セキュリティモジュールのオフ操作及び再度オン操作方法
本発明は、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法に関する。そのようなセキュリティモジュールは値を格納する複数のレジスタ(R1,R2,R3,Rn)を含む。本方法は、セキュリティモジュールのメモリーにロードされついで実行される1つの実行可能コードを含む少なくとも1つの管理メッセージ(RUN−EMM)を送信する工程を含む。このコードの実行は特に、レジスタの値のスクランブル及び/又は暗号化を発生させること、即ちこれらの値を読めなくすることができる。またこの方法により、予めオフになっているセキュリティモジュールを再度オンすることも可能である。この場合、本方法は、セキュリティモジュールのオフ操作のために用いられる実行可能コードの機能とは逆の機能を有する、モジュールの再度オン操作のための実行可能コード(RUN−EMM−1)を含む別のコードを送信する工程を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特に、条件付アクセスデータへのアクセス制御のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、更新の一環として、例えばチップカードの形態で作製されたセキュリティモジュールを新しいセキュリティモジュールに交換することができる方法に関する。
【背景技術】
【0002】
特に有料テレビの分野においては、セキュリティモジュールにより異なる3つの当事者が介入することになり、各当事者は権利を有し、それぞれ異なる、権利転送又は使用手段を有する。これらの当事者とは、このセキュリティモジュールのユーザー、運用者、及び製造者である。
【0003】
ユーザーは、運用者が提供するイベント又はイベントグループに関する権利を取得することができる。ユーザーが、購読という形態で或いは衝動買いによりこれらの権利を取得した場合、これらのメッセージは管理メッセージ(EMM)によりユーザーのセキュリティモジュール内にロードされる。受信者が、権利を取得したイベントに対応する暗号化コンテンツを受信すると、セキュリティモジュールはコンテンツを復号化する手段を受信者に与える。こうしてイベントをノンスクランブルで表示することができる。
【0004】
権利がセキュリティモジュール内に存在しない場合、イベントに対応するコンテンツを暗号化するために使われた制御語は、セキュリティモジュールによって復号器に返送されることはなく、イベントをノンスクランブルで表示することはできない。
【0005】
上述の第2の当事者である運用者は、自身が配信を所望するイベントに関する権利並びに暗号手段を有する。これらの暗号手段は、権利を取得したユーザーのみがイベントをノンスクランブルでみることができるように、配信するイベントのコンテンツを暗号化するのに使用される。通常、送信するコンテンツは、制御語が暗号化されたイベントの大部分を表示するのに制御語の復号化が用いられるのを防止するために、一定間隔で変更される制御語を用いて暗号化される。
【0006】
既知のように、これらの制御語は、イベントに対応するコンテンツのフローとは別の制御メッセージ(ECM)のフローにてユーザーに送信される。
【0007】
第3の当事者はセキュリティモジュールのサプライヤである。セキュリティモジュールのサプライヤは、運用者の場合のようなイベントに関する権利ではなく、セキュリティモジュールの管理に関する権利を有する。セキュリティモジュールのサプライヤは極めて高いセキュリティレベルを有する暗号手段も有する。実際、セキュリティモジュールの安全性が破壊された場合、ある特定のイベントに関連する権利がセキュリティモジュール内に含まれているかどうかをデコーダが問い合わせる際、常に肯定応答する偽造セキュリティモジュールを使用することが容易である。この場合、運用者はもはや、配信用に提供するイベントに関連する権利を販売することができなくなる。
【0008】
これらの様々な理由により、セキュリティに関わる進化した機能にアクセスするエンティティの数を最小限にとどめることが推奨される。
【0009】
しかしながら実際には、セキュリティモジュールのパラメータ全体に関わるいくつかの進化した機能に運用者がアクセスする必要が生じることがある。特に、モジュールの更新の結果、新しいセキュリティモジュールを設置しなければならない時にそのようなことが生じる。
【0010】
現状では、更新の際、ユーザーは例えば郵送により新しいセキュリティモジュールを受け取るとともに、旧のセキュリティモジュールの回収、破壊、又はモジュールサプライヤへの返送及び新規モジュールとの交換のため、一定の猶予時間を有する。
【0011】
モジュールのサプライヤの観点から見るとこれらの交換に関して2つの手法を用いることができる。その手法のうちの一方は予め決められた値をレジスタに入力し、カードはもはや使用できないことを知らせるようにすることであり、もう一方は、レジスタの全ての値を消去することである。
【0012】
ある値をレジスタに入力することを内容とする第1の手法においては、コマンドがセキュリティモジュールに送信される。このコマンドは、管理センターにより、セキュア化された管理メッセージ(EMM)の形態で送信される。メッセージは各ユーザー、単数又は複数のユーザーグループ、或いは全てのユーザーに個別に送ることができる。このメッセージは、セキュリティモジュールがもはや有効でないことを、そのために設けたメモリー領域に記録することを目的とする。前記モジュールの内部のソフトウェアは、毎回の始動時にこの値を確認し、モジュールが無効であることをこの値が示している場合には待機状態になる。この手法は、更新に問題がある時、当該レジスタ内の既定値を再度変更し、その結果、カードを再度オン操作にする新しいメッセージを送信することが可能である、という長所を有する。この手法の欠点は、セキュリティモジュール内に含まれているデータレジスタの構造を知る者は、適当なレジスタ内のデータの値を変更し、セキュリティモジュールを再度オンすることができないことである。このように2つのセキュリティモジュールが共存することは可能であるが、これは好ましいことではない。
【0013】
第2の手法は、レジスタの全ての値、即ち権利を消去するものであり、暗号化されたメッセージである管理メッセージ内に含まれるコマンドにより実施される。このコマンドは、セキュリティモジュール内に存在し同モジュールの製造時に入力されるソフトウェアをオンにする。この手法は、セキュリティモジュールによってコマンドが送受信されると、レジスタのうちの1つのレジスタの値に作用させてカードを再度オンすることが不可能であるという長所を有する。これにより、許可されていないカードの使用が防止される。欠点は、それによってセキュリティモジュールの運用者又はサプライヤによるカードの再起動も阻まれることであるが、このことは更新の問題がある時には望ましい状況となることもある。
