WO2006040482A2 - Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif - Google Patents

Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif Download PDF

Info

Publication number
WO2006040482A2
WO2006040482A2 PCT/FR2005/002541 FR2005002541W WO2006040482A2 WO 2006040482 A2 WO2006040482 A2 WO 2006040482A2 FR 2005002541 W FR2005002541 W FR 2005002541W WO 2006040482 A2 WO2006040482 A2 WO 2006040482A2
Authority
WO
WIPO (PCT)
Prior art keywords
control word
descrambling
information
security processor
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/FR2005/002541
Other languages
English (en)
Other versions
WO2006040482A3 (fr
Inventor
Jean-Pierre Vigarie
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Publication of WO2006040482A2 publication Critical patent/WO2006040482A2/fr
Publication of WO2006040482A3 publication Critical patent/WO2006040482A3/fr
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management e.g. creating a master electronic programme guide from data received from the Internet and a Head-end or controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/426Internal components of the client ; Characteristics thereof
    • H04N21/42607Internal components of the client ; Characteristics thereof for processing the incoming bitstream
    • H04N21/42623Internal components of the client ; Characteristics thereof for processing the incoming bitstream involving specific decryption arrangements

Definitions

  • the present invention relates to a device and method for receiving scrambled information, and a descrambling unit, an information transmission system and a transmitter adapted for this device.
  • Known reception devices include:
  • a descrambling unit capable of descrambling the scrambled information with the aid of a control word
  • a security processor able to decipher the control word to be used for descrambling the information, and to transmit the decrypted control word to the descrambling unit.
  • the security processor is, for example, in the form of a smart card.
  • the aim of the invention is to propose an alternative solution to that proposed in the patent application EP 1 078 524.
  • the invention therefore relates to a device for receiving scrambled information in which: the security processor is adapted to transmit only a first portion of the control word to the descrambling unit, this first part of the control word being insufficient by itself to descramble the scrambled information, and the descrambling unit includes an assembly module able to complete the first part of the control word transmitted by the security processor to build a complete control word sufficient to descramble the scrambled information .
  • a filter adapted to prevent the transmission to the security processor of sufficient information alone to reconstruct the complete control word
  • the filter is adapted to transmit to the security processor a cryptogram of the first part of the control word executed at the using a first encryption key used only for this security processor or for a small group of security processors among all the security processors that can be used in a scrambled information transmission system, a decryption module capable of decrypting a cryptogram of a second part of the control word, this second part of the control word being insufficient on its own for descrambling the scrambled information, and the assembly module is suitable for completing the first part of the control word; part of the control word with the second part of the control word decrypted by the decryption module to build the complete control word, - the cryptogram of the second part is realized using a second encryption key used only for this descrambling unit or for a small group of descrambling units among all the descrambling units that can be used in a scrambled information reception system
  • the assembly module is able to complete the first part of the control word transmitted by the security processor by implementing an assembly algorithm, the assembly algorithm being a function of an algorithm identifier of assembly and / or a parameter of the assembly algorithm, this algorithm identifier and / or this parameter varying according to the control word.
  • the invention also relates to a descrambling unit adapted to be implemented in the receiving device described above.
  • the invention also relates to a transmitter adapted to operate with the receiving device described above.
  • This emitter comprises a separation module capable of splitting the control word into at least a first and a second part, and the emitter is able to transmit the first part to the security processor of the receiving device and the second part to descrambling unit of the receiving device, each part of the control word being insufficient to she alone to descramble the tangled information.
  • the embodiments of this transmitter may include one or more of the following features: a module capable of encrypting the first part of the control word with a first key known only to the security processor or a small group of security processors among the set of security processors that can be used in a scrambled information transmission system and capable of encrypting the second part of the control word with a second known key of the descrambling unit only or of a restricted group of units descrambling of all the descrambling units usable in the transmission system, before transmitting each part of the encrypted control word.
  • the transmitter is able to broadcast coded in the form of a TLV structure (Type Length Value) the first and second parts of the control word as well as all the parameters necessary for their use by the reception device.
  • the separation module is able to complete each part of the control word by bits or bytes of additional information so that the number of bits or bytes of each part is equal to the number of bits or bytes of the complete control word;
  • the separation module is able to modify the bits or bytes of additional information for each control word or for each limited group of control words among all the control words used.
  • FIG. 1 is a schematic illustration of the architecture of a control system; transmission of scrambled information,
  • FIG. 2 is a schematic illustration of the structure of an ECM (Entitlement Control Message) frame used in the system of FIG. 1, and
  • FIG. 3 is a flowchart of a scrambled information transmission method.
  • FIG. 1 represents a scrambled information transmission system, designated by the general reference 2, and more specifically a pay television transmission system.
  • the system 2 comprises a transmitter 4 able to broadcast scrambled information and a large number of devices for receiving scrambled information. To simplify the illustration, only a receiving device 6 is shown in FIG.
  • the scrambled information corresponds to programs such as, for example, audiovisual television programs or multimedia services.
  • the transmitter 4 comprises a scrambler 10 equipped with an input 12 to receive the information in clear, that is to say not scrambled, and an output 14 for the same information once they have been scrambled.
  • the scrambler 10 also has an input 16 for receiving the control words used to scramble the information.
  • the scrambler 10 executes a scrambling algorithm, such as, for example, the Common Scrambling Algorithm (CSA) specified in Europe by DVB (Digital Video Broadcasting) or the 3-DES (Triple Data Encryption Standard) algorithm referenced in the American standards of the ATSC (Advanced Television Systems Committee).
  • CSA Common Scrambling Algorithm
  • DVB Digital Video Broadcasting
  • 3-DES Triple Data Encryption Standard
  • the control words transmitted on the input 16 are generated by a generator 20 of control words CW.
  • the control word CW is also transmitted to an input 24 of a separate separation module 26 for splitting the control word CW into at least two parts, each of these parts being insufficient on its own to enable the descrambling of the information. More precisely, here, the module 26 is able to split into two parts denoted respectively CW C and CW t , the control word CW.
  • the separation module 26 executes a parameterized separation algorithm. In this embodiment, the module 26 is able to calculate a value of the parameter or to choose the value of the parameter from a list 28 of possible values stored in a memory 30 associated with the module 26.
  • the separation algorithm uses a number of bytes or bits of the CW control word to form CW C and the remaining bytes or bits to form CW t .
  • the bytes or bits of the CW control word used to form respectively CW C and CW t are specified by a mask M. Moreover, for CW C and CW t to have as many bytes or bits as the control word CW , CW C and CW t are supplemented by bits or bits randomly selected for each control word CW or for a limited number of control words.
  • the value of the mask constitutes the parameter of this separation algorithm whose possible values are recorded in the list 28. The choice of the value of the mask must eliminate configurations making the process insecure.
  • M 4 of the mask for example, is to be forbidden:
  • M 4 cccccccccccc because it renders the process ineffective, the control word being in fact provided entirely by the security processor.
  • M 5 value of the mask for example, should be avoided:
  • M 5 ccccccccct because it suffices two hundred and fifty six attempts to find the control word from the part returned by the security processor.
  • This example is directly transposable in case of separation of the control word based on the bit sharing.
  • the transmitter 4 also comprises a module 32 for encryption of CW C and CW t . More specifically, the encryption module 32 is able to encrypt CW C using an encryption key K c and CW t using an encryption key K t
  • the keys K c and K t are chosen, respectively, from lists of keys 34 and 36 stored in a memory 38 associated with the module 32. Each list 34, 36 associates with each key an identifier of this key.
  • Outputs of the module 32 are connected to a module 40 for the construction of an ECM (Entitlement Control Message) for transmitting thereto cryptograms CW * C and CW * t respectively corresponding to the parts CW C and CW t as well as the identifiers keys K c and K t used.
  • ECM Entitlement Control Message
  • An output of the module 26 is also connected to the module 40 to transmit to the latter the value of the parameter used by the separation agorithm.
  • This module 40 is capable of constructing an ECM such as that represented in FIG.
  • the ECM of FIG. 2 comprises a first ECM_SOID field C used to identify the cryptographic context applied to the cryptogram CW C.
  • This field makes it possible to specify the key system implemented in the cryptography applied to CW C. It therefore includes in particular the identifier of the value of the key K c used to encrypt CW C.
  • the field ACCESS_CRITERIA C is used to list a set of conditions of access to the scrambled information, intended for a security processor.
  • the field CW * C includes the cryptogram CW * C.
  • the field ECM_SOID t is used to identify the cryptographic context applied to the cryptogram CW * t - This field notably comprises the identifier of the value of the key K t used to encrypt CW t .
  • the field ACCESS__CRITERIA t is used to list a second set of scrambled information access conditions for a receiver.
  • the CW_MODE field contains information necessary for the choice or the configuration of an assembly algorithm which will be described below. Here, this field contains the value of the parameter used by the separation algorithm.
  • the field CW * t includes the cryptogram CW * t .
  • the field ECM_REDUND is a field allowing to verify the accuracy of the transmission of one or more of the preceding fields, this field contains here a cryptographic redundancy of the message ECM concerning in particular the fields ACCESS_CRITERIA C and CW * C.
  • MISC field corresponds to free bytes intended to contain optional data.
  • a preferred implementation of the above functional fields is the combination of these fields in a known TLV (Type Length Value) type structure. These fields can be in an order dependent on
  • the access conditions used to fill the fields ACCESS_CRITERIA C and ACCESS_CRITERIA t are, for example, stored in a memory 42 associated with the module 40.
  • the transmitter 2 comprises a module 50 for associating the scrambled information with the corresponding ECMs, so as to synchronize the broadcast of the scrambled information and the ECMs.
  • the device 6 comprises a receiver 60 able to receive the scrambled information and the corresponding ECMs, and a security processor 62.
  • the receiver 60 includes a descrambling unit 61 in addition to the conventional elements for receiving the broadcast information.
