WO2008049882A1 - Procédé de détection d'une utilisation anormale d'un processeur de sécurité - Google Patents

Procédé de détection d'une utilisation anormale d'un processeur de sécurité Download PDF

Info

Publication number
WO2008049882A1
WO2008049882A1 PCT/EP2007/061470 EP2007061470W WO2008049882A1 WO 2008049882 A1 WO2008049882 A1 WO 2008049882A1 EP 2007061470 W EP2007061470 W EP 2007061470W WO 2008049882 A1 WO2008049882 A1 WO 2008049882A1
Authority
WO
WIPO (PCT)
Prior art keywords
ecm
date
security processor
act
period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2007/061470
Other languages
English (en)
Inventor
Quentin Chieze
Alain Cuaboz
Alexandre Giard
Olivier Granet
Louis Neau
Matthieu Roger
Bruno Tronel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Priority to EP07821833.6A priority Critical patent/EP2082574B1/fr
Priority to CN2007800399325A priority patent/CN101529904B/zh
Priority to PL07821833T priority patent/PL2082574T3/pl
Priority to KR1020097007851A priority patent/KR101433300B1/ko
Priority to ES07821833.6T priority patent/ES2675749T3/es
Priority to US12/444,559 priority patent/US20100017605A1/en
Publication of WO2008049882A1 publication Critical patent/WO2008049882A1/fr
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management e.g. creating a master electronic programme guide from data received from the Internet and a Head-end or controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]

Definitions

  • the invention is in the field of access control to multimedia services and more specifically relates to a method for detecting an abnormal use of a security processor requested by at least one reception terminal to control access to scrambled digital content provided by at least one operator to said receiving terminal.
  • the invention also relates to a security processor for controlling access to scrambled digital content provided by at least one operator to at least one receiving terminal.
  • the invention applies regardless of the nature of the support network or the type of content (live TV, video on demand programs VOD, Personal video recorder (PVR)).
  • the first aims to fraudulently analyze the operation of the access control processor implemented in the receiver by submitting to the latter messages syntactically incorrect, for example false signature, incomplete or with illicit sequences of commands, the second is to exploit the conditional access resources of the receiving system beyond a normal authorized use.
  • This second use can be achieved by sharing the reception system in question, and in particular its security processor (typically, card sharing), or by sharing or redistributing the control words (CW sharing).
  • the invention aims to combat the forms of piracy described above.
  • the invention applies particularly, but not exclusively, when the interface between the security processor and the terminal is not protected.
  • EP 1 447 976 A1 describes a method for preventing the sharing of a security processor by multiple terminals.
  • This method consists in measuring the time separating the submission of two successive ECM (for Entitlement Control Message) messages, and in verifying that the timing of the processing of the messages thus observed is in accordance with pre-established timing schemes.
  • This method does not make it possible to take into account disturbances in the sequence of processing ECM messages because, in reality, the submission of ECM messages to the security processor depends in particular on:
  • Another object of the invention is to overcome the disadvantages of the prior art described above.
  • the invention provides a method for enabling a security processor to detect situations in which said security processor is used illegally beyond authorized normal use.
  • This process comprises the following steps:
  • the comparison step uses the average value M ECM of the number of requests per unit of time
  • the method according to the invention is of a statistical nature and makes it possible not to be distorted by localized disturbances in the temporal structure of the programs. treated and variations in user behavior.
  • the average value M ECM is determined during a period of activity T Act of said security processor constituted by cumulation of a plurality of activity durations successive ones separated by a minimum duration Ti naMiri of inactivity of said security processor.
  • each request of the security processor comprises subjecting it to an ECM access control message associated with the scrambled content and carrying a control word CW and the description at least one access condition.
  • the analysis of the use of the security processor comprises the following steps:
  • the analysis of the use of the security processor comprises the following operations: at a current date t c ,
  • the ECM messages having a contemporaneous broadcasting date of said current date t c and which are submitted to the security processor for a first use of a content and secondly, the ECM messages having a broadcast date prior to the current date t c and which are submitted to the security processor for reuse of a content, measuring the period of T Act activity of the security processor during which it is processing successive contemporary ECM messages, count the N ECM number of contemporaneous ECM messages at least as long as the T Act activity period is less than a predefined minimum T Act Min duration.
  • the determination of an old ECM message is performed by comparing the processing date t of this ECM message with the date (t c -T Dlf f), T Dlff representing a delay previously defined minimum separating date t and date t c .