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明は、許可されている当事者には再度オンできる可能性を提供しつつ、事前にオフにされているモジュールを許可されていない方法で再度オンすることが極めて難しいセキュリティモジュールの更新方法を実現することにより、先行技術による方法の欠点を解消することを目的とする。更に、サプライヤが所持するセキュリティを運用者に提示する必要なく、事前にオフにされているモジュールの再度オン操作は、運用者及び/又はモジュールのサプライヤによって実現することができる。
【課題を解決するための手段】
【0015】
この目的は、値を格納する複数のレジスタを含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行されることを特徴とするモジュールのオフ操作及び再度オン操作方法により達成される。
【0016】
本発明及びその長所は、種々の実施形態についての記述並びに添付の図面を参照することにより、よりよく理解されよう。
【発明を実施するための最良の形態】
【0017】
本発明による方法の第1の実施形態においては、セキュリティモジュールは全て同時に或いはロット毎にオフすることができる。この実施形態の記述においては同時オフ操作とロット別オフ操作とを区別していない。この第1実施形態は、更新に問題がある時、処理すべきモジュールの数も、時間の経過におけるこれらのモジュールの処理間隔も気にすることなくセキュリティモジュールをオフし、再度オンする方法を記述している。
【0018】
本発明による方法において、ある1つのセキュリティモジュール又はモジュール全体の更新を所望する時には、管理センターは、ある特定の管理メッセージをこのモジュール全体に送信する。この管理メッセージは実行可能コード(RUN−EMM)を含む。
【0019】
このコードはセキュリティモジュールのメモリー内にロードされ、レジスタR1,R2,R3,Rn並びにこれらのレジスタ内に格納されているデータの値或いはこれらの値の読み取り方法に対し作用し、その結果、モジュールの運用者及び/又はサプライヤにとって既知の方法によりこれらのデータが変更される。そのために、データを変更する方法として複数の方法を想定することができる。レジスタ内に格納されているデータは対称又は非対称暗号化鍵を使用して暗号化することができる。単純な機能(排他的OR、シフト...)によりレジスタをスクランブルさせることが可能である。複数のレジスタの内容をスクランブルさせることが可能である。また、割り当てテーブル内のポインタをスクランブル又は暗号化することにより、データ又はレジスタの内容を変更することなく、データ又は内容の読み取りを不可能にすることも可能である。更に、セキュリティモジュールの主な要素の代わりとなる実行コードを送信することも可能である。これら主な要素は例えば制御メッセージ(ECM)の読み取り能力に関わることがある。ただし主な要素の中には変更してはならないものもあり、それを守らないと、オフしたモジュールを再度オンすることが不可能になることがある。そのような要素は例えば管理メッセージ(EMM)の処理能力である。また、これらの様々な手法を併用することも可能であることは明らかである。
【0020】
プログラム又は実行可能コードは、ある決まったレジスタの値にのみ作用するのではなく、複数のレジスタの複数の値に作用する。レジスタ内に格納されている全てのデータはセキュリティモジュール内に残っているものの、モジュールを使用不可能にする変更を受けていることに留意しなければならない。実際には、運用上の理由から、モジュールが、変更されたデータを有効なデータとして処理することを防止するために、メモリーの変更に伴い、この無効化がレジスタに登録される。実行可能コードは、セキュリティモジュールのメモリー内でこのコードを消去することにより終了することができ、その結果、いったんコードが実行されるとそのコードはモジュール内に存在しなくなるか、或いは少なくともこのコードのうちの一部は存在しなくなる。強制ではないが実際の実施例によれば、実行可能コードは、セキュリティモジュール内に記憶されている単数又は複数のプログラム要素と協動することがあるため、モジュールの更新を実施することができるようにするためには、実行可能コード及びこれらのプログラム要素が存在していなければならない。
【0021】
これらのプログラム要素は例えばメモリーへの書き込み、メモリーの一部の消去等のために使用することができる。上で記述したような操作を行うことにより、たとえモジュールのレジスタの構造を知っていても、スクランブル又は暗号化に用いられた実行可能コードをもっていない限り、いったんオフされたモジュールを再度オンすることは不可能である。このスクランブルの略図を図1に示す。実行可能コードは、上で言及したように管理センターによって送信される部分と、セキュリティモジュールに記憶される部分とをもつことができ、モジュールをオフするためにはこれら2つの部分が協動しなければならないことに留意すべきである。セキュリティモジュール内に記憶されている実行コードの部分を分析しても、実行可能コードの送信された部分を推測することはできない。従って、事前にオフにされているモジュールを許可なく再度オンすることは不可能である。
【0022】
図2は、図1を参照して記述した方法によりオフにしたセキュリティモジュールの一部又は全てを再度オンすることを所望する場合を図示したものである。この状況は、例えばモジュールの更新時に問題が発生した場合に、望ましくなることがある。この場合、管理センターは、その前に送信したコードの作用とは逆の作用を有する実行可能コード(RUN−EMM−1)を、再度オンさせたいモジュール又はモジュール全体に送信する。この新しいコードは、スクランブル又は暗号化のために使用した実行可能コードにより前回処理されたレジスタの値を変更し、セキュリティモジュールのレジスタの値のスクランブル解除又は復号化を行い、このモジュールを再度使用可能にする機能を有する。この再度オン操作は、ある決まった集合に属する全てのモジュールについても、或いはその中の一部についても行うことができる。この再度オン操作は、スクランブル解除又は復号化が可能な実行可能コードを入手した時点以降でないと実行できないことは明らかである。
【0023】
この方法は先行技術の方法と比べ様々な長所を有する。まずこの方法は可逆的である、即ちそのことは、何らかの理由により、ある決まったロットのセキュリティモジュールの再度オンを所望する場合、それを容易に実施することができることを意味する。他方、スクランブルの解除が可能なコードを知らない限り、オフになっているモジュールを再度オンにすることは不可能であるため、この方法によって極めて良好なセキュリティが提供される。
【0024】
上で記述した方法は、セキュリティモジュールの運用者でもサプライヤでも適用することができる。しかしながら、この操作中は、セキュリティのレベルは極めて高いものであることが必要であるため、セキュリティモジュールのサプライヤが本方法を受け持つのが望ましいことがある。
