セキュアモジュールの不正使用のトレース
【課題】セキュアモジュールの集団の中の不正セキュアモジュールをトレースする。
【解決手段】所定数のトレーシング実験を集団に実行し、各トレーシング実験が、選択された集団の中の各セキュアモジュールにトレーシングイベントメッセージを送信し、トレーシングイベントメッセージ内のイベント情報を使用し、集団の中のセキュアモジュール130の一部を選択し、トレーシングイベントメッセージを生成し、トレーシングイベントメッセージの受信に応じて、トレーシングイベント検出器162が所定時間、制御語共有ネットワーク内のトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベース166に格納し、トレーシングデータが前記イベント情報およびイベントトリガ情報を備える。
【解決手段】所定数のトレーシング実験を集団に実行し、各トレーシング実験が、選択された集団の中の各セキュアモジュールにトレーシングイベントメッセージを送信し、トレーシングイベントメッセージ内のイベント情報を使用し、集団の中のセキュアモジュール130の一部を選択し、トレーシングイベントメッセージを生成し、トレーシングイベントメッセージの受信に応じて、トレーシングイベント検出器162が所定時間、制御語共有ネットワーク内のトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベース166に格納し、トレーシングデータが前記イベント情報およびイベントトリガ情報を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はセキュアモジュールの不正使用をトレースすることに関し、詳細には、必ずしもそうではないが、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングデータを生成する方法およびシステムと、トレーシングデータに基づいてセキュアモジュールの集団の中の不正セキュアモジュールをトレースする方法と、このようなシステム内および/またはこのようなシステムで使用するためのイベントジェネレータ、限定受信データ送信機、イベント検出器、イベントアナライザ、およびセキュアモジュールと、このような方法を使用するコンピュータプログラム製品とに関する。
【背景技術】
【0002】
デジタルビデオブロードキャスト(DVB)伝送の限定受信システムはよく知られており、有料テレビサービスにおいて広く使用されている。このようなシステムは、1つまたは複数のサービスを備えるブロードキャストストリームのセキュアな伝送を、たとえばセットトップボックスまたはブロードキャストサービスをサポートするモバイル端末内に含まれるデジタル受信機に提供する。ブロードキャストサービスを不正閲覧から保護するために、データパケットは一般に制御語と呼ばれるランダムに生成された暗号キーで、送信機側でスクランブル(暗号化)される。制御語を、一定の期間(いわゆる暗号化期間)のみ有効であるように定期的に変更することによって、さらなるセキュリティを提供できる。この場合、受信機側は暗号化期間ごとに新しい制御語を提供されなければならない。一般的にこれらの制御語は、いわゆる共通情報(ECM)を使用して、暗号化された形式で受信機に伝送される。ECMから制御語を取り出すために、受信機はECMを解読するためのセキュアキーを備えるセキュアモジュール、たとえばスマートカードまたはセキュアソフトウェアモジュールを備えている。
【0003】
サービスを不正閲覧から保護する努力にもかかわらず、敵対者は不正な制御語の配信のために使用される情報を抽出するために、セキュアモジュール、受信機をリバースエンジニアリングしたり、通信インターフェースをモニタリングしたりできる場合がある。この場合、オペレータはスマートカード集団の中の改ざんされたスマートカードを捜し出すためにトレーシングスキームを使用できる。トレーシング方法は知られている。たとえば、米国特許第7,155,611号はバイナリサーチに基づくトレーシング方法を記述しており、この方法では異なるキーをスマートカード集団の中の異なるグループに送信して、敵対者によって生成されたキー情報を監視することによって、反復方法で不正なスマートカードをトレースできる。
【0004】
従来技術に関連する1つの問題は、制御語の不正な再配信には単一の不正スマートカードが使用されるという前提に依存することである。しかし実際には、敵対者は利用者に制御語を提供するためにしばしば複数の不正スマートカードを使用している。たとえば、いくつかの不正スマートカードに接続されたサーバを使用して制御語を再配信できる。このような再配信サーバは、バイナリスキームに基づく、知られているトレーシング方法が適合しなくなるように、あるアルゴリズムを使用して異なるカード間でスイッチできる。この問題を解決する1つの方法は、米国特許出願公開第2000/0323949号に記述された、ウォーターマークされた制御語に基づいてスマートカードを識別できるトレーシングスキームである。
【0005】
しかし、このようなソリューションは、敵対者から発生している制御語ストリームの検査を必要とする。一般的に、このような制御語ストリームはセキュアであり、したがって制御語の分析前にリバースエンジニアリングを求めることが可能である。さらに、このような制御語のウォーターマーキングは、敵対者によって容易に検出されて回避されてしまう。
【0006】
WO2008/023023は、カード識別子と直接関連するマーカーで制御語がマークされる、さらなるトレーシングスキームを記述している。しかし制御語をマークすることは、サービスを処理する間に正規の利用者に悪影響を及ぼし、また敵対者に容易に検出されてしまう。したがって当分野には、正規の利用者に悪影響を及ぼさずに、システムの不正使用に関与しているスマートカードなどのセキュアモジュールをトレースおよび識別できる、改良された方法およびシステムが必要である。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国特許第7,155,611号
【特許文献2】米国特許出願公開第2000/0323949号
【特許文献3】WO2008/023023
【非特許文献】
【0008】
【非特許文献1】ETSI TS 103197 v 1.4.1
【発明の概要】
【課題を解決するための手段】
【0009】
本発明の目的は、知られているトレーシング方法に関連付けられる少なくとも1つまたは複数の欠点を減少または除去することである。第1の態様では、本発明は、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングデータ、好ましくはトレーシングデータを備えるイベントデータベースを生成する方法であって、前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成されてよく、前記方法が、所定の数のトレーシング実験を前記選択された集団に実行するステップを含み、それぞれの前記トレーシング実験が、少なくとも1つのトレーシングイベントメッセージを前記選択された集団の中のそれぞれのセキュアモジュールに送信するステップであって、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために前記トレーシングイベントメッセージ内のイベント情報が使用されるステップと、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、トレーシングイベント検出器が所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視するステップと、トレーシングデータをイベントデータベースに格納するステップであって、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるステップとを備える方法に関することができる。
【0010】
この方法により、スマートカード集団の一部におけるトレーシングイベントの生成に基づく所定の数のトレーシング実験の実行、このようなトレーシングイベントの検出、およびそれに続く、トレーシングイベントに関連付けられるデータの格納が可能になる。知られているトレーシングスキームとは異なり、この方法によりスマートカード内に特別なファームウェアをインストールせずに、スマートカード集団の中の複数の不正スマートカードの識別が可能になる。さらに、この方法によりバッチ処理が可能になる。有料テレビのオペレータは、トレーシングデータをローカルに生成し、続いて分析のためにこれらのトレーシングデータを別の相手に送信できる。
【0011】
一実施形態では、それぞれのセキュアモジュールを一意の識別子、好ましくはランダム化された一意の識別子に関連付けることができる。ランダム性は、識別子内の情報がスマートカード集団にわたって平等に配信されるという利点を提供できる。
【0012】
一実施形態では、前記トレーシングイベントメッセージを、共通情報においてセキュアモジュールの前記集団に送信できる。一般的に共通情報は2〜10秒ごとにスマートカード集団に伝送されるので、トレーシングデータを迅速に生成できるようになり、それぞれの共通情報は1つのトレーシング実験を生成できる。したがって、限定受信システムにおける暗号化期間が速いほど、それだけ速くスマートカードの不正使用をトレースできる。他の実施形態では、前記トレーシングイベントメッセージを、個別情報においてセキュアモジュールの前記集団に送信できる。
【0013】
他の実施形態では、方法は、イベント情報、好ましくはランダム化された(バイナリ)イベント情報に基づいて、前記イベントメッセージ内、および前記セキュアモジュール、好ましくは前記イベントメッセージ内のイベント情報が前記一意の識別子の少なくとも一部と一致するとトレーシングイベントを生成する前記セキュアモジュールに関連付けられる一意の識別子の少なくとも一部に、トレーシングイベント生成するセキュアモジュールをさらに備える。
【0014】
この実施形態では、イベントメッセージ(たとえばECM)でスマートカードに送信されたイベント情報を、スマートカードに関連付けられる一意の識別子の少なくとも一部と照合することによって、スマートカード内にトレーシングイベントが生成される。たとえば、ターゲットのスマートカードを識別して、トレーシングイベントを生成するかどうかを決定するために、一意のランダムビットシーケンス、またはEMMでスマートカードに送信されたキーのランダムシーケンスを備えるマーカーを使用できる。イベントを生成するための決定は、たとえば一意の識別子の一部をイベント情報の一部(たとえば、ビット位置のビット値、またはECMページの修正されたシーケンス)に一致させることに関連することができる。たとえば、上述のバイナリイベント情報は、少なくとも1つのバイナリランダムイベントトリガ値(DTV)と、少なくとも1つのランダムな一意の識別子ビット位置値(BPV)、すなわち一意の識別子における一定のビット位置を示すための値を備えることができる。
【0015】
他の実施形態では、前記トレーシングイベントメッセージ内の前記イベント情報は、前記セキュアモジュール内でイベント生成関数を実行する命令を備えることができ、または前記トレーシングイベントメッセージ内の前記イベント情報は、前記セキュアモジュール内にトレーシングイベントを誘導する。
【0016】
一実施形態では、方法は、前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機への制御語の供給における攪乱、好ましくは前記受信機への制御語の供給における遅延を生成するステップと、前記トレーシングイベント検出器が、前記受信機に伝送される制御語ストリームを監視するステップと、前記制御語ストリーム内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備えることができる。したがって本発明により、非常に小さい検出可能な攪乱を、たとえば遅延の形式で制御語供給において生成できるようになる。このような検出可能なトレーシングイベントは、このようなトレーシングイベントが正規の利用者に悪影響を及ぼさず、一方でそれと同時にこのようなイベントを敵対者により検出することが大変難しいという利点を提供する。本発明により、非常に大量の実験を実行する際に測定トレーシングイベントにおけるエラーが平均されると、トレーシングイベントは非常に小さい検出可能な信号になることができる。
【0017】
他の実施形態では、方法は、前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機の出力に攪乱、好ましくはウォーターマークを生成するステップと、前記トレーシングイベント検出器が前記受信機の出力信号を監視するステップと、前記出力信号内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備えることができる。したがって、トレーシングイベントは検出器の出力における攪乱にも関連することができる。
【0018】
他の態様では、本発明は、上述の方法によって生成されたトレーシングデータに基づいて、セキュアモジュールの集団の中の不正セキュアモジュールをトレースする方法に関することができる。方法は、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するステップと、前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するステップとを備えることができる。この方法により、以前に生成されたトレーシングデータの後処理によって、不正スマートカードを識別できるようになる。
【0019】
一実施形態では、前記イベントデータに格納されたトレーシング実験ごとに、方法は、イベント情報およびイベント検出情報を提供するステップと、前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合するステップと、一致が見つかったそれぞれの一意の識別子にペナルティポイントを割り振るステップと、それぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて、1つまたは複数の不正セキュアモジュールを識別するステップとを備えることができる。トレーシングデータの統計的分析により、スマートカード集団の中の複数の不正スマートカードが識別できるようになる。さらに、分析はフォールトプルーフなので、測定されたデータ内のエラーは平均されうる。
【0020】
さらなる態様では、本発明は、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのシステムであって、前記セキュアモジュールを限定受信システムから発生するスクランブルされたデータを受信するように構成することができ、および前記不正セキュアモジュールを、制御語を制御語共有ネットワークに不正供給するように構成することができ、前記システムが、セキュアモジュールの前記集団に所定の数のトレーシング実験を開始するための、および限定受信システムにおける限定受信データ送信機に、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用されるセキュアモジュールの前記集団にイベントメッセージを送信するよう命令するためのイベントジェネレータと、前記少なくとも1つのトレーシングイベントメッセージを受信するように構成された、少なくとも1つのトレーシングイベント検出器とを備えることができ、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベースに格納するために、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるシステムに関することができる。
【0021】
一実施形態では、システムは、前記イベントデータベースに格納されたトレーシングデータに基づいてセキュアモジュールの前記集団の中の1つまたは複数の不正セキュアモジュールを識別するためのデータアナライザをさらに備えることができ、前記データアナライザは、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するように構成されており、前記データアナライザは、前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するように構成されている。
【0022】
さらなる態様では、本発明は、上述のトレーシングシステムで使用するための限定受信データ送信機、好ましくはヘッドエンドであって、イベントジェネレータから命令を受信して、イベントメッセージを好ましくは暗号化されたメッセージで、より好ましくは共通情報および/または個別情報で、セキュアモジュールの前記集団に送信するように構成されてよく、前記トレーシングイベントメッセージ内のイベント情報は、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用される限定受信データ送信機に関することができる。
【0023】
一態様では、本発明は、上述のトレーシングシステムで使用するためのトレーシングイベント検出器であって、前記少なくとも1つのトレーシングイベントメッセージを受信するように構成されてよく、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、また、イベントデータベースにトレーシングデータを格納するために、前記トレーシングデータが、前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるトレーシングイベント検出器に関することができる。
【0024】
他の態様では、本発明は、上述のトレーシングシステムで使用するためのデータアナライザであって、前記イベントデータに格納されたトレーシング実験を処理するように構成されてよく、前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合して、照合が見つかったそれぞれの一意の識別子にペナルティポイントを割り振り、およびそれぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて1つまたは複数の不正セキュアモジュールを識別するためにイベント情報およびイベントトリガ情報を提供するように構成されてよいデータアナライザに関することができる。
【0025】
他の態様では、本発明は、上述のトレーシングシステムで使用するためのセキュアモジュール、好ましくはスマートカードであって、少なくとも1つのトレーシングイベント生成機能を備えることができ、前記機能はトレーシングイベントメッセージにおいて前記セキュアモジュールに送信されるイベント情報によって命令されている、セキュアモジュールに関することができる。
【0026】
本発明は、1つまたは複数のコンピュータ上で実行する際に、上述のようにトレーシングデータを生成するための方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータを生成するためのコンピュータプログラム製品、または、1つまたは複数のコンピュータ上で実行する際に、上述の方法によって生成されたトレーシングデータに基づいてセキュアモジュールの集団の中の不正セキュアモジュールをトレースするための方法を実行するように構成されたソフトウェアコード部分を備えるコンピュータプログラム製品にも関する。