  • counting the number N ECM of contemporary ECM messages successfully processed comprises the following operations:
  • the penalty is applied gradually according to the following steps: - first the penalty is applied with a level of severity n ⁇ a predetermined number of times R 1 , - then the penalty is applied with a severity level following n 1+ i a predetermined number of times R 1+ I, - finally the maximum penalty is applied when the last level n imax is reached.
  • the sanction comprises a first level consisting of a temporary blocking of the reception of the content, a second level consisting of a blocking of the reception of the content with the obligation to contact the operator providing said content, and a third level consisting of a definitive blocking of the reception of said content.
  • the analysis of the use of the security processor is performed by software integrated in said security processor.
  • the latter comprises:
  • a second module for determining from said analysis the average value M ECM of the number of requests per unit time of said security processor during said observation period T Obs and for comparing said average value M EC M with a threshold S ma ⁇ predefined, and
  • a third module for applying to the terminal a penalty whose level of severity increases gradually if the average value M ECM is greater than the threshold S ma ⁇ .
  • FIG. 1 diagrammatically represents a flowchart illustrating the counting of the average value of the number of requests per unit of time of said security processor during the observation period T O bs,
  • FIG. 2 schematically illustrates the analysis and sanctioning steps according to the invention.
  • the invention will be described in a context of broadcasting by an operator of audiovisual programs protected by a conditional access system (CAS). These programs are intended for several subscriber terminals each provided with a security processor, typically a smart card.
  • CAS conditional access system
  • the control by the operator of access to a scrambled program is done by conditioning the access to the content to the possession by the terminal of a control word CW and the availability of a commercial authorization .
  • the operator attaches to the content an access condition which must be fulfilled by the subscriber to be able to access this content.
  • Transmission of the CW control words and the description of the access condition to the subscriber terminals is carried out via ECM (Entitlement Control Message) specific access control messages.
  • ECM Entitlement Control Message
  • the ECM messages are submitted to the security processor to be checked for security. After verification by the security processor of the validity of these messages, the access condition they carry is compared to the access titles present in a nonvolatile memory of the security processor.
  • these access titles are previously received by the terminal via EMM access messages (for Entitlement Management Message). If the access condition is fulfilled by one of these access titles, the security processor decrypts the control word CW and provides it to the terminal, thereby enabling the descrambling of the contents.
  • the ECM and EMM messages are protected by cryptographic methods, implementing algorithms and keys to guarantee the integrity of these messages, their authenticity and the confidentiality of the sensitive data that they can carry, and the updating of these keys in particular is ensured by EMM management messages specific to security.
  • control word can be changed every 10 seconds, conventionally, in broadcast television or, in the extreme, to each film only in Video On Demand with individual particularization by subscriber.
  • the purpose of implementing the method in this context is to enable the security processor to detect and react to any misuse of which it is the object.
  • the use considered here is that controlling access to content, represented therefore by the processing of ECM messages by the security processor.
  • a parameter representative of the use of the security processor is statistically measured and this parameter is compared with a predefined threshold value representative of a normal use of said security processor.
  • the measurement of the use of the security processor consists in analyzing the requests of this security processor during a predefined observation period T obs , then in determining, from said analysis, the average value M ECM of the number of requests by unit of time during said observation period T obs .
  • Comparing said average value M ECM with a threshold S ma ⁇ predefined makes it possible to detect an abuse of the security processor over the observation period T Obs considered.
  • the establishment of the threshold S ma ⁇ is achieved by examining the average behavior of users during a significant period of observation.
  • a period of activity of the security processor is defined, during the observation period T Obs , representing a time interval during which this the latter is solicited by continuous time slots, whether lawfully or unlawfully.
  • T Act Min representing the duration to reach through the activity period to ensure that the analysis of the security processor usage during the activity period is meaningful. The respect of this minimum duration makes it possible to minimize the risk of detecting as abusive a punctually important, although generally normal, use of the card. Indeed, normal use may have, typically in case of intense zapping, temporary peaks of solicitation similar to the solicitation of the card in a context of misuse.
  • T InaMin representing the time elapsed since the last successfully processed ECM message beyond which the previous activity period is considered to have been completed.
  • the contemporary ECM messages of this current date t c submitted to the security processor for a first time in order to determine, at a current date t c corresponding to the last successful processing of an ECM message, on the one hand, the contemporary ECM messages of this current date t c submitted to the security processor for a first time.
  • the parameter T Dlff denotes the minimum duration separating the date of an ECM message old of the current date, and it is considered that an ECM message is submitted to the security processor for reuse of a content if the date of this ECM message is earlier than t c d a duration greater than or equal to
  • the broadcast date of an ECM message can be determined by various technical solutions known per se. For example, it is written in this ECM message, with the access condition and the control word, by the message generator ECM, ECM-G and is retrieved by the security processor during the processing of this ECM message.
