIPTVデバイスに使用されている。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、条件付エンタイトルメント処理の改善されたソリューションを提供することを目的とし、コントロールワードの取り消しを、受信機によりブロックできない、またハードウェアによる耐タンパー環境およびソフトウェアによる耐タンパー環境の両方に使用可能であることを特徴とする。
【課題を解決するための手段】
【0007】
本発明の特徴によれば、受信機におけるコントロールワードを取得する方法が提案される。前記方法は、ヘッドエンドシステムからサブキーの特定エンタイトルメント・メッセージで受け取ったエンタイトルメント・データの制御下にそれぞれおかれた2またはそれ以上のサブキーを取得するステップを具備する。前記方法は、前記コントロールワードを取得するために前記サブキーを結合するステップをさらに具備する。
【0008】
本発明の特徴によれば、コントロールワードを取得する受信機が提案される。前記受信機は、2またはそれ以上のサブキーの特定エンタイトルメント・メッセージを受信するように構成されている入力モジュールを具備している。それぞれのサブキー特定エンタイトルメント・メッセージは、サブキーのためのエンタイトルメント・データを具備する。前記受信機は、それぞれエンタイトルメント・データの制御下にある2またはそれ以上のサブキー(CWD,CWDK)を取得するように構成されているプロセッサをさらに具備している。前記プロセッサは、前記コントロールワードを取得するために、前記サブキーを結合するようにさらに構成されている。
【0009】
それぞれのサブキー特定エンタイトルメント・メッセージは、特定サブキーのためのエンタイトルメント・データを具備する。“エンタイトルメント・データの制御下”とは、前記サブキーの取得において前記エンタイトルメント・データが使用され、エンタイトルメント・データのコンテンツにしたがって、前記取得されたサブキーが有効または無効であることを意味する。有効なサブキーは、有効なコントロールワードを取得するために結合される。無効なサブキーが、前記コントロールワードを取得不可能にする、または無効なコントロールワードを取得することをもたらす。前記エンタイトルメント・データは、例えば暗号化されたサブキーを複合化するための復号キーまたは変換されたサブキーを変換するためのシード(または合成物)である。
【0010】
エンタイトルメント・メッセージがコントロールワードの有効性を直接制御するエンタイトルメント・データではないので、前記受信機は、前記コントロールワードの取り消しをブロックするために前記エンタイトルメント・メッセージをブロックできない。かわりに、2またはそれ以上のサブキー(それぞれサブキー特定エンタイトルメント・メッセージにおいて受信されるエンタイトルメント・データの制御下にある)が、前記コントロールワードを取得するために処理される。したがって、本発明は、前記受信機でエンタイトルメント・メッセージをブロックすることによりコントロールワードの取り消しをブロックすることを有利に防止する。
【0011】
前記取得されたコントロールワードは、引き続き、例えば有料テレビのコンテンツなどの暗号化されたコンテンツの復号に使用される。
【0012】
すべてのエンタイトルメント・メッセージを、1つのヘッドエンドシステムから受信してもよい。それとは別に、前記エンタイトルメント・メッセージを、2またはそれ以上のヘッドエンドシステムから受信してもよい。
【0013】
請求項2および10の構成は、有利に、1つの受信機または受信機のグループのコントロールワードの取り消しが可能である。
【0014】
請求項3および11の構成は、有利に、さらに効果的に1つの受信機または受信機のグループのコントロールワードの取り消しが可能である。
【0015】
請求項4および12の構成は、有利に、ハードウェア耐タンパーを使用している受信機における発明が可能である。
【0016】
請求項5および13の構成は、有利に、前記コントロールワードだけでなく、前記サブキーを取得するための処理において使用される復号キーの本発明を可能にする。
【0017】
請求項6および14の構成は、有利に、ソフトウェア耐タンパーを使用している受信機における発明が可能である。
【0018】
請求項7および15の構成は、有利に、前記コントロールワードだけでなく、前記サブキーを取得するための処理において使用される復号キーの本発明を可能にする。
【0019】
請求項8および16の構成は、有利に、既存の復号およびコンテンツでコードチップセットと、互換性がある。
【0020】
これ以降、本発明の構成が、さらに詳細に説明される。これらの構成は、本発明の保護の範囲を限定するものではないことは、明白である。
【0021】
本発明の特徴は、図面における構成を参照することにより、より詳細に説明される。
【図面の簡単な説明】
【0022】
【図1】従来の有料テレビアプリケーションのチップセットおよびそのハードウェアの作用を示している。
【図2A】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているアプライプリミティブのブロック図である。
【図2B】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているリムーブプリミティブを取り除くブロック図である。
【図2C】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているコンディションプリミティブのブロック図である。
【図2D】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているリムーブおよびアプライプリミティブの組み合わせのブロック図である。
【図2E】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されている合成物の安全な相関のブロック図である。
【図3】ポジティブ・エンタイトルメントを使用している受信機における限定受信キー処理を示している。
【図4】本発明の一実施形態の分割CWキー配信処理を示している。
【図5】本発明の一実施形態の分割CWキー配信処理を示している。
【図6】本発明の一実施形態の分割CWキー配信処理を示している。
【図7】本発明の一実施形態の分割CWキー配信を使用している受信機における限定受信キー処理を示している。
【図8】本発明の一実施形態の受信機においてコントロールワードを取得するための方法のステップを示している。
【図9】本発明の一実施形態の受信機においてコントロールワードを取得するための方法のステップを示している。
【図10】本発明の一実施形態のハードウェア耐タンパー技術に基づく受信機においてコントロールワードを取得するための方法のステップを示している。
【図11】本発明の一実施形態のソフトウェア耐タンパー技術に基づく受信機においてコントロールワードを取得するための方法のステップを示している。
【図12】一般的な変形関数および暗号化を明確にする略図である。
【発明を実施するための形態】
【0023】
例えば有料テレビアプリケーションなどに採用されている限定受信システムは、コンテンツデータストリームの暗号化に頼っている。受信機(セットトップボックスまたはSTBとも呼ばれている)は、前記ストリームをデコードする前に、復号するための関連したキーが必要である。前記受信機において、ヘッドエンドシステムにおけるキー管理システムは、前記暗号化されたコンテンツへのアクセスを管理するとともに制御する。現在の半導体チップデバイスにおいては、前記コンテンツのストリームのバルク復号(bulk decryption)が、専用のハードウェア回路により行われている。加えて、そのようなチップは、標準的な対称暗号化回路を固有のキー管理機構とともに具備しうる。
【0024】
図1は、従来のチップセットおよび有料テレビアプリケーションに関連するそのハードウェア機能の一例を示している。前記チップのハードウェア復号ブロック100は、以下のキーのための記憶装置を具備している:CSSK(Chip Set Session Key)、CSSN(Chip Set Serial Number)(公開チップ識別子としても知られている)、CSUK(Chip Set Unique key)およびコントロールワードCW。前記CSSNおよび前記CSUKの両方とも、一般的には、製造工程中に、1回のみ書き込み可能なメモリに格納される。その値は、最初のプログラムステップ以降は、変更不可能である。チップ製造会社は、固有のCSSNおよびCSUKを各々のチップに焼く。前記CSSNおよびCSUKは、有料テレビアプリケーションプロバイダにより生成されている。前記CSSNは、外部からアクセス可能であるが、前記CSUKは、そのデバイス内でのみ利用可能である。前記CSSKは、暗号化された形式{CSSK}CSUKで、前記チップセットにロードされる。前記チップセットは、前記暗号化されたCSSKを前記CSUKにより復号するとともに、復号ハードウェアによりさらに使用するために、それを格納する。前記{CSSK}CSUKは、前記STBの不揮発性メモリに格納される。電源投入時に前記STBは、前記CSSKを前記チップにロードするために、前記{CSSK}CSUKデータをフェッチする。前記CSSKは、暗号化された形式の{CW}CSSKによりコントロールワード(CW)をロードするために使用される。前記チップは、前記データを前記CSSKと逆スクランブルし、コンテンツデコードモジュールにおいて、プロテクトされたコンテンツストリームの逆スクランブルに使用するために、前記CWを格納する。それぞれのSTBは、インターネットまたは他の通信インフラストラクチャーを介しての、バルク逆スクランブルキー、すなわち前記CW、の共有を防ぐために、固有のCSSKを使用する。
【0025】
前記キー管理インフラストラクチャーおよび耐タンパープリミティブは、共通のCWをバルクデータストリーム逆スクランブラ(例えば、TEDE,DVB−CSAまたはAES)にロードするように設計されているが、しかし、承認されたデバイスのみが前記CWにアクセスできるように制限されている。
【0026】
ソフトウェア耐タンパー技術は、ソフトウェアによるコード変換をわかりにくくするために、基本的なプリミティブを使用している。本発明のソフトウェア耐タンパーソリューションは、基本的なプリミティブである、“アプライ”、“リムーブ”、および“コンディション”の3つを使用する。図2A,図2B、および図2Cは、それぞれ、アプライプリミティブA、リムーブプリミティブR、およびコンディションプリミティブCのブロック図を示している。符号A(D,S)=AS(D)=DTSは、データ要素Dをパラメータ“シード”Sにしたがって変換する“アプライ”ステップを表している。符合R(DTS,S)=RS(DTS)=Dは、データ要素Dの変換を“シード”Sに基づいて逆転する“リムーブ”ステップを表している。前記シードは、前記A()およびR()の2つの関数において、逆関数になるように、同一である必要がある。前記データDおよびDTSは、前記アプライステップおよびリムーブステップにより処理され、同一サイズ(バイト数)である。3つ目のプリミティブC(D1,D2)=CD1(D2)=DCSは、前記出力が、前記2つの入力の相関であるという条件付変換である。ここでも、前記プリミティブは、前記入力データのサイズを保っている。
【0027】
前記ソフトウェア耐タンパープリミティブの更なる要素は、前記シードSは、多数の入力パラメータの混合により構成されているということである。これは、前記入力データから個別のデータ要素を抽出することを難しくする。前記パラメータ混合関数は、以下のように示される:f(A,B)=<A,B>。前記関数の結果<A,B>は、AおよびBの“合成物(compound)”と呼ばれている。前記合成物のサイズ(バイト)は、前記入力パラメータAおよびBのサイズを合わせたものより大きい。
