セキュリティモジュールへの継続時間の登録方法
【課題】本発明の目的は、終了日時の判定を可能にする、受信した種々のパラメータを管理することにより、絶対期日としてセキュリティモジュールに記録された権利の有効期間を管理する方法を提供することである。この目的は、内部クロックを含む機器内に挿入されたセキュリティモジュール内での期間の登録方法であって、この機器が制御メッセージECMに含まれる制御語により暗号化されたデジタルデータフローを受信し、現在時間情報を含む機器の内部クロックからのデータを受信する工程と、現在時間情報を表す現在データをセキュリティモジュールに保存する工程と、少なくとも1つの制御語の復号を要求する制御メッセージECMを受信する工程と、前回の制御メッセージECMの処理の時点での前回の時間情報を表す前回のデータを読み込む工程と、現在情報が前回の情報より時間的に進んでいる時、制御メッセージECMを処理する工程を含む方法により達成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化されたデジタルデータを受信する機器内に挿入されたセキュリティモジュールの分野に関する。より詳細には、本発明の方法は、セキュリティモジュールに現在の日付及び時刻を提供し、受信データ又は機器内に保存したデータの有効期限に応じて復号の権利を管理することを目的する。
【0002】
この方法は、例えば有料テレビ番組の受信及び保存のために使用されるデジタルビデオレコーダに適用される。
【0003】
以下、PVR(Personal Video Recorder)と呼ばれるデジタルビデオレコーダは、暗号化されたデジタル音声/画像データを後で視聴できるように、これらのデータを保存することができるハードディスクを備えた有料テレビ受信/復号装置である。
【0004】
VHSタイプの磁気テープビデオレコーダのようなPVRは、早送り及び巻戻し機能も備えている。これらの機能により、例えば、ハードディスク上に記録されたデータの中から特定のシーケンスを検索すること、或いは初回の視聴後に保存された番組の頭出しをすることが可能である。
【0005】
保存された音声/画像デジタルデータは、暗号化された音声/画像デジタルデータに添付される制御メッセージECM(Entitlement Control Message)に含まれる制御語CW(Control Word)により暗号化される。本発明についての以下の説明では、この音声/画像デジタルデータとECMの集合をコンテンツと呼ぶ。取り外し可能なチップカード又はPVRに内蔵されているチップカードの形態のアクセス制御モジュール又はセキュリティモジュールは、音声/画像デジタルデータを復号するためにユーザーに割り当てられる権利を含む。
【0006】
復号器は、ハードディスク内に保存されているコンテンツを視聴するために、セキュリティモジュールに記録されている権利管理メッセージEMM(Entitlement Management Message)であって、コンテンツの復号化に使用する制御語CWを含むECMの復号化に必要な鍵を有するメッセージを使用してこのコンテンツを復号化する。
【0007】
管理センターからPVRに送信されるデジタルデータフローは、その使用を制御することができるようにし、そのような使用の場合の条件を決めるために暗号化される。暗号化を行う制御語CWは、そのような制御語を不当に再構成しようとする試みを防止するため、定期的(およそ5秒から30秒の間)に変更される。
【0008】
これらの制御語により暗号化されたフローをPVR/復号器が復号化できるようにするために、制御語が制御メッセージECM内に送られ、システムに固有な送信鍵により暗号化される。
【0009】
制御メッセージECMの復号時には、コンテンツへのアクセス権がセキュリティモジュール内に存在するかどうかが確認される。この権利は、そのような権利をセキュリティモジュール内にロードする管理メッセージEMMによって管理される。
【0010】
通常、暗号化されたコンテンツの使用に関する登録は、定期視聴、テレビ番組の自発的購入又は衝動的購入、又は単位時間払いの原則に基づいている。
【0011】
定期視聴により、これらのコンテンツを送信する単数又は複数の放送局に関連する権利を決めることができ、ユーザーのセキュリティモジュール内に権利が存在すれば、ユーザーはコンテンツをノンスクランブルで視聴することができる。
【0012】
また、映画、スポーツイベント、バラエティー番組等、ある種類のコンテンツに固有な権利を決めることも可能である。ユーザーは専らこの権利により管理されることになるこのコンテンツを買うことができる。この方法は「ペイパービュー方式」(PPV)という名称で知られている。
【0013】
単位時間払いに関しては、セキュリティモジュールは、ユーザーの実際の利用量に応じて引き落とされるクレジットを含む。従って、例えば、視聴するチャンネル又はコンテンツの如何にかかわらず、毎分1単位がこのクレジットから引き落とされる。技術的実施例によっては、利用したコンテンツの種類に請求書を適合させるために、例えば継続時間において、例えば割り当て時間の値において、或いはこれら2つのパラメーターを組み合せて、課金単位を変えることが可能である。
【0014】
制御メッセージECMは制御語CWのみを含んでいるのではなく、この語がPVRに返送されるための条件も含んでいる。制御語の復号時、メッセージ内に含まれるアクセス条件に関連する権利がセキュリティモジュール内に存在するかどうかが確認される。制御語は、確認の結果が正である時しかPVRに返送されない。制御メッセージECM内に含まれているこの制御語は通常、送信鍵により更に暗号化される。
【0015】
要約すれば、ある所与の時間に配信されるデジタル音声/画像データフローを復号化するには以下の3つの要素が必要である。
‐ 単数又は複数の制御語CWにより暗号化されたコンテンツ
‐ 制御語CW及びアクセス条件を含む制御メッセージECM
‐ アクセス条件を確認することができる安全モジュール内に保存されている対応する権利
【0016】