  • FIG. 1 illustrates the steps of counting the number N ECM of ECM messages processed by the security processor during a period of T Act activity and the quasi-simultaneous measurement of said activity period T act .
  • the security processor receives an ECM message t having for diffusion date t (step 10).
  • step 12 the security processor analyzes the syntax, authenticity and integrity of the ECM message t and then determines the date t and the access criteria.
  • step 14 the security processor checks the validity of access criteria, and the authenticity and message integrity ⁇ .
  • the security processor scans the next ECM message (arrow 16). If the access criteria are met
  • the security processor processes the message ECM t and compares, in step 20, the date t of this message ECM t on the date t c -T dlf f to determine whether the message ECM t is submitted for a first use of the content or for a re-use after registration thereof.
  • the security processor increments the number of processed ECM messages by one in step 22.
  • the security processor concludes that the previous activity period is not yet over and, at the step 26, the duration of the current activity period T Act is incremented by the duration tt c .
  • FIG. 2 diagrammatically illustrates the steps of analysis of the use of the security and sanction processor according to the invention.
  • step 30 the security processor calculates the ratio where N Ecm represents the number of ECM messages counted and T Act represents the total duration of the activity period during the observation period T Obs •
  • step 32 the security processor verifies if T Act is greater than or equal to a duration
  • TActMin predefined. This step is intended to verify that the T Act activity period is sufficient to ensure the significance of the analysis.
  • the security processor decrypts in step 54 the control word contained in the message ECM t then checks in step 34 whether the observation time T Obs is finished. If so, the security processor resets (step 36) the values N Ecm , T act , and t 0 .
  • step 38 checking whether the date t of the message ECM t is later than the current date t c .
  • the security processor verifies (step 50) whether the calculated average value M EC M is greater than the threshold S ma ⁇ . If so, a penalty is applied and the number n of penalties and / or the level of the penalty applied is incremented (step 52), and the values N EC M, T Act and t 0 are reset (step 53).
  • control word CW is decrypted and transmitted to the terminal to allow descrambling of the content (step 54).
  • the method then continues with step 34 of checking whether the duration (tt 0 ) is greater than the duration T Obs of the observation period.
  • the security processor resets (step 36) the values N Ecm , T act , and t 0 .
  • step 38 checking whether the date t of the message ECM t is later than the current date t c .
  • step 40 the date t is assigned to the current date t c , and the process continues from the step 10 of the count (FIG. 1).
  • the management of the sanction at stage 52 includes the incrementation of the number n of sanctions and / or the level of the sanction.
  • This penalty management is characteristic of the invention. Since the method is a statistical analysis of the demands of the security processor based on prior modeling as will be described later, defining a single sanction and applying it as soon as abnormal usage is detected is excessive and may ultimately render the process inoperative. In order to benefit from the progressivity provided by statistical analysis in detecting the misuse of the processor, the most appropriate management of the penalties and therefore inherent to the process is a progressive management. This management defines several levels of sanctions of increasing severity and gradually applied in stages.
  • a first detection of misuse of the security processor interrupts access to the content by preventing descrambling.
  • this sanction of low severity has been repeated a number of times because of confirmation of misuse
  • another sanction of moderate severity is applied which consists in temporarily blocking the terminal with the user having to contact his operator for unlock the terminal.
  • this second sanction has been applied a number of times due to the persistence of the misuse
  • an ultimate sanction of strong severity is applied which consists in definitively invalidating the security processor.
  • EEPROM Electrical Erasable Programmable Read-Only Memory
  • the parameters N ECM , t c and T Act which are the most solicited by the calculations are stored in non-permanent memory (RAM) and regularly saved in the EEPROM memory.
  • RAM non-permanent memory
  • the following new parameters are defined: the number N Bu f of ECM messages successfully processed since the last transfer of the N ECM parameters, t c and T Act in the EEPROM memory.
  • the number N max representing a maximum threshold of the number N Bu f which triggers the update in the EEPROM memory of the parameters N EC M, t c and T Act .
  • N EC M t c and T Act are then managed as follows:
  • the parameters N ECM, t c and T Act are created and registered with their initialization value EEPROM memory if they have never been before. After switching on the security processor, or activation of the analysis of the use of this security processor: o N EC parameters M, T c and T Act are loaded into memory
  • RAM o any incrementation of these parameters is done in RAM memory o if N Bu f> N max , their values are further updated in EEPROM memory.