【0028】
前記プリミティブは、限定受信システムに必要とされるキー管理機能を実施する前記基本的なステップを提供するために組み合わせてもよい。前記組み合わせは、新たな演算を生じさせ、個々のステップは、新たな機能ブロックにおいて、もはや判別できない。前記キー管理において使用される2つの例がある:リムーブプリミティブおよびアプライプリミティブの組み合わせと、合成物の安全な相関。
【0029】
図2Dは、リムーブプリミティブおよびアプライプリミティブの組み合わせの例を示している。前記変換は、組み合わされたリムーブおよびアプライ演算に合成物<P,S>を使用する。前記RPASブロックは、前記シードPを使用する変換を、前記シードSを使用する変換と置き換えることにより前記データを修正する。前記ブロックのすべてのインターフェースは、変換されているか、または合成物であることに留意する必要がある。このことは、変換されたデータ上で前記演算が発生し、変換されたデータが生成されることを意味する。したがって、前記関数は、ドメイン空間で生じ、どの前記インターフェース上にも前記パラメータの“平文”バージョンがないことを明らかにする。前記合成物<P,S>を生成するために使用される前記関数は、固有であり、結合されたアプライおよびリムーブ演算の実施にリンクされている。
【0030】
図2Eは、合成物の安全な相関(secure correlation)インスタンスを示している。それは、条件付エンタイトルメント処理に使用される。また、3つの基本的なプリミティブすべての組み合わせである。前記条件付ブロックは、合成物の安全な相関を遂行するためにリムーブおよびアプライブロックRPASと組み合わされている。
【0031】
前記アプライプリミティブおよびリムーブプリミティブの主な効果は、変換されたパラメータを使用して変換されたデータ上での演算を可能にすることである。したがって、入力を監視しても、なんら役に立つ情報が明らかにならない。前記ソフトウェア耐タンパープリミティブの実施は、関連データの実際の値の取得を非常に困難にする。従来のエンタイトルメントを処理する限定受信は、平文キーを使用して処理され、それにより、他の平文キーを生成する。前記平文キーは、ハードウェア耐タンパーである前記スマートカードの不揮発性メモリに、平文形式で格納されている。前記ソフトウェア耐タンパーアプローチにおける前記キーは、“合成物”の形式で格納され、前記エンタイトルメント処理は、他のエンタイトルメントを生成する(変換されたキーの形式において)。
【0032】
コンテンツ受信機ハードウェアは、プロテクトされたコンテンツストリームをデコードされたフォーマットへ変換するために使用されている前記チップに、前記システムワイドCWをロードするための安全なメカニズムを提供する。そのようなメカニズムの一例が、図1において開示されている。暗号化された形式は、それぞれの受信機のために固有である。前記秘密CSSK(または前記CSUK)は、前記受信機/チップへのCWのロードを必要とする。前記エンタイトルメント処理は、前記ソフトウェア耐タンパープリミティブを使用したローカルのCSSKによる前記CWの暗号化を伴う。基本プリミティブ間のインターフェースは、攻撃者により簡単に監視可能であるので、これらの通信経路は、安全でなければならない。これは、前記“アプライ”および“リムーブ”演算を使用する前記変換ステップにより達成される。前記インターフェースは、それに含まれている情報を保護する合成物のみを搬送する。
【0033】
図3は、ポジティブ・エンタイトルメントを使用した受信機における基本的な限定受信キー処理を図示している。この実施例において、前記基本的な限定受信処理は、2つの基本的なパーツに分解される:安全な計算環境と一般の処理環境。前記一般の処理環境は、記憶装置、データ通信、およびユーザとのインターアクションといった外部インターフェースを処理する。前記安全な計算環境は、キーおよび/またはシードの処理を取り扱う。前記処理は、1または複数のプロセッサ(図示せず)により実施される。前記ECM配信経路(delivery path)は、ヘッドエンドシステムからの共通情報(ECM)の受信のために使用されている。前記ECMは、暗号化されたCWまたは変換されたCWを具備している。前記EMM配信経路は、前記ヘッドエンドシステムからの個別情報(EMM)の受信のために使用されている。前記EMMは、暗号化されたCWまたは変換されたCWを復号または変換するためのキーまたはシードを具備している。前記ECM配信経路とEMM配信経路は、通常、ECMおよびEMMを受信するための入力モジュール内に実現されている。前記ソフトウェア耐タンパープリミティブは、入力および出力を有しており、それらは攻撃者にとって役に立たない。図3の実施例においては、2レイヤーキー階層(hierarchy)が使用されている。変換されたコントロールワードCWDTP上での前記“リムーブ”演算は、G1と結ばれたPを必要とする。Pは、合成物において配給される。同様に、G1も、合成物において配給され、U1と結ばれている。前記2つのリムーブ/アプライ処理の後、最終ステップは、変換されたコントロールワードCWDTUを、TDES暗号化ホワイトボックスモジュールにおいて、チップセットセッションキーCSSKなどの受信機の特定キーを使用して暗号化する。前記CSSKは、通常エンタイトルメント・メッセージのひとつにおいて提供される。取得された暗号化されているコントロールワード{CW}CSSKは、例えば図1の受信機のハードウェアチップの復号アルゴリズムを使用して復号可能である。
【0034】
図3の処理は、複数のキーレイヤーを生成するように修正してもよい。最も簡単な形式は、1レイヤーのみを使用する。ここで、すべてのP値は、合成物において配給され、U(したがって任意のG以外)と結びついている。2レイヤーの場合が、図3に示されている。これは、1つのGの下で、複数のU’の結合を可能にする第2のグループキーレイヤーを追加する。これは、Pへの更新の配給に必要とされる帯域幅を減少する。追加のキーレベルは、対応するリムーブ-追加ステージが必要である。2(またはそれ以上の)キーレイヤーの主な利点は、認証された受信機にキーを配給するために必要とされる帯域幅が、1レイヤーキー階層の場合と比べて、減少することである。
【0035】
ハードウェア耐タンパーおよびソフトウェア耐タンパーの双方において、加入者が、視聴契約(subscription)を解約し、対応する受信機を使用不可にする必要がる場合に、キー階層における重要な問題が発生する。図3の2レイヤーキー階層において、これは、前記受信機からG情報を取り除くことを必要とする。選択肢の一つは、使用を停止する受信機に新たな合成物<G,U>を送信することである。新たな合成物の配給は、不確実であるため(受信機が電源を落とされうるなど)、更新メッセージを繰り返す必要がある。しかし、攻撃者が、前記一般の処理環境に影響を与えられる場合には、これらの更新メッセージは、ブロックされる可能性があり、それにより、前記受信機は、解約した視聴契約の逆スクランブルを続けることができてしまう。そのような攻撃に反撃するために、Gの実際の値を変更するとともに、有効な視聴契約を有するグループにおけるすべての受信機に、前記新たな<G,U>値を配給する必要がある。これは、グループメンバーの一人が加入者ステータスを変更した後には、残りのグループメンバーのすべてへの多数の更新を潜在的に必要とする。メッセージの配給が不確実であるため、前記グループキー更新メッセージは繰り返される必要がある。前記更新メッセージサイクルは、限定受信ストリームに長時間接続されていない受信機がすべての必要な更新をすばやく受信可能なように十分早い必要がある。明らかに、このタイプのエンタイトルメント処理では、重大な帯域幅問題が発生する。
【0036】
メンバーシップの解約を扱う効果的な機構は、前記ネガティブ・エンタイトルメント・メッセージである。これは、特定のキーを使用して、解約を受信機に知らせるメッセージである。明らかに、そのようなネガティブ・エンタイトルメントの受信をブロックするまたは記憶装置から取り除くことは可能である。たとえ、前記エンタイトルメントが修正されていない場合であっても、前記エンタイトルメント処理は禁止しうる。したがって、前記システムは、受信および適切なネガティブ・エンタイトルメントの処理を強制する必要がある。
【0037】
本発明において、これは、低レベルキーを2またはそれ以上のサブキーに分割することにより処理される。これらのサブキーは、前記キー階層において使用される前に、前記受信機において結合される必要がある。さらに、他のレベルにおけるキーを2またはそれ以上のサブキーへの分割も可能であり、キーは、前記受信機において結合される必要がある。
【0038】
図4は、2つのサブキーCW1とCW2に分割されている最下位レベルCWキーのための分割キー供給の一例を示している。図4のキー階層は、前記“CW1”サブキーが“P”の保護下で配給されていることを示している。前記“CW2”サブキーは、“G”の保護下で配給されている。“P”および“G”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。前記CW2サブキーを配給するために、“G”レベルの代わりに“U”レベルを使用することも可能である。前記CW1およびCW2サブキーの両方が“CW”を計算するために必要であり、2つの並列処理シーケンスが前記CW1およびCW2サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW2”サブキーの取得制御のために使用される場合には、前記“CW2”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。次のCWは、CW1とCW2を結合することにより取得される。
【0039】
図5は、3つのサブキーCW1,CW2,およびCW3に分割されている最下位レベルCWキーのための分割キー配給の一例を示している。図5のキー階層は、前記“CW1”キーが“P”の保護下で配給されていることを示している。前記“CW2”キーは、“G”の保護下で配給されている。前記“CW3”キーは、“U”の保護下で配給されている。“P”,“G”,および“U”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。前記CW1,CW2,およびCW3のすべてが、“CW”を計算するために必要であり、3つの並列処理シーケンスが前記CW1,CW2およびCW3サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW2”サブキーの取得制御のために使用される場合には、前記“CW2”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。同様に、グループメンバーシップも“U”とともに照合される。これは、“G”の下でのグループメンバーシップベクトルにより定められているグループよりも大きいグループにおけるメンバーシップを効果的に照会できる。次のCWは、CW1,CW2,およびCW3を結合することにより取得される。
【0040】