【0027】
本発明による実施形態を概略的に示す添付の図面を参照して、本発明をさらに説明する。本発明は決してこれらの特定の実施形態に限定されないことが理解されよう。
【図面の簡単な説明】
【0028】
【図1】本発明の一実施形態によるトレーシングシステムを備える限定受信システムを概略的に示す図である。
【図2】本発明の一実施形態によるトレーシングデータを生成するための処理を示す図である。
【図3】本発明の一実施形態による一意の識別子データベースレイアウトの概略を示す図である。
【図4】本発明の一実施形態によるスマートカード集団の中の不正使用を識別する処理を示す図である。
【図5】本発明の他の実施形態によるトレーシングデータを生成するための方法を示す図である。
【発明を実施するための形態】
【0029】
図1は、本発明の一実施形態によるトレーシングシステムを備える限定受信システム(CAS)100の概略図である。CASシステムは、1つまたは複数のブロードキャストチャネル104を介して限定受信(CA)装置126にスクランブルされたデータストリームをブロードキャストする、ヘッドエンドと呼ばれることもある、限定受信データ送信システム102を備えることができる。CA装置はセットトップボックスおよび/またはモバイル限定受信端末に関することができる。一般的にヘッドエンドは、利用者に関連付けられる多数のCA装置に、オペレータによって提供されるコンテンツサービスをブロードキャストしている。一般的に、CASシステムによって提供されたサービスは、ライブブロードキャストサービス、コンテンツまたはビデオオンデマンド(VoD)、あるいはたとえばネットワークパーソナルビデオレコーダ(NPVR)を使用するコンテンツ再生サービスを含むことができる。
【0030】
これらのコンテンツサービスへの不正アクセスを防ぐために、ヘッドエンドはスクランブルされたデータストリーム110、たとえばMPEG-2トランスポートストリーム、またはマルチプログラムトランスポートストリーム内のコンテンツを、秘密キー情報を使用してデータストリームをデスクランブルするように構成されたCA装置に伝送するように構成されている。
【0031】
ヘッドエンド内のマルチプレクサ/スクランブラ114は、暗号キー(通常は制御語、または略してCWと呼ばれる)に基づいてスクランブル化された様々なコンテンツストリーム108をデータストリームに多重化できる。コンテンツストリームは、テレビ番組および/または他のマルチメディア情報などのコンテンツを備えるサービスストリームのエレメンタリストリームを備えることができる。スクランブルされたデータストリームは、トランスポートストリーム(TS)パケットを備えるトランスポートストリームに関することができ、それぞれのトランスポートパケットはヘッダおよびスクランブルされたペイロードを有し、ペイロードは特定のエレメンタリストリームからのデータのユニットを備える。コンテンツおよびフォーマット(たとえばHDTV)に応じて、一般的に1つの伝送周波数に関連付けられるMPEGタイプのマルチサービストランスポートストリームは、ほぼ所定の数(約10)のテレビチャネルを備えることができる。有料テレビオペレータサービスパッケージは一般的に10以上のテレビチャネルを含むため、すべてのサービスチャネルをブロードキャストするために、異なる伝送周波数におけるいくつかの別々のマルチサービストランスポートストリームが使用される。
【0032】
スクランブルされたデータのCA装置への供給は、CA制御システム116によって制御されうる。CA制御システムは、CWを定期的に生成するための制御語ジェネレータ(CWG)118を備えることができ、スクランブリングアルゴリズムを使用してデータパケットのペイロードをスクランブルするためにマルチプレクサ/スクランブラ114によって使用される。一般的なアルゴリズムは、DVB-共通スクランブリングアルゴリズム(DVB-CSA)、データ暗号化規格(DES)、および高度暗号化規格(AES)を含むことができる。CWは所定の期間(通常、暗号化期間と呼ばれる)のみ有効である。一般的に、約1から10秒の範囲内の長さの暗号化期間が使用される。
【0033】
ヘッドエンドは、スクランブルされたデータストリームのペイロードにおいて搬送されるサービスに関連付けられるメタデータ(たとえばPAT、PMT)をCA装置126に提供できる。TSパケットのヘッダ内の情報、たとえばPID値およびスクランブリング(奇数/偶数)ステータスビットは、TSパケットペイロードをデスクランブルするための適切なCWを選択するためにCA装置によって使用されうる。
【0034】
さらに、ヘッドエンドはトランスポートストリーム内のサービスの使用権に関する情報を個別情報(EMM)においてCA装置に送信できる。このようなEMMは、CA制御システム内のEMMジェネレータ(EMMG)120によって生成されうる。EMMは、1つまたは複数のより高レベルのプロダクトキーPK(サービスキーと呼ばれこともある)をCA装置のセキュアモジュールに搬送するためにさらに使用される。プロダクトキーは、CWを回復させるためのECMを解読するためにセキュアモジュールによって使用される。セキュリティ上の理由から、サービスキーは定期的(たとえば1〜10日ごと)にリフレッシュされうる。
【0035】
CA制御システムは、CWGに接続された共通情報ジェネレータ(ECMG)122をさらに備える。ECMGはプロダクトキーPKの下でCWを暗号化して、暗号化された形式でCWを搬送する共通情報(ECM)を生成する。ECMは、スクランブルされたデータストリームとともにCA装置に伝送される。同期装置124は、スクランブルされたデータストリーム内の暗号化期間に関連するECMプレイアウトを同期できる。一実施形態では、このような同期装置は、ETSI TS 103197 v 1.4.1に記載されたサイマルクリプト同期装置(SCS)に関連することができる。
【0036】
一般的にヘッドエンドは、MPEG-2規格(国際規格ISO/IEC 13818-1)に従って、地上、衛星、またはケーブルブロードキャストシステムを介してトランスポートストリーム(TS)パケットを伝送するために採用されているが、本明細書で概説する方法およびシステムは、ブロードキャスティング、マルチキャスティング、または2地点間伝送技法を使用して、スクランブルされたコンテンツをインターネットプロトコル(IP)パケットで受信機に提供するためにも採用されうる。
【0037】
CA装置126は、ヘッドエンドによって伝送されたスクランブルされたデータストリームをデスクランブルするように構成されている。それぞれのCA装置は、セキュアインターフェースを介して少なくとも1つのセキュアモジュール130に接続された受信機128を備えることができる。このようなセキュアモジュールは、セキュアハードウェアモジュール、たとえばスマートカードでもよく、セキュアソフトウェアモジュールでもよい。受信機は、トランスポートストリームからEMMおよびECM134をフィルタリングして取り出すためのフィルタ132を備える。続いて、スマートカード内のプロセッサ136が、フィルタに通されたECMをスマートカードのセキュアメモリ138に格納されたプロダクトキーを使用して解読し、続いてCW140を受信機内のデスクランブラ142に返し、デスクランブラ142は、CWを使用して、表示装置のために信号144を生成するためのコンテンツデコーダによってさらに処理されたスクランブルされたデータパケットをデスクランブルする。
【0038】
図1は1つのCA装置だけを示しているが、実際にはCASシステムは多数のCA装置にサービスをブロードキャストできる。このような集団は非常に多数のCA装置を備えることができ、それぞれが、オペレータによって提供される限定受信サービスのすべて、または少なくとも一部の契約に関連付けられるスマートカードを備える。集団の中の1つまたは複数のCA装置は、スマートカードによって生成されたCWなどの解読情報への不正アクセスを実現するために改ざんされうる。スマートカードと受信機との間のインターフェース146をタッピングすることによって、不正アクセスが実現する場合がある。
【0039】
改ざんされたCA装置は、CWサーバ152、セキュアCW配信インフラストラクチャ149(ネットワーク)、および不正受信機153をさらに含みうる不正CW共有システム148の一部である場合がある。一般的に、このようなCW共有システムは、CWを不正受信機に提供するためにいくつかの改ざんされたCA装置を使用できる。
【0040】
改ざんされたCA装置126は、共有モジュール147を備え、タップされたCW140をCWサーバ152のための入力ストリーム150に変換することができる。CWサーバは、改ざんされたCA装置から発生するCWを使用してCWストリームを形成するように構成されうる。このような形成は、たとえば、所定のアルゴリズムに基づいて、改ざんされたCA装置によって生成された異なるCW信号間でスイッチすることによって実現できる。
【0041】
CWサーバはこのように形成されたCWストリームを、不正CW共有ネットワークに接続された1つまたは複数の不正受信機153に送信できる。これらの不正受信機はCA装置、再プログラム可能TV受信機、またはコンピュータ上で実行しているアプリケーションに関連する場合がある。不正受信機内のデスクランブラ154は、不正CW共有ネットワークから発生するCW156を使用して、トランスポートストリーム110内のスクランブルされたデータをデスクランブルできる。
【0042】
オペレータが1つまたは複数のCA装置の不正使用の存在に気付くと、オペレータは正規の利用者に悪影響を及ぼさない方法でこれらの不正CA装置126を識別したいかもしれない。そのためには、CASシステムは、CA装置の集団の中の改ざんされたCA装置をトレースするために、トレーシングシステム158を備えるか、トレーシングシステム158に接続することができる。トレーシングシステムは、CA装置集団の選択可能なサブセット内に検出可能なトレーシングイベントを誘導することによって、改ざんされた、または少なくとも疑わしいCA装置をトレースするように構成されうる。
【0043】
以下の目的のために、トレーシングイベントは、不正受信機に送信されたCW信号内に検出可能な信号を生成するイベントと定義される。トレーシングイベントは、改ざんされたスマートカードによってCA共有ネットワークに送信されたデータストリームのうちの1つ、一般的にはCWストリーム146における特定のデータ、異常なデータピース、および/またはデータ構造のタイミングにおける偏差などの、小さな攪乱に関連することができる。このような形式では、トレーシングイベントは、他のソースから発生するエラーおよび/またはグリッチと区別できない(または、少なくとも非常に区別が難しい)。したがって、このようなトレーシングイベントは敵対者による検出が非常に難しく、ユーザ、特に正規ユーザには不可視である。一般的に、トレーシングイベントに関連付けられる偏差および/またはエラーは、一般的なCA装置の許容できる信号処理マージン内に収まるように構成されている。あるいは、トレーシングイベントは、限定受信装置内のエラー処理手順によって対処されうるエラーをトリガすることができる。したがって、スマートカードおよびCA装置内の関連電子装置は、スマートカードの正規利用者によってこれらのトレーシングイベントが観測できないように、これらのトレーシングイベントを処理できる。
【0044】
トレーシングシステム158はヘッドエンド内にトレーシングイベントジェネレータ160を、および、不正CW共有ネットワーク148からCWを受信するように構成された、少なくとも1つの不正受信機153に関連付けられるイベント検出器162を備えることができる。トレーシングイベントジェネレータは制御メッセージ170を使用して、CA制御システムに1つまたは複数のトレーシングイベントをCA装置集団の選択可能なサブセット内に生成するように命令できる。CA装置の選択されたサブセットの中に改ざんされたCA装置がある場合、トレーシングイベント、たとえばCW供給における遅延は、改ざんされたCA装置から発生するCWストリーム150において検出可能な場合がある。この場合、トレーシングイベントはイベント検出器162によって検出されうる。トレーシングイベントジェネレータは、172で、検出トリガおよび検出期間、すなわちトレーシングイベントが検出されうる期間を、イベント検出器162に信号で伝えることもできる。あるいは、および/またはそれに加えて、検出トリガおよび/または検出期間が、CA装置およびイベント検出器にブロードキャストされるECMに挿入されうる。
【0045】
一実施形態では、トレーシングシステムは、スマートカード内にCWの供給における検出可能な遅延の形式でトレーシングイベントを生成できる。このようなトレーシングイベントは様々な方法で実現できる。
【0046】
一実施形態では、トレーシングイベントは、スマートカード内のプロセッサ136に、解読されたCWを受信機内のデスクランブラに伝送するタイミングを遅らせるよう(一定の範囲内で)命令することによって導入されうる。このような遅延は、CWをデスクランブラに送信する前に、1つまたは複数のCWを一時的にバッファリングすることによって実現できる。
【0047】
トレーシングイベントは、データストリーム110を介してスマートカードに送信されたイベントメッセージに基づいてトリガされうる。たとえば、一実施形態では、イベントジェネレータはECMGに、スマートカード集団に送信されたECMにイベントメッセージを挿入するよう命令できる。
【0048】
一実施形態では、このようなイベントメッセージは、スマートカードに1つまたは複数のイベントパラメータに基づいてイベントを導入する命令を備えることができる。スマートカード内でトリガされた遅延は100ミリ秒から500ミリ秒の間の範囲内でよく、すなわち、イベント検出器によって測定するには十分に大きく、ほぼ数秒程度であるデスクランブリングプロセッサの処理マージン内に収まるには十分に小さい。ランダムに導入されると、トレーシングシステムによって生成されたこのような遅延は、ネットワーク、ヘッドエンド、またはCA装置内の他のソースによって導入された他のタイプの遅延との区別が非常に難しい。
【0049】
不正受信機に接続されたイベント検出器162は、デスクランブラへのCW供給における小さい攪乱を測定するように構成されうる。そのために、イベント検出器は、たとえばCWストリーム156および/または不正受信機153の出力信号163を調べるための、ならびに検出信号157を生成するための、1つまたは複数のセンサ155を備えることができる。
【0050】
トレーシング処理の間、イベント検出器は時々「失敗」、すなわちイベントジェネレータ以外の影響による結果を測定できる。したがって、トレーシングシステムが、このような測定失敗がトレーシングシステムの結果に影響を及ぼさないという意味でフォールトトラレントであることが望ましい。さらに、イベント検出器162によって測定されたトレーシングイベントに基づいて、トレーシングシステムはスマートカード集団の中のスマートカード、特に不正スマートカードを識別できるべきである。
【0051】
そのために、トレーシングシステムは、スマートカード集団の中のそれぞれのスマートカードを一意の識別子と関連付けるように構成されうる。一実施形態では、このような一意の識別子は、情報ピースのランダム化されたシーケンス、たとえば所定の長さNのビットのシーケンス、またはサービスキーのランダム化されたシーケンスを備えることができる。一意の識別子は、所定の関数FMに基づいて、たとえば個人データ、すなわちスマートカードのシリアルナンバー、チップセットのシリアルナンバー、および/または秘密キーKMを入力パラメータとして使用して生成されうる。関数はDESおよび/またはハッシュ関数と関連することができる。
【0052】
一意の識別子のランダム特性により、識別子内の情報がスマートカード集団にわたって平等に配信されることが確実になる。たとえば、FMは一意の識別子の約50%におけるそれぞれのビットフィールドが1つのビット値(「1」)を備え、他の50%がゼロビット値(「0」)を備えるように、一意の識別子を生成するように構成されうる。このような特性は、ターゲットであるスマートカードの約50%においてトレーシングイベントを生成するために、トレーシングシステムによって使用されうる。さらに、ランダム性により、トレーシング処理を敵対者から効果的に隠すことができる。イベントジェネレータは、このような一意の識別子をそれぞれのスマートカードに配信するように、または関数FMをすべてのスマートカードに配信するようにヘッドエンドに命令して、スマートカードがヘッドエンド内で計算された識別子と同一である自身の一意の識別子を計算できるようにする。
【0053】
CA制御システムは、EMMGによって生成されたEMMを使用して、それぞれのスマートカードにこのような一意のランダム化された識別子を送信できる。このように、トレーシングシステムはスマートカード集団の中のそれぞれのスマートカードを(疑似)ランダムな一意の識別子と関連付けることができる。一実施形態では、一意の識別子は、通常のオペレータ利用のためのスマートカード内のメモリフィールドに格納されうる。このようなフィールドにおいて、一部は通常のオペレータ利用に割り振られ、他の部分は一意の識別子のフィールドとして割り振られ、トレーシングの目的でトレーシングシステムによって使用されうる。
【0054】
トレーシングシステムは、スマートカード集団の中の不正スマートカードをトレースして識別するために、スマートカードに関連付けられる一意の識別子を使用できる。トレーシングシステムは、トレーシングデータを生成するための処理を実行でき(測定段階)、トレーシングデータはスマートカードの集団の中のそれぞれのスマートカードにイベントメッセージを送信することによって生成される。測定段階では、所定の数の実験が行われる。それぞれの実験において、あらかじめ選択されたスマートカード集団の中のそれぞれのスマートカードにトレーシングメッセージが送信され、イベントメッセージ内のイベント情報に基づいて、スマートカード集団の中のスマートカードの一部がトレーシングイベントを生成することになる。イベントを生成しているスマートカードの中に不正スマートカードがある場合、その不正スマートカードに関連付けられる制御語配信ネットワークに接続されたイベント検出器がイベントを検出する。イベントデータベース内にイベントが検出されたか否かという情報とともにイベント情報を格納しているイベント検出器によって、実験が終了する。こうして所定の数の実験がトレーシングシステムよって実行され、それぞれの実験ごとに、スマートカード集団に送信されたイベントメッセージ内の新しいイベント情報が、スマートカード集団の異なる部分にトレーシングイベントを生成させる。したがってそれぞれの実験は、イベント情報、および後続のトレーシングイベントの検出、またはトレーシングイベントが存在しないことによって定義される。
【0055】