【0025】
以下の記述においては、本発明による方法について記述する実施形態は、処理するセキュリティモジュールの数に関する強制的遵守事項、使用可能帯域、及びこれらのモジュールの処理に必要な時間を考慮している。
【0026】
実際、交換するセキュリティモジュールが多数ある場合、実行可能コードを含むメッセージを各モジュールに送ることは不可能である。実際、更新が有効であるようにするためには、例えば1年というような長期間更新メッセージが配信されることが必要である。反対に、更新する全てのモジュールに対し、或いは少なくともそれらのモジュールのうちの多くの部分にただ1つのメッセージを配信できるのが望ましい。
【0027】
最初にセキュリティモジュールをロット別に分けるが、これらのロットは、例えばセキュリティモジュールの製造年月日に従って決められ、セキュリティモジュールの交換を所望する加入者グループ又はその一部に対応する。
【0028】
一例として、図3に略図で示すように、新しいセキュリティモジュールを受け取る人の集合をL1からL4までの4つのロットに分離することが可能である。各ロットは、そのロットが属するロット番号L1,L2,L3,又はL4を特定のマーカーの形態で含む管理メッセージを受け取る。このメッセージは例えば6ヶ月から1年という比較的長い期間で送信することができ、その結果、全てのユーザーがメッセージを受信したことを確認することができる。マーカーとは、セキュリティモジュール内に設けられたレジスタのうちの1つに入力された特別な値である。マーカーを含む管理メッセージは全てのセキュリティモジュールに同時に送信するか、反対に、一回に、ある1つのロットに送信することができるが、これは処理するモジュール数及び使用可能な透過帯域に特に依存する。有利な方法は、あるロットに対し、例えば毎週というように一定間隔で管理メッセージを送信することである。なお、初期設定では各セキュリティモジュールは値が0のマーカーを1つ含むことができることに留意する必要がある。マーカーを含むメッセージをモジュールが受信したことがわかっている時には、明白な記載がある場合を除き、このマーカーは0ではない値を持っていると理解しなければならない。
【0029】
ある時間の経過後、全てのロットの大部分のセキュリティモジュールがマーカーを受信したことが確実と思われるようになると、モジュールのサプライヤは、上で図1を参照して記述したような実行可能コードRUN−EMMを送信する。実行可能コードはまず、マーカーを含むレジスタの内容を確認し、その結果、セキュリティモジュールが、更新を行わなければならないロットのうちの1つに属しているかどうかを確認する。個別の実施形態によれば、通常の使用の場合、即ち更新の予定がない場合、マーカーのレジスタの内容は0とすることができるが、更新が予定されておりモジュールがマーカーを受信した場合は、0より大きい値とすることができる。この場合、実行可能コードは、マーカーが必ず0より大きいあらゆるセキュリティモジュールについて、即ちマーカーを含む管理メッセージを受信し処理したあらゆるモジュールについて実行される。上で記述したように、このコードは、スクランブル解除又は復号化コードをもたない人に対しセキュリティモジュールを使用不可能にするように、セキュリティモジュールの様々なレジスタの内容をスクランブル化又は暗号化する効果を有する。
【0030】
この実行可能コードRUN−EMMは、上で定義したようなマーカーを含む全てのセキュリティモジュールに作用するように、非常に長期間、定期的に送信することができる。従って、マーカーを含むセキュリティモジュールが、同モジュールに一定期間結合されていたデコーダから抜き取られた場合、同モジュールは、再度デコーダに挿入された時にオフにされる。
【0031】
ある変形形態によれば、マーカーが0より大きい全てのモジュールについてコードを実行する代わりに、マーカーが、例えば3というような、ある決まった数値を有するセキュリティモジュールについてのみコードを実行することも可能である。この場合、各ロットのセキュリティモジュールは個別に処理されるため、モジュールの更新に関してはより高い柔軟性が得られるが、実行可能コードを含むメッセージに関してより複雑な管理が求められる。
【0032】
実行可能コードを含むメッセージの送信、従ってそれに関するセキュリティは、サプライヤによって管理される。一方、運用者は、マーカーを含むメッセージの送信を管理し、どのタイミングから、実行可能コードを含むメッセージの送信を開始することができるかをサプライヤに知らせる。
【0033】
例えば不正確な更新のため、あるロットのセキュリティモジュールを再度オンしなければならない時には、2つの変形形態が可能である。第1の変形形態においては、ある決まったロットを再度オンする。例として、上で記述したように、図4のロット3をオフにした後、再度オンする。この場合、再度オンするロットがそのマーカーにより識別される時には、セキュリティモジュールのサプライヤは、図2を参照して記述した実行可能コードと同様のコードであって、レジスタ及びモジュールの値のスクランブルを解除するよう作用するコードを送信する。この場合、この実行可能コードはまずセキュリティモジュールのマーカーの値を決める。次にこの値を、変更対象となっているロットのモジュールの値と比較する。この値がマーカーと同一である場合、コードは実行されレジスタのスクランブルは解除される。このようにして、該当するセキュリティモジュールが再度オンされる。再度オンすべきロットの値とは異なる値をマーカーが有するモジュールはオフの状態のままであり、使用不可能である。
【0034】
この方法の一変形形態では、再度オン操作はある決まったロットに作用するのではなく、ある決まった特性を有するあらゆるセキュリティモジュールに作用することができる。あるモジュール、又はあるモジュールのロットを再度オンしなければならない時、運用者は、例えば−1の値を有する決まったマーカーを含むメッセージをまず送信する。該当するモジュールに以前含まれていたマーカーはこのマーカーにとって代えられる。
【0035】
この場合、サプライヤは次に、上で定義したような実行可能コードを含むメッセージを送信するが、このメッセージは、マーカーが−1の値をもつセキュリティモジュールの値及びレジスタに作用する。そのようなメッセージはセキュリティモジュールのサプライヤにより定期的に送信することができる。一方、運用者は、マーカーが−1の値をとるようにマーカーの値を変更するメッセージを送信することができる。従って運用者は、モジュールのサプライヤとは無関係に、自身でセキュリティモジュールの再度オン操作を管理することができ、その場合モジュールのサプライヤは、運用者にとって極めて機密な暗号情報を送信する必要がない。
【0036】