権利に関連するアクセス条件は、有効期間、即ち制御語を使用してコンテンツを復号することが可能な期間とすることができる。この期間が終了すると、コンテンツを復号化するのに使用する制御語へのアクセス条件は無効となり、復号化は行えなくなる。
【0017】
アクセス条件に関する時間又は継続時間のパラメータを活用するためには、確実な基準クロックを使えることが必要である。ある権利の有効性の終了は相対継続時間ではなく絶対時間として制御しなければならない。例えば、暗号化されハードディスクに保存されたコンテンツへの24時間アクセス権は決められた日時に始まり、一日後の同じ時刻に終了する。従って、現在の日付を一日戻すためにクロックを操作し、24時間という継続時間の権利を永続的に利用する可能が残るので、この権利に24時間という継続時間を付与するだけでは十分でない。
【0018】
現在の日付及び時刻は、PVRの内部クロックによりセキュリティモジュールに供給されるが、このクロックはRTC(Real Time Clock)とも呼ばれ、通常、たとえ機器の電源を切った状態でもクロックの作動を可能にするバッテリから電源が供給される。
【0019】
このクロックは、有効期限が終了したコンテンツの視聴を可能にするために現在の値よりも前の日付及び時刻に設定することができる。従って、PVRのクロックの操作により、セキュリティモジュール内のアクセス条件を変えて権利を不正に長くする可能がある。
【0020】
従って、ある決まったタイミングに始まりある有効期間後終了する権利を、管理メッセージEMMを使用してセキュリティモジュール内に作成することになる。大部分の場合、PVRはそれを管理センターに接続するリターンパスを持たないので、管理センターから直接提供されるセキュア化された手段により現在の日付及び時刻を定期的にセキュリティモジュールに供給することはできない。
【0021】
本問題の別の側面は、セキュリティモジュールは確かにセキュア化されたメモリを持ってはいるものの、リアルタイムクロックを持っていないため、それ自体の手段で24時間のような実際の時間を決めることができないことである。従ってユーザーがあるサービス(又は映画)に24時間アクセスすることを許可された場合、セキュリティモジュールは、この時間の終了を判定するのに外部情報に依存した状態のままになる。
【発明の開示】
【発明が解決しようとする課題】
【0022】
本発明の目的は、終了日時の判定を可能にする、受信した種々のパラメータを管理することにより、絶対期日としてセキュリティモジュールに記録された権利の有効期間を管理する方法を提供することである。
【0023】
本発明の別の目的は、予め決められた日付又は時刻の前或いは後に、セキュリティモジュール内に権利を設定することを防止することである。
【課題を解決するための手段】
【0024】
これらの目的は、内部クロックを含む機器内に挿入されたセキュリティモジュール内での期間の登録方法であって、この機器が制御メッセージECMに含まれる制御語により暗号化されたデジタルデータフローを受信し、
‐ 現在時間情報を含む機器の内部クロックからのデータを受信する工程と、
‐ 現在時間情報を表す現在データをセキュリティモジュールに保存する工程と、
‐ 少なくとも1つの制御語の復号を要求する制御メッセージECMを受信する工程と、
‐ 前回の制御メッセージECMの処理の時点での前回の時間情報を表す前回のデータを読み込む工程と、
‐ 現在情報が前回の情報より時間的に進んでいる時、制御メッセージECMを処理する工程と
を含む方法により達成される。
【0025】
従って本発明による方法は、ECMを復号する毎に時間が進んでいることを保証することを目的とする。
【0026】
時間情報とは、必ずしも日付及び/又は時刻に対応しないあらゆる形態のカウンタを意味する。要は、予め決められた時刻を判定するために時間の実際の進みに関する情報をセキュリティモジュールに供給することである。
【0027】
対象となる機器は、デジタルテレビ復号器、デジタルレコーダPVR(Personal Video Recorder)或いは更にパーソナルコンピュータとすることができる。
【0028】
復号器が発生する時刻及び日付はわれわれが通常使用している時刻及び日付である必要はない。そのような例は24時間を1000分割するSwatch Beatによって提唱されている。復号器は3秒という定期的なテンポでパルス(又はカチカチ音)を発生する。これらの信号は復号器により送信及び記録され、このシステムにおいて認知される独自の時間情報を形成する。従ってこのパラメータの現在値は前回の値よりも大きくなり、それにより時刻が進んでいると判定することができる。現在時間情報はメモリ内に保存され、現在時間情報に対し新しい時間情報の方が時間的に進んでいる限り、新しい時間情報の受信時、現在時間情報が新しい時間情報に置き換えられる。従って復号器はパルス毎に現在時間情報を判定しそれをセキュリティモジュールに送信する。セキュリティモジュールはそれ自身の現在のメモリの内容を更新する。
【0029】
また、時間情報は、進み(予め決められたいくつかの数字又はビットの増加又は特定のプレフィックス又はサフィックスの変化等)が弁別できれば、図表示(圧縮)又は暗号文の形態で保存することができる。
【0030】
デジタルレコーダPVRの場合のように機器が管理センターに接続されると、管理センターは現在時間情報を配信することができ、復号器の内部クロックを更新するようになる。
【0031】
好ましい変形形態によれば、本発明の方法は、永久内部クロックRTCを含む有料デジタルテレビ番組のデジタルビデオレコーダPVRに適用される。
【0032】
実施の変形形態によれば、セキュリティモジュールが新しい時間情報を受信する際、制御語の復号のタイミングとは無関係に、この情報が前回受信した情報よりも進んでいるとの確認が行われる。よって、復号器による、これらの時間情報を含むメッセージの送信のタイミングは、復号器に固有なタイミングである。この付加的条件は時刻が常に進んでいることを要求するものである。
【0033】