測定段階の間に生成されたトレーシングデータは、イベントデータベース166に格納されうる。後続のデータ分析段階において、測定段階の間に収集されたトレーシングデータがイベントアナライザ168によって分析される。一実施形態では、統計的分析を使用して、1つまたは複数の「疑わしい」スマートカードが識別されうる。他の形式では、分析されたデータの結果が、以前のトレーシング方法において識別されたスマートカードのセットをターゲットとしたさらなるトレーシング処理を実行するための入力である場合がある。こうして、反復方法で不正スマートカードを識別できる。
【0056】
したがって、本発明によるトレーシングシステムは、スマートカード集団の中のどのスマートカードが無許可で使用されているか識別するために、識別子、特に均一に配信された識別子を使用できる。さらに、システムは不正スマートカードを識別するために統計的分析を使用できる。トレーシング方法が小さな攪乱、たとえば搬送タイミングパラメータにおける小さな変化と協働できるので、正規の利用者に影響を及ぼさずにトレースすることが可能である。さらに、バイナリサーチスキームに基づく、知られているトレーシングシステムと異なり、本発明によるトレーシングシステムは、スマートカード集団の中の複数の不正スマートカードのトレーシングおよび識別をサポートするという意味で耐衝突性がある。さらに、トレーシング処理は自動化に適しており、および/または別々のデータ測定(収集)段階およびデータ分析段階を許容するという意味で、使用に際して非常に汎用性がある。したがって、データは第1パーティによって生成されて分析のために第2パーティに送信されうる。さらに、トレーシングシステムは正規スマートカード、すなわち本発明によるトレーシングを許容するために特別なファームウェアアップデートを必要としないスマートカードで使用されうる。本発明によるトレーシングシステムに関連付けられる諸利点は、図2〜6を参照すればより明らかになるであろう。
【0057】
測定段階を開始すると、トレーシングイベントジェネレータは、ヘッドエンドによってスマートカード集団に送信されたECM内にトレーシングイベントメッセージを含むことを開始するようECMGに命令できる。トレーシングイベントメッセージ内のイベント情報は、スマートカードに特別なタイプのトレーシングイベント、たとえばCW供給における検出可能な遅延を生成するよう命令するための命令を備えることができる。そのために、スマートカードは、このようなトレーシングイベントを生成するための一定のトレーシングイベント生成機能を備えることができる。トレーシングイベントメッセージ内のトレーシングイベントターゲット情報に基づいて一定の条件が満たされる場合、トレーシングイベントはスマートカードによって生成されうる。あるいは、トレーシングイベントメッセージ内のイベント情報は、スマートカードのファームウェア内の既に存在している機能に基づいてスマートカード内にトレーシングイベントを誘導することができる。両ケースを以下で説明する。
【0058】
図2は、本発明の一実施形態によるイベントデータ200を生成する処理を示している。この実施形態では、上述のようにすべてのスマートカードがスマートカードのメモリに格納された一意の識別子で構成されていると仮定される。さらに、この実施形態では、スマートカード集団の中のスマートカードは、トレーシングイベントメッセージを使用してヘッドエンドによってトリガされうる、専用トレーシングイベント生成機能をスマートカード内に備える。
【0059】
処理は、所定の数の実験を備えるトレーシング処理を開始するようECMGに命令しているトレーシングイベントジェネレータによって開始できる(ステップ202)。それに応じて、ECMGはトレーシングイベントコマンドおよびトレーシングイベントターゲット情報を備えるトレーシングイベントメッセージを生成できる(ステップ204)。トレーシングイベントターゲット情報は、ランダム化されたパラメータ、すなわち少なくとも1つのバイナリランダムイベントトリガ値(DTV)、および少なくとも1つのランダムな一意の識別子ビット位置値(BPV)(すなわち、一意の識別子における一定のビット位置を示すための値)を備えることができる。続いて、イベント情報がECMに挿入されて、スマートカードにブロードキャストされる(ステップ206)。
【0060】
このようなトレーシングイベントメッセージを備えるECMを受信すると、トレーシングイベント生成機能がトリガされうる。この機能は、トレーシングイベントの生成を決定するために、トレーシングイベントメッセージ内のイベント情報、すなわちスマートカードの一意の識別子の値におけるビット位置のビット値BPVを使用できる。DTVビット値が決定されたビット値と一致すると、改ざんされたCA装置内のCW供給における遅延が生成されうる(ステップ208)。したがって、このようにスマートカードは、トレーシングイベントを生成するかどうかを決定するために、ECM内のトレーシングイベントターゲット情報、およびスマートカード内の一意の識別子を使用する。したがってトレーシングイベントの生成は、トレーシングイベントターゲット情報の一部が一意の識別子の一部と一致するという表示を提供する。
【0061】
不正受信機に接続されたイベント検出器は、データストリーム110内のECM内のトレーシングイベントメッセージからトレーシングイベントターゲット情報を受信して、共有ネットワークに関連付けられる1つまたは複数の不正スマートカード153がトレーシングイベントを生成したかどうかを測定できる(ステップ210)。所定の時間、たとえばトレーシングイベントメッセージを含むECMの暗号化期間内にトレーシングイベントが検出されると、イベント検出器はイベントが測定されたことを示すイベントトリガ情報とともにトレーシングイベントターゲット情報をイベントデータベースに格納できる(ステップ212)。
【0062】
トレーシングデータを格納する他の方法も可能である。たとえば一実施形態では、イベント検出器はトレーシングイベントターゲット情報を異なるリスト内に格納できる。たとえば、検出されたトレーシングイベントに関連付けられるトレーシングイベントターゲット情報が、イベントトリガリストに格納され、トレーシングイベントの不検出に関連付けられるイベントターゲット情報がイベントなしトリガリストに格納されうる。
【0063】
したがって、上記より、トレーシングイベントによってトレーシングシステムが不正スマートカードの一意の識別子値に関連付けられる情報のピース(すなわち、1つまたは複数のビット位置の1つまたは複数のビット値)を取得できるという結果になる。
【0064】
この処理は、所定の数の実験(たとえば、暗号化期間ごとに1つの実験の割合で実行される)に到達するまで、ECMGによって繰り返される(ステップ218)。トレーシング処理における後続の実験ごとに、ECMGは、新しいイベント情報、たとえば新しいDTVおよび新しいBPVを備える新しいイベントメッセージを生成する。BPVは、(できるだけ)検出可能なトレーシングイベントを生成するために毎回新しいビット位置値が使用されるように選択される。一意の識別子内のビット数と比べてかなり多数の実験を使用することによって、測定「失敗」、すなわちトレーシングイベントメッセージによってトリガされないトレーシングイベントが平均されうる。このように、測定段階の最後に、出力イベント検出器はトレーシングデータ、特にトリガ情報に関連付けられるトレーシングイベントターゲット情報を備えるイベントデータベースを備える。イベントデータベース内のデータの分析によって不正スマートカードの識別ができるようになる。
【0065】
図3および4を参照してデータ分析段階をより詳細に説明する。この段階では、イベントアナライザ168はイベントデータベース内のデータの分析を開始できる。そのために、イベントアナライザはまずスマートカード集団に関連付けられる一意の識別子を備える一意の識別子データベースを生成できる。一意の識別子データベースは、たとえばスマートカードシリアルナンバーおよび秘密キーKMを入力パラメータとして使用して、一意の識別子生成関数FMに基づいて生成されうる。あるいは、ヘッドエンドによってイベントアナライザに一意の識別子のリストが提供されうる。さらに、イベントアナライザはカウンタをそれぞれの一意の識別子値に関連付けることができる。
【0066】
本発明の一実施形態による単純な識別子データベースレイアウト300の例が、図3に示されている。関数FMに基づいて生成されると、スマートカード集団3021〜302M内のMの一意の識別子値に関連付けられる所定の長さNのビットシーケンスによって、一意の識別子データベースが形成されうる。データベースはビット値3041〜304NのN個の列を備え、列i304iはビット位置iのそれぞれの一意の識別子値のビット値を表す。位置N+1の最後の列は「カウンタ」3061〜306Mを備え、それぞれのカウンタは一意の識別子値に関連付けられる。
【0067】
図4は、本発明の一実施形態によるスマートカード集団の中の不正スマートカードを識別する処理を示している。識別処理は、一意の識別子およびイベントデータベース内のトレーシングデータを使用してイベントアナライザによって実行されうる。最初のステップ402で、イベントアナライザは、イベントデータベースから所定の数のトレーシング実験に関連付けられるトレーシングデータを取り出すことができる。このようなトレーシングデータは、トレーシングイベントターゲット情報(たとえばDTVビット値およびBPV値)および関連イベントトリガ情報(たとえばイベントが検出された/イベントが全く検出されなかった)を備えることができる。
【0068】
検出されたイベントに関連付けられるトレーシングイベントターゲット情報には、スマートカード内の一致条件が有益である。このような一致条件は、一意の識別子の所定の部分に一致するイベント情報に関連する場合がある。たとえば、一致条件は、スマートカード集団の中の1つまたは複数の不正スマートカードのうちの1つからの一意の識別子値のビット位置のバイナリ値BPVに一致するDTVビット値に関連する場合がある。したがって、イベント情報は情報のピース、たとえば不正スマートカード内の一意の識別子フィールドの特定のビットフィールド内のビット値を備える。このように、イベントデータベースに格納されたトレーシングデータ内のイベント情報に基づいて、不正スマートカードの一意の識別子値を再構築するために統計的分析が使用されうる。一致が見つかった場合、一意の識別子値の集団にペナルティポイントを割り振ることによって、再構築が実現されうる。
【0069】
一致は、一意の識別子データベース内の一意の識別子のリスト内のビット位置のビット値を一致させるBPVによって決定されたビット位置のビット値に関連する場合がある(ステップ404)。たとえば、一致に関連するイベント情報がDTVビット値0およびBPVビット位置値4を備える場合、イベントアナライザは、ビット位置4に「0」ビット値を備える一意の識別子データベース内のすべての一意の識別子値にペナルティポイントを割り振ることができる。それぞれの割り振られたペナルティポイントは、一意の識別子データベースのカウンタフィールドに格納される(ステップ406)。
【0070】
無一致に関連付けられるイベント情報に類似の処理が実行されうる。その場合、BPVによって決されたビット位置のビット値が、一意の識別子データベース内の一意の識別子のリスト内のビット位置のビット値と一致しない一意の識別子値の集団に、ペナルティポイントを割り振ることができる。たとえば、無一致に関連するイベント情報がDTVビット値0およびBPVビット値6を備える場合、イベントアナライザは、ビット位置6に「1」ビット値を備える一意の識別子データベース内のすべての一意の識別子値にペナルティポイントを割り振ることができる。それぞれの割り振られたペナルティポイントは、一意の識別子データベースのカウンタフィールドに格納されうる。この処理は、イベントデータベース内のすべてのイベント情報について繰り返される。
【0071】
上述の処理を使用して、一意の識別子データベース内のそれぞれの一意の識別子値は1つまたは複数のペナルティポイントを受け取ることになる。図3には、分析段階の間の一意の識別子データベースの可能な状態の例が示されている。平均的に、不正スマートカードに関連付けられる一意の識別子値に大部分のポイントが割り振られることになる(図3では、一意の識別子M3およびMM-2)。処理がランダム化されたイベント情報、たとえばDTVビット値、およびランダム化された一意の識別子値、ならびに非常に多数の実験に基づくという事実によって、不正確な測定、たとえばトレーシングシステム以外のソースから発生するが、イベント検出器によってトレーシングシステムに関連付けられるイベントとして認識される遅延が、一意の識別子値の集団全体にわたって広がる。十分に多数の実験を使用すると(それぞれが、イベントメッセージを備える少なくとも1つのそれぞれのECMに関連付けられる)、点線310で表される「ノイズレベル」よりも大いに伸びる「カウンティング信号」312、314がもたらされる。
【0072】
したがって、分析後、ペナルティポイントの最高数、すなわち、一意の識別子データベース内の一意の識別子値に割り振られたペナルティポイントの平均数よりも大幅に高いペナルティポイントの数に関連付けられる一意の識別子値が、不正スマートカードに関連付けられる一意の識別子値と識別されうる(ステップ408)。したがって識別された数の不正スマートカードが、集団の中の不正スマートカードを確実に識別するためにさらに調査されうる。
【0073】
図5は本発明の他の実施形態に関する。この実施形態では、トレーシングイベントは、関連ECMのセットをトレーシングイベントメッセージとして使用してスマートカード内に「誘導」されうる。図2〜4を参照して説明した実施形態とは異なり、スマートカード内に専用のトレーシングイベント生成機能は必要ではない。代わりに、スマートカード内の知られている処理、ECM解読処理を利用してスマートカード内にトレーシングイベントが誘導される。したがって、この実施形態は、正規のスマートカード、すなわち専用のイベント生成機能を備えていないスマートカードを備えるスマートカード集団上でトレーシング方法が使用されうるという利点を提供する。
【0074】
ヘッドエンドは通常、サービスストリーム(たとえばTVプログラム)に関連付けられるECMストリームを生成でき、ECMは、そのサービスストリーム内のデータをデスクランブルするための少なくとも1つのCWを備える。しかしこの実施形態では、ヘッドエンドはいくつかのECMページを備えるECMを生成でき、それぞれのECMページは異なるサービスキー:ECM[{CW}K1,{CW}K2,{CW}K3,...]の下で暗号化されたCWを含む。非限定的な例が図5(a)に示されており、限定受信装置の集団にブロードキャストするためのいくつかのこのようなECMを示している。この例は、ヘッドエンドが3つのスクランブルされたサービスS1、S2、S3、および3つの関連ECMストリームECM Sl、ECM S2、ECM S3をブロードキャストする状況に関し、ECMストリーム内のそれぞれのECMは、4つの異なるプロダクトキーKl、K2、K3、K4の下で解読されたCWを備える。
【0075】
トレーシングシステムが、トレーシング処理を開始するようにヘッドエンドをトリガすると、ヘッドエンド、特にヘッドエンド内のCAコントローラはCA装置にECMを解読するためのプロダクトキーを提供できる。そのために、ヘッドエンドはそれぞれのスマートカードに、サービスをデスクランブルするためのCWを搬送するECMを解読するために使用するべき所定の数のプロダクトキーを割り振ることができる。ヘッドエンドはこれらのキーをそれぞれのスマートカードに準ランダムな方法で割り振ることができる。たとえば、ランダムキー割当ては、スマートカード識別子、たとえばスマートカードシリアルナンバー、および(ランダム)秘密キーKKを入力変数として使用する関数FKに基づくことができる。
【0076】
図5(b)は、集団の中のスマートカードへの可能なキー割当てを示している。たとえば、スマートカード番号iは、サービスストリーム1に関連付けられるECMを解読するためにK2(すなわちキーシーケンスの第1位置のキー)を、サービスストリーム2に関連付けられるECMを解読するためにK2(すなわちキーシーケンスの第2位置のキー)を、およびサービスストリーム3に関連付けられるECMを解読するためにK1(すなわちキーシーケンスの第3位置のキー)を使用するべきである。EMMによって、スマートカード集団の中のそれぞれのCA装置に一意のキー割当てを送信できる。
【0077】
図5(b)に示されたようにキー割当てスキームを使用して、それぞれのスマートカードはサービスキーの一意の(疑似)ランダムシーケンスを提供されうる。通常スマートカード集団は非常に大きいので、それぞれのスマートカードをサービスキーの一意のシーケンスに関連付けるために、サービスの数および/またはECMページの数が増加する場合がある。たとえば、大きなスマートカード集団の中のそれぞれのスマートカードに、たとえば14のサービスおよび4つのプロダクトキーを使用して、一意のランダムサービスキーシーケンスを割り当てることができる。このような割当てスキームを実装する方法は、主に帯域幅考慮によって決定される。したがって、このようなキー割当てスキームによって、集団の中のそれぞれのスマートカードを識別できるようになる。それぞれのスマートカードに、スマートカード識別子、たとえばスマートカードシリアルナンバーに関連することができる、一意のランダムサービスキーシーケンスを割り振ることができる。
【0078】
サービスキーをスマートカードに割り当てた後、それぞれのスマートカードはそのサービスキーシーケンスを受信してセキュアメモリに格納することになる。作動中、スマートカードは図5(a)を参照して説明したフォーマットでECMを受信することになる。スマートカードはトランスポートストリームをフィルタリングしてECMを取り出し、特定のサービスに関連付けられるCWを生成するためにどのECMページを使用するべきか決定できる。
【0079】
たとえば、サービスキーシーケンス[K2、K2、K1]を割り当てられた図5(b)のスマートカードi内のプロセッサは、第1および第2サービスストリームに関連付けられるCWを生成するために、それぞれ第1および第2ECMストリーム内のECMの第2ECMページを、ならびに第3サービスストリームに関連付けられるCWをレンダリングするために第3ECMストリーム内のECMの第1ECMページを使用するべきであると決定できる。続いてスマートカードは、デスクランブラへの実質的に連続および同期したCWストリームを確実にするために、これらのECMページを「ロック」することになる。
【0080】
したがって、ヘッドエンドはトレーシングデータを生成する段階を開始できる。ヘッドエンドは、スマートカードの選択された範囲に検出可能なトレーシングイベントをもたらすような方法でECMを配信することによって、イベントデータの生成を開始できる。一実施形態では、CA装置にブロードキャストする1つまたは複数のECMページのフォーマットにおける(疑似)ランダム変化を導入することによって、トレーシングイベントをトリガできる。たとえば、ヘッドエンドは、図5(a)に示したように、第1サービスに関連付けられるECMストリーム内で第1ECMページを第2ECMページと交換することによってトレーシングイベントメッセージを生成できる。ECMページの修正されたシーケンスを備える第1ECMストリーム内のECMが、スマートカード集団の所定の部分にトレーシングイベントを生成できるスマートカード集団にブロードキャストされる。特に、第1サービスストリームに関連付けられるCWを取り出すために第1または第2ECMページにロックされているスマートカード内にトレーシングイベントを誘導できる。