  • This unit comprises a filtering module 64 able to transmit only the ECM SOID fields o , ACCESS CRITERIA C , CW * C and ECM_REDUND to processor 62.
  • the filter 64 is also able to transmit the fields ECM_SOID t , ACCESS_CRITERIA t , CW * t to a decryption module 66 and the CW_MODE field to a module 68 assembly.
  • the modules 66 and 68 are part of the unit 61.
  • the decryption module 66 is able to decrypt the cryptogram CW * t - For this purpose, it is associated with a memory 72 containing a list 74 of keys K t and access titles specific to the receiver.
  • the list of keys K t 74 is, for example, identical to the list 36.
  • the key K t is only common to a small group of receivers among the set of receivers of the system 2 so as to differentiate this group of receivers from another group of receivers of the system 2.
  • the assembly module 68 is able to complete the CW part C of the control word transmitted to it by the processor 62 in order to construct a complete control word that can be used to descramble scrambled information. More precisely, the module 68 is able to assemble the part CW t decrypted by the module 66 with the part CW C deciphered by the processor 62. For this purpose, the module 68 implements a parameterized assembly algorithm corresponding to the separation algorithm implemented by the transmitter 4. The assembly algorithm is, for example, recorded in a memory 75 .associated with the module 68.
  • the receiver also comprises a descrambler 76 able to descramble the scrambled information transmitted by the transmitter 4 by means of the control word reassembled by the assembly module 68.
  • the security processor 62 includes a decryption module 80 capable of decrypting the cryptogram CW * C transmitted by the filter 64. For this purpose, it is associated with a secure memory 82 in which is recorded a list 84 K c keys and their identifiers. For example, the list 84 is identical to the list 34. The scrambled information access titles specific to the processor 62 are also recorded in this memory 82.
  • the security processor 62 is in the form of a card. chip adapted to be inserted into the receiver 60, so as to communicate with the different elements of this receiver.
  • the key K c is only common to a small group of security processors among all the security processors of the system 2 so as to discriminate this group of security processors from another group of security processors.
  • the device 6 is connected to a television set 90 to display the descrambled information.
  • the generator 20 On the transmitter side, during a step 100, the generator 20 generates the control word CW and transmits it to the scrambler 10 as well as to the separation module 26.
  • the scrambler 10 scrambles, during a step 102, the information received in clear on the input 12 with the control word CW, and generates on its output 14 the corresponding scrambled information.
  • the module 26 splits the CW control word into two parts CW 0 and. CW t -
  • the module 26 first chooses a value for the mask in the list 28, then, then executes the separation algorithm parameterized with the chosen mask value.
  • the mask value is changed for each ECM.
  • the module 32 digitizes, in a step 106, the CW part C using the key K c to construct the cryptogram CW * C -
  • the key K c is chosen from the list 34.
  • the module 32 digitizes, during a step 108, the part CWt with the key K t to construct the cryptogram CW * t -
  • the die Kt is chosen from the list 36.
  • the module 40 uses the value of the mask used by the module 24, the identifiers of the keys K c and Kt used to encrypt the parts CW C and CW t , the cryptograms CW * C and CW * t as well as the access conditions specific to the receiver 60 and the processor 62 recorded in the memory 42.
  • the ECM is associated with the information scrambled in a step 112, by the module 50 to be broadcast by the transmitter synchronously to all the receiving devices .
  • the receiver When receiving the broadcast information, the receiver receives, during a step 120 the information.
  • the filter 64 during a step 122, transmits to the processor 62 only the fields necessary to obtain the first part CW C of the control word, that is to say, here the fields ECM_SOID C , ACCESS_CRITERIA C , CW * C and ECM_REDUND.
  • the processor 62 never has all the information useful for descrambling. This enhances the security of the device 6.
  • the processor 62 verifies, during a step 124, the cryptographic redundancy of the fields received using the ECM_REDUND field.
  • the processor 62 checks whether the access conditions contained in the field ACCESS_CRITERIA C correspond to the access titles pre-stored in the memory 82. If yes, then in a step 128, the decryption module 80 decrypts the cryptogram CW * C. For this, in step 128, the module 80 uses the key K c corresponding to the identifier of the key contained in the ECM_SOID C field. The decryption of the cryptogram CW * C makes it possible to obtain the part CW C of the control word.
  • the processor 62 transmits, during a step 130, this portion CW C to the assembly module 68.
  • step 124 the cryptographic redundancy is judged to be incorrect or if in step 126 the access conditions contained in the field ACCESS_CRITERIA C do not correspond to the access titles prerecorded in the memory 82, then the processor 62 proceeds to a step 132 of sending an error message to the receiver 6.
  • the filter 64 transmits, during a step 140, only the fields necessary for the decryption module 66 and the assembly module.
  • the fields ECM_SOID t , ACCESS_CRITERIA t and CW * t are transmitted to the decryption module 66 and the CW MODE field to the assembly module 68.
  • the module 66 does not have all the information necessary for descrambling. This enhances the security of the device 6.
  • the decryption module 66 verifies that the access conditions contained in the ACCESS__CRITERIA field t correspond to the pre-recorded access titles in the memory 72. If so, it proceeds, when a step 144 for decrypting the cryptogram CW * t to reconstruct the CW part t of the control word. The CW part t is then transmitted to the assembly module 68.
  • the assembly module 68 If the assembly module 68 has received the error message sent in step 132, or if the conditions of access contained in the field ACCESS_CRITERIA t do do not correspond to the access tickets pre-stored in the memory 72 during the step 142, the assembly module is inhibited during a step 145. In this case no complete control word is constructed and the descrambler 76 n performs no descrambling of the scrambled information received.
  • the module 68 assembled, at a step 146 the portions CW C and CW t so as to build a complete control word. More precisely, during step 146, the module 68 uses the assembly algorithm contained in the memory 75 parameterized using the value contained in the CW_MODE field. At the end of step 146, the complete control word is transmitted to the descrambler 76 which, in a step 148, descrambles the scrambled information using the control word CW constructed by the module 68. The transmission of the word Control of the module 68 to the descrambler 76 is preferably secure.
  • the descrambled information is transmitted in the clear to the television set 90 for display thereof in a step 150.
  • the CW portion C of the control word is transmitted in clear from the processor 62 to the receiver 60 to descramble the received scrambled information.
  • the interception of this part CW C is not enough on its own to allow an illegal descrambling of the scrambled information.
  • the number of bytes or bits of information of parts CW C and CW t is equal to the number of bytes or bits of information of the control word. Therefore, the implementation of the system and method described herein is transparent to the security processor. It is therefore not necessary to modify the security processor. Bits or bytes complement random bits or bytes of the control word in every part CW and CW C t. This makes it difficult for an unauthorized person to identify bits or bytes of the CW C or CW t portion used to construct the control word, bits or bytes that are unnecessary for this task.
  • the decryption module 66 is either in software form or in hard-wired form.
  • the wired form is, for example, carried out using a secure chip and a secure key memory.
  • the chip is known as the "Chip-set”.
  • the wired version has a better level of security.
  • the receiver 2 has been described in the particular case where the descrambling unit 61 is integral with the receiver.
  • the unit 61 is not integral with the receiver but implemented in a removable external module connected to the receiver via a connection socket so as to be mechanically coupled / uncoupled from the terminal.
  • the key K t is not common to a group of receivers but to a group of descrambling units only.
  • control word CW is only divided into two equal parts CW C and CW t .
  • either the CW part C or the CW part t has more bytes of the CW control word than the other.
  • control word CW is divided into more than two parts, one of these parts being intended for the receiver, while the other parts are each intended for a respective security processor. This variant applies in particular to a receiver equipped with several security processors similar to the processor 62.
  • the format of the ECM has been described with regard to FIG. 2 in the particular case where it comprises a single cryptogram CW * C corresponding to the encrypted part CW C and a single cryptogram CW * t corresponding to the encrypted part CW t .
  • several cryptograms CW * C and / or CW * t are contained in a single ECM.
  • the cryptogram CW * C corresponds to the cryptogram obtained by encrypting several successive CW C parts in time and / or the cryptogram CW * t corresponds to the cryptogram obtained by encrypting several CW parts t successive in time. It is also possible to create an ECM to carry only the CW * C cryptogram (s) and another ECM to carry only the CW * t cryptogram (s).
  • the fields ECM_SOID C and ECM_SOID t are grouped together to form a single field ECM_SOID containing the information necessary for the decryption of the cryptograms CW * C and CW * t .
  • the parameter used by the assembly algorithm is encrypted during transmission and then decrypted during reception, for example, by the module 66, before being transmitted to the assembly module 68.
  • the separation and assembly algorithms are each replaced by a list of different separation and assembly algorithms each associated with an identifier.
  • the module 24 uses one of the separation algorithms and the identifier of the assembly algorithm to be used is transmitted to the reception device using, for example, the CW_MODE field of the ECM.
  • the module 68 selects the assembly algorithm to be used using the received identifier.
  • This embodiment increases the complexity of the system 2 and therefore its security. It is also possible to combine the embodiment of FIG. 1 with the above variant. In this case, several parametric separation algorithms are usable by the transmitter and several parametric assembly algorithms are usable by the receiver.
  • the CW-MODE field includes both an identifier of the assembly algorithm to use as well as the value of the parameter to be used.
  • the transmitter uses only one unparametric separation algorithm and the receiver uses only one unparametric assembly algorithm.
  • the CW_MODE field of the ECM message is deleted.
  • the parameter value is contained in the CW_MODE field.
  • the CW_MODE field contains only a pointer to a value of the prerecorded parameter in a memory of the receiver 60.
  • the ECM does not include an ACCESS_CRITERIAt field and the memory 74 does not include prerecorded access titles.
  • step 142 of the method is deleted and steps 140 and 144 are directly linked.
  • Another way of enhancing the security of the messages arriving at the receiving device is to extend the scope of the cryptographic redundancy ECM_REDUND to all or some of the parameters relating to the descrambling unit. These parameters are then provided to the processor 62 to verify the integrity and authenticity of all of these data.
  • the keys K c and K t have been described as being respectively common to a group of security processors and to a group of receivers or descrambling units. In a variant, the keys K c and K t are unique for each security processor and each receiver or each descrambling unit. Conversely, in another variant, the keys K c and K t are common to all the security processors and to all the receivers or descrambling units of the system 2.
  • the key K c can be chosen equal to the key K t . Such a choice makes it possible to simplify the management of the keys in the transmitter.