PVRは、音声映像データに添付される制御メッセージECMに含まれる制御語により暗号化された前記音声映像データのフローを送出する管理センターに不定期に接続される。これらの制御メッセージは、管理センターにより暗号化されているため安全な時間情報も含む。
【0034】
セキュリティモジュールは、制御語と同時に制御メッセージECMに含まれているアクセス条件を確認するのに用いる権利を含む。
【0035】
PVRのクロックからの日付及び時刻を表す現在時間情報が前回の時間情報よりも進んでいる場合のみ、セキュリティモジュールに含まれる権利により、ECMの復号化が許可される。PVRの内部クロックが遅れるとこの条件は満たされなくなる。従ってこの場合、有効な権利がないため、ハードディスクに記録された制御メッセージECMの復号を行うことができない。PVRを管理センターに接続することによってのみ、実際の日付及び時刻を表す時間情報を含む配信ECMを使用してクロックを更新することができる。
【0036】
一実施形態によれば、数値が変更されるのを防止するため、PVRの日付及び時刻がセッション鍵で暗号化された状態でセキュリティモジュールに送信される。また、架空の数値による更新を防止するために確認も行われる。
【0037】
単一図である図1は、内部クロックRTCを含むハードディスクDDを具備するPVRを示す図である。取り外し可能なセキュリティモジュールSMは、管理センターCGからの音声映像データフローの復号及びハードディスクDDに記録されたコンテンツの復号に必要な権利を送出する。セキュリティモジュールSMは、権利の有効期間の他、クロックRTCから提供される有効性の開始日/時も含む。
【発明を実施するための最良の形態】
【0038】
PVRは、配信される音声映像データフローのオンライン復号器としても、これらのデータを後で視聴するためのデータレコーダとしても使用される。
【0039】
オンラインと呼ばれる第1の実施形態では、権利の期間を判定することを可能にする時間情報を制御メッセージECMが既に含んでいるため、継続時間に基づいた権利を管理するには、アクセス条件及び時間情報を含むECMだけで十分である。
【0040】
コンテンツが記録され後で視聴されるような第2の実施形態では、制御メッセージECMの時間情報は無視され、この場合、権利の有効期間を計算するのに用いられるのは復号器PVRからの時間情報である。
【0041】
番組の購入により割り当てられる権利の期間を計算するには、セキュリティモジュール内に保存されている現在時刻が使われ、この購入は管理メッセージEMMを介して管理される。実施方法の種類によっては、オンラインでメッセージEMMの受信を行うこと(フローの形で直接受信)、或いは保存ユニットに保存されているようなメッセージを使用することが課されることがある。前者の場合、そのようなメッセージに含まれている時間情報は管理センターから直接来ているので確実であるとみなされるため、そのような情報を使用するのが有利である。このように見かけ上は安全であっても、この日付がセキュリティモジュールの判明している最新の日付と等しいか又はそれより後であること確認することに留意されたい。
【0042】
後者の場合、保存されている管理メッセージEMMをセキュリティモジュールの内部クロックを更新するのに使用することはできず、権利の割り当て期間を計算するのに用いられるのは判明している最新の日付である。
【0043】
本発明による方法において使用される制御メッセージECMは、コンテンツの種類についての記述及び関連する制御語の他に時間情報を含む。制御メッセージECMを含むフローの直接受信の時、時間情報は現在時刻の判定に使用されることになる。
【0044】
制御語の復号を許可する時間的進みの定義は、復号器のクロックにより供給される現在時間情報と、前回の制御語の復号のタイミングを表す時間情報の差によって決まる。この差はただ制御語の変更期間と等し(又はそれに近)ければよいというものではない。実際には、早送りモードではこの期間は例えば10倍されるという計算を考慮に入れる必要がある。
【0045】
従ってわれわれの例では、この差を制御語の変更期間の1/10に近い値であると定義することにする。
【0046】
この差の値は実際の有効期間の延長率を定義するものである。例えば制御語の変更期間が10秒であって早送り速度と通常速度の比が10である時、この差の最小値は10秒を10で割った値、即ち1秒となる。その結果、前回の制御語の復号のタイミングと比べてセキュリティモジュールのクロックの方が1秒進んでいる限り、セキュリティモジュールは新しい制御語を復号することを承認する。
【0047】
考えられる不正行為は、より遅いテンポで時間情報をセキュリティモジュールに供給するというものであろう。これは、PVRの内部クロックに周波数の低いクォーツを実装することにより実現することが可能であろう。先験的には、セキュリティモジュールは、ECMの復号時には、早送り速度と通常速度を区別することができない。その結果、権利の継続時間が10倍されること、即ち1日の期間の代わりに例えば10日間まで延長されることになる。
【0048】
この場合、制御語の変更期間が最小差の値よりも小さくなるため、早送りモードは使用できなくなることに留意すべきである。
【0049】
ユーザーは少なくとも1回は権利を購入しているのでこの不都合は許容できるものとみすことができる。更に、より最近の権利の購入の時に、セキュリティモジュールに記憶されている旧の時間情報は、購入日/時を表す新しい時間情報に置き換えられる。このように不正に拡大される権利はただちに終了し、従ってこの不正を行う意義は低いままに留まる。
【0050】
セキュリティモジュールにとっては、PVRがどのモードにあるかを知り、従って制御語の2回の復号の間の最小時間を調節する可能性が存在する。早送りモードではこの長さは1秒であるが、通常モードでは10秒に固定されている。従って不正をはたらく者はPVRのクロックの周波数だけでなく、PVRとセキュリティモジュールの間で送信されるコマンドも変更しなければならない。
【0051】