この方法は先行技術の方法と比べていくつかの長所を有している。例えば、先行技術の方法では、セキュリティモジュールは、予め決められたレジスタの値を変更し、モジュールをオン又はオフすることは可能である。この場合、モジュールを詳細に分析することによりプログラムの効果を知ることができ、場合によってはプログラムのシミュレーションを行うことは可能である。また、プログラムはモジュール内に記憶されるので、モジュールの製造時に想定された方法でしか作用しない。従ってプログラムは進化する可能性を全く有さない。本発明による方法では、実行可能コードの使用時に同コードが送信されるため、その内容の分析が防止され、そのタイミングの実際の利用に対応するコードを送信することができるので、コードはニーズに応じて著しく進化することができる。
【図面の簡単な説明】
【0037】
【図1】図1はセキュリティモジュールがオフの状態である本発明による方法の第1実施形態を示す図である。
【図2】図2は図1に示すオフの状態のモジュールが再度オンされる方法の実施形態を示す図である。
【図3】図3は本発明の方法による複数のロットのセキュリティモジュールのオフ操作を示す略図である。
【図4】図4は図3に略図で示した方法によりオフにされたロットのうちの1つのロットのセキュリティモジュールの再度オン操作を示す図である。
【技術分野】
【0001】
本発明は、特に、条件付アクセスデータへのアクセス制御のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、更新の一環として、例えばチップカードの形態で作製されたセキュリティモジュールを新しいセキュリティモジュールに交換することができる方法に関する。
【背景技術】
【0002】
特に有料テレビの分野においては、セキュリティモジュールにより異なる3つの当事者が介入することになり、各当事者は権利を有し、それぞれ異なる、権利転送又は使用手段を有する。これらの当事者とは、このセキュリティモジュールのユーザー、運用者、及び製造者である。
【0003】
ユーザーは、運用者が提供するイベント又はイベントグループに関する権利を取得することができる。ユーザーが、購読という形態で或いは衝動買いによりこれらの権利を取得した場合、これらのメッセージは管理メッセージ(EMM)によりユーザーのセキュリティモジュール内にロードされる。受信者が、権利を取得したイベントに対応する暗号化コンテンツを受信すると、セキュリティモジュールはコンテンツを復号化する手段を受信者に与える。こうしてイベントをノンスクランブルで表示することができる。
【0004】
権利がセキュリティモジュール内に存在しない場合、イベントに対応するコンテンツを暗号化するために使われた制御語は、セキュリティモジュールによって復号器に返送されることはなく、イベントをノンスクランブルで表示することはできない。
【0005】
上述の第2の当事者である運用者は、自身が配信を所望するイベントに関する権利並びに暗号手段を有する。これらの暗号手段は、権利を取得したユーザーのみがイベントをノンスクランブルでみることができるように、配信するイベントのコンテンツを暗号化するのに使用される。通常、送信するコンテンツは、制御語が暗号化されたイベントの大部分を表示するのに制御語の復号化が用いられるのを防止するために、一定間隔で変更される制御語を用いて暗号化される。
【0006】
既知のように、これらの制御語は、イベントに対応するコンテンツのフローとは別の制御メッセージ(ECM)のフローにてユーザーに送信される。
【0007】
第3の当事者はセキュリティモジュールのサプライヤである。セキュリティモジュールのサプライヤは、運用者の場合のようなイベントに関する権利ではなく、セキュリティモジュールの管理に関する権利を有する。セキュリティモジュールのサプライヤは極めて高いセキュリティレベルを有する暗号手段も有する。実際、セキュリティモジュールの安全性が破壊された場合、ある特定のイベントに関連する権利がセキュリティモジュール内に含まれているかどうかをデコーダが問い合わせる際、常に肯定応答する偽造セキュリティモジュールを使用することが容易である。この場合、運用者はもはや、配信用に提供するイベントに関連する権利を販売することができなくなる。
【0008】
これらの様々な理由により、セキュリティに関わる進化した機能にアクセスするエンティティの数を最小限にとどめることが推奨される。
【0009】
しかしながら実際には、セキュリティモジュールのパラメータ全体に関わるいくつかの進化した機能に運用者がアクセスする必要が生じることがある。特に、モジュールの更新の結果、新しいセキュリティモジュールを設置しなければならない時にそのようなことが生じる。
【0010】
現状では、更新の際、ユーザーは例えば郵送により新しいセキュリティモジュールを受け取るとともに、旧のセキュリティモジュールの回収、破壊、又はモジュールサプライヤへの返送及び新規モジュールとの交換のため、一定の猶予時間を有する。
【0011】
モジュールのサプライヤの観点から見るとこれらの交換に関して2つの手法を用いることができる。その手法のうちの一方は予め決められた値をレジスタに入力し、カードはもはや使用できないことを知らせるようにすることであり、もう一方は、レジスタの全ての値を消去することである。
【0012】
ある値をレジスタに入力することを内容とする第1の手法においては、コマンドがセキュリティモジュールに送信される。このコマンドは、管理センターにより、セキュア化された管理メッセージ(EMM)の形態で送信される。メッセージは各ユーザー、単数又は複数のユーザーグループ、或いは全てのユーザーに個別に送ることができる。このメッセージは、セキュリティモジュールがもはや有効でないことを、そのために設けたメモリー領域に記録することを目的とする。前記モジュールの内部のソフトウェアは、毎回の始動時にこの値を確認し、モジュールが無効であることをこの値が示している場合には待機状態になる。この手法は、更新に問題がある時、当該レジスタ内の既定値を再度変更し、その結果、カードを再度オン操作にする新しいメッセージを送信することが可能である、という長所を有する。この手法の欠点は、セキュリティモジュール内に含まれているデータレジスタの構造を知る者は、適当なレジスタ内のデータの値を変更し、セキュリティモジュールを再度オンすることができないことである。このように2つのセキュリティモジュールが共存することは可能であるが、これは好ましいことではない。
【0013】
第2の手法は、レジスタの全ての値、即ち権利を消去するものであり、暗号化されたメッセージである管理メッセージ内に含まれるコマンドにより実施される。このコマンドは、セキュリティモジュール内に存在し同モジュールの製造時に入力されるソフトウェアをオンにする。この手法は、セキュリティモジュールによってコマンドが送受信されると、レジスタのうちの1つのレジスタの値に作用させてカードを再度オンすることが不可能であるという長所を有する。これにより、許可されていないカードの使用が防止される。欠点は、それによってセキュリティモジュールの運用者又はサプライヤによるカードの再起動も阻まれることであるが、このことは更新の問題がある時には望ましい状況となることもある。