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Time-Division Multiplex Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Ce dispositif de réception d'informations embrouillées comporte un processeur de sécurité adapté pour transmettre uniquement une première partie du mot de contràle (CWc) vers une unité de désembrouillage, cette première partie du mot de contràle étant insuffisante à elle seule pour désembrouiller les informations embrouillées. L'unité de désembrouillage comporte un module d'assemblage (68) apte à compléter la première partie du mot de contràle transmise par le processeur de sécurité pour construire un mot de contràle complet suffisant pour désembrouiller les informations embrouillées.

Description

DISPOSITIF ET PROCEDE DE RECEPTION D' INFORMATIONS EMBROUILLEES, ET UNITE DE DESEMBROUILLAGE, SYSTEME DE TRANSMISSION D'INFORMATIONS ET EMETTEUR ADAPTES POUR CE
DISPOSITIF
La présente invention concerne un dispositif et un procédé de réception d'informations embrouillées, et une unité de désembrouillage, un système de transmission d'informations et un émetteur adaptés pour ce dispositif. Des dispositifs de réception connus comportent :
- une unité de désembrouillage apte à désembrouiller les informations embrouillées à l'aide d'un mot de contrôle, et
- un processeur de sécurité propre à déchiffrer le mot de contrôle à utiliser pour désembrouiller les informations, et à transmettre le mot de contrôle déchiffré à l'unité de désembrouillage.
De tels dispositifs sont notamment utilisés pour la réception de programmes de télévision payants. Dans une telle utilisation, le processeur de sécurité se présente, par exemple, sous la forme d'une carte à puce.
Pour désembrouiller illégalement des informations, il est possible d'intercepter le mot de contrôle déchiffré par le processeur de sécurité au moment où ce mot de contrôle déchiffré est transmis du processeur de sécurité vers l'unité de désembrouillage. Le mot de contrôle ainsi intercepté est alors utilisable pour désembrouiller illégalement les informations embrouillées.
Pour remédier à cet inconvénient, des solutions ont déjà été proposées. Par exemple, la demande de brevet EP 1 078 524 propose de chiffrer les mots de contrôle transmis du processeur de sécurité vers l'unité de désembrouillage.
L' invention vise à proposer une solution alternative à celle proposée dans la demande de brevet EP 1 078 524. L'invention a donc pour objet un dispositif de réception d' informations embrouillées dans lequel : le processeur de sécurité est adapté pour transmettre uniquement une première partie du mot de contrôle vers l'unité de désembrouillage, cette première partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et l'unité de désembrouillage comporte un module d'assemblage apte à compléter la première partie du mot de contrôle transmise par le processeur de sécurité pour construire un mot de contrôle complet suffisant pour désembrouiller les informations embrouillées.
Dans le dispositif de réception ci-dessus, puisque le mot de contrôle transmis du processeur de sécurité vers l'unité de désembrouillage est incomplet, les techniques de piratage consistant à intercepter le mot de contrôle transmis du processeur de sécurité vers l'unité de désembrouillage sont mises en échec. En effet, le mot de contrôle intercepté n' est pas suffisant à lui seul pour désembrouiller les informations embrouillées.
Les modes de réalisation de ce dispositif peuvent comporter une ou plusieurs des caractéristiques suivantes :
- un filtre adapté pour empêcher la transmission au processeur de sécurité d'informations suffisantes à elles seules pour reconstruire le mot de contrôle complet, le filtre est adapté pour transmettre au processeur de sécurité un cryptogramme de la première partie du mot de contrôle réalisé à l'aide d'une première clé de chiffrement utilisée uniquement pour ce processeur de sécurité ou pour un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité utilisables dans un système de transmission d'informations embrouillées, - un module de déchiffrement propre à déchiffrer un cryptogramme d'une deuxième partie du mot de contrôle, cette deuxième partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et le module d'assemblage est propre à compléter la première partie du mot de contrôle avec la deuxième partie du mot de contrôle déchiffrée par le module de déchiffrement pour construire le mot de contrôle complet, - le cryptogramme de la deuxième partie est réalisé à l'aide d'une deuxième clé de chiffrement utilisée uniquement pour cette unité de désembrouillage ou pour un groupe restreint d'unités de désembrouillage parmi l'ensemble des unités de désembrouillage utilisables dans un système de réception d'informations embrouillées,
- le module d' assemblage est apte à compléter la première partie du mot de contrôle transmise par le processeur de sécurité en mettant en œuvre un algorithme d'assemblage, l'algorithme d'assemblage étant fonction d'un identifiant d'algorithme d'assemblage et/ou d'un paramètre de l'algorithme d'assemblage, cet identifiant d'algorithme et/ou ce paramètre variant en fonction du mot de contrôle.
L'invention a également pour objet une unité de désembrouillage adaptée pour être mise en œuvre dans le dispositif de réception décrit ci-dessus.
L'invention a également pour objet un émetteur adapté pour fonctionner avec le dispositif de réception décrit ci- dessus. Cet émetteur comporte un module de séparation propre à scinder en au moins une première et une deuxième parties le mot de contrôle, et l'émetteur est apte à transmettre la première partie vers le processeur de sécurité du dispositif de réception et la deuxième partie vers l'unité de désembrouillage du dispositif de réception, chacune des parties du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées.
Les modes de réalisation de cet émetteur peuvent comporter une ou plusieurs des caractéristiques suivantes : - un module propre à chiffrer la première partie du mot de contrôle avec une première clé connue uniquement du processeur de sécurité ou d'un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité utilisables dans un système de transmission d'informations embrouillées, et propre à chiffrer la deuxième partie du mot de contrôle avec une deuxième clé connue de l'unité de désembrouillage uniquement ou d'un groupe restreint d'unités de désembrouillage parmi l'ensemble des unités de désembrouillage utilisables dans le système de transmission, avant de transmettre chacune des parties du mot de contrôle chiffré.
- l'émetteur est apte à diffuser codés sous la forme d'une structure TLV (Type Longueur Valeur) les première et deuxième parties du mot de contrôle ainsi que tous les paramètres nécessaires à leur utilisation par le dispositif de réception. le module de séparation est apte à compléter chacune des parties du mot de contrôle par des bits ou octets d' informations complémentaires pour que le nombre de bits ou octets de chaque partie soit égal au nombre de bits ou octets du mot de contrôle complet ;
- le module de séparation est apte à modifier les bits ou octets d'informations complémentaires pour chaque mot de contrôle ou pour chaque groupe limité de mots de contrôles parmi l'ensemble des mots de contrôle utilisés.
Enfin, l'invention a également pour objet un système de transmission d'informations embrouillées comportant le dispositif de réception décrit ci-dessus et un procédé de réception d'informations. L' invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins sur lesquels : - la figure 1 est une illustration schématique de l'architecture d'un système de transmission d'informations embrouillées,