ある権利の有効性は、番組の購入時に記録される時間情報を基にしてセキュリティモジュールにより決められる。従って、購入毎にセキュリティモジュール内でこの情報を更新することを推奨する、そうしないと、セキュリティモジュールに記録された時間情報が古過ぎる場合、生成された新しい権利は有効期間が短くなる。
【0052】
セキュリティモジュールは、復号器PVRがクロックRTCの現在情報より前の時間情報をセキュリティモジュールに供給することを認めないので、このクロックの管理をいくつかの必要条件に適合させなければならない:
‐ PVRのクロックRTCは、PVRが作動していない時でもその動作を維持するバッテリから電源を供給するのが好ましいこと。
‐ 日付及び時刻を表す値がクロックRTCによりセキュリティモジュールに送信されること。
‐ このクロックRTCの更新により好ましくは現在時刻の進みが生じること。
‐ 値は、PVRがオンライン状態の時、即ち管理センターに接続されている時に参照する日付及び時間記述テーブルTDT(Time and Date Description Table)で調節されること。このテーブルは、管理センターによって配信されるECMに含まれる時間情報と同期されること。
‐ PVRのユーザーがクロックRTCを直接調節できるようにしてはならないこと。それでも、PVRの前面パネルの画面に表示される日付及び時刻を調節しなければならない場合には、設定値をクロックRTCの現在値との差であるとして、不揮発性メモリにまず保存すること。次に、表示する新しい日付/時刻をこの保存されている差から算出すること。
‐ PVRがオフラインの時は、クロックRTCを変更することが可能であってはならないか、少なくとも、セキュリティモジュールに登録されている値と比べ遅れていないこと。
‐ PVRがオンラインであってクロックRTCがテーブルTDTの基準日付/時刻と比べ遅れている時には、クロックRTCは1つのステップを経るだけでこの基準と再度同期されること。
‐ クロックRTCがテーブルTDTの基準よりも進んでいる時は、セキュリティモジュールに保存されている前回の時間情報と比べ新しい現在時間情報が遅れることになるため、上の場合のような直接の再同期化は好ましくない。その場合、これらの2つの情報の差が正であることを要求する条件は満足されなくなり、従って制御語はセキュリティモジュールによって復号されない。
【0053】
例えば、PVRのクロックRTCが10.02.00時を示す時、即ち2分進んでいる時、PVRは10.00.00時にオンライン接続される。制御語を復号するのに待つ時間の差は10秒である。
【0054】
PVRは以下のようにしてメッセージを送信する:
10 00 00という第1メッセージは時刻が10 02 01であることを示す
10 00 20という第2メッセージは時刻が10 02 10であることを示す
10 00 40という第3メッセージは時刻が10 02 20であることを示す。以下同様である。
【0055】
4分後、PVRのクロックRTCは、セキュリティモジュールに記録されている時間と一致してハードディスク内に保存されているデータを復号化する可能性を保持しながら、管理センターによって示された時刻と再同期化される。
【0056】
パソコンの場合、本発明の方法は、インターネットからのソフトウェア、ゲーム、映画、音楽などのファイルのダウンロードに適用される。コンピュータは、ダウンロードされたファイルへのアクセス権又は限られた時間の中でのファイルの使用権を管理するセキュリティモジュールを備える。必要な時間情報はパソコンの内部クロックによって生成されるが、このクロックはコンピュータをインターネットに接続する時に更新することもできる。
【図面の簡単な説明】
【0057】
【図1】図1は内部クロックRTCを含むハードディスクDDを具備するPVRを示す図である。
【技術分野】
【0001】
本発明は、暗号化されたデジタルデータを受信する機器内に挿入されたセキュリティモジュールの分野に関する。より詳細には、本発明の方法は、セキュリティモジュールに現在の日付及び時刻を提供し、受信データ又は機器内に保存したデータの有効期限に応じて復号の権利を管理することを目的する。
【0002】
この方法は、例えば有料テレビ番組の受信及び保存のために使用されるデジタルビデオレコーダに適用される。
【0003】
以下、PVR(Personal Video Recorder)と呼ばれるデジタルビデオレコーダは、暗号化されたデジタル音声/画像データを後で視聴できるように、これらのデータを保存することができるハードディスクを備えた有料テレビ受信/復号装置である。
【0004】
VHSタイプの磁気テープビデオレコーダのようなPVRは、早送り及び巻戻し機能も備えている。これらの機能により、例えば、ハードディスク上に記録されたデータの中から特定のシーケンスを検索すること、或いは初回の視聴後に保存された番組の頭出しをすることが可能である。
【0005】
保存された音声/画像デジタルデータは、暗号化された音声/画像デジタルデータに添付される制御メッセージECM(Entitlement Control Message)に含まれる制御語CW(Control Word)により暗号化される。本発明についての以下の説明では、この音声/画像デジタルデータとECMの集合をコンテンツと呼ぶ。取り外し可能なチップカード又はPVRに内蔵されているチップカードの形態のアクセス制御モジュール又はセキュリティモジュールは、音声/画像デジタルデータを復号するためにユーザーに割り当てられる権利を含む。
【0006】
復号器は、ハードディスク内に保存されているコンテンツを視聴するために、セキュリティモジュールに記録されている権利管理メッセージEMM(Entitlement Management Message)であって、コンテンツの復号化に使用する制御語CWを含むECMの復号化に必要な鍵を有するメッセージを使用してこのコンテンツを復号化する。
【0007】
管理センターからPVRに送信されるデジタルデータフローは、その使用を制御することができるようにし、そのような使用の場合の条件を決めるために暗号化される。暗号化を行う制御語CWは、そのような制御語を不当に再構成しようとする試みを防止するため、定期的(およそ5秒から30秒の間)に変更される。