図6は、2つのサブキーCW1とCW2に分割されている最下位レベルCWキーのための分割キー配給の一例を示している。さらに、“P”が2つのサブパートP1およびP2に分割されている。前記サブパートP1およびP2は、ハードウェア耐タンパーの実装の場合におけるサブキーまたはソフトウェア耐タンパーの実装の場合におけるサブシードである。前記P1およびP2の両方とも、“P”を計算するために必要であり、2つの並列処理シーケンスが前記P1およびP2サブパートを生成する。前記“P1”サブパートは、“G”の保護下で配給されている。前記“P2”サブパートは、“U”の保護下で配給されている。“P”,“G”,および“U”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。ネガティブ・エンタイトルメント・メッセージが、前記“P2”サブパートの取得制御のために使用される場合には、前記“P2”サブパートは、グループメンバーシップベクトルと結合され、“U”の下で配給される。前記受信機における“U”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記P2出力とマージされる。次の“P”は、P1とP2を結合することにより取得される。前記“CW2”キーは、“P”の保護下で配給されている。前記“CW1”キーは、“G”の保護下で配給されている。前記CW1およびCW2の両方とも“CW”キーを計算するために必要であり、2つの並列処理シーケンスが、前記CW1およびCW2サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW1”サブキーの取得制御のために使用される場合には、前記“CW1”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。次の“CW”キーは、CW1とCW2を結合することにより取得される。
【0041】
グループにおける受信機のメンバーシップを示すために、グループメンバーシップベクトルの代わりに、任意の他のグループメンバーシップデータを使用してもよい。会費を支払い済みであることは、グループメンバーシップでありうる。前記グループメンバーシップデータは、キーまたはシードが、前記受信機により取り消されたかどうかを効果的に示す。前記グループメンバーシップデータは、通常、ヘッドエンドシステムにより管理されている。
【0042】
前記サブキーを結合した後に取得された前記“CW”キーは、暗号化された形式であり、その後の復号処理において復号する必要がある。
【0043】
本発明は、これらの提示した例に限定されるものではない。前記分割キー処理は、階層のいかなるレイヤーで使用してもよく、1または複数のキーもしくはシードは、任意の数のサブパートに分割してもよい。通常は、少なくとも2つの並列計算シーケンスが使用される:1つは、ポジティブ・エンタイトルメントにおいて配給されたキー/シードの第1サブパートであり、もう1つは、ネガティブ・エンタイトルメントにおいて配給されたキー/シードの第2サブパートである。
【0044】
前記ネガティブ・エンタイトルメントは、通常、現在のグループメンバーシップステータスを搬送するメンバーシップテーブルを含んでいる。これは、グループメンバーシップのすべてに共有されているメッセージであり、すなわち、前記グループにおけるすべての受信機に共有されている。グループの大きさがNの場合、これは、Nビットの二元配列となる。前記受信機は、現在のメンバーシップステータスを取得するために、メンバーシップ配列のインデックスとして、前記固有のグループメンバーシップ番号を使用する。したがって、前記メンバーシップ検出は、それぞれのメンバーに固有の番号を付与し、ネガティブ・エンタイトルメントを前記メンバーシップテーブルとともに別々に配給する必要がある。
【0045】
前記CWがサブキーに分割され、前記メンバーシップチェックがエンタイトルメント処理と結合している、受信機における限定受信キー処理の一例が図7に示されている。2レベルキー階層は、図3の例で説明したものと同様である。加えて、前記条件付エンタイトルメント処理は、前記グループメンバーシップチェックを実施するために、安全な相関インスタンスを使用する。相関ステージの結果は、コントロールワードディファレンスキーCWDKの計算結果である。前記CWDKサブキーと前記CWDサブキーの両方とも、前記CWの計算のために必要である。前記CWは、通常、CWDK値を前記CWD値に加えることで、TDES暗号化ホワイトボックスにおいて計算される。前記実施によっては、例えば、CWDKとCWDを乗じる、CWDからCWDKを引く、または所定の関数をCWDKおよびCWDに適用するといった、他の計算をCWDKおよびCWDからCWを計算するために使用してもよい。前記TDES暗号化ホワイトボックスは、ローカルCSSKを使用して前記CWを暗号化する。さらに頻繁に再計算が生じうるけれども、追加的な計算が、CWDK合成物<CWDKTG2,ベクトル>へのEMM更新後に実施される必要があるだけである。前記メンバーシップになんらの変更もない場合には、前記合成物は、変更せずともよい。この合成物の最新バージョンをいまだ受信していない受信機には、さらに繰り返しが必要である。前記CWDK合成物は、前記グループのメンバーすべてに対し共通である。前記受信機への前記固有の要素は、前記メンバーシップグループ番号‘n’であり、変更されないままであってもよい。したがって、条件付処理は、より低い限定受信データ帯域幅を可能であり、前記CWDK合成物は、グループメンバーシップを管理するために効果的な方法である。
【0046】
提示された実施例は、ソフトウェア耐タンパー技術に基づく限定受信システムを説明している。本発明は、ソフトウェア耐タンパー環境に限定するものではなく、ハードウェア耐タンパー環境においても同様に使用可能である。本発明は、低い値のコンテンツにソフトウェアエンタイトルメント処理を使用し、高い値のコンテンツにエンタイトルメント処理に基づくスマートカードを使用する、ハイブリッドな限定受信の受信機に使用することも可能である。
【0047】
前記エンタイトルメント・メッセージは、通常、ひとつのヘッドエンドシステムからひとつの受信機へ送信される。前記エンタイトルメント・メッセージは、2またはそれ以上のヘッドエンドシステムから送信されてもよい。後者の場合、有効なCWの取得は、すべてのヘッドエンドシステムの制御下にあるので、それぞれのヘッドエンドシステムに、必要とされるエンタイトルメント・データを送信しないこと、無効なエンタイトルメント・データを送信すること、または前記CWの取り消しを反映したグループメンバーシップデータを送信することにより、前記CWを取り消すことを可能にする。
【0048】
図8は、受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ1において、2またはそれ以上のサブキー、例えばCW1およびCW2が取得される。それぞれのサブキーは、ヘッドエンドシステムから受信されたエンタイトルメント・メッセージの制御下にある。ステップ2において、前記サブキーCW1およびCW2は、前記コントロールワードCWを取得するために結合される。
【0049】
図9は、受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。図8で説明したステップに加えて、ステップ3においては、図7で”ベクトル”により示されているグループメンバーシップデータが、前記コントロールワードCWが取り消されているかどうかを前記受信機のために決定するために処理される。前記コントロールワードCWが取り消されている場合には、前記ネガティブ・エンタイトルメント・メッセージの制御下にある前記サブキー、例えば図7におけるCWDK、において、前記サブキーCWDKの取得を、ステップ2Aにおいて禁止するか、またはステップ2Bにおいて無効のサブキーCWDKを取得させる。
【0050】
図10は、ハードウェア耐タンパー技術に基づく受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ10において、2またはそれ以上の暗号化されたサブキーが受信される。それぞれの復号キー、例えば前記”P”キー、”G”キー、および”U”キー下でそれぞれ暗号化されている。ステップ11において、前記暗号化されたサブキーは、前記それぞれの復号キーP,G,およびUを使用して復号される。したがって、次に取得されるサブキーは、前記コントロールワードCWを取得するために、ステップ2において結合される。オプションとして、取得された前記コントロールワードは、受信機固有のキー、例えば前記CSSKなどで暗号化してもよい。前記暗号化は、図7に示されている前記TDES暗号化ホワイトボックスで実行してもよい。この場合には、前記受信機固有のキー(CSSK)を取得するためにステップ30が実行されてもよく、また前記CSSKキーを使用して前記コントロールワード{CW}CSSKを復号するためにステップ31が実行されてもよい。ステップ30および31は、例えば図1のチップセットにより実行される。図7の破線は、これらのステップがオプションであることを示している。
【0051】
図11は、ソフトウェア耐タンパー技術に基づく受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ20において、2またはそれ以上の変換されたサブキーが受信される。ステップ21において、前記変換されたサブキーは、エンタイトルメント・メッセージにおいて受信されたそれぞれのサブキーのシードを使用して変換される。例えば3つの受信されたサブキーCW1,CW2,およびCW3の場合には、前記シードP,G,およびUを、それぞれの前記サブキーを変換するためにそれぞれ使用してもよい。したがって、次に取得されるサブキーは、ステップ2において、前記コントロールワードCWを取得するために結合される。図7で説明したように、いくつかの変換ステップがサブキーを取得するために実行される。さらに前記結合ステップ2は、クリアなCWをブロック間で送信することを避けるために、通常、最後の変換ステップが実行された同一ブロック内で実行される。このブロックは、例えば、図7に示されている前記TDES暗号化ホワイトボックスモジュールである。オプションとして、取得されたコントロールワードは、受信機固有のキー、例えば前記CSSKなどで暗号化される。前記暗号化は、前記TDES暗号化ホワイトボックスで実行してもよい。この場合には、前記受信機固有のキー(CSSK)を取得するためにステップ30を実行してもよく、また前記コントロールワード{CW}CSSKを、前記CSSKキーを使用して復号するためにステップ31を実行してもよい。ステップ30および31は、例えば図1のチップセットにより実行されてもよい。図10における破線は、これらのステップがオプションであることを示している。
【0052】
変換関数および暗号化の概念は、図12を参照して明らかにされている。
【0053】
変換されていないデータ空間における複数のデータ要素とともに入力ドメインIDが存在すると仮定する。いくつかのキーを使用する暗号化関数Eは、出力ドメインODにおいて対応する暗号化されたデータ要素を配給するために、入力ドメインIDのデータ要素を入力として受容するように構成されるように定められている。復号関数Dを適用することにより、前記入力ドメインIDのオリジナルのデータ要素は、前記復号関数Dを出力ドメインODの前記データ要素に適用することにより取得されうる。
【0054】
安全でない環境においては、敵対者は、暗号化関数Eの実施に組み込まれている秘密情報(例えばキーなど)を発見するために、前記入力および出力データ要素と、前記暗号化関数Eの実施の演算とを制御可能であると仮定される。
【0055】
そのような安全でない環境において、前記入力ドメインIDおよび出力ドメインODに変換関数を適用することにより、付加的な防衛手段が得られる。すなわち、前記変換関数は、入力および出力演算である。変換関数T1は、データ要素を前記入力ドメインIDから、変換されたデータ空間の変換された入力ドメインID’の変換されたデータ要素に写像する。同様に、変換関数T2は、データ要素を前記出力ドメインODから前記変換された出力ドメインOD’へ写像する。変換された暗号化および復号関数E’およびD’は、変換されたキーを使用してID’とOD’間で定義してもよい。T1およびT2は、全単射である。
【0056】