- la figure 2 est une illustration schématique de la structure d'une trame ECM (Entitlement Control Message) utilisée dans le système de la figure 1, et
- la figure 3 est un organigramme d' un procédé de transmission d'informations embrouillées.
La figure 1 représente un système de transmission d'informations embrouillées, désigné par la référence générale 2, et plus précisément un système de transmission de télévision à péage. Le système 2 comporte un émetteur 4 propre à diffuser des informations embrouillées et un grand nombre de dispositifs de réception des informations embrouillées. Pour simplifier l'illustration, seul un dispositif 6 de réception est représenté sur la figure 1.
Dans le cadre d'un système de télévision à péage, les informations embrouillées correspondent à des programmes tels que, par exemple, des programmes audiovisuels de télévision ou des services multimédia. L'émetteur 4 comporte un embrouilleur 10 équipé d'une entrée 12 pour recevoir les informations en clair, c'est-à- dire non embrouillées, et d'une sortie 14 pour ces mêmes informations une fois qu'elles ont été embrouillées. L'embrouilleur 10 comporte également une entrée 16 pour recevoir les mots de contrôle utilisés pour embrouiller les informations.
L' embrouilleur 10 exécute un algorithme d' embrouillage, tel que, par exemple, l'algorithme normalisé CSA (Common Scrambling Algorithm) spécifié en Europe par DVB (Digital Video Broadcasting) ou l'algorithme 3-DES (Triple Data Encryption Standard) référencé dans les standards américains relevant de l'ATSC (Advanced Télévision Systems Committee) . Les mots de contrôle transmis sur l'entrée 16 sont générés par un générateur 20 de mots de contrôle CW.
Le mot de contrôle CW est également transmis à une entrée 24 d'un module 26 de séparation propre à scinder le mot de contrôle CW en au moins deux parties, chacune des ces parties étant insuffisante à elle seule pour permettre le désembrouillage des informations. Plus précisément, ici, le module 26 est apte à scinder en deux parties notées respectivement CWC et CWt, le mot de contrôle CW. A cet effet, le module de séparation 26 exécute un algorithme de séparation paramétré. Dans ce mode de réalisation, le module 26 est propre à calculer une valeur du paramètre ou à choisir la valeur du paramètre dans une liste 28 de valeurs possibles enregistrées dans une mémoire 30 associée au module 26. Ici, l'algorithme de séparation utilise un certain nombre d'octets ou de bits du mot de contrôle CW pour former CWC et les octets ou les bits restants pour former CWt. Les octets ou les bits du mot de contrôle CW utilisés pour former respectivement CWC et CWt sont spécifiés par un masque M. De plus, pour que CWC et CWt comportent autant d' octets ou de bits que le mot de contrôle CW, CWC et CWt sont complétés par des octets ou des bits choisis de façon aléatoire pour chaque mot de contrôle CW ou pour un nombre limité de mots de contrôle. La valeur du masque constitue le paramètre de cet algorithme de séparation dont les valeurs possibles sont enregistrées dans la liste 28. Le choix de la valeur du masque doit éliminer des configurations rendant le procédé peu sûr. A titre d' illustration d' une séparation du mot de contrôle en deux parties basée sur le partage d'octets, pour un mot de contrôle CW dont la longueur est de huit octets, des valeurs possibles Mi, M2 et M3 pour le masque sont les suivantes : Mi = ttccttcc M2 = tttccctc M3 = cccttttc où « t » indique la position d'un octet sélectionné pour construire CWt et « c » indique la position d'un octet utilisé pour construire CW0. La valeur M4 suivante du masque, par exemple, est à interdire :
M4 = cccccccc car elle rend le procédé ineffectif, le mot de contrôle étant de fait fourni entièrement par le processeur de sécurité. La valeur M5 suivante du masque, par exemple, est à éviter :
M5 = ccccccct car il suffit de deux cent cinquante six essais pour retrouver le mot de contrôle à partir de la partie restituée par le processeur de sécurité.
Dans ces conditions, si le mot de contrôle CW est formé par huit octets A B C D E F G H, et que le masque Mi est utilisé, les valeurs de CWC et CWt sont les suivantes : CW0 = xxCDxxGH CWt = ABxxEFxx où x est un octet choisi de façon aléatoire et les lettres A B C D E F G H représentent les octets du mot de contrôle CW. Cet exemple est directement transposable en cas de séparation du mot de contrôle basée sur le partage de bits.
L'émetteur 4 comporte également un module 32 de chiffrement de CWC et CWt. Plus précisément, le module de chiffrement 32 est apte à chiffrer CWC à l'aide d'une clé de chiffrement Kc et CWt à l'aide d'une clé de chiffrement Kt• Les clés Kc et Kt sont choisies, respectivement, dans des listes de clés 34 et 36 enregistrées dans une mémoire 38 associée au module 32. Chaque liste 34, 36 associe à chaque clé un identifiant de cette clé. Des sorties du module 32 sont raccordées à un module 40 de construction d'un ECM (Entitlement Control Message) pour transmettre à ce dernier des cryptogrammes CW*C et CW*t correspondant respectivement aux parties CWC et CWt chiffrées ainsi que les identifiants des clés Kc et Kt utilisées.
Une sortie du module 26 est également raccordée au module 40 pour transmettre à ce dernier la valeur du paramètre utilisé par l'agorithme de séparation.
Ce module 40 est apte à construire un ECM tel que celui représenté sur la figure 2.
L'ECM de la figure 2 comporte un premier champ ECM_SOIDC utilisé pour identifier le contexte cryptographique appliqué au cryptogramme CWC. Ce champ permet notamment de préciser le système de clé mis en œuvre dans la cryptographie appliquée à CWC. Il comporte donc notamment l'identifiant de la valeur de la clé Kc utilisée pour chiffrer CWC.
Le champ ACCESS_CRITERIAC est utilisé pour lister un jeu de conditions d'accès aux informations embrouillées, destiné à un processeur de sécurité.
Le champ CW*C comporte le cryptogramme CW*C. Le champ ECM_SOIDt est utilisé pour identifier le contexte cryptographique appliqué au cryptogramme CW*t- Ce champ comporte notamment l'identifiant de la valeur de la clé Kt utilisée pour chiffrer CWt.
Le champ ACCESS__CRITERIAt est utilisé pour lister un second jeu de conditions d'accès aux informations embrouillées, destiné à un récepteur. Le champ CW_MODE comporte des informations nécessaires au choix ou à la configuration d'un algorithme d'assemblage qui sera décrit ci-dessous. Ici, ce champ comporte la valeur du paramètre utilisé par l'algorithme de séparation.
Le champ CW*t comporte le cryptogramme CW*t.
Le champ ECM_REDUND est un champ permettant de vérifier l'exactitude de la transmission d'un ou de plusieurs des champs précédents, ce champ comporte ici une redondance cryptographique du message ECM concernant en particulier les champs ACCESS_CRITERIAC et CW*C.
Enfin, le champ MISC correspond à des octets libres prévus pour contenir des données optionnelles.
Une implémentation préférée des champs fonctionnels ci-dessus est la combinaison de ces champs dans une structure connue de type TLV (Type Longueur Valeur) . Ces champs peuvent être dans un ordre dépendant de
1' implémentation retenue.
Les conditions d' accès utilisées pour remplir les champs ACCESS_CRITERIAC et ACCESS_CRITERIAt sont, par exemple, enregistrées dans une mémoire 42 associée au module 40.
Enfin, l'émetteur 2 comporte un module 50 d'association des informations embrouillées aux ECM correspondants, de manière à synchroniser la diffusion des informations embrouillées et des ECM.