【0008】
これらの制御語により暗号化されたフローをPVR/復号器が復号化できるようにするために、制御語が制御メッセージECM内に送られ、システムに固有な送信鍵により暗号化される。
【0009】
制御メッセージECMの復号時には、コンテンツへのアクセス権がセキュリティモジュール内に存在するかどうかが確認される。この権利は、そのような権利をセキュリティモジュール内にロードする管理メッセージEMMによって管理される。
【0010】
通常、暗号化されたコンテンツの使用に関する登録は、定期視聴、テレビ番組の自発的購入又は衝動的購入、又は単位時間払いの原則に基づいている。
【0011】
定期視聴により、これらのコンテンツを送信する単数又は複数の放送局に関連する権利を決めることができ、ユーザーのセキュリティモジュール内に権利が存在すれば、ユーザーはコンテンツをノンスクランブルで視聴することができる。
【0012】
また、映画、スポーツイベント、バラエティー番組等、ある種類のコンテンツに固有な権利を決めることも可能である。ユーザーは専らこの権利により管理されることになるこのコンテンツを買うことができる。この方法は「ペイパービュー方式」(PPV)という名称で知られている。
【0013】
単位時間払いに関しては、セキュリティモジュールは、ユーザーの実際の利用量に応じて引き落とされるクレジットを含む。従って、例えば、視聴するチャンネル又はコンテンツの如何にかかわらず、毎分1単位がこのクレジットから引き落とされる。技術的実施例によっては、利用したコンテンツの種類に請求書を適合させるために、例えば継続時間において、例えば割り当て時間の値において、或いはこれら2つのパラメーターを組み合せて、課金単位を変えることが可能である。
【0014】
制御メッセージECMは制御語CWのみを含んでいるのではなく、この語がPVRに返送されるための条件も含んでいる。制御語の復号時、メッセージ内に含まれるアクセス条件に関連する権利がセキュリティモジュール内に存在するかどうかが確認される。制御語は、確認の結果が正である時しかPVRに返送されない。制御メッセージECM内に含まれているこの制御語は通常、送信鍵により更に暗号化される。
【0015】
要約すれば、ある所与の時間に配信されるデジタル音声/画像データフローを復号化するには以下の3つの要素が必要である。
‐ 単数又は複数の制御語CWにより暗号化されたコンテンツ
‐ 制御語CW及びアクセス条件を含む制御メッセージECM
‐ アクセス条件を確認することができる安全モジュール内に保存されている対応する権利
【0016】
権利に関連するアクセス条件は、有効期間、即ち制御語を使用してコンテンツを復号することが可能な期間とすることができる。この期間が終了すると、コンテンツを復号化するのに使用する制御語へのアクセス条件は無効となり、復号化は行えなくなる。
【0017】
アクセス条件に関する時間又は継続時間のパラメータを活用するためには、確実な基準クロックを使えることが必要である。ある権利の有効性の終了は相対継続時間ではなく絶対時間として制御しなければならない。例えば、暗号化されハードディスクに保存されたコンテンツへの24時間アクセス権は決められた日時に始まり、一日後の同じ時刻に終了する。従って、現在の日付を一日戻すためにクロックを操作し、24時間という継続時間の権利を永続的に利用する可能が残るので、この権利に24時間という継続時間を付与するだけでは十分でない。
【0018】
現在の日付及び時刻は、PVRの内部クロックによりセキュリティモジュールに供給されるが、このクロックはRTC(Real Time Clock)とも呼ばれ、通常、たとえ機器の電源を切った状態でもクロックの作動を可能にするバッテリから電源が供給される。
【0019】
このクロックは、有効期限が終了したコンテンツの視聴を可能にするために現在の値よりも前の日付及び時刻に設定することができる。従って、PVRのクロックの操作により、セキュリティモジュール内のアクセス条件を変えて権利を不正に長くする可能がある。
【0020】
従って、ある決まったタイミングに始まりある有効期間後終了する権利を、管理メッセージEMMを使用してセキュリティモジュール内に作成することになる。大部分の場合、PVRはそれを管理センターに接続するリターンパスを持たないので、管理センターから直接提供されるセキュア化された手段により現在の日付及び時刻を定期的にセキュリティモジュールに供給することはできない。
【0021】
本問題の別の側面は、セキュリティモジュールは確かにセキュア化されたメモリを持ってはいるものの、リアルタイムクロックを持っていないため、それ自体の手段で24時間のような実際の時間を決めることができないことである。従ってユーザーがあるサービス(又は映画)に24時間アクセスすることを許可された場合、セキュリティモジュールは、この時間の終了を判定するのに外部情報に依存した状態のままになる。
【発明の開示】
【発明が解決しようとする課題】
【0022】
本発明の目的は、終了日時の判定を可能にする、受信した種々のパラメータを管理することにより、絶対期日としてセキュリティモジュールに記録された権利の有効期間を管理する方法を提供することである。
【0023】
本発明の別の目的は、予め決められた日付又は時刻の前或いは後に、セキュリティモジュール内に権利を設定することを防止することである。
【課題を解決するための手段】
【0024】
これらの目的は、内部クロックを含む機器内に挿入されたセキュリティモジュール内での期間の登録方法であって、この機器が制御メッセージECMに含まれる制御語により暗号化されたデジタルデータフローを受信し、
‐ 現在時間情報を含む機器の内部クロックからのデータを受信する工程と、
‐ 現在時間情報を表す現在データをセキュリティモジュールに保存する工程と、
‐ 少なくとも1つの制御語の復号を要求する制御メッセージECMを受信する工程と、
‐ 前回の制御メッセージECMの処理の時点での前回の時間情報を表す前回のデータを読み込む工程と、