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明は、許可されている当事者には再度オンできる可能性を提供しつつ、事前にオフにされているモジュールを許可されていない方法で再度オンすることが極めて難しいセキュリティモジュールの更新方法を実現することにより、先行技術による方法の欠点を解消することを目的とする。更に、サプライヤが所持するセキュリティを運用者に提示する必要なく、事前にオフにされているモジュールの再度オン操作は、運用者及び/又はモジュールのサプライヤによって実現することができる。
【課題を解決するための手段】
【0015】
この目的は、値を格納する複数のレジスタを含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行されることを特徴とするモジュールのオフ操作及び再度オン操作方法により達成される。
【0016】
本発明及びその長所は、種々の実施形態についての記述並びに添付の図面を参照することにより、よりよく理解されよう。
【発明を実施するための最良の形態】
【0017】
本発明による方法の第1の実施形態においては、セキュリティモジュールは全て同時に或いはロット毎にオフすることができる。この実施形態の記述においては同時オフ操作とロット別オフ操作とを区別していない。この第1実施形態は、更新に問題がある時、処理すべきモジュールの数も、時間の経過におけるこれらのモジュールの処理間隔も気にすることなくセキュリティモジュールをオフし、再度オンする方法を記述している。
【0018】
本発明による方法において、ある1つのセキュリティモジュール又はモジュール全体の更新を所望する時には、管理センターは、ある特定の管理メッセージをこのモジュール全体に送信する。この管理メッセージは実行可能コード(RUN−EMM)を含む。
【0019】
このコードはセキュリティモジュールのメモリー内にロードされ、レジスタR1,R2,R3,Rn並びにこれらのレジスタ内に格納されているデータの値或いはこれらの値の読み取り方法に対し作用し、その結果、モジュールの運用者及び/又はサプライヤにとって既知の方法によりこれらのデータが変更される。そのために、データを変更する方法として複数の方法を想定することができる。レジスタ内に格納されているデータは対称又は非対称暗号化鍵を使用して暗号化することができる。単純な機能(排他的OR、シフト...)によりレジスタをスクランブルさせることが可能である。複数のレジスタの内容をスクランブルさせることが可能である。また、割り当てテーブル内のポインタをスクランブル又は暗号化することにより、データ又はレジスタの内容を変更することなく、データ又は内容の読み取りを不可能にすることも可能である。更に、セキュリティモジュールの主な要素の代わりとなる実行コードを送信することも可能である。これら主な要素は例えば制御メッセージ(ECM)の読み取り能力に関わることがある。ただし主な要素の中には変更してはならないものもあり、それを守らないと、オフしたモジュールを再度オンすることが不可能になることがある。そのような要素は例えば管理メッセージ(EMM)の処理能力である。また、これらの様々な手法を併用することも可能であることは明らかである。
【0020】
プログラム又は実行可能コードは、ある決まったレジスタの値にのみ作用するのではなく、複数のレジスタの複数の値に作用する。レジスタ内に格納されている全てのデータはセキュリティモジュール内に残っているものの、モジュールを使用不可能にする変更を受けていることに留意しなければならない。実際には、運用上の理由から、モジュールが、変更されたデータを有効なデータとして処理することを防止するために、メモリーの変更に伴い、この無効化がレジスタに登録される。実行可能コードは、セキュリティモジュールのメモリー内でこのコードを消去することにより終了することができ、その結果、いったんコードが実行されるとそのコードはモジュール内に存在しなくなるか、或いは少なくともこのコードのうちの一部は存在しなくなる。強制ではないが実際の実施例によれば、実行可能コードは、セキュリティモジュール内に記憶されている単数又は複数のプログラム要素と協動することがあるため、モジュールの更新を実施することができるようにするためには、実行可能コード及びこれらのプログラム要素が存在していなければならない。
【0021】
これらのプログラム要素は例えばメモリーへの書き込み、メモリーの一部の消去等のために使用することができる。上で記述したような操作を行うことにより、たとえモジュールのレジスタの構造を知っていても、スクランブル又は暗号化に用いられた実行可能コードをもっていない限り、いったんオフされたモジュールを再度オンすることは不可能である。このスクランブルの略図を図1に示す。実行可能コードは、上で言及したように管理センターによって送信される部分と、セキュリティモジュールに記憶される部分とをもつことができ、モジュールをオフするためにはこれら2つの部分が協動しなければならないことに留意すべきである。セキュリティモジュール内に記憶されている実行コードの部分を分析しても、実行可能コードの送信された部分を推測することはできない。従って、事前にオフにされているモジュールを許可なく再度オンすることは不可能である。
【0022】
図2は、図1を参照して記述した方法によりオフにしたセキュリティモジュールの一部又は全てを再度オンすることを所望する場合を図示したものである。この状況は、例えばモジュールの更新時に問題が発生した場合に、望ましくなることがある。この場合、管理センターは、その前に送信したコードの作用とは逆の作用を有する実行可能コード(RUN−EMM−1)を、再度オンさせたいモジュール又はモジュール全体に送信する。この新しいコードは、スクランブル又は暗号化のために使用した実行可能コードにより前回処理されたレジスタの値を変更し、セキュリティモジュールのレジスタの値のスクランブル解除又は復号化を行い、このモジュールを再度使用可能にする機能を有する。この再度オン操作は、ある決まった集合に属する全てのモジュールについても、或いはその中の一部についても行うことができる。この再度オン操作は、スクランブル解除又は復号化が可能な実行可能コードを入手した時点以降でないと実行できないことは明らかである。
【0023】
この方法は先行技術の方法と比べ様々な長所を有する。まずこの方法は可逆的である、即ちそのことは、何らかの理由により、ある決まったロットのセキュリティモジュールの再度オンを所望する場合、それを容易に実施することができることを意味する。他方、スクランブルの解除が可能なコードを知らない限り、オフになっているモジュールを再度オンにすることは不可能であるため、この方法によって極めて良好なセキュリティが提供される。
【0024】
上で記述した方法は、セキュリティモジュールの運用者でもサプライヤでも適用することができる。しかしながら、この操作中は、セキュリティのレベルは極めて高いものであることが必要であるため、セキュリティモジュールのサプライヤが本方法を受け持つのが望ましいことがある。
【0025】