Le dispositif 6 comporte un récepteur 60 propre à recevoir les informations embrouillées et les ECM correspondants, et un processeur de sécurité 62. Le récepteur 60 comporte une unité de désembrouillage 61 en plus des éléments conventionnels de réception des informations diffusées. Cette unité comprend un module de filtrage 64 apte à transmettre uniquement les champs ECM SOIDo, ACCESS CRITERIAC, CW*C et ECM_REDUND au processeur 62. Le filtre 64 est également apte à transmettre les champs ECM_SOIDt, ACCESS_CRITERIAt, CW*t à un module 66 de déchiffrement et le champ CW_MODE à un module 68 d'assemblage. Ici, les modules 66 et 68 font partie de l'unité 61.
Le module de déchiffrement 66 est apte à déchiffrer le cryptogramme CW*t- A cet effet, il est associé à une mémoire 72 contenant une liste 74 de clés Kt et les titres d'accès propres au récepteur. La liste de clés Kt 74 est, par exemple, identique à la liste 36.
Ici, la clé Kt est uniquement commune à un groupe restreint de récepteurs parmi l'ensemble des récepteurs du système 2 de manière à différencier ce groupe de récepteurs d'un autre groupe de récepteurs du système 2.
Le module d'assemblage 68 est apte à compléter la partie CWC du mot de contrôle qui lui est transmise par le processeur 62 afin de construire un mot de contrôle complet utilisable pour désembrouiller des informations embrouillées. Plus précisément, le module 68 est apte à assembler la partie CWt déchiffrée par le module 66 avec la partie CWC déchiffrée par le processeur 62. A cet effet, le module 68 met en œuvre un algorithme d' assemblage paramétré correspondant à l'algorithme de séparation mis en œuvre par l'émetteur 4. L'algorithme d'assemblage est, par exemple, enregistré dans une mémoire 75 .associée au module 68.
Le récepteur comporte également un désembrouilleur 76 apte à désembrouiller les informations embrouillées transmises par l'émetteur 4 à l'aide du mot de contrôle réassemblé par le module d'assemblage 68.
Le processeur de sécurité 62 comporte un module de déchiffrement 80 propre à déchiffrer le cryptogramme CW*C transmis par le filtre 64. A cet effet, il est associé à une mémoire sécurisée 82 dans laquelle est enregistrée une liste 84 des clés Kc ainsi que leurs identifiants. Par exemple, la liste 84 est identique à la liste 34. Les titres d' accès aux informations embrouillées propres au processeur 62 sont également enregistrés dans cette mémoire 82. Typiquement, le processeur de sécurité 62 se présente sous la forme d' une carte à puce apte à être insérée dans le récepteur 60, de manière à pouvoir communiquer avec les différents éléments de ce récepteur.
Ici, la clé Kc est uniquement commune à un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité du système 2 de manière à discriminer ce groupe de processeurs de sécurité d'un autre groupe de processeurs de sécurité.
Le dispositif 6 est raccordé à un poste de télévision 90 pour afficher les informations désembrouillées .
Le fonctionnement du système 2 va maintenant être décrit en regard du procédé de la figure 3.
Du côté émetteur, lors d'une étape 100, le générateur 20 génère le mot de contrôle CW et le transmet à 1' embrouilleur 10 ainsi qu'au module de séparation 26.
L' embrouilleur 10 embrouille, lors d'une étape 102, les informations reçues en clair sur l'entrée 12 à l'aide du mot de contrôle CW, et génère sur sa sortie 14 les informations embrouillées correspondantes. En parallèle, lors d'une étape 104, le module 26 scinde le mot de contrôle CW en deux parties CW0 et. CWt- A cet effet, lors de cette étape 104, le module 26 choisit d'abord une valeur pour le masque dans la liste 28, puis, ensuite exécute l'algorithme de séparation paramétré avec la valeur de masque choisie. De préférence la valeur du masque est modifiée pour chaque ECM.
Ensuite, le module 32 chiffre, lors d'une étape 106, la partie CWC à l'aide de la clé Kc pour construire le cryptogramme CW*C- La clé Kc est choisie dans la liste 34. En parallèle à l'étape 106, le module 32 chiffre, lors d'une étape 108, la partie CWt avec la clé Kt pour construire le cryptogramme CW*t- La dé Kt est choisie dans la liste 36. Une fois les cryptogrammes CW*C et CW*t construits, le module 40 construit, lors d'une étape 110, l'ECM décrit en regard de la figure 2. A cet effet, le module 40 utilise la valeur du masque utilisé par le module 24, les identifiants des clés Kc et Kt utilisées pour chiffrer les parties CWC et CWt, les cryptogrammes CW*C et CW*t ainsi que les conditions d'accès propres au récepteur 60 et au processeur 62 enregistrées dans la mémoire 42.
Une fois l'ECM construit et les informations embrouillées, l'ECM est associé aux informations embrouillées lors d'une étape 112, par le module 50 afin d'être diffusé par l'émetteur de façon synchronisée vers l'ensemble des dispositifs de réception.
Lors de la réception des informations diffusées, le récepteur reçoit, lors d'une étape 120 les informations. Le filtre 64, lors d'une étape 122, transmet au processeur 62 uniquement les champs nécessaires pour obtenir la première partie CWC du mot de contrôle, c'est-à-dire, ici, les champs ECM_SOIDC, ACCESS_CRITERIAC, CW*C et ECM_REDUND. Ainsi, le processeur 62 ne dispose jamais de toutes les informations utiles pour le désembrouillage. Ceci renforce la sécurité du dispositif 6.
Dés la réception de ces informations, le processeur 62 vérifie, lors d'une étape 124, la redondance cryptographique des champs reçus à l'aide du champ ECM_REDUND. Dans le cas où la redondance cryptographique est correcte, lors d'une étape 126, le processeur 62 vérifie si les conditions d' accès contenues dans le champ ACCESS_CRITERIAC correspondent aux titres d'accès préenregistrés dans la mémoire 82. Dans l'affirmative, lors d'une étape 128, le module de déchiffrement 80 déchiffre le cryptogramme CW*C. Pour cela, lors de l'étape 128, le module 80 utilise la clé Kc correspondant à l'identifiant de la clé contenu dans le champ ECM_SOIDC. Le déchiffrement du cryptogramme CW*C permet d' obtenir la partie CWC du mot de contrôle. Le processeur 62 transmet, lors d'une étape 130, cette partie CWC au module d'assemblage 68.
Si lors de l'étape 124, la redondance cryptographique est jugée comme étant incorrecte ou si lors de l'étape 126 les conditions d'accès contenues dans le champ ACCESS_CRITERIAC ne correspondent pas aux titres d'accès préenregistrés dans la mémoire 82, alors le processeur 62 procède à une étape 132 d'envoi d'un message d'erreur au récepteur 6. Parallèlement aux étapes 122 à 132, le filtre 64 transmet, lors d'une étape 140, uniquement les champs nécessaires au module de déchiffrement 66 et au module d'assemblage. Ici, les champs ECM_SOIDt, ACCESS_CRITERIAt et CW*t sont transmis au module de déchiffrement 66 et le champ CW MODE au module d'assemblage 68. Ainsi, le module 66 ne dispose pas de toutes les informations nécessaires au désembrouillage. Ceci renforce la sécurité du dispositif 6.
Ensuite, lors d'une étape 142, le module de déchiffrement 66 vérifie que les conditions d'accès contenues dans le champ ACCESS__CRITERIAt correspondent aux titres d'accès préenregistrés dans la mémoire 72. Dans l'affirmative, il procède, lors d'une étape 144 au déchiffrement du cryptogramme CW*t pour reconstruire la partie CWt du mot de contrôle. La partie CWt est alors transmise au module d' assemblage 68.
Si le module d'assemblage 68 a reçu le message d'erreur envoyé lors de l'étape 132, ou, si les conditions d' accès contenues dans le champ ACCESS_CRITERIAt ne correspondent pas aux titres d'accès préenregistrés dans la mémoire 72 lors de l'étape 142, le module d'assemblage est inhibé lors d'une étape 145. Dans ce cas aucun mot de contrôle complet n'est construit et le désembrouilleur 76 n' effectue aucun désembrouillage des informations embrouillées reçues.