‐ 現在情報が前回の情報より時間的に進んでいる時、制御メッセージECMを処理する工程と
を含む方法により達成される。
【0025】
従って本発明による方法は、ECMを復号する毎に時間が進んでいることを保証することを目的とする。
【0026】
時間情報とは、必ずしも日付及び/又は時刻に対応しないあらゆる形態のカウンタを意味する。要は、予め決められた時刻を判定するために時間の実際の進みに関する情報をセキュリティモジュールに供給することである。
【0027】
対象となる機器は、デジタルテレビ復号器、デジタルレコーダPVR(Personal Video Recorder)或いは更にパーソナルコンピュータとすることができる。
【0028】
復号器が発生する時刻及び日付はわれわれが通常使用している時刻及び日付である必要はない。そのような例は24時間を1000分割するSwatch Beatによって提唱されている。復号器は3秒という定期的なテンポでパルス(又はカチカチ音)を発生する。これらの信号は復号器により送信及び記録され、このシステムにおいて認知される独自の時間情報を形成する。従ってこのパラメータの現在値は前回の値よりも大きくなり、それにより時刻が進んでいると判定することができる。現在時間情報はメモリ内に保存され、現在時間情報に対し新しい時間情報の方が時間的に進んでいる限り、新しい時間情報の受信時、現在時間情報が新しい時間情報に置き換えられる。従って復号器はパルス毎に現在時間情報を判定しそれをセキュリティモジュールに送信する。セキュリティモジュールはそれ自身の現在のメモリの内容を更新する。
【0029】
また、時間情報は、進み(予め決められたいくつかの数字又はビットの増加又は特定のプレフィックス又はサフィックスの変化等)が弁別できれば、図表示(圧縮)又は暗号文の形態で保存することができる。
【0030】
デジタルレコーダPVRの場合のように機器が管理センターに接続されると、管理センターは現在時間情報を配信することができ、復号器の内部クロックを更新するようになる。
【0031】
好ましい変形形態によれば、本発明の方法は、永久内部クロックRTCを含む有料デジタルテレビ番組のデジタルビデオレコーダPVRに適用される。
【0032】
実施の変形形態によれば、セキュリティモジュールが新しい時間情報を受信する際、制御語の復号のタイミングとは無関係に、この情報が前回受信した情報よりも進んでいるとの確認が行われる。よって、復号器による、これらの時間情報を含むメッセージの送信のタイミングは、復号器に固有なタイミングである。この付加的条件は時刻が常に進んでいることを要求するものである。
【0033】
PVRは、音声映像データに添付される制御メッセージECMに含まれる制御語により暗号化された前記音声映像データのフローを送出する管理センターに不定期に接続される。これらの制御メッセージは、管理センターにより暗号化されているため安全な時間情報も含む。
【0034】
セキュリティモジュールは、制御語と同時に制御メッセージECMに含まれているアクセス条件を確認するのに用いる権利を含む。
【0035】
PVRのクロックからの日付及び時刻を表す現在時間情報が前回の時間情報よりも進んでいる場合のみ、セキュリティモジュールに含まれる権利により、ECMの復号化が許可される。PVRの内部クロックが遅れるとこの条件は満たされなくなる。従ってこの場合、有効な権利がないため、ハードディスクに記録された制御メッセージECMの復号を行うことができない。PVRを管理センターに接続することによってのみ、実際の日付及び時刻を表す時間情報を含む配信ECMを使用してクロックを更新することができる。
【0036】
一実施形態によれば、数値が変更されるのを防止するため、PVRの日付及び時刻がセッション鍵で暗号化された状態でセキュリティモジュールに送信される。また、架空の数値による更新を防止するために確認も行われる。
【0037】
単一図である図1は、内部クロックRTCを含むハードディスクDDを具備するPVRを示す図である。取り外し可能なセキュリティモジュールSMは、管理センターCGからの音声映像データフローの復号及びハードディスクDDに記録されたコンテンツの復号に必要な権利を送出する。セキュリティモジュールSMは、権利の有効期間の他、クロックRTCから提供される有効性の開始日/時も含む。
【発明を実施するための最良の形態】
【0038】
PVRは、配信される音声映像データフローのオンライン復号器としても、これらのデータを後で視聴するためのデータレコーダとしても使用される。
【0039】
オンラインと呼ばれる第1の実施形態では、権利の期間を判定することを可能にする時間情報を制御メッセージECMが既に含んでいるため、継続時間に基づいた権利を管理するには、アクセス条件及び時間情報を含むECMだけで十分である。
【0040】
コンテンツが記録され後で視聴されるような第2の実施形態では、制御メッセージECMの時間情報は無視され、この場合、権利の有効期間を計算するのに用いられるのは復号器PVRからの時間情報である。
【0041】
番組の購入により割り当てられる権利の期間を計算するには、セキュリティモジュール内に保存されている現在時刻が使われ、この購入は管理メッセージEMMを介して管理される。実施方法の種類によっては、オンラインでメッセージEMMの受信を行うこと(フローの形で直接受信)、或いは保存ユニットに保存されているようなメッセージを使用することが課されることがある。前者の場合、そのようなメッセージに含まれている時間情報は管理センターから直接来ているので確実であるとみなされるため、そのような情報を使用するのが有利である。このように見かけ上は安全であっても、この日付がセキュリティモジュールの判明している最新の日付と等しいか又はそれより後であること確認することに留意されたい。
【0042】
後者の場合、保存されている管理メッセージEMMをセキュリティモジュールの内部クロックを更新するのに使用することはできず、権利の割り当て期間を計算するのに用いられるのは判明している最新の日付である。
【0043】