暗号化技術とともに変換関数T1,T2を使用して、暗号化関数Eに、出力ドメインODの暗号化されたデータ要素を取得するために、入力ドメインIDのデータ要素を入力する代わりに、変換されたドメインのデータ要素ID’が、変換関数T1を適用することにより、変換された暗号化関数E’に入力される。変換された暗号化関数E’は、前記キーなどの前記秘密情報を保護するために、前記暗号化演算において、前記逆変換関数T1−1および/またはT2−1を結合する。次に、変換されたドメインの暗号化されたデータ要素OD’が取得される。前記変換されたデータ空間における入力データおよび出力データを分析する場合も、E’および/またはD’の前記ホワイトボックスの実施(implementation)を分析する場合のどちらの場合にも、安全な部分(portion)において、T1および/またはT2を実行することで、暗号化関数Eまたは、復号関数Dのキーは、どちらも取り出すことはできない。
【0057】
前記変換関数T1,T2の1つは、自明(trivial)でない関数であるべきである。T1が自明な関数である場合、前記入力ドメインIDおよびID’は、同一のドメインである。T2が自明な関数である場合には、前記出力ドメインが同一のドメインである。
【符号の説明】
【0058】
100 ハードウェア復号ブロック
CSSK Chip Set Session Key:受信機固有キー
CSSN Chip Set Serial Number
CSUK Chip Set Unique key
CW コントロールワード
{CW}CSSK 暗号化されたコントロールワード
【技術分野】
【0001】
本発明は、受信機においてコントロールワードを取得するための方法、およびコントロールワードを取得するための受信機に関する。より具体的には、本発明は、例えば、有料テレビ(Pay-TV)システムなどの限定受信システムにおける方法および受信機に関する。
【背景技術】
【0002】
例えば有料テレビアプリケーションなどの限定受信アプリケーションは、エンタイトルメントを安全に処理し、復号キーを格納するために受信機を使用する。キーは、通常個別のレイヤーとのキー管理構造により構成されている。それぞれのレイヤーは、下位レイヤーにおいてキーを供給するために使用されている。キーは、暗号化されたコンテンツを制御アクセスするために更新される。有料テレビのコンテンツを復号化するためのキーは、コントロールワードCWとして知られている。
【0003】
受信機に新しいキー値を提供するヘッドエンドシステムからのエンタイトルメント・メッセージ(entitlement message)は、ポジティブ・エンタイトルメントと呼ばれている。通常、例えばECM(entitlement control message)などのポジティブ・エンタイトルメントは、安全ではあるが、不都合なことに、かなりの帯域幅のオーバーヘッドを生ぜしめる。ネガティブ・エンタイトルメントは、無効するとともに特定のキーを使用しないように受信機に指示する、例えばEMM(entitlement management message)などの、エンタイトルメント・メッセージである。その結果、前記受信機は、有料テレビのコンテンツを復号できなくなる。通常、限定受信システムは、ポジティブ・エンタイトルメントおよびネガティブ・エンタイトルメントが混合しているものを使用する。前記受信機が、ネガティブ・エンタイトルメントをブロックまたは取り除く場合には、不都合なことに、前記受信機が認証されていないキーを、コンテンツを復号するために使用することが可能となってしまう。
【0004】
従来、有料テレビの実施は、暗号化キーの格納を保護するとともにエンタイトルメント・メッセージの処理を確実にするためにハードウェアによる耐タンパー(tamper resistance)に頼ってきた。耐タンパーハードウェアの例は、スマートカードおよびデジタルTV受信機に組み込まれた安全な計算チップデバイスである。チップ製造技術の進歩および関連コストの削減により、有料テレビの実施において特別なハードウェア要素を取り除くことが望まれている。
【0005】
特定の耐タンパーチップが不要である有料テレビソリューションが知られている。前記ソリューションは、デジタルTV受信機における前記キーの格納およびエンタイトルメント処理ステップを保護するために、ソフトウェアによる耐タンパー(tamper resistance)を使用している。ソフトウェアによる耐タンパー技術は、PCのDRMシステム、携帯電話、およびIPTVデバイスに使用されている。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、条件付エンタイトルメント処理の改善されたソリューションを提供することを目的とし、コントロールワードの取り消しを、受信機によりブロックできない、またハードウェアによる耐タンパー環境およびソフトウェアによる耐タンパー環境の両方に使用可能であることを特徴とする。
【課題を解決するための手段】
【0007】
本発明の特徴によれば、受信機におけるコントロールワードを取得する方法が提案される。前記方法は、ヘッドエンドシステムからサブキーの特定エンタイトルメント・メッセージで受け取ったエンタイトルメント・データの制御下にそれぞれおかれた2またはそれ以上のサブキーを取得するステップを具備する。前記方法は、前記コントロールワードを取得するために前記サブキーを結合するステップをさらに具備する。
【0008】
本発明の特徴によれば、コントロールワードを取得する受信機が提案される。前記受信機は、2またはそれ以上のサブキーの特定エンタイトルメント・メッセージを受信するように構成されている入力モジュールを具備している。それぞれのサブキー特定エンタイトルメント・メッセージは、サブキーのためのエンタイトルメント・データを具備する。前記受信機は、それぞれエンタイトルメント・データの制御下にある2またはそれ以上のサブキー(CWD,CWDK)を取得するように構成されているプロセッサをさらに具備している。前記プロセッサは、前記コントロールワードを取得するために、前記サブキーを結合するようにさらに構成されている。
【0009】
それぞれのサブキー特定エンタイトルメント・メッセージは、特定サブキーのためのエンタイトルメント・データを具備する。“エンタイトルメント・データの制御下”とは、前記サブキーの取得において前記エンタイトルメント・データが使用され、エンタイトルメント・データのコンテンツにしたがって、前記取得されたサブキーが有効または無効であることを意味する。有効なサブキーは、有効なコントロールワードを取得するために結合される。無効なサブキーが、前記コントロールワードを取得不可能にする、または無効なコントロールワードを取得することをもたらす。前記エンタイトルメント・データは、例えば暗号化されたサブキーを複合化するための復号キーまたは変換されたサブキーを変換するためのシード(または合成物)である。
【0010】
エンタイトルメント・メッセージがコントロールワードの有効性を直接制御するエンタイトルメント・データではないので、前記受信機は、前記コントロールワードの取り消しをブロックするために前記エンタイトルメント・メッセージをブロックできない。かわりに、2またはそれ以上のサブキー(それぞれサブキー特定エンタイトルメント・メッセージにおいて受信されるエンタイトルメント・データの制御下にある)が、前記コントロールワードを取得するために処理される。したがって、本発明は、前記受信機でエンタイトルメント・メッセージをブロックすることによりコントロールワードの取り消しをブロックすることを有利に防止する。
【0011】
前記取得されたコントロールワードは、引き続き、例えば有料テレビのコンテンツなどの暗号化されたコンテンツの復号に使用される。
【0012】
すべてのエンタイトルメント・メッセージを、1つのヘッドエンドシステムから受信してもよい。それとは別に、前記エンタイトルメント・メッセージを、2またはそれ以上のヘッドエンドシステムから受信してもよい。
【0013】
請求項2および10の構成は、有利に、1つの受信機または受信機のグループのコントロールワードの取り消しが可能である。
【0014】
請求項3および11の構成は、有利に、さらに効果的に1つの受信機または受信機のグループのコントロールワードの取り消しが可能である。
【0015】
請求項4および12の構成は、有利に、ハードウェア耐タンパーを使用している受信機における発明が可能である。
【0016】
請求項5および13の構成は、有利に、前記コントロールワードだけでなく、前記サブキーを取得するための処理において使用される復号キーの本発明を可能にする。
【0017】
請求項6および14の構成は、有利に、ソフトウェア耐タンパーを使用している受信機における発明が可能である。
【0018】
請求項7および15の構成は、有利に、前記コントロールワードだけでなく、前記サブキーを取得するための処理において使用される復号キーの本発明を可能にする。
【0019】
請求項8および16の構成は、有利に、既存の復号およびコンテンツでコードチップセットと、互換性がある。
【0020】
これ以降、本発明の構成が、さらに詳細に説明される。これらの構成は、本発明の保護の範囲を限定するものではないことは、明白である。
【0021】
本発明の特徴は、図面における構成を参照することにより、より詳細に説明される。
【図面の簡単な説明】
【0022】
【図1】従来の有料テレビアプリケーションのチップセットおよびそのハードウェアの作用を示している。
【図2A】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているアプライプリミティブのブロック図である。
【図2B】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているリムーブプリミティブを取り除くブロック図である。
【図2C】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているコンディションプリミティブのブロック図である。
【図2D】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されているリムーブおよびアプライプリミティブの組み合わせのブロック図である。
【図2E】本発明の一実施形態のソフトウェア耐タンパーソリューションにおいて使用されている合成物の安全な相関のブロック図である。
【図3】ポジティブ・エンタイトルメントを使用している受信機における限定受信キー処理を示している。
【図4】本発明の一実施形態の分割CWキー配信処理を示している。
【図5】本発明の一実施形態の分割CWキー配信処理を示している。
【図6】本発明の一実施形態の分割CWキー配信処理を示している。
【図7】本発明の一実施形態の分割CWキー配信を使用している受信機における限定受信キー処理を示している。
【図8】本発明の一実施形態の受信機においてコントロールワードを取得するための方法のステップを示している。
【図9】本発明の一実施形態の受信機においてコントロールワードを取得するための方法のステップを示している。
【図10】本発明の一実施形態のハードウェア耐タンパー技術に基づく受信機においてコントロールワードを取得するための方法のステップを示している。
【図11】本発明の一実施形態のソフトウェア耐タンパー技術に基づく受信機においてコントロールワードを取得するための方法のステップを示している。
【図12】一般的な変形関数および暗号化を明確にする略図である。
【発明を実施するための形態】
【0023】