  • the parameterization and the activation of the analysis are programmable by the operator by sending an EMM message. This setting can also be done during the personalization phase of the card. It consists of:
  • said EMM message carries at least one of the following parameters:
  • N max Storage threshold expressed in number of ECM messages
  • T SFA Duration, in seconds, of non-treatment of ECMs under the low severity level
  • R 3 FA Number of repetitions of the sanction of low severity level
  • R S M O Number of repetitions of the medium severity sanction.
  • the analysis was tested over an observation period of 7 days, then over an observation period of 15 days.
  • only the counting of the main ECM channel, relating to the video, is carried out.
  • the observation time T Obs is 14 days, ie 1209600 seconds. • A solicitation of 0.22 ECM per second allows the desired discrimination with a margin of safety that allows a wide range of behavior to the lawful user of a reception system with one or two tuners. The maximum lawful demand S Ma ⁇ is fixed at this value.
  • the minimum ActMin T time is 30 hours, which is 108000 seconds.
  • the method according to the invention is implemented by a security processor comprising: a first module for analyzing its use during a predefined observation period T obs , a second module for determining from said analysis the average value M ECM the number of requests per time unit of said security processor during said observation period T Obs and for comparing said average value M EC M with a threshold S ma ⁇ predefined, and
  • a third module for applying to the terminal a penalty whose level of severity increases gradually if the average value M ECM is greater than the threshold S ma ⁇ .
  • This security processor implements software comprising: instructions for analyzing the use of said smart card by said terminal during a predefined observation period T Obs ,
  • step 14 of the figure is not executed and the method of FIG. 1 continues in step 20.

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un procédé de détection d'une utilisation anormale d'un processeur de sécurité sollicité par au moins un terminal de réception pour contrôler l'accès à un contenu numérique embrouillé fourni par au moins un opérateur audit terminal de réception. Ce procédé comporte les étapes suivantes : - analyser l'utilisation du processeur de sécurité pendant une période d'observation T<SUB>Obs</SUB> prédéfinie, - déterminer à partir de ladite analyse la valeur moyenne M<SUB>ECM</SUB> du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d'observation T<SUB>Obs</SUB>, - comparer ladite valeur moyenne M<SUB>ECM</SUB> à un seuil S<SUB>max</SUB> prédéfini, et - si la valeur M<SUB>ECM</SUB> est supérieure au seuil S<SUB>max</SUB>, appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement.

Description

PROCEDE DE DETECTION D'UNE UTILISATION ANORMALE D'UN PROCESSEUR DE SÉCURITÉ
DESCRIPTION
DOMAINE TECHNIQUE
L' invention se situe dans le domaine du contrôle d' accès à des services multimédia et concerne plus spécifiquement un procédé de détection d'une utilisation anormale d'un processeur de sécurité sollicité par au moins un terminal de réception pour contrôler l'accès à un contenu numérique embrouillé fourni par au moins un opérateur audit terminal de réception .
L' invention concerne également un processeur de sécurité destiné à contrôler l'accès à un contenu numérique embrouillé fourni par au moins un opérateur à au moins un terminal de réception.
L'invention s'applique indépendamment de la nature du réseau support ou du type de contenus (TV en direct, programmes vidéo à la demande VOD, Personal video recorder (PVR) ) .
ÉTAT DE LA TECHNIQUE ANTÉRIEURE
Deux utilisations illicites des systèmes de réception mettant en œuvre un contrôle d' accès sont connues. La première a pour but d'analyser frauduleusement le fonctionnement du processeur de contrôle d'accès mis en œuvre dans le récepteur en soumettant à ce dernier des messages syntaxiquement incorrects, par exemple à signature fausse, incomplets ou comportant des suites illicites de commandes, la deuxième vise à exploiter les ressources d'accès conditionnel du système de réception au-delà d'un usage normal autorisé. Cette deuxième utilisation peut être réalisée par le partage du système de réception considéré, et en particulier de son processeur de sécurité (typiquement, card sharing) , ou par partage ou redistribution des mots de contrôle (CW sharing) .
Plus particulièrement, dans le cas d'une utilisation partagée des ressources du système de réception, plusieurs terminaux sollicitent le processeur de sécurité de ce dernier via un réseau de communication bidirectionnel en soumettant à ce dernier des messages syntaxiquement corrects mais en nombre ou diversité excessifs. L'invention a pour but de lutter contre les formes de piratage décrites ci-dessus.
L'invention s'applique particulièrement, mais non exclusivement, lorsque l'interface entre le processeur de sécurité et le terminal n'est pas protégée.
Le document EP 1 447 976 Al décrit une méthode pour empêcher le partage d'un processeur de sécurité par plusieurs terminaux.