【0081】
トレーシングイベントメッセージを表すECMページのセット、たとえばECMページが異なるシーケンスであるECMを受信後、スマートカードプロセッサは正しいサービスキーで暗号化されたCWを含むためのECMページを見つける必要がある。この処理はさらなる時間を必要とするので、デスクランブラへのCW供給において、小さいけれども検出可能な遅延(たとえば50〜200ミリ秒)をもたらす。
【0082】
不正受信機に結合されたイベント検出器は、イベントメッセージ(すなわち、再フォーマットされたECMページを備えるECM)を受信して、所定の時間内に遅延が検出されるか否かのモニタリングを開始できる。したがってイベント検出器は、トレーシングイベントが検出されるか否かを示すイベントトリガ情報とともに、トレーシング実験の結果、すなわちイベント情報(すなわち、ECMページの修正されたシーケンスを備えるECM)をイベントデータベースに格納できる。
【0083】
図2を参照して説明した処理と同様に、所定の数の実験が実行されるまでイベントデータを生成する処理が繰り返される。トレーシング処理における後続の実験ごとに、ヘッドエンドは新しいイベントメッセージ、すなわちECMページのシーケンスにおける変化を備えるECMを生成できる。平均で、多数の実験について、スマートカード集団の中のすべてのスマートカードがECMページのシーケンスにおいて変化することがあるように、変化が(疑似)ランダム情報に基づくことが好ましい。測定「失敗」、すなわちトレーシングイベントから発生しない遅延は、この処理において平均されうる。このように、測定段階の最後に、イベント検出器はトレーシングデータで満たされたイベントデータベースを備える。イベントデータベース内のデータの分析によって、不正スマートカードが識別できるようになる。
【0084】
データ分析段階は、図3および4を参照して説明した段階と類似している。この場合、イベントアナライザ168は、ヘッドエンドによってスマートカード集団の中のそれぞれのスマートカードに割り振られた一意のキーシーケンスを備えるキー割当てデータベースの生成を開始できる。キー割当てデータベースは、たとえばスマートカードシリアルナンバー、および(ランダム)秘密キーKKを入力パラメータとして使用して、関数FKに基づいて生成できる。あるいは、割り当てられたキーシーケンスのリストをヘッドエンドによってイベントアナライザに提供できる。さらに、イベントアナライザはカウンタをそれぞれのキーシーケンスに関連付けることができる。
【0085】
イベントアナライザはイベントデータベース内のイベント情報、すなわちサービスキーのシーケンスおよびイベントトリガ情報を取り出すことができる。イベント情報は、トレーシングイベントをもたらしたイベント情報、すなわち、スマートカードプロセッサが使用していたECMページ内の変化を決定したイベント情報に関連することができる。たとえばイベント情報は、図5(a)に示されるような、第1ECMストリーム(第1サービスストリームに関連付けられる)における第1ECMページ(サービスキーK1に関連付けられる)と第2ECMページ(サービスキーK2に関連付けられる)との交換に関連することができる。この場合、イベントアナライザはペナルティポイントを、シーケンス内の第1位置にK1またはK2を備えるキー割当てデータベース内のそれぞれのキーシーケンス(すなわち、第1サービスを解読するためにK1またはK2を使用しているすべてのスマートカード)に割り振ることができる。この処理は、図3および4を参照して説明したのと同様の方法でイベントデータベースに格納されたすべての実験について繰り返すことができる。分析の最後に、最高数のペナルティポイントに関連付けられるキーシーケンスが識別されて、対応する公開のスマートカード識別子、たとえばスマートカードシリアルナンバーに関連付けられる。これらの識別されたスマートカードは、さらなる調査が必要な疑わしいスマートカードと考えられる。
【0086】
本発明から逸脱することなしに、他の実施形態が可能である。たとえば、1つの変形形態では、ECMGは、CWGによって提供されたCWごとに、それぞれが第1キーK1によって暗号化されたCW(ECM[{CW}K1])を備える第1ECMストリーム、および第2キーK2によって暗号化されたCWGによって生成されたCW(ECM[{CW}K2])を備える第2ECMストリームを生成するように構成できる。ヘッドエンド内のシンクロナイザは、スマートカード集団への第1ECMストリームと第2ECMストリームの伝送間に、小さいが検出可能な遅延を導入できる。
【0087】
次いでイベントジェネレータは、遅延した第2ECMストリームを生成して、スマートカード集団の一部、たとえば集団の20%が前記第2ECMストリームから発生するCWを取り出すように命令するイベントメッセージをスマートカード集団の一部に送信することによってトレーシング処理を開始するように、ヘッドエンドに命令できる。スマートカード命令および第2キーK2を備えるこのイベントメッセージは、CA制御システムによってEMMの形式でスマートカード集団の所望の部分に送信されうる。イベントメッセージ、すなわちEMMを受信しているスマートカードは、第1ECMストリームについて小さな検出可能な遅延を備える第2ECMストリームを使用するように命令されることになる。
【0088】
したがって、1つまたは複数の不正スマートカードがトレーシングシステムによってターゲットにされたスマートカード集団の一部に存在する場合、イベント検出器は、第2ECMストリームにおける遅延と相関する、不正な検出器に送信されたCWストリーム内の遅延を検出できる。イベントが検出されると、トレーシングシステムはトレーシングシステムによってターゲットにされたスマートカードにカウンティングポイントを割り当てることができる。この処理は、上述のようにEMMを使用して、ターゲットである異なるグループによって繰り返される。所定の数の実験後、最高数のカウンティングポイントに関連付けられるスマートカードが疑わしいとマークされうる。
【0089】
スクランブラへのCW供給における遅延などの攪乱を導入するトレーシングイベントを参照して本発明を説明したが、他のタイプのトレーシングイベントも予見できる。たとえば、一実施形態では、トレーシングイベントは、ヘッドエンドでコンテンツのピースが、ユーザには見えないが、ユーザに表示されるアナログ信号を監視しているイベント検出器にとって検出可能なように、ある署名を非常に短時間表示している所定の(小さい)グループのピクセルなどの、いくつかの情報でウォーターマークされる、ウォーターマーキング技法に関連することができる。
【0090】
いずれかの実施形態に関連して説明したどのような特徴も単独で、または説明した他の特徴と組み合わせて使用でき、また他のいずれかの実施形態の1つまたは複数の特徴と組み合わせて、または他のいずれかの実施形態のどのような組み合わせでも使用できることが理解されよう。本発明の一実施形態を、コンピュータシステムで使用するためのプログラム製品として実装できる。プログラム製品の(複数の)プログラムが実施形態の機能(本明細書で説明した方法を含む)を定義して、様々なコンピュータ可読記憶メディアに含むことができる。例示的なコンピュータ可読記憶メディアには、これに限定されないが、(i)情報が永久に格納される書込み不能記憶メディア(たとえば、CD-ROMドライブによって読み出し可能なCD-ROMディスクなどのコンピュータ内の読み出し専用メモリ装置、フラッシュメモリ、ROMチップ、または他のタイプのソリッドステート不揮発性半導体メモリ)、および(ii)変更可能な情報が格納される書込み可能記憶メディア(たとえば、ディスケットドライブ内のフロッピー(登録商標)ディスク、ハードディスクドライブ、またはいずれかのタイプのソリッドステートランダムアクセス半導体メモリ)がある。本発明は上述の実施形態に限定されず、添付の特許請求の範囲内で変更可能である。
【符号の説明】
【0091】
100 限定受信システム(CAS)
102 限定受信データ送信システム
104 ブロードキャストチャネル
108 コンテンツストリーム
110 データストリーム
114 マルチプレクサ/スクランブラ
116 CA制御システム
118 制御語ジェネレータ(CWG)
120 EMMジェネレータ(EMG)
122 共通情報ジェネレータ(ECMG)
124 同期装置
126 限定受信(CA)装置
128 受信機
130 セキュアモジュール
132 フィルタ
136 プロセッサ
138 セキュアメモリ
140 CW
142 デスクランブラ
144 信号
146 インターフェース
147 共有モジュール
148 不正CW共有システム
149 セキュアCW配信インフラストラクチャ
150 入力ストリーム
152 CWサーバ
153 不正受信機
154 デスクランブラ
155 センサ
156 CW
157 検出信号
158 トレーシングシステム
160 トレーシングイベントジェネレータ
162 イベント検出器
163 出力信号
166 イベントデータベース
168 イベントアナライザ
170 制御メッセージ
200 イベントデータ
300 識別子データベースレイアウト
3021〜302M スマートカード集団
3041〜304N ビット値
3061〜306M カウンタ
312 カウンティング信号
314 カウンティング信号
【技術分野】
【0001】
本発明はセキュアモジュールの不正使用をトレースすることに関し、詳細には、必ずしもそうではないが、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングデータを生成する方法およびシステムと、トレーシングデータに基づいてセキュアモジュールの集団の中の不正セキュアモジュールをトレースする方法と、このようなシステム内および/またはこのようなシステムで使用するためのイベントジェネレータ、限定受信データ送信機、イベント検出器、イベントアナライザ、およびセキュアモジュールと、このような方法を使用するコンピュータプログラム製品とに関する。
【背景技術】
【0002】
デジタルビデオブロードキャスト(DVB)伝送の限定受信システムはよく知られており、有料テレビサービスにおいて広く使用されている。このようなシステムは、1つまたは複数のサービスを備えるブロードキャストストリームのセキュアな伝送を、たとえばセットトップボックスまたはブロードキャストサービスをサポートするモバイル端末内に含まれるデジタル受信機に提供する。ブロードキャストサービスを不正閲覧から保護するために、データパケットは一般に制御語と呼ばれるランダムに生成された暗号キーで、送信機側でスクランブル(暗号化)される。制御語を、一定の期間(いわゆる暗号化期間)のみ有効であるように定期的に変更することによって、さらなるセキュリティを提供できる。この場合、受信機側は暗号化期間ごとに新しい制御語を提供されなければならない。一般的にこれらの制御語は、いわゆる共通情報(ECM)を使用して、暗号化された形式で受信機に伝送される。ECMから制御語を取り出すために、受信機はECMを解読するためのセキュアキーを備えるセキュアモジュール、たとえばスマートカードまたはセキュアソフトウェアモジュールを備えている。
【0003】
サービスを不正閲覧から保護する努力にもかかわらず、敵対者は不正な制御語の配信のために使用される情報を抽出するために、セキュアモジュール、受信機をリバースエンジニアリングしたり、通信インターフェースをモニタリングしたりできる場合がある。この場合、オペレータはスマートカード集団の中の改ざんされたスマートカードを捜し出すためにトレーシングスキームを使用できる。トレーシング方法は知られている。たとえば、米国特許第7,155,611号はバイナリサーチに基づくトレーシング方法を記述しており、この方法では異なるキーをスマートカード集団の中の異なるグループに送信して、敵対者によって生成されたキー情報を監視することによって、反復方法で不正なスマートカードをトレースできる。
【0004】
従来技術に関連する1つの問題は、制御語の不正な再配信には単一の不正スマートカードが使用されるという前提に依存することである。しかし実際には、敵対者は利用者に制御語を提供するためにしばしば複数の不正スマートカードを使用している。たとえば、いくつかの不正スマートカードに接続されたサーバを使用して制御語を再配信できる。このような再配信サーバは、バイナリスキームに基づく、知られているトレーシング方法が適合しなくなるように、あるアルゴリズムを使用して異なるカード間でスイッチできる。この問題を解決する1つの方法は、米国特許出願公開第2000/0323949号に記述された、ウォーターマークされた制御語に基づいてスマートカードを識別できるトレーシングスキームである。
【0005】
しかし、このようなソリューションは、敵対者から発生している制御語ストリームの検査を必要とする。一般的に、このような制御語ストリームはセキュアであり、したがって制御語の分析前にリバースエンジニアリングを求めることが可能である。さらに、このような制御語のウォーターマーキングは、敵対者によって容易に検出されて回避されてしまう。
【0006】
WO2008/023023は、カード識別子と直接関連するマーカーで制御語がマークされる、さらなるトレーシングスキームを記述している。しかし制御語をマークすることは、サービスを処理する間に正規の利用者に悪影響を及ぼし、また敵対者に容易に検出されてしまう。したがって当分野には、正規の利用者に悪影響を及ぼさずに、システムの不正使用に関与しているスマートカードなどのセキュアモジュールをトレースおよび識別できる、改良された方法およびシステムが必要である。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国特許第7,155,611号
【特許文献2】米国特許出願公開第2000/0323949号
【特許文献3】WO2008/023023
【非特許文献】
【0008】
【非特許文献1】ETSI TS 103197 v 1.4.1
【発明の概要】
【課題を解決するための手段】
【0009】
本発明の目的は、知られているトレーシング方法に関連付けられる少なくとも1つまたは複数の欠点を減少または除去することである。第1の態様では、本発明は、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングデータ、好ましくはトレーシングデータを備えるイベントデータベースを生成する方法であって、前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成されてよく、前記方法が、所定の数のトレーシング実験を前記選択された集団に実行するステップを含み、それぞれの前記トレーシング実験が、少なくとも1つのトレーシングイベントメッセージを前記選択された集団の中のそれぞれのセキュアモジュールに送信するステップであって、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために前記トレーシングイベントメッセージ内のイベント情報が使用されるステップと、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、トレーシングイベント検出器が所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視するステップと、トレーシングデータをイベントデータベースに格納するステップであって、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるステップとを備える方法に関することができる。
【0010】
この方法により、スマートカード集団の一部におけるトレーシングイベントの生成に基づく所定の数のトレーシング実験の実行、このようなトレーシングイベントの検出、およびそれに続く、トレーシングイベントに関連付けられるデータの格納が可能になる。知られているトレーシングスキームとは異なり、この方法によりスマートカード内に特別なファームウェアをインストールせずに、スマートカード集団の中の複数の不正スマートカードの識別が可能になる。さらに、この方法によりバッチ処理が可能になる。有料テレビのオペレータは、トレーシングデータをローカルに生成し、続いて分析のためにこれらのトレーシングデータを別の相手に送信できる。
【0011】
一実施形態では、それぞれのセキュアモジュールを一意の識別子、好ましくはランダム化された一意の識別子に関連付けることができる。ランダム性は、識別子内の情報がスマートカード集団にわたって平等に配信されるという利点を提供できる。
【0012】
一実施形態では、前記トレーシングイベントメッセージを、共通情報においてセキュアモジュールの前記集団に送信できる。一般的に共通情報は2〜10秒ごとにスマートカード集団に伝送されるので、トレーシングデータを迅速に生成できるようになり、それぞれの共通情報は1つのトレーシング実験を生成できる。したがって、限定受信システムにおける暗号化期間が速いほど、それだけ速くスマートカードの不正使用をトレースできる。他の実施形態では、前記トレーシングイベントメッセージを、個別情報においてセキュアモジュールの前記集団に送信できる。
【0013】
他の実施形態では、方法は、イベント情報、好ましくはランダム化された(バイナリ)イベント情報に基づいて、前記イベントメッセージ内、および前記セキュアモジュール、好ましくは前記イベントメッセージ内のイベント情報が前記一意の識別子の少なくとも一部と一致するとトレーシングイベントを生成する前記セキュアモジュールに関連付けられる一意の識別子の少なくとも一部に、トレーシングイベント生成するセキュアモジュールをさらに備える。
【0014】
この実施形態では、イベントメッセージ(たとえばECM)でスマートカードに送信されたイベント情報を、スマートカードに関連付けられる一意の識別子の少なくとも一部と照合することによって、スマートカード内にトレーシングイベントが生成される。たとえば、ターゲットのスマートカードを識別して、トレーシングイベントを生成するかどうかを決定するために、一意のランダムビットシーケンス、またはEMMでスマートカードに送信されたキーのランダムシーケンスを備えるマーカーを使用できる。イベントを生成するための決定は、たとえば一意の識別子の一部をイベント情報の一部(たとえば、ビット位置のビット値、またはECMページの修正されたシーケンス)に一致させることに関連することができる。たとえば、上述のバイナリイベント情報は、少なくとも1つのバイナリランダムイベントトリガ値(DTV)と、少なくとも1つのランダムな一意の識別子ビット位置値(BPV)、すなわち一意の識別子における一定のビット位置を示すための値を備えることができる。
【0015】