例えば有料テレビアプリケーションなどに採用されている限定受信システムは、コンテンツデータストリームの暗号化に頼っている。受信機(セットトップボックスまたはSTBとも呼ばれている)は、前記ストリームをデコードする前に、復号するための関連したキーが必要である。前記受信機において、ヘッドエンドシステムにおけるキー管理システムは、前記暗号化されたコンテンツへのアクセスを管理するとともに制御する。現在の半導体チップデバイスにおいては、前記コンテンツのストリームのバルク復号(bulk decryption)が、専用のハードウェア回路により行われている。加えて、そのようなチップは、標準的な対称暗号化回路を固有のキー管理機構とともに具備しうる。
【0024】
図1は、従来のチップセットおよび有料テレビアプリケーションに関連するそのハードウェア機能の一例を示している。前記チップのハードウェア復号ブロック100は、以下のキーのための記憶装置を具備している:CSSK(Chip Set Session Key)、CSSN(Chip Set Serial Number)(公開チップ識別子としても知られている)、CSUK(Chip Set Unique key)およびコントロールワードCW。前記CSSNおよび前記CSUKの両方とも、一般的には、製造工程中に、1回のみ書き込み可能なメモリに格納される。その値は、最初のプログラムステップ以降は、変更不可能である。チップ製造会社は、固有のCSSNおよびCSUKを各々のチップに焼く。前記CSSNおよびCSUKは、有料テレビアプリケーションプロバイダにより生成されている。前記CSSNは、外部からアクセス可能であるが、前記CSUKは、そのデバイス内でのみ利用可能である。前記CSSKは、暗号化された形式{CSSK}CSUKで、前記チップセットにロードされる。前記チップセットは、前記暗号化されたCSSKを前記CSUKにより復号するとともに、復号ハードウェアによりさらに使用するために、それを格納する。前記{CSSK}CSUKは、前記STBの不揮発性メモリに格納される。電源投入時に前記STBは、前記CSSKを前記チップにロードするために、前記{CSSK}CSUKデータをフェッチする。前記CSSKは、暗号化された形式の{CW}CSSKによりコントロールワード(CW)をロードするために使用される。前記チップは、前記データを前記CSSKと逆スクランブルし、コンテンツデコードモジュールにおいて、プロテクトされたコンテンツストリームの逆スクランブルに使用するために、前記CWを格納する。それぞれのSTBは、インターネットまたは他の通信インフラストラクチャーを介しての、バルク逆スクランブルキー、すなわち前記CW、の共有を防ぐために、固有のCSSKを使用する。
【0025】
前記キー管理インフラストラクチャーおよび耐タンパープリミティブは、共通のCWをバルクデータストリーム逆スクランブラ(例えば、TEDE,DVB−CSAまたはAES)にロードするように設計されているが、しかし、承認されたデバイスのみが前記CWにアクセスできるように制限されている。
【0026】
ソフトウェア耐タンパー技術は、ソフトウェアによるコード変換をわかりにくくするために、基本的なプリミティブを使用している。本発明のソフトウェア耐タンパーソリューションは、基本的なプリミティブである、“アプライ”、“リムーブ”、および“コンディション”の3つを使用する。図2A,図2B、および図2Cは、それぞれ、アプライプリミティブA、リムーブプリミティブR、およびコンディションプリミティブCのブロック図を示している。符号A(D,S)=AS(D)=DTSは、データ要素Dをパラメータ“シード”Sにしたがって変換する“アプライ”ステップを表している。符合R(DTS,S)=RS(DTS)=Dは、データ要素Dの変換を“シード”Sに基づいて逆転する“リムーブ”ステップを表している。前記シードは、前記A()およびR()の2つの関数において、逆関数になるように、同一である必要がある。前記データDおよびDTSは、前記アプライステップおよびリムーブステップにより処理され、同一サイズ(バイト数)である。3つ目のプリミティブC(D1,D2)=CD1(D2)=DCSは、前記出力が、前記2つの入力の相関であるという条件付変換である。ここでも、前記プリミティブは、前記入力データのサイズを保っている。
【0027】
前記ソフトウェア耐タンパープリミティブの更なる要素は、前記シードSは、多数の入力パラメータの混合により構成されているということである。これは、前記入力データから個別のデータ要素を抽出することを難しくする。前記パラメータ混合関数は、以下のように示される:f(A,B)=<A,B>。前記関数の結果<A,B>は、AおよびBの“合成物(compound)”と呼ばれている。前記合成物のサイズ(バイト)は、前記入力パラメータAおよびBのサイズを合わせたものより大きい。
【0028】
前記プリミティブは、限定受信システムに必要とされるキー管理機能を実施する前記基本的なステップを提供するために組み合わせてもよい。前記組み合わせは、新たな演算を生じさせ、個々のステップは、新たな機能ブロックにおいて、もはや判別できない。前記キー管理において使用される2つの例がある:リムーブプリミティブおよびアプライプリミティブの組み合わせと、合成物の安全な相関。
【0029】
図2Dは、リムーブプリミティブおよびアプライプリミティブの組み合わせの例を示している。前記変換は、組み合わされたリムーブおよびアプライ演算に合成物<P,S>を使用する。前記RPASブロックは、前記シードPを使用する変換を、前記シードSを使用する変換と置き換えることにより前記データを修正する。前記ブロックのすべてのインターフェースは、変換されているか、または合成物であることに留意する必要がある。このことは、変換されたデータ上で前記演算が発生し、変換されたデータが生成されることを意味する。したがって、前記関数は、ドメイン空間で生じ、どの前記インターフェース上にも前記パラメータの“平文”バージョンがないことを明らかにする。前記合成物<P,S>を生成するために使用される前記関数は、固有であり、結合されたアプライおよびリムーブ演算の実施にリンクされている。
【0030】
図2Eは、合成物の安全な相関(secure correlation)インスタンスを示している。それは、条件付エンタイトルメント処理に使用される。また、3つの基本的なプリミティブすべての組み合わせである。前記条件付ブロックは、合成物の安全な相関を遂行するためにリムーブおよびアプライブロックRPASと組み合わされている。
【0031】
前記アプライプリミティブおよびリムーブプリミティブの主な効果は、変換されたパラメータを使用して変換されたデータ上での演算を可能にすることである。したがって、入力を監視しても、なんら役に立つ情報が明らかにならない。前記ソフトウェア耐タンパープリミティブの実施は、関連データの実際の値の取得を非常に困難にする。従来のエンタイトルメントを処理する限定受信は、平文キーを使用して処理され、それにより、他の平文キーを生成する。前記平文キーは、ハードウェア耐タンパーである前記スマートカードの不揮発性メモリに、平文形式で格納されている。前記ソフトウェア耐タンパーアプローチにおける前記キーは、“合成物”の形式で格納され、前記エンタイトルメント処理は、他のエンタイトルメントを生成する(変換されたキーの形式において)。
【0032】
コンテンツ受信機ハードウェアは、プロテクトされたコンテンツストリームをデコードされたフォーマットへ変換するために使用されている前記チップに、前記システムワイドCWをロードするための安全なメカニズムを提供する。そのようなメカニズムの一例が、図1において開示されている。暗号化された形式は、それぞれの受信機のために固有である。前記秘密CSSK(または前記CSUK)は、前記受信機/チップへのCWのロードを必要とする。前記エンタイトルメント処理は、前記ソフトウェア耐タンパープリミティブを使用したローカルのCSSKによる前記CWの暗号化を伴う。基本プリミティブ間のインターフェースは、攻撃者により簡単に監視可能であるので、これらの通信経路は、安全でなければならない。これは、前記“アプライ”および“リムーブ”演算を使用する前記変換ステップにより達成される。前記インターフェースは、それに含まれている情報を保護する合成物のみを搬送する。
【0033】
図3は、ポジティブ・エンタイトルメントを使用した受信機における基本的な限定受信キー処理を図示している。この実施例において、前記基本的な限定受信処理は、2つの基本的なパーツに分解される:安全な計算環境と一般の処理環境。前記一般の処理環境は、記憶装置、データ通信、およびユーザとのインターアクションといった外部インターフェースを処理する。前記安全な計算環境は、キーおよび/またはシードの処理を取り扱う。前記処理は、1または複数のプロセッサ(図示せず)により実施される。前記ECM配信経路(delivery path)は、ヘッドエンドシステムからの共通情報(ECM)の受信のために使用されている。前記ECMは、暗号化されたCWまたは変換されたCWを具備している。前記EMM配信経路は、前記ヘッドエンドシステムからの個別情報(EMM)の受信のために使用されている。前記EMMは、暗号化されたCWまたは変換されたCWを復号または変換するためのキーまたはシードを具備している。前記ECM配信経路とEMM配信経路は、通常、ECMおよびEMMを受信するための入力モジュール内に実現されている。前記ソフトウェア耐タンパープリミティブは、入力および出力を有しており、それらは攻撃者にとって役に立たない。図3の実施例においては、2レイヤーキー階層(hierarchy)が使用されている。変換されたコントロールワードCWDTP上での前記“リムーブ”演算は、G1と結ばれたPを必要とする。Pは、合成物において配給される。同様に、G1も、合成物において配給され、U1と結ばれている。前記2つのリムーブ/アプライ処理の後、最終ステップは、変換されたコントロールワードCWDTUを、TDES暗号化ホワイトボックスモジュールにおいて、チップセットセッションキーCSSKなどの受信機の特定キーを使用して暗号化する。前記CSSKは、通常エンタイトルメント・メッセージのひとつにおいて提供される。取得された暗号化されているコントロールワード{CW}CSSKは、例えば図1の受信機のハードウェアチップの復号アルゴリズムを使用して復号可能である。
【0034】
図3の処理は、複数のキーレイヤーを生成するように修正してもよい。最も簡単な形式は、1レイヤーのみを使用する。ここで、すべてのP値は、合成物において配給され、U(したがって任意のG以外)と結びついている。2レイヤーの場合が、図3に示されている。これは、1つのGの下で、複数のU’の結合を可能にする第2のグループキーレイヤーを追加する。これは、Pへの更新の配給に必要とされる帯域幅を減少する。追加のキーレベルは、対応するリムーブ-追加ステージが必要である。2(またはそれ以上の)キーレイヤーの主な利点は、認証された受信機にキーを配給するために必要とされる帯域幅が、1レイヤーキー階層の場合と比べて、減少することである。
【0035】
ハードウェア耐タンパーおよびソフトウェア耐タンパーの双方において、加入者が、視聴契約(subscription)を解約し、対応する受信機を使用不可にする必要がる場合に、キー階層における重要な問題が発生する。図3の2レイヤーキー階層において、これは、前記受信機からG情報を取り除くことを必要とする。選択肢の一つは、使用を停止する受信機に新たな合成物<G,U>を送信することである。新たな合成物の配給は、不確実であるため(受信機が電源を落とされうるなど)、更新メッセージを繰り返す必要がある。しかし、攻撃者が、前記一般の処理環境に影響を与えられる場合には、これらの更新メッセージは、ブロックされる可能性があり、それにより、前記受信機は、解約した視聴契約の逆スクランブルを続けることができてしまう。そのような攻撃に反撃するために、Gの実際の値を変更するとともに、有効な視聴契約を有するグループにおけるすべての受信機に、前記新たな<G,U>値を配給する必要がある。これは、グループメンバーの一人が加入者ステータスを変更した後には、残りのグループメンバーのすべてへの多数の更新を潜在的に必要とする。メッセージの配給が不確実であるため、前記グループキー更新メッセージは繰り返される必要がある。前記更新メッセージサイクルは、限定受信ストリームに長時間接続されていない受信機がすべての必要な更新をすばやく受信可能なように十分早い必要がある。明らかに、このタイプのエンタイトルメント処理では、重大な帯域幅問題が発生する。