本発明による方法において使用される制御メッセージECMは、コンテンツの種類についての記述及び関連する制御語の他に時間情報を含む。制御メッセージECMを含むフローの直接受信の時、時間情報は現在時刻の判定に使用されることになる。
【0044】
制御語の復号を許可する時間的進みの定義は、復号器のクロックにより供給される現在時間情報と、前回の制御語の復号のタイミングを表す時間情報の差によって決まる。この差はただ制御語の変更期間と等し(又はそれに近)ければよいというものではない。実際には、早送りモードではこの期間は例えば10倍されるという計算を考慮に入れる必要がある。
【0045】
従ってわれわれの例では、この差を制御語の変更期間の1/10に近い値であると定義することにする。
【0046】
この差の値は実際の有効期間の延長率を定義するものである。例えば制御語の変更期間が10秒であって早送り速度と通常速度の比が10である時、この差の最小値は10秒を10で割った値、即ち1秒となる。その結果、前回の制御語の復号のタイミングと比べてセキュリティモジュールのクロックの方が1秒進んでいる限り、セキュリティモジュールは新しい制御語を復号することを承認する。
【0047】
考えられる不正行為は、より遅いテンポで時間情報をセキュリティモジュールに供給するというものであろう。これは、PVRの内部クロックに周波数の低いクォーツを実装することにより実現することが可能であろう。先験的には、セキュリティモジュールは、ECMの復号時には、早送り速度と通常速度を区別することができない。その結果、権利の継続時間が10倍されること、即ち1日の期間の代わりに例えば10日間まで延長されることになる。
【0048】
この場合、制御語の変更期間が最小差の値よりも小さくなるため、早送りモードは使用できなくなることに留意すべきである。
【0049】
ユーザーは少なくとも1回は権利を購入しているのでこの不都合は許容できるものとみすことができる。更に、より最近の権利の購入の時に、セキュリティモジュールに記憶されている旧の時間情報は、購入日/時を表す新しい時間情報に置き換えられる。このように不正に拡大される権利はただちに終了し、従ってこの不正を行う意義は低いままに留まる。
【0050】
セキュリティモジュールにとっては、PVRがどのモードにあるかを知り、従って制御語の2回の復号の間の最小時間を調節する可能性が存在する。早送りモードではこの長さは1秒であるが、通常モードでは10秒に固定されている。従って不正をはたらく者はPVRのクロックの周波数だけでなく、PVRとセキュリティモジュールの間で送信されるコマンドも変更しなければならない。
【0051】
ある権利の有効性は、番組の購入時に記録される時間情報を基にしてセキュリティモジュールにより決められる。従って、購入毎にセキュリティモジュール内でこの情報を更新することを推奨する、そうしないと、セキュリティモジュールに記録された時間情報が古過ぎる場合、生成された新しい権利は有効期間が短くなる。
【0052】
セキュリティモジュールは、復号器PVRがクロックRTCの現在情報より前の時間情報をセキュリティモジュールに供給することを認めないので、このクロックの管理をいくつかの必要条件に適合させなければならない:
‐ PVRのクロックRTCは、PVRが作動していない時でもその動作を維持するバッテリから電源を供給するのが好ましいこと。
‐ 日付及び時刻を表す値がクロックRTCによりセキュリティモジュールに送信されること。
‐ このクロックRTCの更新により好ましくは現在時刻の進みが生じること。
‐ 値は、PVRがオンライン状態の時、即ち管理センターに接続されている時に参照する日付及び時間記述テーブルTDT(Time and Date Description Table)で調節されること。このテーブルは、管理センターによって配信されるECMに含まれる時間情報と同期されること。
‐ PVRのユーザーがクロックRTCを直接調節できるようにしてはならないこと。それでも、PVRの前面パネルの画面に表示される日付及び時刻を調節しなければならない場合には、設定値をクロックRTCの現在値との差であるとして、不揮発性メモリにまず保存すること。次に、表示する新しい日付/時刻をこの保存されている差から算出すること。
‐ PVRがオフラインの時は、クロックRTCを変更することが可能であってはならないか、少なくとも、セキュリティモジュールに登録されている値と比べ遅れていないこと。
‐ PVRがオンラインであってクロックRTCがテーブルTDTの基準日付/時刻と比べ遅れている時には、クロックRTCは1つのステップを経るだけでこの基準と再度同期されること。
‐ クロックRTCがテーブルTDTの基準よりも進んでいる時は、セキュリティモジュールに保存されている前回の時間情報と比べ新しい現在時間情報が遅れることになるため、上の場合のような直接の再同期化は好ましくない。その場合、これらの2つの情報の差が正であることを要求する条件は満足されなくなり、従って制御語はセキュリティモジュールによって復号されない。
【0053】
例えば、PVRのクロックRTCが10.02.00時を示す時、即ち2分進んでいる時、PVRは10.00.00時にオンライン接続される。制御語を復号するのに待つ時間の差は10秒である。
【0054】
PVRは以下のようにしてメッセージを送信する:
10 00 00という第1メッセージは時刻が10 02 01であることを示す
10 00 20という第2メッセージは時刻が10 02 10であることを示す
10 00 40という第3メッセージは時刻が10 02 20であることを示す。以下同様である。
【0055】
4分後、PVRのクロックRTCは、セキュリティモジュールに記録されている時間と一致してハードディスク内に保存されているデータを復号化する可能性を保持しながら、管理センターによって示された時刻と再同期化される。
【0056】