他の実施形態では、前記トレーシングイベントメッセージ内の前記イベント情報は、前記セキュアモジュール内でイベント生成関数を実行する命令を備えることができ、または前記トレーシングイベントメッセージ内の前記イベント情報は、前記セキュアモジュール内にトレーシングイベントを誘導する。
【0016】
一実施形態では、方法は、前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機への制御語の供給における攪乱、好ましくは前記受信機への制御語の供給における遅延を生成するステップと、前記トレーシングイベント検出器が、前記受信機に伝送される制御語ストリームを監視するステップと、前記制御語ストリーム内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備えることができる。したがって本発明により、非常に小さい検出可能な攪乱を、たとえば遅延の形式で制御語供給において生成できるようになる。このような検出可能なトレーシングイベントは、このようなトレーシングイベントが正規の利用者に悪影響を及ぼさず、一方でそれと同時にこのようなイベントを敵対者により検出することが大変難しいという利点を提供する。本発明により、非常に大量の実験を実行する際に測定トレーシングイベントにおけるエラーが平均されると、トレーシングイベントは非常に小さい検出可能な信号になることができる。
【0017】
他の実施形態では、方法は、前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機の出力に攪乱、好ましくはウォーターマークを生成するステップと、前記トレーシングイベント検出器が前記受信機の出力信号を監視するステップと、前記出力信号内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備えることができる。したがって、トレーシングイベントは検出器の出力における攪乱にも関連することができる。
【0018】
他の態様では、本発明は、上述の方法によって生成されたトレーシングデータに基づいて、セキュアモジュールの集団の中の不正セキュアモジュールをトレースする方法に関することができる。方法は、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するステップと、前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するステップとを備えることができる。この方法により、以前に生成されたトレーシングデータの後処理によって、不正スマートカードを識別できるようになる。
【0019】
一実施形態では、前記イベントデータに格納されたトレーシング実験ごとに、方法は、イベント情報およびイベント検出情報を提供するステップと、前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合するステップと、一致が見つかったそれぞれの一意の識別子にペナルティポイントを割り振るステップと、それぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて、1つまたは複数の不正セキュアモジュールを識別するステップとを備えることができる。トレーシングデータの統計的分析により、スマートカード集団の中の複数の不正スマートカードが識別できるようになる。さらに、分析はフォールトプルーフなので、測定されたデータ内のエラーは平均されうる。
【0020】
さらなる態様では、本発明は、セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのシステムであって、前記セキュアモジュールを限定受信システムから発生するスクランブルされたデータを受信するように構成することができ、および前記不正セキュアモジュールを、制御語を制御語共有ネットワークに不正供給するように構成することができ、前記システムが、セキュアモジュールの前記集団に所定の数のトレーシング実験を開始するための、および限定受信システムにおける限定受信データ送信機に、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用されるセキュアモジュールの前記集団にイベントメッセージを送信するよう命令するためのイベントジェネレータと、前記少なくとも1つのトレーシングイベントメッセージを受信するように構成された、少なくとも1つのトレーシングイベント検出器とを備えることができ、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベースに格納するために、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるシステムに関することができる。
【0021】
一実施形態では、システムは、前記イベントデータベースに格納されたトレーシングデータに基づいてセキュアモジュールの前記集団の中の1つまたは複数の不正セキュアモジュールを識別するためのデータアナライザをさらに備えることができ、前記データアナライザは、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するように構成されており、前記データアナライザは、前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するように構成されている。
【0022】
さらなる態様では、本発明は、上述のトレーシングシステムで使用するための限定受信データ送信機、好ましくはヘッドエンドであって、イベントジェネレータから命令を受信して、イベントメッセージを好ましくは暗号化されたメッセージで、より好ましくは共通情報および/または個別情報で、セキュアモジュールの前記集団に送信するように構成されてよく、前記トレーシングイベントメッセージ内のイベント情報は、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用される限定受信データ送信機に関することができる。
【0023】
一態様では、本発明は、上述のトレーシングシステムで使用するためのトレーシングイベント検出器であって、前記少なくとも1つのトレーシングイベントメッセージを受信するように構成されてよく、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、また、イベントデータベースにトレーシングデータを格納するために、前記トレーシングデータが、前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるトレーシングイベント検出器に関することができる。
【0024】
他の態様では、本発明は、上述のトレーシングシステムで使用するためのデータアナライザであって、前記イベントデータに格納されたトレーシング実験を処理するように構成されてよく、前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合して、照合が見つかったそれぞれの一意の識別子にペナルティポイントを割り振り、およびそれぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて1つまたは複数の不正セキュアモジュールを識別するためにイベント情報およびイベントトリガ情報を提供するように構成されてよいデータアナライザに関することができる。
【0025】
他の態様では、本発明は、上述のトレーシングシステムで使用するためのセキュアモジュール、好ましくはスマートカードであって、少なくとも1つのトレーシングイベント生成機能を備えることができ、前記機能はトレーシングイベントメッセージにおいて前記セキュアモジュールに送信されるイベント情報によって命令されている、セキュアモジュールに関することができる。
【0026】
本発明は、1つまたは複数のコンピュータ上で実行する際に、上述のようにトレーシングデータを生成するための方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータを生成するためのコンピュータプログラム製品、または、1つまたは複数のコンピュータ上で実行する際に、上述の方法によって生成されたトレーシングデータに基づいてセキュアモジュールの集団の中の不正セキュアモジュールをトレースするための方法を実行するように構成されたソフトウェアコード部分を備えるコンピュータプログラム製品にも関する。
【0027】
本発明による実施形態を概略的に示す添付の図面を参照して、本発明をさらに説明する。本発明は決してこれらの特定の実施形態に限定されないことが理解されよう。
【図面の簡単な説明】
【0028】
【図1】本発明の一実施形態によるトレーシングシステムを備える限定受信システムを概略的に示す図である。
【図2】本発明の一実施形態によるトレーシングデータを生成するための処理を示す図である。
【図3】本発明の一実施形態による一意の識別子データベースレイアウトの概略を示す図である。
【図4】本発明の一実施形態によるスマートカード集団の中の不正使用を識別する処理を示す図である。
【図5】本発明の他の実施形態によるトレーシングデータを生成するための方法を示す図である。
【発明を実施するための形態】
【0029】
図1は、本発明の一実施形態によるトレーシングシステムを備える限定受信システム(CAS)100の概略図である。CASシステムは、1つまたは複数のブロードキャストチャネル104を介して限定受信(CA)装置126にスクランブルされたデータストリームをブロードキャストする、ヘッドエンドと呼ばれることもある、限定受信データ送信システム102を備えることができる。CA装置はセットトップボックスおよび/またはモバイル限定受信端末に関することができる。一般的にヘッドエンドは、利用者に関連付けられる多数のCA装置に、オペレータによって提供されるコンテンツサービスをブロードキャストしている。一般的に、CASシステムによって提供されたサービスは、ライブブロードキャストサービス、コンテンツまたはビデオオンデマンド(VoD)、あるいはたとえばネットワークパーソナルビデオレコーダ(NPVR)を使用するコンテンツ再生サービスを含むことができる。
【0030】
これらのコンテンツサービスへの不正アクセスを防ぐために、ヘッドエンドはスクランブルされたデータストリーム110、たとえばMPEG-2トランスポートストリーム、またはマルチプログラムトランスポートストリーム内のコンテンツを、秘密キー情報を使用してデータストリームをデスクランブルするように構成されたCA装置に伝送するように構成されている。
【0031】
ヘッドエンド内のマルチプレクサ/スクランブラ114は、暗号キー(通常は制御語、または略してCWと呼ばれる)に基づいてスクランブル化された様々なコンテンツストリーム108をデータストリームに多重化できる。コンテンツストリームは、テレビ番組および/または他のマルチメディア情報などのコンテンツを備えるサービスストリームのエレメンタリストリームを備えることができる。スクランブルされたデータストリームは、トランスポートストリーム(TS)パケットを備えるトランスポートストリームに関することができ、それぞれのトランスポートパケットはヘッダおよびスクランブルされたペイロードを有し、ペイロードは特定のエレメンタリストリームからのデータのユニットを備える。コンテンツおよびフォーマット(たとえばHDTV)に応じて、一般的に1つの伝送周波数に関連付けられるMPEGタイプのマルチサービストランスポートストリームは、ほぼ所定の数(約10)のテレビチャネルを備えることができる。有料テレビオペレータサービスパッケージは一般的に10以上のテレビチャネルを含むため、すべてのサービスチャネルをブロードキャストするために、異なる伝送周波数におけるいくつかの別々のマルチサービストランスポートストリームが使用される。
【0032】
スクランブルされたデータのCA装置への供給は、CA制御システム116によって制御されうる。CA制御システムは、CWを定期的に生成するための制御語ジェネレータ(CWG)118を備えることができ、スクランブリングアルゴリズムを使用してデータパケットのペイロードをスクランブルするためにマルチプレクサ/スクランブラ114によって使用される。一般的なアルゴリズムは、DVB-共通スクランブリングアルゴリズム(DVB-CSA)、データ暗号化規格(DES)、および高度暗号化規格(AES)を含むことができる。CWは所定の期間(通常、暗号化期間と呼ばれる)のみ有効である。一般的に、約1から10秒の範囲内の長さの暗号化期間が使用される。
【0033】
ヘッドエンドは、スクランブルされたデータストリームのペイロードにおいて搬送されるサービスに関連付けられるメタデータ(たとえばPAT、PMT)をCA装置126に提供できる。TSパケットのヘッダ内の情報、たとえばPID値およびスクランブリング(奇数/偶数)ステータスビットは、TSパケットペイロードをデスクランブルするための適切なCWを選択するためにCA装置によって使用されうる。
【0034】
さらに、ヘッドエンドはトランスポートストリーム内のサービスの使用権に関する情報を個別情報(EMM)においてCA装置に送信できる。このようなEMMは、CA制御システム内のEMMジェネレータ(EMMG)120によって生成されうる。EMMは、1つまたは複数のより高レベルのプロダクトキーPK(サービスキーと呼ばれこともある)をCA装置のセキュアモジュールに搬送するためにさらに使用される。プロダクトキーは、CWを回復させるためのECMを解読するためにセキュアモジュールによって使用される。セキュリティ上の理由から、サービスキーは定期的(たとえば1〜10日ごと)にリフレッシュされうる。
【0035】
CA制御システムは、CWGに接続された共通情報ジェネレータ(ECMG)122をさらに備える。ECMGはプロダクトキーPKの下でCWを暗号化して、暗号化された形式でCWを搬送する共通情報(ECM)を生成する。ECMは、スクランブルされたデータストリームとともにCA装置に伝送される。同期装置124は、スクランブルされたデータストリーム内の暗号化期間に関連するECMプレイアウトを同期できる。一実施形態では、このような同期装置は、ETSI TS 103197 v 1.4.1に記載されたサイマルクリプト同期装置(SCS)に関連することができる。
【0036】
一般的にヘッドエンドは、MPEG-2規格(国際規格ISO/IEC 13818-1)に従って、地上、衛星、またはケーブルブロードキャストシステムを介してトランスポートストリーム(TS)パケットを伝送するために採用されているが、本明細書で概説する方法およびシステムは、ブロードキャスティング、マルチキャスティング、または2地点間伝送技法を使用して、スクランブルされたコンテンツをインターネットプロトコル(IP)パケットで受信機に提供するためにも採用されうる。
【0037】
CA装置126は、ヘッドエンドによって伝送されたスクランブルされたデータストリームをデスクランブルするように構成されている。それぞれのCA装置は、セキュアインターフェースを介して少なくとも1つのセキュアモジュール130に接続された受信機128を備えることができる。このようなセキュアモジュールは、セキュアハードウェアモジュール、たとえばスマートカードでもよく、セキュアソフトウェアモジュールでもよい。受信機は、トランスポートストリームからEMMおよびECM134をフィルタリングして取り出すためのフィルタ132を備える。続いて、スマートカード内のプロセッサ136が、フィルタに通されたECMをスマートカードのセキュアメモリ138に格納されたプロダクトキーを使用して解読し、続いてCW140を受信機内のデスクランブラ142に返し、デスクランブラ142は、CWを使用して、表示装置のために信号144を生成するためのコンテンツデコーダによってさらに処理されたスクランブルされたデータパケットをデスクランブルする。
【0038】
図1は1つのCA装置だけを示しているが、実際にはCASシステムは多数のCA装置にサービスをブロードキャストできる。このような集団は非常に多数のCA装置を備えることができ、それぞれが、オペレータによって提供される限定受信サービスのすべて、または少なくとも一部の契約に関連付けられるスマートカードを備える。集団の中の1つまたは複数のCA装置は、スマートカードによって生成されたCWなどの解読情報への不正アクセスを実現するために改ざんされうる。スマートカードと受信機との間のインターフェース146をタッピングすることによって、不正アクセスが実現する場合がある。
【0039】
改ざんされたCA装置は、CWサーバ152、セキュアCW配信インフラストラクチャ149(ネットワーク)、および不正受信機153をさらに含みうる不正CW共有システム148の一部である場合がある。一般的に、このようなCW共有システムは、CWを不正受信機に提供するためにいくつかの改ざんされたCA装置を使用できる。
【0040】
改ざんされたCA装置126は、共有モジュール147を備え、タップされたCW140をCWサーバ152のための入力ストリーム150に変換することができる。CWサーバは、改ざんされたCA装置から発生するCWを使用してCWストリームを形成するように構成されうる。このような形成は、たとえば、所定のアルゴリズムに基づいて、改ざんされたCA装置によって生成された異なるCW信号間でスイッチすることによって実現できる。
【0041】
CWサーバはこのように形成されたCWストリームを、不正CW共有ネットワークに接続された1つまたは複数の不正受信機153に送信できる。これらの不正受信機はCA装置、再プログラム可能TV受信機、またはコンピュータ上で実行しているアプリケーションに関連する場合がある。不正受信機内のデスクランブラ154は、不正CW共有ネットワークから発生するCW156を使用して、トランスポートストリーム110内のスクランブルされたデータをデスクランブルできる。
【0042】
オペレータが1つまたは複数のCA装置の不正使用の存在に気付くと、オペレータは正規の利用者に悪影響を及ぼさない方法でこれらの不正CA装置126を識別したいかもしれない。そのためには、CASシステムは、CA装置の集団の中の改ざんされたCA装置をトレースするために、トレーシングシステム158を備えるか、トレーシングシステム158に接続することができる。トレーシングシステムは、CA装置集団の選択可能なサブセット内に検出可能なトレーシングイベントを誘導することによって、改ざんされた、または少なくとも疑わしいCA装置をトレースするように構成されうる。
【0043】
以下の目的のために、トレーシングイベントは、不正受信機に送信されたCW信号内に検出可能な信号を生成するイベントと定義される。トレーシングイベントは、改ざんされたスマートカードによってCA共有ネットワークに送信されたデータストリームのうちの1つ、一般的にはCWストリーム146における特定のデータ、異常なデータピース、および/またはデータ構造のタイミングにおける偏差などの、小さな攪乱に関連することができる。このような形式では、トレーシングイベントは、他のソースから発生するエラーおよび/またはグリッチと区別できない(または、少なくとも非常に区別が難しい)。したがって、このようなトレーシングイベントは敵対者による検出が非常に難しく、ユーザ、特に正規ユーザには不可視である。一般的に、トレーシングイベントに関連付けられる偏差および/またはエラーは、一般的なCA装置の許容できる信号処理マージン内に収まるように構成されている。あるいは、トレーシングイベントは、限定受信装置内のエラー処理手順によって対処されうるエラーをトリガすることができる。したがって、スマートカードおよびCA装置内の関連電子装置は、スマートカードの正規利用者によってこれらのトレーシングイベントが観測できないように、これらのトレーシングイベントを処理できる。