【0036】
メンバーシップの解約を扱う効果的な機構は、前記ネガティブ・エンタイトルメント・メッセージである。これは、特定のキーを使用して、解約を受信機に知らせるメッセージである。明らかに、そのようなネガティブ・エンタイトルメントの受信をブロックするまたは記憶装置から取り除くことは可能である。たとえ、前記エンタイトルメントが修正されていない場合であっても、前記エンタイトルメント処理は禁止しうる。したがって、前記システムは、受信および適切なネガティブ・エンタイトルメントの処理を強制する必要がある。
【0037】
本発明において、これは、低レベルキーを2またはそれ以上のサブキーに分割することにより処理される。これらのサブキーは、前記キー階層において使用される前に、前記受信機において結合される必要がある。さらに、他のレベルにおけるキーを2またはそれ以上のサブキーへの分割も可能であり、キーは、前記受信機において結合される必要がある。
【0038】
図4は、2つのサブキーCW1とCW2に分割されている最下位レベルCWキーのための分割キー供給の一例を示している。図4のキー階層は、前記“CW1”サブキーが“P”の保護下で配給されていることを示している。前記“CW2”サブキーは、“G”の保護下で配給されている。“P”および“G”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。前記CW2サブキーを配給するために、“G”レベルの代わりに“U”レベルを使用することも可能である。前記CW1およびCW2サブキーの両方が“CW”を計算するために必要であり、2つの並列処理シーケンスが前記CW1およびCW2サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW2”サブキーの取得制御のために使用される場合には、前記“CW2”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。次のCWは、CW1とCW2を結合することにより取得される。
【0039】
図5は、3つのサブキーCW1,CW2,およびCW3に分割されている最下位レベルCWキーのための分割キー配給の一例を示している。図5のキー階層は、前記“CW1”キーが“P”の保護下で配給されていることを示している。前記“CW2”キーは、“G”の保護下で配給されている。前記“CW3”キーは、“U”の保護下で配給されている。“P”,“G”,および“U”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。前記CW1,CW2,およびCW3のすべてが、“CW”を計算するために必要であり、3つの並列処理シーケンスが前記CW1,CW2およびCW3サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW2”サブキーの取得制御のために使用される場合には、前記“CW2”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。同様に、グループメンバーシップも“U”とともに照合される。これは、“G”の下でのグループメンバーシップベクトルにより定められているグループよりも大きいグループにおけるメンバーシップを効果的に照会できる。次のCWは、CW1,CW2,およびCW3を結合することにより取得される。
【0040】
図6は、2つのサブキーCW1とCW2に分割されている最下位レベルCWキーのための分割キー配給の一例を示している。さらに、“P”が2つのサブパートP1およびP2に分割されている。前記サブパートP1およびP2は、ハードウェア耐タンパーの実装の場合におけるサブキーまたはソフトウェア耐タンパーの実装の場合におけるサブシードである。前記P1およびP2の両方とも、“P”を計算するために必要であり、2つの並列処理シーケンスが前記P1およびP2サブパートを生成する。前記“P1”サブパートは、“G”の保護下で配給されている。前記“P2”サブパートは、“U”の保護下で配給されている。“P”,“G”,および“U”は、ハードウェア耐タンパーの実装の場合におけるキーまたはソフトウェア耐タンパーの実装の場合におけるシードである。ネガティブ・エンタイトルメント・メッセージが、前記“P2”サブパートの取得制御のために使用される場合には、前記“P2”サブパートは、グループメンバーシップベクトルと結合され、“U”の下で配給される。前記受信機における“U”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記P2出力とマージされる。次の“P”は、P1とP2を結合することにより取得される。前記“CW2”キーは、“P”の保護下で配給されている。前記“CW1”キーは、“G”の保護下で配給されている。前記CW1およびCW2の両方とも“CW”キーを計算するために必要であり、2つの並列処理シーケンスが、前記CW1およびCW2サブキーを生成する。ネガティブ・エンタイトルメント・メッセージが、前記“CW1”サブキーの取得制御のために使用される場合には、前記“CW1”サブキーは、グループメンバーシップベクトルと結合され、“G”の下で配給される。前記受信機における“G”は、メンバーシップ番号と組み合わせて格納されている。ネガティブ・エンタイトルメントの処理中は、前記メンバーシップ番号は、メンバーシップベクトルにおいてメンバーシップを照合するために使用される。メンバーシップチェックの結果は、前記CW2出力とマージされる。次の“CW”キーは、CW1とCW2を結合することにより取得される。
【0041】
グループにおける受信機のメンバーシップを示すために、グループメンバーシップベクトルの代わりに、任意の他のグループメンバーシップデータを使用してもよい。会費を支払い済みであることは、グループメンバーシップでありうる。前記グループメンバーシップデータは、キーまたはシードが、前記受信機により取り消されたかどうかを効果的に示す。前記グループメンバーシップデータは、通常、ヘッドエンドシステムにより管理されている。
【0042】
前記サブキーを結合した後に取得された前記“CW”キーは、暗号化された形式であり、その後の復号処理において復号する必要がある。
【0043】
本発明は、これらの提示した例に限定されるものではない。前記分割キー処理は、階層のいかなるレイヤーで使用してもよく、1または複数のキーもしくはシードは、任意の数のサブパートに分割してもよい。通常は、少なくとも2つの並列計算シーケンスが使用される:1つは、ポジティブ・エンタイトルメントにおいて配給されたキー/シードの第1サブパートであり、もう1つは、ネガティブ・エンタイトルメントにおいて配給されたキー/シードの第2サブパートである。
【0044】
前記ネガティブ・エンタイトルメントは、通常、現在のグループメンバーシップステータスを搬送するメンバーシップテーブルを含んでいる。これは、グループメンバーシップのすべてに共有されているメッセージであり、すなわち、前記グループにおけるすべての受信機に共有されている。グループの大きさがNの場合、これは、Nビットの二元配列となる。前記受信機は、現在のメンバーシップステータスを取得するために、メンバーシップ配列のインデックスとして、前記固有のグループメンバーシップ番号を使用する。したがって、前記メンバーシップ検出は、それぞれのメンバーに固有の番号を付与し、ネガティブ・エンタイトルメントを前記メンバーシップテーブルとともに別々に配給する必要がある。
【0045】
前記CWがサブキーに分割され、前記メンバーシップチェックがエンタイトルメント処理と結合している、受信機における限定受信キー処理の一例が図7に示されている。2レベルキー階層は、図3の例で説明したものと同様である。加えて、前記条件付エンタイトルメント処理は、前記グループメンバーシップチェックを実施するために、安全な相関インスタンスを使用する。相関ステージの結果は、コントロールワードディファレンスキーCWDKの計算結果である。前記CWDKサブキーと前記CWDサブキーの両方とも、前記CWの計算のために必要である。前記CWは、通常、CWDK値を前記CWD値に加えることで、TDES暗号化ホワイトボックスにおいて計算される。前記実施によっては、例えば、CWDKとCWDを乗じる、CWDからCWDKを引く、または所定の関数をCWDKおよびCWDに適用するといった、他の計算をCWDKおよびCWDからCWを計算するために使用してもよい。前記TDES暗号化ホワイトボックスは、ローカルCSSKを使用して前記CWを暗号化する。さらに頻繁に再計算が生じうるけれども、追加的な計算が、CWDK合成物<CWDKTG2,ベクトル>へのEMM更新後に実施される必要があるだけである。前記メンバーシップになんらの変更もない場合には、前記合成物は、変更せずともよい。この合成物の最新バージョンをいまだ受信していない受信機には、さらに繰り返しが必要である。前記CWDK合成物は、前記グループのメンバーすべてに対し共通である。前記受信機への前記固有の要素は、前記メンバーシップグループ番号‘n’であり、変更されないままであってもよい。したがって、条件付処理は、より低い限定受信データ帯域幅を可能であり、前記CWDK合成物は、グループメンバーシップを管理するために効果的な方法である。
【0046】
提示された実施例は、ソフトウェア耐タンパー技術に基づく限定受信システムを説明している。本発明は、ソフトウェア耐タンパー環境に限定するものではなく、ハードウェア耐タンパー環境においても同様に使用可能である。本発明は、低い値のコンテンツにソフトウェアエンタイトルメント処理を使用し、高い値のコンテンツにエンタイトルメント処理に基づくスマートカードを使用する、ハイブリッドな限定受信の受信機に使用することも可能である。
【0047】
前記エンタイトルメント・メッセージは、通常、ひとつのヘッドエンドシステムからひとつの受信機へ送信される。前記エンタイトルメント・メッセージは、2またはそれ以上のヘッドエンドシステムから送信されてもよい。後者の場合、有効なCWの取得は、すべてのヘッドエンドシステムの制御下にあるので、それぞれのヘッドエンドシステムに、必要とされるエンタイトルメント・データを送信しないこと、無効なエンタイトルメント・データを送信すること、または前記CWの取り消しを反映したグループメンバーシップデータを送信することにより、前記CWを取り消すことを可能にする。
【0048】
図8は、受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ1において、2またはそれ以上のサブキー、例えばCW1およびCW2が取得される。それぞれのサブキーは、ヘッドエンドシステムから受信されたエンタイトルメント・メッセージの制御下にある。ステップ2において、前記サブキーCW1およびCW2は、前記コントロールワードCWを取得するために結合される。
【0049】
図9は、受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。図8で説明したステップに加えて、ステップ3においては、図7で”ベクトル”により示されているグループメンバーシップデータが、前記コントロールワードCWが取り消されているかどうかを前記受信機のために決定するために処理される。前記コントロールワードCWが取り消されている場合には、前記ネガティブ・エンタイトルメント・メッセージの制御下にある前記サブキー、例えば図7におけるCWDK、において、前記サブキーCWDKの取得を、ステップ2Aにおいて禁止するか、またはステップ2Bにおいて無効のサブキーCWDKを取得させる。