以下の記述においては、本発明による方法について記述する実施形態は、処理するセキュリティモジュールの数に関する強制的遵守事項、使用可能帯域、及びこれらのモジュールの処理に必要な時間を考慮している。
【0026】
実際、交換するセキュリティモジュールが多数ある場合、実行可能コードを含むメッセージを各モジュールに送ることは不可能である。実際、更新が有効であるようにするためには、例えば1年というような長期間更新メッセージが配信されることが必要である。反対に、更新する全てのモジュールに対し、或いは少なくともそれらのモジュールのうちの多くの部分にただ1つのメッセージを配信できるのが望ましい。
【0027】
最初にセキュリティモジュールをロット別に分けるが、これらのロットは、例えばセキュリティモジュールの製造年月日に従って決められ、セキュリティモジュールの交換を所望する加入者グループ又はその一部に対応する。
【0028】
一例として、図3に略図で示すように、新しいセキュリティモジュールを受け取る人の集合をL1からL4までの4つのロットに分離することが可能である。各ロットは、そのロットが属するロット番号L1,L2,L3,又はL4を特定のマーカーの形態で含む管理メッセージを受け取る。このメッセージは例えば6ヶ月から1年という比較的長い期間で送信することができ、その結果、全てのユーザーがメッセージを受信したことを確認することができる。マーカーとは、セキュリティモジュール内に設けられたレジスタのうちの1つに入力された特別な値である。マーカーを含む管理メッセージは全てのセキュリティモジュールに同時に送信するか、反対に、一回に、ある1つのロットに送信することができるが、これは処理するモジュール数及び使用可能な透過帯域に特に依存する。有利な方法は、あるロットに対し、例えば毎週というように一定間隔で管理メッセージを送信することである。なお、初期設定では各セキュリティモジュールは値が0のマーカーを1つ含むことができることに留意する必要がある。マーカーを含むメッセージをモジュールが受信したことがわかっている時には、明白な記載がある場合を除き、このマーカーは0ではない値を持っていると理解しなければならない。
【0029】
ある時間の経過後、全てのロットの大部分のセキュリティモジュールがマーカーを受信したことが確実と思われるようになると、モジュールのサプライヤは、上で図1を参照して記述したような実行可能コードRUN−EMMを送信する。実行可能コードはまず、マーカーを含むレジスタの内容を確認し、その結果、セキュリティモジュールが、更新を行わなければならないロットのうちの1つに属しているかどうかを確認する。個別の実施形態によれば、通常の使用の場合、即ち更新の予定がない場合、マーカーのレジスタの内容は0とすることができるが、更新が予定されておりモジュールがマーカーを受信した場合は、0より大きい値とすることができる。この場合、実行可能コードは、マーカーが必ず0より大きいあらゆるセキュリティモジュールについて、即ちマーカーを含む管理メッセージを受信し処理したあらゆるモジュールについて実行される。上で記述したように、このコードは、スクランブル解除又は復号化コードをもたない人に対しセキュリティモジュールを使用不可能にするように、セキュリティモジュールの様々なレジスタの内容をスクランブル化又は暗号化する効果を有する。
【0030】
この実行可能コードRUN−EMMは、上で定義したようなマーカーを含む全てのセキュリティモジュールに作用するように、非常に長期間、定期的に送信することができる。従って、マーカーを含むセキュリティモジュールが、同モジュールに一定期間結合されていたデコーダから抜き取られた場合、同モジュールは、再度デコーダに挿入された時にオフにされる。
【0031】
ある変形形態によれば、マーカーが0より大きい全てのモジュールについてコードを実行する代わりに、マーカーが、例えば3というような、ある決まった数値を有するセキュリティモジュールについてのみコードを実行することも可能である。この場合、各ロットのセキュリティモジュールは個別に処理されるため、モジュールの更新に関してはより高い柔軟性が得られるが、実行可能コードを含むメッセージに関してより複雑な管理が求められる。
【0032】
実行可能コードを含むメッセージの送信、従ってそれに関するセキュリティは、サプライヤによって管理される。一方、運用者は、マーカーを含むメッセージの送信を管理し、どのタイミングから、実行可能コードを含むメッセージの送信を開始することができるかをサプライヤに知らせる。
【0033】
例えば不正確な更新のため、あるロットのセキュリティモジュールを再度オンしなければならない時には、2つの変形形態が可能である。第1の変形形態においては、ある決まったロットを再度オンする。例として、上で記述したように、図4のロット3をオフにした後、再度オンする。この場合、再度オンするロットがそのマーカーにより識別される時には、セキュリティモジュールのサプライヤは、図2を参照して記述した実行可能コードと同様のコードであって、レジスタ及びモジュールの値のスクランブルを解除するよう作用するコードを送信する。この場合、この実行可能コードはまずセキュリティモジュールのマーカーの値を決める。次にこの値を、変更対象となっているロットのモジュールの値と比較する。この値がマーカーと同一である場合、コードは実行されレジスタのスクランブルは解除される。このようにして、該当するセキュリティモジュールが再度オンされる。再度オンすべきロットの値とは異なる値をマーカーが有するモジュールはオフの状態のままであり、使用不可能である。
【0034】
この方法の一変形形態では、再度オン操作はある決まったロットに作用するのではなく、ある決まった特性を有するあらゆるセキュリティモジュールに作用することができる。あるモジュール、又はあるモジュールのロットを再度オンしなければならない時、運用者は、例えば−1の値を有する決まったマーカーを含むメッセージをまず送信する。該当するモジュールに以前含まれていたマーカーはこのマーカーにとって代えられる。
【0035】
この場合、サプライヤは次に、上で定義したような実行可能コードを含むメッセージを送信するが、このメッセージは、マーカーが−1の値をもつセキュリティモジュールの値及びレジスタに作用する。そのようなメッセージはセキュリティモジュールのサプライヤにより定期的に送信することができる。一方、運用者は、マーカーが−1の値をとるようにマーカーの値を変更するメッセージを送信することができる。従って運用者は、モジュールのサプライヤとは無関係に、自身でセキュリティモジュールの再度オン操作を管理することができ、その場合モジュールのサプライヤは、運用者にとって極めて機密な暗号情報を送信する必要がない。
【0036】