【0044】
トレーシングシステム158はヘッドエンド内にトレーシングイベントジェネレータ160を、および、不正CW共有ネットワーク148からCWを受信するように構成された、少なくとも1つの不正受信機153に関連付けられるイベント検出器162を備えることができる。トレーシングイベントジェネレータは制御メッセージ170を使用して、CA制御システムに1つまたは複数のトレーシングイベントをCA装置集団の選択可能なサブセット内に生成するように命令できる。CA装置の選択されたサブセットの中に改ざんされたCA装置がある場合、トレーシングイベント、たとえばCW供給における遅延は、改ざんされたCA装置から発生するCWストリーム150において検出可能な場合がある。この場合、トレーシングイベントはイベント検出器162によって検出されうる。トレーシングイベントジェネレータは、172で、検出トリガおよび検出期間、すなわちトレーシングイベントが検出されうる期間を、イベント検出器162に信号で伝えることもできる。あるいは、および/またはそれに加えて、検出トリガおよび/または検出期間が、CA装置およびイベント検出器にブロードキャストされるECMに挿入されうる。
【0045】
一実施形態では、トレーシングシステムは、スマートカード内にCWの供給における検出可能な遅延の形式でトレーシングイベントを生成できる。このようなトレーシングイベントは様々な方法で実現できる。
【0046】
一実施形態では、トレーシングイベントは、スマートカード内のプロセッサ136に、解読されたCWを受信機内のデスクランブラに伝送するタイミングを遅らせるよう(一定の範囲内で)命令することによって導入されうる。このような遅延は、CWをデスクランブラに送信する前に、1つまたは複数のCWを一時的にバッファリングすることによって実現できる。
【0047】
トレーシングイベントは、データストリーム110を介してスマートカードに送信されたイベントメッセージに基づいてトリガされうる。たとえば、一実施形態では、イベントジェネレータはECMGに、スマートカード集団に送信されたECMにイベントメッセージを挿入するよう命令できる。
【0048】
一実施形態では、このようなイベントメッセージは、スマートカードに1つまたは複数のイベントパラメータに基づいてイベントを導入する命令を備えることができる。スマートカード内でトリガされた遅延は100ミリ秒から500ミリ秒の間の範囲内でよく、すなわち、イベント検出器によって測定するには十分に大きく、ほぼ数秒程度であるデスクランブリングプロセッサの処理マージン内に収まるには十分に小さい。ランダムに導入されると、トレーシングシステムによって生成されたこのような遅延は、ネットワーク、ヘッドエンド、またはCA装置内の他のソースによって導入された他のタイプの遅延との区別が非常に難しい。
【0049】
不正受信機に接続されたイベント検出器162は、デスクランブラへのCW供給における小さい攪乱を測定するように構成されうる。そのために、イベント検出器は、たとえばCWストリーム156および/または不正受信機153の出力信号163を調べるための、ならびに検出信号157を生成するための、1つまたは複数のセンサ155を備えることができる。
【0050】
トレーシング処理の間、イベント検出器は時々「失敗」、すなわちイベントジェネレータ以外の影響による結果を測定できる。したがって、トレーシングシステムが、このような測定失敗がトレーシングシステムの結果に影響を及ぼさないという意味でフォールトトラレントであることが望ましい。さらに、イベント検出器162によって測定されたトレーシングイベントに基づいて、トレーシングシステムはスマートカード集団の中のスマートカード、特に不正スマートカードを識別できるべきである。
【0051】
そのために、トレーシングシステムは、スマートカード集団の中のそれぞれのスマートカードを一意の識別子と関連付けるように構成されうる。一実施形態では、このような一意の識別子は、情報ピースのランダム化されたシーケンス、たとえば所定の長さNのビットのシーケンス、またはサービスキーのランダム化されたシーケンスを備えることができる。一意の識別子は、所定の関数FMに基づいて、たとえば個人データ、すなわちスマートカードのシリアルナンバー、チップセットのシリアルナンバー、および/または秘密キーKMを入力パラメータとして使用して生成されうる。関数はDESおよび/またはハッシュ関数と関連することができる。
【0052】
一意の識別子のランダム特性により、識別子内の情報がスマートカード集団にわたって平等に配信されることが確実になる。たとえば、FMは一意の識別子の約50%におけるそれぞれのビットフィールドが1つのビット値(「1」)を備え、他の50%がゼロビット値(「0」)を備えるように、一意の識別子を生成するように構成されうる。このような特性は、ターゲットであるスマートカードの約50%においてトレーシングイベントを生成するために、トレーシングシステムによって使用されうる。さらに、ランダム性により、トレーシング処理を敵対者から効果的に隠すことができる。イベントジェネレータは、このような一意の識別子をそれぞれのスマートカードに配信するように、または関数FMをすべてのスマートカードに配信するようにヘッドエンドに命令して、スマートカードがヘッドエンド内で計算された識別子と同一である自身の一意の識別子を計算できるようにする。
【0053】
CA制御システムは、EMMGによって生成されたEMMを使用して、それぞれのスマートカードにこのような一意のランダム化された識別子を送信できる。このように、トレーシングシステムはスマートカード集団の中のそれぞれのスマートカードを(疑似)ランダムな一意の識別子と関連付けることができる。一実施形態では、一意の識別子は、通常のオペレータ利用のためのスマートカード内のメモリフィールドに格納されうる。このようなフィールドにおいて、一部は通常のオペレータ利用に割り振られ、他の部分は一意の識別子のフィールドとして割り振られ、トレーシングの目的でトレーシングシステムによって使用されうる。
【0054】
トレーシングシステムは、スマートカード集団の中の不正スマートカードをトレースして識別するために、スマートカードに関連付けられる一意の識別子を使用できる。トレーシングシステムは、トレーシングデータを生成するための処理を実行でき(測定段階)、トレーシングデータはスマートカードの集団の中のそれぞれのスマートカードにイベントメッセージを送信することによって生成される。測定段階では、所定の数の実験が行われる。それぞれの実験において、あらかじめ選択されたスマートカード集団の中のそれぞれのスマートカードにトレーシングメッセージが送信され、イベントメッセージ内のイベント情報に基づいて、スマートカード集団の中のスマートカードの一部がトレーシングイベントを生成することになる。イベントを生成しているスマートカードの中に不正スマートカードがある場合、その不正スマートカードに関連付けられる制御語配信ネットワークに接続されたイベント検出器がイベントを検出する。イベントデータベース内にイベントが検出されたか否かという情報とともにイベント情報を格納しているイベント検出器によって、実験が終了する。こうして所定の数の実験がトレーシングシステムよって実行され、それぞれの実験ごとに、スマートカード集団に送信されたイベントメッセージ内の新しいイベント情報が、スマートカード集団の異なる部分にトレーシングイベントを生成させる。したがってそれぞれの実験は、イベント情報、および後続のトレーシングイベントの検出、またはトレーシングイベントが存在しないことによって定義される。
【0055】
測定段階の間に生成されたトレーシングデータは、イベントデータベース166に格納されうる。後続のデータ分析段階において、測定段階の間に収集されたトレーシングデータがイベントアナライザ168によって分析される。一実施形態では、統計的分析を使用して、1つまたは複数の「疑わしい」スマートカードが識別されうる。他の形式では、分析されたデータの結果が、以前のトレーシング方法において識別されたスマートカードのセットをターゲットとしたさらなるトレーシング処理を実行するための入力である場合がある。こうして、反復方法で不正スマートカードを識別できる。
【0056】
したがって、本発明によるトレーシングシステムは、スマートカード集団の中のどのスマートカードが無許可で使用されているか識別するために、識別子、特に均一に配信された識別子を使用できる。さらに、システムは不正スマートカードを識別するために統計的分析を使用できる。トレーシング方法が小さな攪乱、たとえば搬送タイミングパラメータにおける小さな変化と協働できるので、正規の利用者に影響を及ぼさずにトレースすることが可能である。さらに、バイナリサーチスキームに基づく、知られているトレーシングシステムと異なり、本発明によるトレーシングシステムは、スマートカード集団の中の複数の不正スマートカードのトレーシングおよび識別をサポートするという意味で耐衝突性がある。さらに、トレーシング処理は自動化に適しており、および/または別々のデータ測定(収集)段階およびデータ分析段階を許容するという意味で、使用に際して非常に汎用性がある。したがって、データは第1パーティによって生成されて分析のために第2パーティに送信されうる。さらに、トレーシングシステムは正規スマートカード、すなわち本発明によるトレーシングを許容するために特別なファームウェアアップデートを必要としないスマートカードで使用されうる。本発明によるトレーシングシステムに関連付けられる諸利点は、図2〜6を参照すればより明らかになるであろう。
【0057】
測定段階を開始すると、トレーシングイベントジェネレータは、ヘッドエンドによってスマートカード集団に送信されたECM内にトレーシングイベントメッセージを含むことを開始するようECMGに命令できる。トレーシングイベントメッセージ内のイベント情報は、スマートカードに特別なタイプのトレーシングイベント、たとえばCW供給における検出可能な遅延を生成するよう命令するための命令を備えることができる。そのために、スマートカードは、このようなトレーシングイベントを生成するための一定のトレーシングイベント生成機能を備えることができる。トレーシングイベントメッセージ内のトレーシングイベントターゲット情報に基づいて一定の条件が満たされる場合、トレーシングイベントはスマートカードによって生成されうる。あるいは、トレーシングイベントメッセージ内のイベント情報は、スマートカードのファームウェア内の既に存在している機能に基づいてスマートカード内にトレーシングイベントを誘導することができる。両ケースを以下で説明する。
【0058】
図2は、本発明の一実施形態によるイベントデータ200を生成する処理を示している。この実施形態では、上述のようにすべてのスマートカードがスマートカードのメモリに格納された一意の識別子で構成されていると仮定される。さらに、この実施形態では、スマートカード集団の中のスマートカードは、トレーシングイベントメッセージを使用してヘッドエンドによってトリガされうる、専用トレーシングイベント生成機能をスマートカード内に備える。
【0059】
処理は、所定の数の実験を備えるトレーシング処理を開始するようECMGに命令しているトレーシングイベントジェネレータによって開始できる(ステップ202)。それに応じて、ECMGはトレーシングイベントコマンドおよびトレーシングイベントターゲット情報を備えるトレーシングイベントメッセージを生成できる(ステップ204)。トレーシングイベントターゲット情報は、ランダム化されたパラメータ、すなわち少なくとも1つのバイナリランダムイベントトリガ値(DTV)、および少なくとも1つのランダムな一意の識別子ビット位置値(BPV)(すなわち、一意の識別子における一定のビット位置を示すための値)を備えることができる。続いて、イベント情報がECMに挿入されて、スマートカードにブロードキャストされる(ステップ206)。
【0060】
このようなトレーシングイベントメッセージを備えるECMを受信すると、トレーシングイベント生成機能がトリガされうる。この機能は、トレーシングイベントの生成を決定するために、トレーシングイベントメッセージ内のイベント情報、すなわちスマートカードの一意の識別子の値におけるビット位置のビット値BPVを使用できる。DTVビット値が決定されたビット値と一致すると、改ざんされたCA装置内のCW供給における遅延が生成されうる(ステップ208)。したがって、このようにスマートカードは、トレーシングイベントを生成するかどうかを決定するために、ECM内のトレーシングイベントターゲット情報、およびスマートカード内の一意の識別子を使用する。したがってトレーシングイベントの生成は、トレーシングイベントターゲット情報の一部が一意の識別子の一部と一致するという表示を提供する。
【0061】
不正受信機に接続されたイベント検出器は、データストリーム110内のECM内のトレーシングイベントメッセージからトレーシングイベントターゲット情報を受信して、共有ネットワークに関連付けられる1つまたは複数の不正スマートカード153がトレーシングイベントを生成したかどうかを測定できる(ステップ210)。所定の時間、たとえばトレーシングイベントメッセージを含むECMの暗号化期間内にトレーシングイベントが検出されると、イベント検出器はイベントが測定されたことを示すイベントトリガ情報とともにトレーシングイベントターゲット情報をイベントデータベースに格納できる(ステップ212)。
【0062】
トレーシングデータを格納する他の方法も可能である。たとえば一実施形態では、イベント検出器はトレーシングイベントターゲット情報を異なるリスト内に格納できる。たとえば、検出されたトレーシングイベントに関連付けられるトレーシングイベントターゲット情報が、イベントトリガリストに格納され、トレーシングイベントの不検出に関連付けられるイベントターゲット情報がイベントなしトリガリストに格納されうる。
【0063】
したがって、上記より、トレーシングイベントによってトレーシングシステムが不正スマートカードの一意の識別子値に関連付けられる情報のピース(すなわち、1つまたは複数のビット位置の1つまたは複数のビット値)を取得できるという結果になる。
【0064】
この処理は、所定の数の実験(たとえば、暗号化期間ごとに1つの実験の割合で実行される)に到達するまで、ECMGによって繰り返される(ステップ218)。トレーシング処理における後続の実験ごとに、ECMGは、新しいイベント情報、たとえば新しいDTVおよび新しいBPVを備える新しいイベントメッセージを生成する。BPVは、(できるだけ)検出可能なトレーシングイベントを生成するために毎回新しいビット位置値が使用されるように選択される。一意の識別子内のビット数と比べてかなり多数の実験を使用することによって、測定「失敗」、すなわちトレーシングイベントメッセージによってトリガされないトレーシングイベントが平均されうる。このように、測定段階の最後に、出力イベント検出器はトレーシングデータ、特にトリガ情報に関連付けられるトレーシングイベントターゲット情報を備えるイベントデータベースを備える。イベントデータベース内のデータの分析によって不正スマートカードの識別ができるようになる。
【0065】
図3および4を参照してデータ分析段階をより詳細に説明する。この段階では、イベントアナライザ168はイベントデータベース内のデータの分析を開始できる。そのために、イベントアナライザはまずスマートカード集団に関連付けられる一意の識別子を備える一意の識別子データベースを生成できる。一意の識別子データベースは、たとえばスマートカードシリアルナンバーおよび秘密キーKMを入力パラメータとして使用して、一意の識別子生成関数FMに基づいて生成されうる。あるいは、ヘッドエンドによってイベントアナライザに一意の識別子のリストが提供されうる。さらに、イベントアナライザはカウンタをそれぞれの一意の識別子値に関連付けることができる。
【0066】
本発明の一実施形態による単純な識別子データベースレイアウト300の例が、図3に示されている。関数FMに基づいて生成されると、スマートカード集団3021〜302M内のMの一意の識別子値に関連付けられる所定の長さNのビットシーケンスによって、一意の識別子データベースが形成されうる。データベースはビット値3041〜304NのN個の列を備え、列i304iはビット位置iのそれぞれの一意の識別子値のビット値を表す。位置N+1の最後の列は「カウンタ」3061〜306Mを備え、それぞれのカウンタは一意の識別子値に関連付けられる。
【0067】
図4は、本発明の一実施形態によるスマートカード集団の中の不正スマートカードを識別する処理を示している。識別処理は、一意の識別子およびイベントデータベース内のトレーシングデータを使用してイベントアナライザによって実行されうる。最初のステップ402で、イベントアナライザは、イベントデータベースから所定の数のトレーシング実験に関連付けられるトレーシングデータを取り出すことができる。このようなトレーシングデータは、トレーシングイベントターゲット情報(たとえばDTVビット値およびBPV値)および関連イベントトリガ情報(たとえばイベントが検出された/イベントが全く検出されなかった)を備えることができる。
【0068】
検出されたイベントに関連付けられるトレーシングイベントターゲット情報には、スマートカード内の一致条件が有益である。このような一致条件は、一意の識別子の所定の部分に一致するイベント情報に関連する場合がある。たとえば、一致条件は、スマートカード集団の中の1つまたは複数の不正スマートカードのうちの1つからの一意の識別子値のビット位置のバイナリ値BPVに一致するDTVビット値に関連する場合がある。したがって、イベント情報は情報のピース、たとえば不正スマートカード内の一意の識別子フィールドの特定のビットフィールド内のビット値を備える。このように、イベントデータベースに格納されたトレーシングデータ内のイベント情報に基づいて、不正スマートカードの一意の識別子値を再構築するために統計的分析が使用されうる。一致が見つかった場合、一意の識別子値の集団にペナルティポイントを割り振ることによって、再構築が実現されうる。
【0069】
一致は、一意の識別子データベース内の一意の識別子のリスト内のビット位置のビット値を一致させるBPVによって決定されたビット位置のビット値に関連する場合がある(ステップ404)。たとえば、一致に関連するイベント情報がDTVビット値0およびBPVビット位置値4を備える場合、イベントアナライザは、ビット位置4に「0」ビット値を備える一意の識別子データベース内のすべての一意の識別子値にペナルティポイントを割り振ることができる。それぞれの割り振られたペナルティポイントは、一意の識別子データベースのカウンタフィールドに格納される(ステップ406)。
【0070】