A l'inverse, si le processeur 62 a déchiffré le cryptogramme CW*C et le module 66 a déchiffré le cryptogramme CW*t? alors le module 68 assemble, lors d'une étape 146 les parties CWC et CWt de manière à construire un mot de contrôle complet. Plus précisément, lors de l'étape 146, le module 68 utilise l'algorithme d'assemblage contenu dans la mémoire 75 paramétré à l'aide de la valeur contenue dans le champ CW_MODE. A l'issue de l'étape 146, le mot de contrôle complet est transmis au désembrouilleur 76 gui désembrouille, lors d'une étape 148, les informations embrouillées en utilisant le mot de contrôle CW construit par le module 68. La transmission du mot de contrôle du module 68 vers le désembrouilleur 76 est, de préférence, sécurisé.
Ensuite, les informations désembrouillées sont transmises en clair vers le poste de télévision 90 pour affichage de celles-ci lors d'une étape 150.
Dans le système et le procédé décrits ci-dessus, la partie CWC du mot de contrôle est transmise en clair du processeur 62 vers le récepteur 60 pour désembrouiller les informations embrouillées reçues. Toutefois, l'interception de cette partie CWC n'est pas suffisante à elle seule pour permettre un désembrouillage illicite des informations embrouillées.
Le fait d'utiliser un algorithme de séparation paramétré accroît la complexité du système 2 et donc accroît sa sécurité vis-à-vis de tentatives de piratage. Le fait d'utiliser une clé Kc commune à un groupe restreint de processeurs de sécurité et une clé Kt commune à un groupe restreint de récepteurs permet de créer un appariement entre ce groupe restreint de processeurs de sécurité et ce groupe restreint de récepteurs . Par conséquent, les processeurs de sécurité dans lesquels la clé Kc est enregistrée sont uniquement utilisable dans des récepteurs dans lesquels la clé Kt est enregistrée.
Ici, le nombre d'octets ou de bits d'informations des parties CWC et CWt est égal au nombre d'octets ou de bits d'informations du mot de contrôle. Par conséquent, la mise en œuvre du système et du procédé décrits ici est transparente pour le processeur de sécurité. Il n'est donc pas nécessaire de modifier le processeur de sécurité. Des bits ou octets aléatoires complètent les bits ou octets du mot de contrôle dans chaque partie CWC et CWt. Cela rend difficile, pour une personne non autorisée, l'identification des bits ou octets de la partie CWC ou CWt utilisés pour construire le mot de contrôle, des bits ou octets qui sont inutiles pour cette tâche.
De nombreux autres modes de réalisation du système 2 sont possibles. Par exemple, le module de déchiffrement 66 est, soit réalisé sous forme logiciel, soit sous forme câblée. La forme câblée est, par exemple, réalisée à l'aide d'une puce sécurisée et d'une mémoire de clés sécurisée. La puce est connue sous le terme anglais de « Chip-set ». La version câblée présente un meilleur niveau de sécurité.
Le récepteur 2 a été décrit dans le cas particulier où l'unité de désembrouillage 61 est solidaire du récepteur. En variante, l'unité 61 n'est pas solidaire du récepteur mais implémentée dans un module externe amovible raccordé au récepteur par l'intermédiaire d'une prise de raccordement de manière à pouvoir être accouplé/désaccouplé mécaniquement du terminal. Dans le cas d'un module externe, la clé Kt n' est pas commune à un groupe de récepteurs mais à un groupe d'unités de désembrouillage uniquement.
Dans le système 2, le mot de contrôle CW est uniquement divisé en deux parties égales CWC et CWt. En variante, soit la partie CWC, soit la partie CWt comporte plus d'octets du mot de contrôle CW que l'autre. En variante également, le mot de contrôle CW est divisé en plus de deux parties, l'une de ces parties étant destinée au récepteur, tandis que les autres parties sont chacune destinées à un processeur de sécurité respectif. Cette variante s'applique en particulier à un récepteur équipé de plusieurs processeurs de sécurité similaires au processeur 62.
Le format de l'ECM a été décrit en regard de la figure 2 dans le cas particulier où il comporte un seul cryptogramme CW*C correspondant à la partie CWC chiffrée et un seul cryptogramme CW*t correspondant à la partie CWt chiffrée. En variante, plusieurs cryptogrammes CW*C et/ou CW*t sont contenus dans un seul ECM. Egalement en variante, le cryptogramme CW*C correspond au cryptogramme obtenu en chiffrant plusieurs parties CWC successives dans le temps et/ou le cryptogramme CW*t correspond au cryptogramme obtenu en chiffrant plusieurs parties CWt successives dans le temps. Il est également possible de créer un ECM pour transporter uniquement le ou les cryptogrammes CW*C et un autre ECM pour transporter uniquement le ou les cryptogrammes CW*t.
En variante, les champs ECM_SOIDC et ECM_SOIDt sont regroupés pour former un seul champ ECM_SOID contenant les informations nécessaires pour le déchiffrement des cryptogrammes CW*C et CW*t.
De préférence, le paramètre utilisé par l'algorithme d'assemblage est chiffré lors de l'émission, puis déchiffré lors de la réception, par exemple, par le module 66, avant d'être transmis au module d'assemblage 68.
En variante, les algorithmes de séparation et d'assemblage sont remplacés chacun par une liste d'algorithmes de séparation et d'assemblage différents associés chacun à un identifiant. Lors de l'émission, le module 24 utilise l'un des algorithmes de séparation et l'identifiant de l'algorithme d'assemblage à utiliser est transmis au dispositif de réception en utilisant, par exemple, le champ CW_MODE de l'ECM. Lors de la réception, le module 68 sélectionne l'algorithme d'assemblage à utiliser en utilisant l'identifiant reçu. Ce mode de réalisation accroît la complexité du système 2 et donc sa sécurité. II est également possible de combiner le mode de réalisation de la figure 1 avec la variante ci-dessus. Dans ce cas là, plusieurs algorithmes de séparation paramétrés sont utilisables par l'émetteur et plusieurs algorithmes d'assemblage paramétrés sont utilisables par le récepteur. Le champ CW-MODE comporte à la fois un identifiant de l'algorithme d'assemblage à utiliser ainsi que la valeur du paramètre à utiliser.
Enfin, dans un mode de réalisation simplifié, l'émetteur utilise uniquement un seul algorithme de séparation non paramétré et le récepteur utilise uniquement un seul algorithme d'assemblage non paramétré. Dans cette ' dernière variante, le champ CW_MODE du message ECM est supprimé.
Dans le mode de réalisation de' la figure 1, la valeur du paramètre est contenue dans le champ CW_MODE. En variante, le champ CW_MODE contient uniquement un pointeur vers une valeur du paramètre préenregistrée dans une mémoire du récepteur 60. Dans une variante simplifiée, l'ECM ne comporte pas de champ ACCESS_CRITERIAt et la mémoire 74 ne comporte pas de titres d'accès préenregistrés. Dans cette variante, l'étape 142 du procédé est supprimée et les étapes 140 et 144 s'enchaînent directement.
Une autre façon de renforcer la sécurité des messages parvenant au dispositif de réception est d' étendre la portée de la redondance cryptographique ECM_REDUND à tout ou partie des paramètres concernant l'unité de désembrouillage. Ces paramètres sont alors fournis au processeur 62 pour vérifier l'intégrité et l'authenticité de l'ensemble de ces données.
Ici, les clés Kc et Kt ont été décrites comme étant communes respectivement à un groupe de processeurs de sécurité et à un groupe de récepteurs ou d' unités de désembrouillage. En variante, les clés Kc et Kt sont uniques pour chaque processeur de sécurité et chaque récepteur ou chaque unité de désembrouillage. A l'inverse, dans une autre variante, les clés Kc et Kt sont communes à l'ensemble des processeurs de sécurité et à l'ensemble des récepteurs ou des unités de désembrouillage du système 2.
Enfin, la clé Kc peut être choisie égale à la clé Kt. Un tel choix permet de simplifier la gestion des clés dans 1' émetteur.