【0050】
図10は、ハードウェア耐タンパー技術に基づく受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ10において、2またはそれ以上の暗号化されたサブキーが受信される。それぞれの復号キー、例えば前記”P”キー、”G”キー、および”U”キー下でそれぞれ暗号化されている。ステップ11において、前記暗号化されたサブキーは、前記それぞれの復号キーP,G,およびUを使用して復号される。したがって、次に取得されるサブキーは、前記コントロールワードCWを取得するために、ステップ2において結合される。オプションとして、取得された前記コントロールワードは、受信機固有のキー、例えば前記CSSKなどで暗号化してもよい。前記暗号化は、図7に示されている前記TDES暗号化ホワイトボックスで実行してもよい。この場合には、前記受信機固有のキー(CSSK)を取得するためにステップ30が実行されてもよく、また前記CSSKキーを使用して前記コントロールワード{CW}CSSKを復号するためにステップ31が実行されてもよい。ステップ30および31は、例えば図1のチップセットにより実行される。図7の破線は、これらのステップがオプションであることを示している。
【0051】
図11は、ソフトウェア耐タンパー技術に基づく受信機により実行することが可能なコントロールワードを取得するための上述した方法のステップを示している。ステップ20において、2またはそれ以上の変換されたサブキーが受信される。ステップ21において、前記変換されたサブキーは、エンタイトルメント・メッセージにおいて受信されたそれぞれのサブキーのシードを使用して変換される。例えば3つの受信されたサブキーCW1,CW2,およびCW3の場合には、前記シードP,G,およびUを、それぞれの前記サブキーを変換するためにそれぞれ使用してもよい。したがって、次に取得されるサブキーは、ステップ2において、前記コントロールワードCWを取得するために結合される。図7で説明したように、いくつかの変換ステップがサブキーを取得するために実行される。さらに前記結合ステップ2は、クリアなCWをブロック間で送信することを避けるために、通常、最後の変換ステップが実行された同一ブロック内で実行される。このブロックは、例えば、図7に示されている前記TDES暗号化ホワイトボックスモジュールである。オプションとして、取得されたコントロールワードは、受信機固有のキー、例えば前記CSSKなどで暗号化される。前記暗号化は、前記TDES暗号化ホワイトボックスで実行してもよい。この場合には、前記受信機固有のキー(CSSK)を取得するためにステップ30を実行してもよく、また前記コントロールワード{CW}CSSKを、前記CSSKキーを使用して復号するためにステップ31を実行してもよい。ステップ30および31は、例えば図1のチップセットにより実行されてもよい。図10における破線は、これらのステップがオプションであることを示している。
【0052】
変換関数および暗号化の概念は、図12を参照して明らかにされている。
【0053】
変換されていないデータ空間における複数のデータ要素とともに入力ドメインIDが存在すると仮定する。いくつかのキーを使用する暗号化関数Eは、出力ドメインODにおいて対応する暗号化されたデータ要素を配給するために、入力ドメインIDのデータ要素を入力として受容するように構成されるように定められている。復号関数Dを適用することにより、前記入力ドメインIDのオリジナルのデータ要素は、前記復号関数Dを出力ドメインODの前記データ要素に適用することにより取得されうる。
【0054】
安全でない環境においては、敵対者は、暗号化関数Eの実施に組み込まれている秘密情報(例えばキーなど)を発見するために、前記入力および出力データ要素と、前記暗号化関数Eの実施の演算とを制御可能であると仮定される。
【0055】
そのような安全でない環境において、前記入力ドメインIDおよび出力ドメインODに変換関数を適用することにより、付加的な防衛手段が得られる。すなわち、前記変換関数は、入力および出力演算である。変換関数T1は、データ要素を前記入力ドメインIDから、変換されたデータ空間の変換された入力ドメインID’の変換されたデータ要素に写像する。同様に、変換関数T2は、データ要素を前記出力ドメインODから前記変換された出力ドメインOD’へ写像する。変換された暗号化および復号関数E’およびD’は、変換されたキーを使用してID’とOD’間で定義してもよい。T1およびT2は、全単射である。
【0056】
暗号化技術とともに変換関数T1,T2を使用して、暗号化関数Eに、出力ドメインODの暗号化されたデータ要素を取得するために、入力ドメインIDのデータ要素を入力する代わりに、変換されたドメインのデータ要素ID’が、変換関数T1を適用することにより、変換された暗号化関数E’に入力される。変換された暗号化関数E’は、前記キーなどの前記秘密情報を保護するために、前記暗号化演算において、前記逆変換関数T1−1および/またはT2−1を結合する。次に、変換されたドメインの暗号化されたデータ要素OD’が取得される。前記変換されたデータ空間における入力データおよび出力データを分析する場合も、E’および/またはD’の前記ホワイトボックスの実施(implementation)を分析する場合のどちらの場合にも、安全な部分(portion)において、T1および/またはT2を実行することで、暗号化関数Eまたは、復号関数Dのキーは、どちらも取り出すことはできない。
【0057】
前記変換関数T1,T2の1つは、自明(trivial)でない関数であるべきである。T1が自明な関数である場合、前記入力ドメインIDおよびID’は、同一のドメインである。T2が自明な関数である場合には、前記出力ドメインが同一のドメインである。
【符号の説明】
【0058】
100 ハードウェア復号ブロック
CSSK Chip Set Session Key:受信機固有キー
CSSN Chip Set Serial Number
CSUK Chip Set Unique key
CW コントロールワード
{CW}CSSK 暗号化されたコントロールワード
【特許請求の範囲】
【請求項1】
ヘッドエンドシステムからサブキーの特定エンタイトルメント・メッセージで受け取ったエンタイトルメント・データの制御下にそれぞれおかれた2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)と、
前記コントロールワード(CW)を取得するために前記サブキー(CW1,CW2,CW3)を結合するステップ(2)と、
を具備することを特徴とする受信機においてコントロールワード(CW)を取得するための方法。
【請求項2】
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージであることを特徴とする請求項1に記載の方法。
【請求項3】
前記ネガティブ・エンタイトルメント・メッセージは、前記コントロールワード(CW)が取り消されるかどうかを1つまたは複数の受信機に示すグループメンバーシップデータを有し、
前記方法は、
前記受信機のために、前記コントロールワード(CW)が取り消されるかどうかを決定するために、前記グループメンバーシップデータを処理するステップ(3)と、
前記コントロールワード(CW)が取り消される場合には、前記ネガティブ・エンタイトルメント・メッセージの制御下におかれている前記サブキーのために、前記サブキーの取得を禁止するステップ(2A)か、または無効なサブキーを取得するステップ(2B)か、
をさらに具備することを特徴とする請求項2に記載の方法。
【請求項4】
前記受信機は、ハードウェア耐タンパー技術を備えており、
前記エンタイトルメント・データは、復号キー(P,G,U)を具備し、
前記方法は、前記復号キー(P,G,U)によりそれぞれ暗号化された、2またはそれ以上の暗号化されたサブキーを受信するステップ(10)をさらに具備し、
前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)は、前記暗号化されたサブキーを、それぞれの前記復号キー(P,G、U)を使用して復号するステップ(11)を具備することを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
1または複数の復号キー(P,G,U)は、復号サブキーの特定エンタイトルメント・メッセージで受け取ったさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上の復号サブキー(P1,P2)を結合することにより取得されることを特徴とする請求項4に記載の方法。
【請求項6】
前記受信機は、ソフトウェア耐タンパー技術を備えており、
それぞれのエンタイトルメント・メッセージは、シード(P,G,U)を具備し、
前記方法は、2またはそれ以上の変換されたサブキーを受信するステップ(20)をさらに具備し、
前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)は、前記変換されたサブキーを、それぞれの前記シード(P,G,U)を使用して変換するステップ(21)を具備することを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項7】
1または複数の前記シード(P,G,U)は、サブシードの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上のサブシード(P1,P2)を結合することにより取得されることを特徴とする請求項6に記載の方法。
【請求項8】
前記取得されたコントロールワード(CW)は、受信機固有キー(CSSK)のもとで暗号化されており、
前記方法は、
前記受信機固有キー(CSSK)を取得するステップ(30)と、
前記受信機固有キー(CSSK)を使用して、前記取得されたコントロールワード(CW)を復号するステップ(31)と、
を具備することを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項9】
それぞれサブキーのエンタイトルメント・データを備えている2またはそれ以上のサブキーの特定エンタイトルメント・メッセージを受信するように構成されている入力モジュール(ECM/EMM配信経路)と、
それぞれエンタイトルメント・データの制御下にある2またはそれ以上のサブキー(CWD,CWDK)を取得するように構成されているプロセッサと、
を具備し、
前記プロセッサは、前記コントロールワード(CW)を取得するために、前記サブキー(CWD,CWDK)を結合するようにさらに構成されていることを特徴とするコントロールワード(CW)を取得するための受信機。
【請求項10】
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージであることを特徴とする請求項9に記載の受信機。
【請求項11】
前記ネガティブ・エンタイトルメント・メッセージは、前記コントロールワード(CW)が取り消されるかどうかを1または複数の受信機に示すグループメンバーシップデータ(ベクトル)を備え、
前記プロセッサは、前記受信機のために、前記コントロールワード(CW)が、取り消されるかどうかを決定するために、前記グループメンバーシップデータ(ベクトル)を処理するようにさらに構成され、
前記プロセッサは、前記サブキー(CWD,CWDK)の取得をブロックするか、または無効のサブキー(CWD,CWDK)を取得するようにさらに構成されることを特徴とする請求項10に記載の受信機。
【請求項12】
前記受信機は、ハードウェア耐タンパー技術を備えており、
前記エンタイトルメント・データは、復号キー(P,G,U)を備えており、