無一致に関連付けられるイベント情報に類似の処理が実行されうる。その場合、BPVによって決されたビット位置のビット値が、一意の識別子データベース内の一意の識別子のリスト内のビット位置のビット値と一致しない一意の識別子値の集団に、ペナルティポイントを割り振ることができる。たとえば、無一致に関連するイベント情報がDTVビット値0およびBPVビット値6を備える場合、イベントアナライザは、ビット位置6に「1」ビット値を備える一意の識別子データベース内のすべての一意の識別子値にペナルティポイントを割り振ることができる。それぞれの割り振られたペナルティポイントは、一意の識別子データベースのカウンタフィールドに格納されうる。この処理は、イベントデータベース内のすべてのイベント情報について繰り返される。
【0071】
上述の処理を使用して、一意の識別子データベース内のそれぞれの一意の識別子値は1つまたは複数のペナルティポイントを受け取ることになる。図3には、分析段階の間の一意の識別子データベースの可能な状態の例が示されている。平均的に、不正スマートカードに関連付けられる一意の識別子値に大部分のポイントが割り振られることになる(図3では、一意の識別子M3およびMM-2)。処理がランダム化されたイベント情報、たとえばDTVビット値、およびランダム化された一意の識別子値、ならびに非常に多数の実験に基づくという事実によって、不正確な測定、たとえばトレーシングシステム以外のソースから発生するが、イベント検出器によってトレーシングシステムに関連付けられるイベントとして認識される遅延が、一意の識別子値の集団全体にわたって広がる。十分に多数の実験を使用すると(それぞれが、イベントメッセージを備える少なくとも1つのそれぞれのECMに関連付けられる)、点線310で表される「ノイズレベル」よりも大いに伸びる「カウンティング信号」312、314がもたらされる。
【0072】
したがって、分析後、ペナルティポイントの最高数、すなわち、一意の識別子データベース内の一意の識別子値に割り振られたペナルティポイントの平均数よりも大幅に高いペナルティポイントの数に関連付けられる一意の識別子値が、不正スマートカードに関連付けられる一意の識別子値と識別されうる(ステップ408)。したがって識別された数の不正スマートカードが、集団の中の不正スマートカードを確実に識別するためにさらに調査されうる。
【0073】
図5は本発明の他の実施形態に関する。この実施形態では、トレーシングイベントは、関連ECMのセットをトレーシングイベントメッセージとして使用してスマートカード内に「誘導」されうる。図2〜4を参照して説明した実施形態とは異なり、スマートカード内に専用のトレーシングイベント生成機能は必要ではない。代わりに、スマートカード内の知られている処理、ECM解読処理を利用してスマートカード内にトレーシングイベントが誘導される。したがって、この実施形態は、正規のスマートカード、すなわち専用のイベント生成機能を備えていないスマートカードを備えるスマートカード集団上でトレーシング方法が使用されうるという利点を提供する。
【0074】
ヘッドエンドは通常、サービスストリーム(たとえばTVプログラム)に関連付けられるECMストリームを生成でき、ECMは、そのサービスストリーム内のデータをデスクランブルするための少なくとも1つのCWを備える。しかしこの実施形態では、ヘッドエンドはいくつかのECMページを備えるECMを生成でき、それぞれのECMページは異なるサービスキー:ECM[{CW}K1,{CW}K2,{CW}K3,...]の下で暗号化されたCWを含む。非限定的な例が図5(a)に示されており、限定受信装置の集団にブロードキャストするためのいくつかのこのようなECMを示している。この例は、ヘッドエンドが3つのスクランブルされたサービスS1、S2、S3、および3つの関連ECMストリームECM Sl、ECM S2、ECM S3をブロードキャストする状況に関し、ECMストリーム内のそれぞれのECMは、4つの異なるプロダクトキーKl、K2、K3、K4の下で解読されたCWを備える。
【0075】
トレーシングシステムが、トレーシング処理を開始するようにヘッドエンドをトリガすると、ヘッドエンド、特にヘッドエンド内のCAコントローラはCA装置にECMを解読するためのプロダクトキーを提供できる。そのために、ヘッドエンドはそれぞれのスマートカードに、サービスをデスクランブルするためのCWを搬送するECMを解読するために使用するべき所定の数のプロダクトキーを割り振ることができる。ヘッドエンドはこれらのキーをそれぞれのスマートカードに準ランダムな方法で割り振ることができる。たとえば、ランダムキー割当ては、スマートカード識別子、たとえばスマートカードシリアルナンバー、および(ランダム)秘密キーKKを入力変数として使用する関数FKに基づくことができる。
【0076】
図5(b)は、集団の中のスマートカードへの可能なキー割当てを示している。たとえば、スマートカード番号iは、サービスストリーム1に関連付けられるECMを解読するためにK2(すなわちキーシーケンスの第1位置のキー)を、サービスストリーム2に関連付けられるECMを解読するためにK2(すなわちキーシーケンスの第2位置のキー)を、およびサービスストリーム3に関連付けられるECMを解読するためにK1(すなわちキーシーケンスの第3位置のキー)を使用するべきである。EMMによって、スマートカード集団の中のそれぞれのCA装置に一意のキー割当てを送信できる。
【0077】
図5(b)に示されたようにキー割当てスキームを使用して、それぞれのスマートカードはサービスキーの一意の(疑似)ランダムシーケンスを提供されうる。通常スマートカード集団は非常に大きいので、それぞれのスマートカードをサービスキーの一意のシーケンスに関連付けるために、サービスの数および/またはECMページの数が増加する場合がある。たとえば、大きなスマートカード集団の中のそれぞれのスマートカードに、たとえば14のサービスおよび4つのプロダクトキーを使用して、一意のランダムサービスキーシーケンスを割り当てることができる。このような割当てスキームを実装する方法は、主に帯域幅考慮によって決定される。したがって、このようなキー割当てスキームによって、集団の中のそれぞれのスマートカードを識別できるようになる。それぞれのスマートカードに、スマートカード識別子、たとえばスマートカードシリアルナンバーに関連することができる、一意のランダムサービスキーシーケンスを割り振ることができる。
【0078】
サービスキーをスマートカードに割り当てた後、それぞれのスマートカードはそのサービスキーシーケンスを受信してセキュアメモリに格納することになる。作動中、スマートカードは図5(a)を参照して説明したフォーマットでECMを受信することになる。スマートカードはトランスポートストリームをフィルタリングしてECMを取り出し、特定のサービスに関連付けられるCWを生成するためにどのECMページを使用するべきか決定できる。
【0079】
たとえば、サービスキーシーケンス[K2、K2、K1]を割り当てられた図5(b)のスマートカードi内のプロセッサは、第1および第2サービスストリームに関連付けられるCWを生成するために、それぞれ第1および第2ECMストリーム内のECMの第2ECMページを、ならびに第3サービスストリームに関連付けられるCWをレンダリングするために第3ECMストリーム内のECMの第1ECMページを使用するべきであると決定できる。続いてスマートカードは、デスクランブラへの実質的に連続および同期したCWストリームを確実にするために、これらのECMページを「ロック」することになる。
【0080】
したがって、ヘッドエンドはトレーシングデータを生成する段階を開始できる。ヘッドエンドは、スマートカードの選択された範囲に検出可能なトレーシングイベントをもたらすような方法でECMを配信することによって、イベントデータの生成を開始できる。一実施形態では、CA装置にブロードキャストする1つまたは複数のECMページのフォーマットにおける(疑似)ランダム変化を導入することによって、トレーシングイベントをトリガできる。たとえば、ヘッドエンドは、図5(a)に示したように、第1サービスに関連付けられるECMストリーム内で第1ECMページを第2ECMページと交換することによってトレーシングイベントメッセージを生成できる。ECMページの修正されたシーケンスを備える第1ECMストリーム内のECMが、スマートカード集団の所定の部分にトレーシングイベントを生成できるスマートカード集団にブロードキャストされる。特に、第1サービスストリームに関連付けられるCWを取り出すために第1または第2ECMページにロックされているスマートカード内にトレーシングイベントを誘導できる。
【0081】
トレーシングイベントメッセージを表すECMページのセット、たとえばECMページが異なるシーケンスであるECMを受信後、スマートカードプロセッサは正しいサービスキーで暗号化されたCWを含むためのECMページを見つける必要がある。この処理はさらなる時間を必要とするので、デスクランブラへのCW供給において、小さいけれども検出可能な遅延(たとえば50〜200ミリ秒)をもたらす。
【0082】
不正受信機に結合されたイベント検出器は、イベントメッセージ(すなわち、再フォーマットされたECMページを備えるECM)を受信して、所定の時間内に遅延が検出されるか否かのモニタリングを開始できる。したがってイベント検出器は、トレーシングイベントが検出されるか否かを示すイベントトリガ情報とともに、トレーシング実験の結果、すなわちイベント情報(すなわち、ECMページの修正されたシーケンスを備えるECM)をイベントデータベースに格納できる。
【0083】
図2を参照して説明した処理と同様に、所定の数の実験が実行されるまでイベントデータを生成する処理が繰り返される。トレーシング処理における後続の実験ごとに、ヘッドエンドは新しいイベントメッセージ、すなわちECMページのシーケンスにおける変化を備えるECMを生成できる。平均で、多数の実験について、スマートカード集団の中のすべてのスマートカードがECMページのシーケンスにおいて変化することがあるように、変化が(疑似)ランダム情報に基づくことが好ましい。測定「失敗」、すなわちトレーシングイベントから発生しない遅延は、この処理において平均されうる。このように、測定段階の最後に、イベント検出器はトレーシングデータで満たされたイベントデータベースを備える。イベントデータベース内のデータの分析によって、不正スマートカードが識別できるようになる。
【0084】
データ分析段階は、図3および4を参照して説明した段階と類似している。この場合、イベントアナライザ168は、ヘッドエンドによってスマートカード集団の中のそれぞれのスマートカードに割り振られた一意のキーシーケンスを備えるキー割当てデータベースの生成を開始できる。キー割当てデータベースは、たとえばスマートカードシリアルナンバー、および(ランダム)秘密キーKKを入力パラメータとして使用して、関数FKに基づいて生成できる。あるいは、割り当てられたキーシーケンスのリストをヘッドエンドによってイベントアナライザに提供できる。さらに、イベントアナライザはカウンタをそれぞれのキーシーケンスに関連付けることができる。
【0085】
イベントアナライザはイベントデータベース内のイベント情報、すなわちサービスキーのシーケンスおよびイベントトリガ情報を取り出すことができる。イベント情報は、トレーシングイベントをもたらしたイベント情報、すなわち、スマートカードプロセッサが使用していたECMページ内の変化を決定したイベント情報に関連することができる。たとえばイベント情報は、図5(a)に示されるような、第1ECMストリーム(第1サービスストリームに関連付けられる)における第1ECMページ(サービスキーK1に関連付けられる)と第2ECMページ(サービスキーK2に関連付けられる)との交換に関連することができる。この場合、イベントアナライザはペナルティポイントを、シーケンス内の第1位置にK1またはK2を備えるキー割当てデータベース内のそれぞれのキーシーケンス(すなわち、第1サービスを解読するためにK1またはK2を使用しているすべてのスマートカード)に割り振ることができる。この処理は、図3および4を参照して説明したのと同様の方法でイベントデータベースに格納されたすべての実験について繰り返すことができる。分析の最後に、最高数のペナルティポイントに関連付けられるキーシーケンスが識別されて、対応する公開のスマートカード識別子、たとえばスマートカードシリアルナンバーに関連付けられる。これらの識別されたスマートカードは、さらなる調査が必要な疑わしいスマートカードと考えられる。
【0086】
本発明から逸脱することなしに、他の実施形態が可能である。たとえば、1つの変形形態では、ECMGは、CWGによって提供されたCWごとに、それぞれが第1キーK1によって暗号化されたCW(ECM[{CW}K1])を備える第1ECMストリーム、および第2キーK2によって暗号化されたCWGによって生成されたCW(ECM[{CW}K2])を備える第2ECMストリームを生成するように構成できる。ヘッドエンド内のシンクロナイザは、スマートカード集団への第1ECMストリームと第2ECMストリームの伝送間に、小さいが検出可能な遅延を導入できる。
【0087】
次いでイベントジェネレータは、遅延した第2ECMストリームを生成して、スマートカード集団の一部、たとえば集団の20%が前記第2ECMストリームから発生するCWを取り出すように命令するイベントメッセージをスマートカード集団の一部に送信することによってトレーシング処理を開始するように、ヘッドエンドに命令できる。スマートカード命令および第2キーK2を備えるこのイベントメッセージは、CA制御システムによってEMMの形式でスマートカード集団の所望の部分に送信されうる。イベントメッセージ、すなわちEMMを受信しているスマートカードは、第1ECMストリームについて小さな検出可能な遅延を備える第2ECMストリームを使用するように命令されることになる。
【0088】
したがって、1つまたは複数の不正スマートカードがトレーシングシステムによってターゲットにされたスマートカード集団の一部に存在する場合、イベント検出器は、第2ECMストリームにおける遅延と相関する、不正な検出器に送信されたCWストリーム内の遅延を検出できる。イベントが検出されると、トレーシングシステムはトレーシングシステムによってターゲットにされたスマートカードにカウンティングポイントを割り当てることができる。この処理は、上述のようにEMMを使用して、ターゲットである異なるグループによって繰り返される。所定の数の実験後、最高数のカウンティングポイントに関連付けられるスマートカードが疑わしいとマークされうる。
【0089】
スクランブラへのCW供給における遅延などの攪乱を導入するトレーシングイベントを参照して本発明を説明したが、他のタイプのトレーシングイベントも予見できる。たとえば、一実施形態では、トレーシングイベントは、ヘッドエンドでコンテンツのピースが、ユーザには見えないが、ユーザに表示されるアナログ信号を監視しているイベント検出器にとって検出可能なように、ある署名を非常に短時間表示している所定の(小さい)グループのピクセルなどの、いくつかの情報でウォーターマークされる、ウォーターマーキング技法に関連することができる。
【0090】
いずれかの実施形態に関連して説明したどのような特徴も単独で、または説明した他の特徴と組み合わせて使用でき、また他のいずれかの実施形態の1つまたは複数の特徴と組み合わせて、または他のいずれかの実施形態のどのような組み合わせでも使用できることが理解されよう。本発明の一実施形態を、コンピュータシステムで使用するためのプログラム製品として実装できる。プログラム製品の(複数の)プログラムが実施形態の機能(本明細書で説明した方法を含む)を定義して、様々なコンピュータ可読記憶メディアに含むことができる。例示的なコンピュータ可読記憶メディアには、これに限定されないが、(i)情報が永久に格納される書込み不能記憶メディア(たとえば、CD-ROMドライブによって読み出し可能なCD-ROMディスクなどのコンピュータ内の読み出し専用メモリ装置、フラッシュメモリ、ROMチップ、または他のタイプのソリッドステート不揮発性半導体メモリ)、および(ii)変更可能な情報が格納される書込み可能記憶メディア(たとえば、ディスケットドライブ内のフロッピー(登録商標)ディスク、ハードディスクドライブ、またはいずれかのタイプのソリッドステートランダムアクセス半導体メモリ)がある。本発明は上述の実施形態に限定されず、添付の特許請求の範囲内で変更可能である。
【符号の説明】
【0091】
100 限定受信システム(CAS)
102 限定受信データ送信システム
104 ブロードキャストチャネル
108 コンテンツストリーム
110 データストリーム
114 マルチプレクサ/スクランブラ
116 CA制御システム
118 制御語ジェネレータ(CWG)
120 EMMジェネレータ(EMG)
122 共通情報ジェネレータ(ECMG)
124 同期装置
126 限定受信(CA)装置
128 受信機
130 セキュアモジュール
132 フィルタ
136 プロセッサ
138 セキュアメモリ
140 CW
142 デスクランブラ
144 信号
146 インターフェース
147 共有モジュール
148 不正CW共有システム
149 セキュアCW配信インフラストラクチャ
150 入力ストリーム
152 CWサーバ
153 不正受信機
154 デスクランブラ
155 センサ
156 CW
157 検出信号
158 トレーシングシステム
160 トレーシングイベントジェネレータ
162 イベント検出器
163 出力信号
166 イベントデータベース
168 イベントアナライザ
170 制御メッセージ
200 イベントデータ
300 識別子データベースレイアウト
3021〜302M スマートカード集団
3041〜304N ビット値
3061〜306M カウンタ
312 カウンティング信号
314 カウンティング信号
【特許請求の範囲】
【請求項1】
セキュアモジュールの集団の中の1つまたは複数の不正セキュアモジュールをトレースするためのトレーシングデータ、好ましくはトレーシングデータを備えるイベントデータベースを生成する方法であって、前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成され、前記方法が、所定の数のトレーシング実験をセキュアモジュールの前記集団に実行して、前記所定の数のトレーシング実験によって生成されたトレーシングデータに基づいて前記1つまたは複数の不正セキュアモジュールを識別するステップを含み、それぞれの前記実験が、
少なくとも1つのトレーシングイベントメッセージを前記集団の中のそれぞれのセキュアモジュールに送信するステップであって、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために前記トレーシングイベントメッセージ内のイベント情報が使用されるステップと、
前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、トレーシングイベント検出器が所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視するステップと、