Claims

REVENDICATIONS
1. Dispositif de réception d'informations embrouillées, ce dispositif comportant : - une unité de désembrouillage (61) apte à désembrouiller les informations embrouillées à l'aide d'un mot de contrôle,
- un processeur (62) de sécurité propre à déchiffrer au moins une partie du mot de contrôle à utiliser pour désembrouiller les informations, et à transmettre le mot de contrôle déchiffré à l'unité de désembrouillage, caractérisé en ce que le processeur de sécurité est adapté pour transmettre uniquement une première partie du mot de contrôle (CWC) vers l'unité de désembrouillage, cette première partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et en ce que l'unité de désembrouillage comporte un module d'assemblage (68) apte à compléter la première partie du mot de contrôle transmise par le processeur de sécurité pour construire un mot de contrôle complet suffisant pour désembrouiller les informations embrouillées.
2. Dispositif selon la revendication 1, caractérisé en ce qu'il comporte un filtre (64) adapté pour empêcher la transmission au processeur de sécurité d' informations suffisantes à elles seules pour reconstruire le mot de contrôle complet.
3. Dispositif selon la revendication 2, caractérisé en ce que le filtre est adapté pour transmettre au processeur de sécurité un cryptogramme (CW*C) de la première partie du mot de contrôle réalisé à l'aide d'une première clé (Kc) de chiffrement utilisée uniquement pour ce processeur de sécurité ou pour un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité utilisables dans un système de transmission d' informations embrouillées.
4. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que l'unité de désembrouillage comporte un module (66) de déchiffrement propre à déchiffrer un cryptogramme (CW*t) d'une deuxième partie du mot de contrôle, cette deuxième partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et en ce que le module d'assemblage (68) est propre à compléter la première partie (CWC) du mot de contrôle avec la deuxième partie (CWt) du mot de contrôle déchiffrée par le module de déchiffrement pour construire le mot de contrôle complet.
5. Dispositif selon la revendication 4, caractérisé en ce que le cryptogramme (CW*t) de la deuxième partie est réalisé à l'aide d'une deuxième clé (Kt) de chiffrement utilisée uniquement pour cette unité de désembrouillage ou pour un groupe restreint d'unités de désembrouillage parmi l'ensemble des unités de désembrouillage utilisables dans un système de réception d'informations embrouillées.
6. Dispositif selon l'une quelconque des revendications précédentes, caractérisé en ce que le module d'assemblage (68) est apte à compléter la première partie (CWC) du mot de contrôle transmise par le processeur de sécurité en mettant en œuvre un algorithme d'assemblage, l'algorithme d'assemblage étant fonction d'un identifiant d'algorithme d'assemblage et/ou d'un paramètre de l'algorithme d'assemblage, cet identifiant d'algorithme et/ou ce paramètre variant en fonction du mot de contrôle.
7. Unité de désembrouillage d'informations adaptée pour être mise en œuvre dans un dispositif de réception conforme à l'une quelconque des revendications 1 à 6, caractérisée en ce que l'unité comporte le module d'assemblage (68) apte à compléter la première partie (CWC) du mot de contrôle transmise par le processeur de sécurité, pour construire un mot de contrôle complet utilisable pour désembrouiller les informations embrouillées.
8. Unité selon la revendication 7, caractérisée en ce qu'elle comporte le filtre (64) adapté pour empêcher la transmission au processeur de sécurité d' informations suffisantes à elles seules pour reconstruire le mot de contrôle complet.
9. Unité selon l'une quelconque des revendications 7 à 8, caractérisée en ce qu'elle comporte le module de déchiffrement (66) propre à déchiffrer un cryptogramme
(CW*t) d'une deuxième partie du mot de contrôle, et en ce que le module d'assemblage est propre à compléter la première partie (CWC) du mot de contrôle avec la deuxième partie du mot de contrôle déchiffrée par le module de déchiffrement pour construire le mot de contrôle complet .
10. Emetteur adapté pour fonctionner avec un dispositif de réception selon l'une quelconque des revendications 1 à 6, caractérisé en ce que l'émetteur comporte un module de séparation (26) propre à scinder en au moins une première (CWC) et une deuxième (CWt) parties le mot de contrôle, et l'émetteur est apte à transmettre la première partie vers le processeur de sécurité du dispositif de réception et la deuxième partie vers l'unité de désembrouillage du dispositif de réception, chacune des parties du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées.
11. Emetteur selon la revendication 10, caractérisé en ce qu'il comporte un module (32) propre à chiffrer la première partie du mot de contrôle avec une première clé connue uniquement du processeur de sécurité ou d'un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité utilisables dans un système de transmission d'informations embrouillées, et propre à chiffrer la deuxième partie du mot de contrôle avec une deuxième clé connue de l'unité de désembrouillage uniquement ou d'un groupe restreint d'unités de désembrouillage parmi l'ensemble des unités de désembrouillage utilisables dans le système de transmission, avant de transmettre chacune des parties du mot de contrôle chiffré.
12. Emetteur selon l'une quelconque des revendications 10 à 11, caractérisé en ce que l'émetteur est apte à diffuser sous la forme d'une structure TLV (Type Longueur Valeur) les première et seconde parties du mot de contrôle codées ainsi que tous les paramètres nécessaires à leur utilisation par le dispositif de réception.
13. Emetteur selon l'une quelconque des revendications précédentes, caractérisé en ce que le module de séparation est apte à compléter chacune des parties du mot de contrôle par des bits ou octets d' informations complémentaires pour que le nombre de bits ou d'octets de chaque partie soit égal au nombre de bits ou d' octets du mot de contrôle complet.
14. Emetteur selon la revendication 13, caractérisé en ce que le module de séparation est apte à modifier les bits ou octets d' informations complémentaires pour chaque mot de contrôle ou pour chaque groupe limité de mots de contrôles parmi l'ensemble des mots de contrôle utilisés.
15. Système de transmission d'informations embrouillées, ce système comportant :
- un émetteur (4) propre à diffuser des informations embrouillées à l'aide d'un mot de contrôle, et - au moins un dispositif de réception (6) propre à désembrouiller les informations embrouillées diffusées, caractérisé en ce que le dispositif de réception est conforme à l'une quelconque des revendications 1 à 6.
16. Procédé de réception d'informations embrouilléesr ce procédé comportant : une étape (148) de désembrouillage des informations embrouillées, par une unité de désembrouillage à l'aide d'un mot de contrôle,
- une étape de déchiffrement par un processeur de sécurité d' au moins une partie du mot de contrôle à utiliser pour désembrouiller les informations, et
- une étape (130) de transmission par le processeur de sécurité du mot de contrôle déchiffré vers l'unité de désembrouillage, caractérisé en ce que lors de l'étape de transmission, le processeur de sécurité transmet uniquement une première partie du mot de contrôle (CWC) vers l'unité de désembrouillage, cette première partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et en ce que le procédé comporte une étape (146) d'assemblage dans l'unité de désembrouillage, consistant à compléter la première partie du mot de contrôle transmise par le processeur de sécurité pour construire un mot de contrôle complet suffisant pour désembrouiller les informations embrouillées.
17. Procédé selon la revendication 16, caractérisé en ce qu'un filtre (64) empêche (en 122) la transmission au processeur de sécurité d'informations suffisantes à elles seules pour construire le mot de contrôle complet.
18. Procédé selon la revendication 17, caractérisé en ce que le filtre transmet au processeur de sécurité un cryptogramme (CW*C) de la première partie du mot de contrôle réalisé à l'aide d'une première clé (Kc) de chiffrement utilisée uniquement pour ce processeur de sécurité ou pour un groupe restreint de processeurs de sécurité parmi l'ensemble des processeurs de sécurité utilisables dans un système de transmission d'informations embrouillées.
19. Procédé selon l'une quelconque des revendications 16 à 18, caractérisé en ce qu'un module de déchiffrement déchiffre (en 144) un cryptogramme (CW*t) d'une deuxième partie du mot de contrôle, cette deuxième partie du mot de contrôle étant insuffisante à elle seule pour désembrouiller les informations embrouillées, et en ce que lors de l'étape d'assemblage, la première partie (CWC) du mot de contrôle est complétée avec la deuxième partie (CWt) du mot de contrôle déchiffrée pour construire le mot de contrôle complet.
20. Procédé selon la revendication 19, caractérisé en ce que le cryptogramme (CW*t) de la deuxième partie du mot de contrôle est réalisé à l'aide d'une deuxième clé (Kt) de chiffrement utilisée uniquement pour cette unité de désembrouillage ou pour un groupe restreint d'unité de désembrouillage parmi l'ensemble des unités de désembrouillage utilisables dans un système de réception d'informations embrouillées.
21. Procédé selon l'une quelconque des revendications 16 à 20, caractérisé en ce que lors de l'étape d'assemblage, la première partie (CWC) du mot de contrôle transmise par le processeur de sécurité est complétée en mettant en œuvre un algorithme d'assemblage, l'algorithme d'assemblage étant fonction d'un identifiant d'algorithme d'assemblage et/ou d'un paramètre de l' algorithme d'assemblage, cet identifiant d'algorithme et/ou ce paramètre variant en fonction du au mot de contrôle.
22. Dispositif selon l'une quelconque des revendications 1 à 6, caractérisé en ce que les informations embrouillées sont des programmes audiovisuels.
PCT/FR2005/002541 2004-10-14 2005-10-13 Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif Ceased WO2006040482A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0410866A FR2876858B1 (fr) 2004-10-14 2004-10-14 Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif
FR0410866 2004-10-14