前記入力モジュール(ECM/EMM配信経路)は、それぞれの暗号化キー(P,G,U)によりそれぞれ暗号化された2またはそれ以上の暗号化されたサブキーを受信するようにさらに構成されており、
前記プロセッサは、前記暗号化されたサブキーを、前記それぞれの復号キー(P,G,U)を使用して復号することにより、前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するように構成されていることを特徴とする請求項9から11のいずれか1項に記載の受信機。
【請求項13】
前記プロセッサは、復号サブキーの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上の複合サブキー(P1,P2)を結合することにより、1または複数の復号キー(P,G,U)を取得するようにさらに構成されていることを特徴とする請求項12に記載の受信機。
【請求項14】
前記受信機は、ソフトウェア耐タンパー技術を備えており、
それぞれのエンタイトルメント・メッセージは、シード(P,G,U)を具備し、
前記入力モジュール(ECM/EMM配信パス)は、2またはそれ以上の変換されたサブキーを受信するようにさらに構成されており、
前記プロセッサは、前記変換されたサブキーを、前記それぞれのシード(P,G,U)を使用して変換することにより前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するように構成されていることを特徴とする請求項9から11のいずれか1項に記載の受信機。
【請求項15】
前記受信機は、サブシードの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上のサブシード(P1,P2)を結合することにより、1または複数の前記シード(P,G,U)を取得するようにさらに構成されることを特徴とする請求項14に記載の受信機。
【請求項16】
前記プロセッサは、受信機固有キー(CSSK)のもとで暗号化された、暗号化されたコントロールワード({CW}CSSK)として前記コントロールワード(CW)を取得するように構成され、
前記受信機は、受信機固有キー(CSSK)を取得するとともに、暗号化されたコントロールワード({CW}CSSK)を、前記受信機固有キー(CSSK)を使用して復号するように構成されたハードウェア復号ブロック(100)をさらに具備することを特徴とする請求項9から15のいずれか1項に記載の受信機。
【請求項1】
ヘッドエンドシステムからサブキーの特定エンタイトルメント・メッセージで受け取ったエンタイトルメント・データの制御下にそれぞれおかれた2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)と、
前記コントロールワード(CW)を取得するために前記サブキー(CW1,CW2,CW3)を結合するステップ(2)と、
を具備することを特徴とする受信機においてコントロールワード(CW)を取得するための方法。
【請求項2】
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージであることを特徴とする請求項1に記載の方法。
【請求項3】
前記ネガティブ・エンタイトルメント・メッセージは、前記コントロールワード(CW)が取り消されるかどうかを1つまたは複数の受信機に示すグループメンバーシップデータを有し、
前記方法は、
前記受信機のために、前記コントロールワード(CW)が取り消されるかどうかを決定するために、前記グループメンバーシップデータを処理するステップ(3)と、
前記コントロールワード(CW)が取り消される場合には、前記ネガティブ・エンタイトルメント・メッセージの制御下におかれている前記サブキーのために、前記サブキーの取得を禁止するステップ(2A)か、または無効なサブキーを取得するステップ(2B)か、
をさらに具備することを特徴とする請求項2に記載の方法。
【請求項4】
前記受信機は、ハードウェア耐タンパー技術を備えており、
前記エンタイトルメント・データは、復号キー(P,G,U)を具備し、
前記方法は、前記復号キー(P,G,U)によりそれぞれ暗号化された、2またはそれ以上の暗号化されたサブキーを受信するステップ(10)をさらに具備し、
前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)は、前記暗号化されたサブキーを、それぞれの前記復号キー(P,G、U)を使用して復号するステップ(11)を具備することを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
1または複数の復号キー(P,G,U)は、復号サブキーの特定エンタイトルメント・メッセージで受け取ったさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上の復号サブキー(P1,P2)を結合することにより取得されることを特徴とする請求項4に記載の方法。
【請求項6】
前記受信機は、ソフトウェア耐タンパー技術を備えており、
それぞれのエンタイトルメント・メッセージは、シード(P,G,U)を具備し、
前記方法は、2またはそれ以上の変換されたサブキーを受信するステップ(20)をさらに具備し、
前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するステップ(1)は、前記変換されたサブキーを、それぞれの前記シード(P,G,U)を使用して変換するステップ(21)を具備することを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項7】
1または複数の前記シード(P,G,U)は、サブシードの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上のサブシード(P1,P2)を結合することにより取得されることを特徴とする請求項6に記載の方法。
【請求項8】
前記取得されたコントロールワード(CW)は、受信機固有キー(CSSK)のもとで暗号化されており、
前記方法は、
前記受信機固有キー(CSSK)を取得するステップ(30)と、
前記受信機固有キー(CSSK)を使用して、前記取得されたコントロールワード(CW)を復号するステップ(31)と、
を具備することを特徴とする請求項1から7のいずれか1項に記載の方法。
【請求項9】
それぞれサブキーのエンタイトルメント・データを備えている2またはそれ以上のサブキーの特定エンタイトルメント・メッセージを受信するように構成されている入力モジュール(ECM/EMM配信経路)と、
それぞれエンタイトルメント・データの制御下にある2またはそれ以上のサブキー(CWD,CWDK)を取得するように構成されているプロセッサと、
を具備し、
前記プロセッサは、前記コントロールワード(CW)を取得するために、前記サブキー(CWD,CWDK)を結合するようにさらに構成されていることを特徴とするコントロールワード(CW)を取得するための受信機。
【請求項10】
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ポジティブ・エンタイトルメント・メッセージであり、
少なくとも1つの前記サブキーの特定エンタイトルメント・メッセージは、ネガティブ・エンタイトルメント・メッセージであることを特徴とする請求項9に記載の受信機。
【請求項11】
前記ネガティブ・エンタイトルメント・メッセージは、前記コントロールワード(CW)が取り消されるかどうかを1または複数の受信機に示すグループメンバーシップデータ(ベクトル)を備え、
前記プロセッサは、前記受信機のために、前記コントロールワード(CW)が、取り消されるかどうかを決定するために、前記グループメンバーシップデータ(ベクトル)を処理するようにさらに構成され、
前記プロセッサは、前記サブキー(CWD,CWDK)の取得をブロックするか、または無効のサブキー(CWD,CWDK)を取得するようにさらに構成されることを特徴とする請求項10に記載の受信機。
【請求項12】
前記受信機は、ハードウェア耐タンパー技術を備えており、
前記エンタイトルメント・データは、復号キー(P,G,U)を備えており、
前記入力モジュール(ECM/EMM配信経路)は、それぞれの暗号化キー(P,G,U)によりそれぞれ暗号化された2またはそれ以上の暗号化されたサブキーを受信するようにさらに構成されており、
前記プロセッサは、前記暗号化されたサブキーを、前記それぞれの復号キー(P,G,U)を使用して復号することにより、前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するように構成されていることを特徴とする請求項9から11のいずれか1項に記載の受信機。
【請求項13】
前記プロセッサは、復号サブキーの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上の複合サブキー(P1,P2)を結合することにより、1または複数の復号キー(P,G,U)を取得するようにさらに構成されていることを特徴とする請求項12に記載の受信機。
【請求項14】
前記受信機は、ソフトウェア耐タンパー技術を備えており、
それぞれのエンタイトルメント・メッセージは、シード(P,G,U)を具備し、
前記入力モジュール(ECM/EMM配信パス)は、2またはそれ以上の変換されたサブキーを受信するようにさらに構成されており、
前記プロセッサは、前記変換されたサブキーを、前記それぞれのシード(P,G,U)を使用して変換することにより前記2またはそれ以上のサブキー(CW1,CW2,CW3)を取得するように構成されていることを特徴とする請求項9から11のいずれか1項に記載の受信機。
【請求項15】
前記受信機は、サブシードの特定エンタイトルメント・メッセージで受信されたさらなるエンタイトルメント・データの制御下でそれぞれ取得される2またはそれ以上のサブシード(P1,P2)を結合することにより、1または複数の前記シード(P,G,U)を取得するようにさらに構成されることを特徴とする請求項14に記載の受信機。
【請求項16】
前記プロセッサは、受信機固有キー(CSSK)のもとで暗号化された、暗号化されたコントロールワード({CW}CSSK)として前記コントロールワード(CW)を取得するように構成され、
前記受信機は、受信機固有キー(CSSK)を取得するとともに、暗号化されたコントロールワード({CW}CSSK)を、前記受信機固有キー(CSSK)を使用して復号するように構成されたハードウェア復号ブロック(100)をさらに具備することを特徴とする請求項9から15のいずれか1項に記載の受信機。
【図1】
【図2A】
【図2B】
【図2C】
【図2D】
【図2E】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2A】
【図2B】
【図2C】
【図2D】
【図2E】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−213268(P2010−213268A)
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−44403(P2010−44403)
【出願日】平成22年3月1日(2010.3.1)
【出願人】(500232617)イルデト・アクセス・ベー・フェー (24)
【Fターム(参考)】
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2010−44403(P2010−44403)
【出願日】平成22年3月1日(2010.3.1)
【出願人】(500232617)イルデト・アクセス・ベー・フェー (24)
【Fターム(参考)】
[ Back to top ]