この方法は先行技術の方法と比べていくつかの長所を有している。例えば、先行技術の方法では、セキュリティモジュールは、予め決められたレジスタの値を変更し、モジュールをオン又はオフすることは可能である。この場合、モジュールを詳細に分析することによりプログラムの効果を知ることができ、場合によってはプログラムのシミュレーションを行うことは可能である。また、プログラムはモジュール内に記憶されるので、モジュールの製造時に想定された方法でしか作用しない。従ってプログラムは進化する可能性を全く有さない。本発明による方法では、実行可能コードの使用時に同コードが送信されるため、その内容の分析が防止され、そのタイミングの実際の利用に対応するコードを送信することができるので、コードはニーズに応じて著しく進化することができる。
【図面の簡単な説明】
【0037】
【図1】図1はセキュリティモジュールがオフの状態である本発明による方法の第1実施形態を示す図である。
【図2】図2は図1に示すオフの状態のモジュールが再度オンされる方法の実施形態を示す図である。
【図3】図3は本発明の方法による複数のロットのセキュリティモジュールのオフ操作を示す略図である。
【図4】図4は図3に略図で示した方法によりオフにされたロットのうちの1つのロットのセキュリティモジュールの再度オン操作を示す図である。
【特許請求の範囲】
【請求項1】
値を格納する複数のレジスタ(R1, R2, R3, Rn)を含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージ(RUN-EMM)を送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行されることを特徴とするセキュリティモジュールのオフ操作及び再度オン操作方法。
【請求項2】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を可逆的に変更することを特徴とする、請求項1記載の方法。
【請求項3】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値をスクランブルさせることを特徴とする、請求項1又は2記載の方法。
【請求項4】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を暗号化することを特徴とする、請求項1又は2記載の方法。
【請求項5】
マーカーを含むメッセージの送信という予備工程を含み、前記マーカーはセキュリティモジュールのある決まったロットに共通であって各ロット毎に異なることを特徴とする、請求項1記載の方法。
【請求項6】
前記実行可能コード(RUN-EMM)が、マーカーを含む全てのセキュリティモジュールに作用することを特徴とする、請求項5記載の方法。
【請求項7】
前記実行可能コード(RUN-EMM)が、マーカーがある決まった値を有する全てのセキュリティモジュールに作用することを特徴とする、請求項5記載の方法。
【請求項8】
モジュールの再度オン操作のための実行可能コード(RUN-EMM−1)を含む別のメッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有することを特徴とする、請求項1記載のオフ操作及び再度オン操作方法。
【請求項9】
各セキュリティモジュールのマーカーの値を決める工程と、再度オン操作のための実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められたマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、セキュリティモジュールがマーカーを含む、請求項8記載の方法。
【請求項10】
値が予め決められたマーカーが予め決められたユニークな設定値をもつように、このマーカーを有する全てのセキュリティモジュールに作用するメッセージであるマーカー値変更メッセージを送信する工程と、実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められた設定値であるマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、請求項8記載の方法。
【特許請求の範囲】
【請求項1】
値を格納する複数のレジスタ(R1, R2, R3, Rn)を含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージ(RUN-EMM)を送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行され、その実行がレジスタ(R1, R2, R3, Rn)に格納された前記値を可逆的な方法で変更し、変更後レジスタの内容はモジュールを使用不可能にすることを特徴とするセキュリティモジュールのオフ操作及び再度オン操作方法。
【請求項2】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値をスクランブルさせることを特徴とする、請求項1記載の方法。
【請求項3】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を暗号化することを特徴とする、請求項1記載の方法。
【請求項4】
マーカーを含むメッセージの送信という予備工程を含み、前記マーカーはセキュリティモジュールのある決まったロットに共通であって各ロット毎に異なることを特徴とする、請求項1記載の方法。
【請求項5】
前記実行可能コード(RUN-EMM)が、マーカーを含む全てのセキュリティモジュールに作用することを特徴とする、請求項4記載の方法。
【請求項6】
前記実行可能コード(RUN-EMM)が、マーカーがある決まった値を有する全てのセキュリティモジュールに作用することを特徴とする、請求項4記載の方法。
【請求項7】
モジュールの再度オン操作のための実行可能コード(RUN-EMM−1)を含む別のメッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有することを特徴とする、請求項1記載のオフ操作及び再度オン操作方法。
【請求項8】
各セキュリティモジュールのマーカーの値を決める工程と、再度オン操作のための実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められたマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、セキュリティモジュールがマーカーを含む、請求項7記載の方法。
【請求項9】
値が予め決められたマーカーが予め決められたユニークな設定値をもつように、このマーカーを有する全てのセキュリティモジュールに作用するメッセージであるマーカー値変更メッセージを送信する工程と、実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められた設定値であるマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、請求項7記載の方法。
【請求項1】