Publications (2)

Publication Number Publication Date
WO2006040482A2 true WO2006040482A2 (fr) 2006-04-20
WO2006040482A3 WO2006040482A3 (fr) 2006-08-31

Family

ID=34952223

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002541 Ceased WO2006040482A2 (fr) 2004-10-14 2005-10-13 Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif

Country Status (2)

Country Link
FR (1) FR2876858B1 (fr)
WO (1) WO2006040482A2 (fr)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2129116A1 (fr) * 2008-05-29 2009-12-02 Nagravision S.A. Unité et méthode de traitement sécurisé de données audio/vidéo à accès contrôlé
EP2192773A1 (fr) * 2008-12-01 2010-06-02 Irdeto Access B.V. Dispositif de décryptage de contenu et système de cryptage utilisant une couche clé supplémentaire
WO2011073287A1 (fr) 2009-12-17 2011-06-23 Nagravision S.A. Procédé et module de traitement pour un traitement sécurisé de données audio/vidéo à accès contrôlé
EP2393293A1 (fr) * 2010-06-01 2011-12-07 Nagravision S.A. A method and apparatus for decrypting encrypted content
FR2961364A1 (fr) * 2010-06-15 2011-12-16 Logiways France Procede et systeme de protection d'informations par un mot de controle
US8782417B2 (en) 2009-12-17 2014-07-15 Nagravision S.A. Method and processing unit for secure processing of access controlled audio/video data
US9215505B2 (en) 2013-05-07 2015-12-15 Nagravision S.A. Method and system for secure processing a stream of encrypted digital audio/video data
CN112073660A (zh) * 2020-09-15 2020-12-11 深圳Tcl数字技术有限公司 Tlv数据生成方法、读取方法、智能设备及存储介质

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2905215B1 (fr) 2006-08-23 2009-01-09 Viaccess Sa Procede de transmission d'une donnee complementaire a un terminal de reception
FR2996947B1 (fr) * 2012-10-11 2015-09-04 Openways Sas Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL107967A (en) * 1993-12-09 1996-12-05 News Datacom Research Ltd Apparatus and method for securing communication systems
FR2715256B1 (fr) * 1994-01-19 1996-02-16 France Telecom Procédés d'émission et de réception de programmes à accès conditionnel gérés par un même opérateur.

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549655B2 (en) 2008-05-29 2013-10-01 Nagravision S.A. Unit and method for secure processing of access controlled audio/video data
WO2009144264A1 (fr) * 2008-05-29 2009-12-03 Nagravision S.A. Unité et procédé de traitement sécurisé de données audio/vidéo à accès contrôlé
EP2129116A1 (fr) * 2008-05-29 2009-12-02 Nagravision S.A. Unité et méthode de traitement sécurisé de données audio/vidéo à accès contrôlé
EP2192773A1 (fr) * 2008-12-01 2010-06-02 Irdeto Access B.V. Dispositif de décryptage de contenu et système de cryptage utilisant une couche clé supplémentaire
WO2010063532A1 (fr) * 2008-12-01 2010-06-10 Irdeto Access B.V. Dispositif de décryptage de contenus et système de cryptage utilisant une couche de clés additionnelles
US8819434B2 (en) 2009-12-17 2014-08-26 Nagravision S.A. Method and processing unit for secure processing of access controlled audio/video data
US8782417B2 (en) 2009-12-17 2014-07-15 Nagravision S.A. Method and processing unit for secure processing of access controlled audio/video data
WO2011073287A1 (fr) 2009-12-17 2011-06-23 Nagravision S.A. Procédé et module de traitement pour un traitement sécurisé de données audio/vidéo à accès contrôlé
EP2393292A1 (fr) * 2010-06-01 2011-12-07 Nagravision S.A. Procédé et appareil de décryptage d'un contenu crypté
US8494160B2 (en) 2010-06-01 2013-07-23 Nagravision S.A. Method and apparatus for decrypting encrypted content
EP2393293A1 (fr) * 2010-06-01 2011-12-07 Nagravision S.A. A method and apparatus for decrypting encrypted content
FR2961364A1 (fr) * 2010-06-15 2011-12-16 Logiways France Procede et systeme de protection d'informations par un mot de controle
WO2011157949A1 (fr) * 2010-06-15 2011-12-22 Logiways France Procédé et système de protection d'informations par un mot de contrôle
US9215505B2 (en) 2013-05-07 2015-12-15 Nagravision S.A. Method and system for secure processing a stream of encrypted digital audio/video data
CN112073660A (zh) * 2020-09-15 2020-12-11 深圳Tcl数字技术有限公司 Tlv数据生成方法、读取方法、智能设备及存储介质
CN112073660B (zh) * 2020-09-15 2023-03-10 深圳Tcl数字技术有限公司 Tlv数据生成方法、读取方法、智能设备及存储介质

Also Published As

Publication number Publication date
FR2876858A1 (fr) 2006-04-21
FR2876858B1 (fr) 2006-12-01
WO2006040482A3 (fr) 2006-08-31

Similar Documents

Publication Publication Date Title
EP2027667B1 (fr) Procedes de diffusion et de reception d'un programme multimedia embrouille, tete de reseau, terminal, recepteur et processeur de securite pour ces procedes
EP0528730B1 (fr) Procédés d'émission et de réception de programmes personnalisés
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
FR2755809A1 (fr) Procede de protection d'information transmise d'un element de securite vers un decodeur et systeme de protection utilisant un tel procede
EP2060117A1 (fr) Processeur de securite et procede et support d'enregistrement pour configurer le comportement de ce processeur
EP1867096B1 (fr) Procede et systeme de reception d'un signal multimedia, entite cryptographique pour ce procede de reception et systeme, procede et boite noire pour la fabrication de l'entite cryptographique
EP1917756B1 (fr) Procede d'etablissement d'une cle de session et unites pour la mise en oeuvre du procede
WO2006040482A2 (fr) Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif
EP2659613B1 (fr) Procede de transmission et de reception d'un contenu multimedia
FR2967002A1 (fr) Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle
EP1419640B1 (fr) Reseau numerique local, procedes d'installation de nouveaux dispositifs et procedes de diffusion et de reception de donnees dans un tel reseau
EP2586198B1 (fr) Procede de protection, procede de dechiffrement, support d'enregistrement et terminal pour ce procede de protection
EP3789898B1 (fr) Procédé de génération d'une clé
EP1723791B1 (fr) Methode de securisation d'un evenement telediffuse
EP3646526B1 (fr) Procédé de réception et de déchiffrement d'un cryptogramme d'un mot de contrôle
FR2850228A1 (fr) Procede pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede
EP1723790B1 (fr) Méthode de sécurisation d'un contenu chiffré transmis par un diffuseur
FR2891104A1 (fr) Procede de lutte contre l'usage frauduleux d'un terminal de reception de donnees numeriques
EP1492346A1 (fr) Système de traitement simultané de données d'au moins deux services de télévision à péage
WO2011157949A1 (fr) Procédé et système de protection d'informations par un mot de contrôle
FR2809269A1 (fr) Procede de transmission de donnees chiffrees, application d'un tel procede dans un systeme de television numerique a peage et decodeur utilise dans un tel systeme

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05809286

Country of ref document: EP

Kind code of ref document: A2