トレーシングデータを格納するステップであって、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるステップとを備える、方法。
【請求項2】
前記トレーシングイベントメッセージが、共通情報において、または個別情報において、セキュアモジュールの前記集団に送信される、請求項1に記載の方法。
【請求項3】
前記イベント情報、好ましくはランダム化された(バイナリ)イベント情報に基づいて、前記イベントメッセージ内、および前記セキュアモジュール、好ましくは前記イベントメッセージ内のイベント情報が前記一意の識別子の少なくとも一部と一致するとトレーシングイベントを生成する前記セキュアモジュールに関連付けられる一意の識別子の少なくとも一部、好ましくはランダム化された一意の識別子に、トレーシングイベントを生成するセキュアモジュール備える、請求項1または2に記載の方法。
【請求項4】
前記トレーシングイベントメッセージ内の前記イベント情報が、前記セキュアモジュール内でイベント生成関数を実行する命令を備える、または前記トレーシングイベントメッセージ内の前記イベント情報が、前記セキュアモジュール内にトレーシングイベントを誘導する、請求項1から3のいずれかに記載の方法。
【請求項5】
前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機への制御語の供給における小さな攪乱、好ましくは前記受信機への制御語の供給における小さな遅延を生成するステップであって、好ましくは前記小さな攪乱が前記受信機のユーザに見えないステップと、
前記トレーシングイベント検出器が、前記受信機に伝送される制御語ストリームを監視するステップと、
前記制御語ストリーム内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備える、請求項1から4のいずれかに記載の方法。
【請求項6】
前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機の出力に小さな攪乱、好ましくはウォーターマークを生成するステップであって、好ましくは前記小さな攪乱が前記受信機のユーザに見えないステップと、
前記トレーシングイベント検出器が前記受信機の出力信号を監視するステップと、
前記出力信号内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備える、請求項1から4のいずれかに記載の方法。
【請求項7】
トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するステップと、
前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するステップと
を備える、請求項1から6のいずれかによって定義された方法によって生成されたトレーシングデータに基づいて、セキュアモジュールの集団の中の不正セキュアモジュールをトレースする、方法。
【請求項8】
前記イベントデータに格納されたトレーシング実験ごとに、
イベント情報およびイベント検出情報を提供するステップと、
前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合するステップと、
一致が見つかったそれぞれの一意の識別子にペナルティポイントを割り振るステップと、
それぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて、1つまたは複数の不正セキュアモジュールを識別するステップとを実行する、請求項7に記載の方法。
【請求項9】
セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングシステムであって、前記セキュアモジュールが限定受信システムから発生するスクランブルされたデータを受信するように構成され、および前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成され、
セキュアモジュールの集団に所定の数のトレーシング実験を開始して、前記所定の数のトレーシング実験によって生成されたトレーシングデータに基づいて前記1つまたは複数の不正セキュアモジュールを識別するための、および前記限定受信システムにおける限定受信データ送信機に、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用されるセキュアモジュールの前記集団にイベントメッセージを送信するよう命令するためのイベントジェネレータと、
前記少なくとも1つのトレーシングイベントメッセージを受信するように構成された、少なくとも1つのトレーシングイベント検出器とを備え、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベースに格納するために、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備える、トレーシングシステム。
【請求項10】
前記イベントデータベースに格納されたトレーシングデータに基づいてセキュアモジュールの前記集団の中の1つまたは複数の不正セキュアモジュールを識別するためのデータアナライザをさらに備え、前記データアナライザが、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するように構成されており、前記データアナライザが前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するように構成されている、請求項9に記載のトレーシングシステム。
【請求項11】
請求項9または10に記載のトレーシングシステムで使用するための限定受信データ送信機、好ましくはヘッドエンドであって、前記限定受信データ送信機が、イベントジェネレータから命令を受信して、イベントメッセージを好ましくは暗号化されたメッセージで、より好ましくは共通情報および/または個別情報で、セキュアモジュールの前記集団に送信するように構成され、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用される、限定受信データ送信機。
【請求項12】
請求項9または10に記載のトレーシングシステムで使用するためのトレーシングイベント検出器であって、前記トレーシングイベント検出器が前記少なくとも1つのトレーシングイベントメッセージを受信するように構成され、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、また、イベントデータベースにトレーシングデータを格納するために、前記トレーシングデータが、前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備える、トレーシングイベント検出器。
【請求項13】
請求項9または10に記載のトレーシングシステムで使用するためのデータアナライザであって、前記データアナライザが前記イベントデータに格納されたトレーシング実験を処理するように構成されており、前記データアナライザが、前記イベントトリガ情報がイベントの検出を示すと前記イベント情報の少なくとも一部を前記一意の識別子と照合して、照合が見つかったそれぞれの一意の識別子にペナルティポイントを割り振り、およびそれぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて1つまたは複数の不正セキュアモジュールを識別するために、イベント情報およびイベントトリガ情報を提供するように構成される、データアナライザ。
【請求項14】
請求項9または10に記載のトレーシングシステムで使用するためのセキュアモジュール、好ましくはスマートカードであって、
少なくとも1つのトレーシングイベント生成機能を備え、前記機能がトレーシングイベントメッセージにおいて前記セキュアモジュールに送信されるイベント情報によって命令されている、セキュアモジュール。
【請求項15】
1つまたは複数のコンピュータ上で実行する際に、請求項1から6のいずれかに記載の方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータを生成するためのコンピュータプログラム製品、または、1つまたは複数のコンピュータ上で実行する際に、請求項7または8に記載の方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータに基づいて不正セキュアモジュールをトレースするためのコンピュータプログラム製品。
【請求項1】
セキュアモジュールの集団の中の1つまたは複数の不正セキュアモジュールをトレースするためのトレーシングデータ、好ましくはトレーシングデータを備えるイベントデータベースを生成する方法であって、前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成され、前記方法が、所定の数のトレーシング実験をセキュアモジュールの前記集団に実行して、前記所定の数のトレーシング実験によって生成されたトレーシングデータに基づいて前記1つまたは複数の不正セキュアモジュールを識別するステップを含み、それぞれの前記実験が、
少なくとも1つのトレーシングイベントメッセージを前記集団の中のそれぞれのセキュアモジュールに送信するステップであって、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために前記トレーシングイベントメッセージ内のイベント情報が使用されるステップと、
前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、トレーシングイベント検出器が所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視するステップと、
トレーシングデータを格納するステップであって、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備えるステップとを備える、方法。
【請求項2】
前記トレーシングイベントメッセージが、共通情報において、または個別情報において、セキュアモジュールの前記集団に送信される、請求項1に記載の方法。
【請求項3】
前記イベント情報、好ましくはランダム化された(バイナリ)イベント情報に基づいて、前記イベントメッセージ内、および前記セキュアモジュール、好ましくは前記イベントメッセージ内のイベント情報が前記一意の識別子の少なくとも一部と一致するとトレーシングイベントを生成する前記セキュアモジュールに関連付けられる一意の識別子の少なくとも一部、好ましくはランダム化された一意の識別子に、トレーシングイベントを生成するセキュアモジュール備える、請求項1または2に記載の方法。
【請求項4】
前記トレーシングイベントメッセージ内の前記イベント情報が、前記セキュアモジュール内でイベント生成関数を実行する命令を備える、または前記トレーシングイベントメッセージ内の前記イベント情報が、前記セキュアモジュール内にトレーシングイベントを誘導する、請求項1から3のいずれかに記載の方法。
【請求項5】
前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機への制御語の供給における小さな攪乱、好ましくは前記受信機への制御語の供給における小さな遅延を生成するステップであって、好ましくは前記小さな攪乱が前記受信機のユーザに見えないステップと、
前記トレーシングイベント検出器が、前記受信機に伝送される制御語ストリームを監視するステップと、
前記制御語ストリーム内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備える、請求項1から4のいずれかに記載の方法。
【請求項6】
前記トレーシングイベントが、前記制御語共有ネットワークに接続された受信機の出力に小さな攪乱、好ましくはウォーターマークを生成するステップであって、好ましくは前記小さな攪乱が前記受信機のユーザに見えないステップと、
前記トレーシングイベント検出器が前記受信機の出力信号を監視するステップと、
前記出力信号内の前記攪乱が検出されると、トレーシングイベントの存在を決定するステップとを備える、請求項1から4のいずれかに記載の方法。
【請求項7】
トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するステップと、
前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するステップと
を備える、請求項1から6のいずれかによって定義された方法によって生成されたトレーシングデータに基づいて、セキュアモジュールの集団の中の不正セキュアモジュールをトレースする、方法。
【請求項8】
前記イベントデータに格納されたトレーシング実験ごとに、
イベント情報およびイベント検出情報を提供するステップと、
前記イベントトリガ情報がイベントの検出を示すと、前記イベント情報の少なくとも一部を前記一意の識別子と照合するステップと、
一致が見つかったそれぞれの一意の識別子にペナルティポイントを割り振るステップと、
それぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて、1つまたは複数の不正セキュアモジュールを識別するステップとを実行する、請求項7に記載の方法。
【請求項9】
セキュアモジュールの集団の中の不正セキュアモジュールをトレースするためのトレーシングシステムであって、前記セキュアモジュールが限定受信システムから発生するスクランブルされたデータを受信するように構成され、および前記不正セキュアモジュールが制御語を制御語共有ネットワークに不正供給するように構成され、
セキュアモジュールの集団に所定の数のトレーシング実験を開始して、前記所定の数のトレーシング実験によって生成されたトレーシングデータに基づいて前記1つまたは複数の不正セキュアモジュールを識別するための、および前記限定受信システムにおける限定受信データ送信機に、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用されるセキュアモジュールの前記集団にイベントメッセージを送信するよう命令するためのイベントジェネレータと、
前記少なくとも1つのトレーシングイベントメッセージを受信するように構成された、少なくとも1つのトレーシングイベント検出器とを備え、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、トレーシングデータをイベントデータベースに格納するために、前記トレーシングデータが前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備える、トレーシングシステム。
【請求項10】
前記イベントデータベースに格納されたトレーシングデータに基づいてセキュアモジュールの前記集団の中の1つまたは複数の不正セキュアモジュールを識別するためのデータアナライザをさらに備え、前記データアナライザが、トレーシング実験が実行されたセキュアモジュールの集団に関連付けられる一意の識別子を提供するように構成されており、前記データアナライザが前記一意の識別子およびトレーシングイベントデータに基づいて、前記集団の中の1つまたは複数の不正セキュアモジュールの存在を識別するように構成されている、請求項9に記載のトレーシングシステム。
【請求項11】
請求項9または10に記載のトレーシングシステムで使用するための限定受信データ送信機、好ましくはヘッドエンドであって、前記限定受信データ送信機が、イベントジェネレータから命令を受信して、イベントメッセージを好ましくは暗号化されたメッセージで、より好ましくは共通情報および/または個別情報で、セキュアモジュールの前記集団に送信するように構成され、前記トレーシングイベントメッセージ内のイベント情報が、トレーシングイベントを生成するために前記集団の中の前記セキュアモジュールの少なくとも一部を選択するために使用される、限定受信データ送信機。
【請求項12】
請求項9または10に記載のトレーシングシステムで使用するためのトレーシングイベント検出器であって、前記トレーシングイベント検出器が前記少なくとも1つのトレーシングイベントメッセージを受信するように構成され、前記少なくとも1つのトレーシングイベントメッセージの受信に応答して、所定の時間、前記制御語共有ネットワーク内の少なくとも1つのトレーシングイベントの存在を監視し、また、イベントデータベースにトレーシングデータを格納するために、前記トレーシングデータが、前記イベント情報、およびトレーシングイベントが検出されるか否かを示すイベントトリガ情報を備える、トレーシングイベント検出器。
【請求項13】
請求項9または10に記載のトレーシングシステムで使用するためのデータアナライザであって、前記データアナライザが前記イベントデータに格納されたトレーシング実験を処理するように構成されており、前記データアナライザが、前記イベントトリガ情報がイベントの検出を示すと前記イベント情報の少なくとも一部を前記一意の識別子と照合して、照合が見つかったそれぞれの一意の識別子にペナルティポイントを割り振り、およびそれぞれの一意の識別子に割り振られたペナルティポイントの量に基づいて1つまたは複数の不正セキュアモジュールを識別するために、イベント情報およびイベントトリガ情報を提供するように構成される、データアナライザ。
【請求項14】
請求項9または10に記載のトレーシングシステムで使用するためのセキュアモジュール、好ましくはスマートカードであって、
少なくとも1つのトレーシングイベント生成機能を備え、前記機能がトレーシングイベントメッセージにおいて前記セキュアモジュールに送信されるイベント情報によって命令されている、セキュアモジュール。
【請求項15】
1つまたは複数のコンピュータ上で実行する際に、請求項1から6のいずれかに記載の方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータを生成するためのコンピュータプログラム製品、または、1つまたは複数のコンピュータ上で実行する際に、請求項7または8に記載の方法を実行するように構成されたソフトウェアコード部分を備えるトレーシングデータに基づいて不正セキュアモジュールをトレースするためのコンピュータプログラム製品。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−210262(P2011−210262A)
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−69732(P2011−69732)
【出願日】平成23年3月28日(2011.3.28)
【出願人】(598036964)イルデト・コーポレート・ビー・ヴイ (16)
【Fターム(参考)】
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願番号】特願2011−69732(P2011−69732)
【出願日】平成23年3月28日(2011.3.28)
【出願人】(598036964)イルデト・コーポレート・ビー・ヴイ (16)
【Fターム(参考)】
[ Back to top ]