値を格納する複数のレジスタ(R1, R2, R3, Rn)を含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージ(RUN-EMM)を送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行されることを特徴とするセキュリティモジュールのオフ操作及び再度オン操作方法。
【請求項2】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を可逆的に変更することを特徴とする、請求項1記載の方法。
【請求項3】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値をスクランブルさせることを特徴とする、請求項1又は2記載の方法。
【請求項4】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を暗号化することを特徴とする、請求項1又は2記載の方法。
【請求項5】
マーカーを含むメッセージの送信という予備工程を含み、前記マーカーはセキュリティモジュールのある決まったロットに共通であって各ロット毎に異なることを特徴とする、請求項1記載の方法。
【請求項6】
前記実行可能コード(RUN-EMM)が、マーカーを含む全てのセキュリティモジュールに作用することを特徴とする、請求項5記載の方法。
【請求項7】
前記実行可能コード(RUN-EMM)が、マーカーがある決まった値を有する全てのセキュリティモジュールに作用することを特徴とする、請求項5記載の方法。
【請求項8】
モジュールの再度オン操作のための実行可能コード(RUN-EMM−1)を含む別のメッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有することを特徴とする、請求項1記載のオフ操作及び再度オン操作方法。
【請求項9】
各セキュリティモジュールのマーカーの値を決める工程と、再度オン操作のための実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められたマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、セキュリティモジュールがマーカーを含む、請求項8記載の方法。
【請求項10】
値が予め決められたマーカーが予め決められたユニークな設定値をもつように、このマーカーを有する全てのセキュリティモジュールに作用するメッセージであるマーカー値変更メッセージを送信する工程と、実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められた設定値であるマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、請求項8記載の方法。
【特許請求の範囲】
【請求項1】
値を格納する複数のレジスタ(R1, R2, R3, Rn)を含む、特に限定受信データへのアクセス管理のためのセキュリティモジュールのオフ操作及び再度オン操作方法であって、1つの実行可能コードを含む少なくとも1つの管理メッセージ(RUN-EMM)を送信する工程を含み、前記実行可能コードはセキュリティモジュールのメモリーにロードされついで実行され、その実行がレジスタ(R1, R2, R3, Rn)に格納された前記値を可逆的な方法で変更し、変更後レジスタの内容はモジュールを使用不可能にすることを特徴とするセキュリティモジュールのオフ操作及び再度オン操作方法。
【請求項2】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値をスクランブルさせることを特徴とする、請求項1記載の方法。
【請求項3】
前記実行可能コード(RUN-EMM)がレジスタ(R1, R2, R3, Rn)に格納された前記値を暗号化することを特徴とする、請求項1記載の方法。
【請求項4】
マーカーを含むメッセージの送信という予備工程を含み、前記マーカーはセキュリティモジュールのある決まったロットに共通であって各ロット毎に異なることを特徴とする、請求項1記載の方法。
【請求項5】
前記実行可能コード(RUN-EMM)が、マーカーを含む全てのセキュリティモジュールに作用することを特徴とする、請求項4記載の方法。
【請求項6】
前記実行可能コード(RUN-EMM)が、マーカーがある決まった値を有する全てのセキュリティモジュールに作用することを特徴とする、請求項4記載の方法。
【請求項7】
モジュールの再度オン操作のための実行可能コード(RUN-EMM−1)を含む別のメッセージを送信する工程を含み、前記実行可能コードはセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有することを特徴とする、請求項1記載のオフ操作及び再度オン操作方法。
【請求項8】
各セキュリティモジュールのマーカーの値を決める工程と、再度オン操作のための実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められたマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、セキュリティモジュールがマーカーを含む、請求項7記載の方法。
【請求項9】
値が予め決められたマーカーが予め決められたユニークな設定値をもつように、このマーカーを有する全てのセキュリティモジュールに作用するメッセージであるマーカー値変更メッセージを送信する工程と、実行可能コード(RUN-EMM−1)を含む少なくとも1つのメッセージを送信する工程とを含み、前記実行可能コード(RUN-EMM−1)はセキュリティモジュールのオフ操作のために用いられる実行可能コード(RUN-EMM)の機能とは逆の機能を有し、前記コードは値が予め決められた設定値であるマーカーを有する各セキュリティモジュールのために実行されることを特徴とする、請求項7記載の方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2006−524455(P2006−524455A)
【公表日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願番号】特願2006−506665(P2006−506665)
【出願日】平成16年3月2日(2004.3.2)
【国際出願番号】PCT/IB2004/050185
【国際公開番号】WO2004/079672
【国際公開日】平成16年9月16日(2004.9.16)
【出願人】(500477997)ナグラカード エス. アー. (16)
【Fターム(参考)】
【公表日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願日】平成16年3月2日(2004.3.2)
【国際出願番号】PCT/IB2004/050185
【国際公開番号】WO2004/079672
【国際公開日】平成16年9月16日(2004.9.16)
【出願人】(500477997)ナグラカード エス. アー. (16)
【Fターム(参考)】
[ Back to top ]