パソコンの場合、本発明の方法は、インターネットからのソフトウェア、ゲーム、映画、音楽などのファイルのダウンロードに適用される。コンピュータは、ダウンロードされたファイルへのアクセス権又は限られた時間の中でのファイルの使用権を管理するセキュリティモジュールを備える。必要な時間情報はパソコンの内部クロックによって生成されるが、このクロックはコンピュータをインターネットに接続する時に更新することもできる。
【図面の簡単な説明】
【0057】
【図1】図1は内部クロックRTCを含むハードディスクDDを具備するPVRを示す図である。
【特許請求の範囲】
【請求項1】
内部クロックを含む機器内に挿入されたセキュリティモジュールへの期間の登録方法であって、この機器が制御メッセージECMに含まれる制御語により暗号化されたデジタルデータフローを受信し、
‐ 現在時間情報を含む機器の内部クロックからのデータを受信する工程と、
‐ 現在時間情報を表す現在データをセキュリティモジュールに保存する工程と、
‐ 少なくとも1つの制御語の復号を要求する制御メッセージECMを受信する工程と、
‐ 前回の制御メッセージECMの処理の時点での現在時間情報を表す前回のデータを読み込む工程と、
‐ 現在情報が前回の情報より時間的に進んでいる時、制御メッセージECMを処理する工程と
を含む方法。
【請求項2】
時間的進みを定義する条件が制御語の変更頻度によって決められることを特徴とする、請求項1記載の方法。
【請求項3】
現在時間情報がメモリ内に保存され、現在時間情報に対し新しい時間情報の方が時間的に進んでいる限り、新しい時間情報の受信時、現在時間情報が新しい時間情報に置き換えられることを特徴とする、請求項1記載の方法。
【請求項4】
時間情報により日付及び時刻が決められることを特徴とする、請求項1ないし3いずれか1項に記載の方法。
【請求項5】
セキュリティモジュールの現在時間情報がデジタルデータフローの復号に必要な権利の有効期間を確認するのに用いられることを特徴とする、請求項4記載の方法。
【請求項6】
機器が管理センターに接続されている時には時間情報を受信し、前記情報が、日付及び時刻を表す値を供給することにより機器内のカウンタを更新し、上記の値が保存され、次に機器の内部クロックによって生成される時間情報の値と比較されることを特徴とする、請求項1記載の方法。
【請求項7】
機器の内部クロックが比較の結果に応じて更新され、新しい値がセキュリティモジュールに送信されることを特徴とする、請求項6記載の方法。
【請求項8】
機器が管理センターに接続されている時に配信される制御メッセージECMによって送信される時間情報で機器の内部クロックが更新されることを特徴とする、請求項1記載の方法。
【請求項9】
機器が、有料デジタルテレビ番組のデジタルビデオレコーダPVRであることを特徴とする、請求項1ないし8いずれか1項に記載の方法。
【請求項1】
内部クロックを含む機器内に挿入されたセキュリティモジュールへの期間の登録方法であって、この機器が制御メッセージECMに含まれる制御語により暗号化されたデジタルデータフローを受信し、
‐ 現在時間情報を含む機器の内部クロックからのデータを受信する工程と、
‐ 現在時間情報を表す現在データをセキュリティモジュールに保存する工程と、
‐ 少なくとも1つの制御語の復号を要求する制御メッセージECMを受信する工程と、
‐ 前回の制御メッセージECMの処理の時点での現在時間情報を表す前回のデータを読み込む工程と、
‐ 現在情報が前回の情報より時間的に進んでいる時、制御メッセージECMを処理する工程と
を含む方法。
【請求項2】
時間的進みを定義する条件が制御語の変更頻度によって決められることを特徴とする、請求項1記載の方法。
【請求項3】
現在時間情報がメモリ内に保存され、現在時間情報に対し新しい時間情報の方が時間的に進んでいる限り、新しい時間情報の受信時、現在時間情報が新しい時間情報に置き換えられることを特徴とする、請求項1記載の方法。
【請求項4】
時間情報により日付及び時刻が決められることを特徴とする、請求項1ないし3いずれか1項に記載の方法。
【請求項5】
セキュリティモジュールの現在時間情報がデジタルデータフローの復号に必要な権利の有効期間を確認するのに用いられることを特徴とする、請求項4記載の方法。
【請求項6】
機器が管理センターに接続されている時には時間情報を受信し、前記情報が、日付及び時刻を表す値を供給することにより機器内のカウンタを更新し、上記の値が保存され、次に機器の内部クロックによって生成される時間情報の値と比較されることを特徴とする、請求項1記載の方法。
【請求項7】
機器の内部クロックが比較の結果に応じて更新され、新しい値がセキュリティモジュールに送信されることを特徴とする、請求項6記載の方法。
【請求項8】
機器が管理センターに接続されている時に配信される制御メッセージECMによって送信される時間情報で機器の内部クロックが更新されることを特徴とする、請求項1記載の方法。
【請求項9】
機器が、有料デジタルテレビ番組のデジタルビデオレコーダPVRであることを特徴とする、請求項1ないし8いずれか1項に記載の方法。
【図1】
【公表番号】特表2007−504779(P2007−504779A)
【公表日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願番号】特願2006−530812(P2006−530812)
【出願日】平成16年5月12日(2004.5.12)
【国際出願番号】PCT/IB2004/050651
【国際公開番号】WO2004/102967
【国際公開日】平成16年11月25日(2004.11.25)
【出願人】(500477997)ナグラカード エス. アー. (16)
【Fターム(参考)】
【公表日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願日】平成16年5月12日(2004.5.12)
【国際出願番号】PCT/IB2004/050651
【国際公開番号】WO2004/102967
【国際公開日】平成16年11月25日(2004.11.25)
【出願人】(500477997)ナグラカード エス. アー. (16)
【Fターム(参考)】
[ Back to top ]