Cette méthode consiste à mesurer les temps séparant la soumission de deux messages ECM (pour Entitlement Control Message) successifs, et à vérifier que le cadencement des traitements des messages ainsi observé est conforme à des schémas de cadencement préétablis . Cette méthode ne permet pas de prendre en compte les perturbations dans l'enchaînement des traitements des messages ECM car, dans la réalité, la soumission des messages ECM au processeur de sécurité dépend notamment :
- de l'organisation de rattachement de ces messages ECM aux programmes, selon que l'accès à un programme dépend d'une condition d'accès globale, ou de plusieurs conditions d'accès pour chaque composante vidéo, audio ou autres,
- des capacités offertes par les décodeurs de traiter un seul programme ou plusieurs simultanément comme dans le cas de récepteurs multi-tuner permettant d'enregistrer un programme pendant la visualisation d'un autre,
- des habitudes des utilisateurs dont les « zapping » répétés provoquent une rupture dans l'enchaînement régulier des traitements des messages ECM.
Un autre but de l'invention est de pallier les inconvénients de l'art antérieur décrits ci-dessus.
EXPOSÉ DE L'INVENTION
L' invention préconise un procédé destiné à permettre à un processeur de sécurité de détecter les situations dans lesquelles ledit processeur de sécurité est utilisé de façon illicite au delà d'un usage normal autorisé.
Ce procédé comporte les étapes suivantes :
- analyser l'utilisation du processeur de sécurité pendant une période d' observation TObs prédéfinie, - déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d'observation TObs,
- comparer ladite valeur moyenne MECM à un seuil Smax prédéfini, et - si la valeur moyenne MECM est supérieure au seuil Smaχ, appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement.
Du fait que l'étape de comparaison utilise la valeur moyenne MECM du nombre de sollicitations par unité de temps, la méthode selon l'invention est de nature statistique et permet de ne pas être faussée par des perturbations localisées dans la structure temporelle des programmes traités et des variations des comportements des utilisateurs. Selon une caractéristique de l'invention, au cours de la période d'observation TObS/ la valeur moyenne MECM est déterminée pendant une période d'activité TAct dudit processeur de sécurité constituée par cumulation d'une pluralité de durées d'activité successives séparées par une durée minimale TinaMiri d'inactivité dudit processeur de sécurité.
Une période d' activité représente un intervalle de temps cumulé pendant lequel un processeur de sécurité est sollicité par plages temporelles continues. Elle doit avoir une durée minimale TActMin pour garantir le caractère significatif de l'analyse. Le respect de cette durée minimale permet de réduire le risque de détecter comme abusive une utilisation ponctuellement importante, bien que normale et licite du processeur de sécurité. Dans un mode particulier de mise en œuvre du procédé selon l'invention, chaque sollicitation du processeur de sécurité consiste à soumettre à celui-ci un message de contrôle d'accès ECM associé au contenu embrouillé et transportant un mot de contrôle CW et la description d'au moins une condition d'accès.
L'analyse de l'utilisation du processeur de sécurité comporte dans ce cas les étapes suivantes :
- déterminer le nombre NEcm de messages ECM traités par le processeur de sécurité pendant la période d' activité Tact,
- calculer le rapport MECM = NEcm/TAct,
- comparer le rapport MECM à la valeur seuil
- appliquer la sanction si la valeur moyenne MECM est supérieur au seuil Smax.
Dans ce mode de réalisation, l'analyse de l'utilisation du processeur de sécurité comporte les opérations suivantes : à une date courante tc,
- déterminer, d'une part, les messages ECM ayant une date de diffusion contemporaine de ladite date courante tc et qui sont soumis au processeur de sécurité en vue d'une première utilisation d'un contenu, et d'autre part, les messages ECM ayant une date de diffusion antérieure à la date courante tc et qui sont soumis au processeur de sécurité en vue d'une réutilisation d'un contenu, mesurer la période d' activité TAct du processeur de sécurité pendant laquelle il traite des messages ECM contemporains successifs, compter le nombre NECM de messages ECM contemporains au moins tant que la période d' activité TAct est inférieure à une durée minimale TActMin prédéfinie . Selon l'invention, à la date tc, la détermination d'un message ECM ancien est réalisée par comparaison de la date t de traitement de ce message ECM à la date (tc-TDlff) , TDlff représentant un retard minimal préalablement défini séparant la date t et la date tc.
Dans une variante de réalisation, le comptage du nombre NECM de messages ECM contemporains traités avec succès comporte les opérations suivantes :
- comparer la date t à la date (tc-TDlff) , - incrémenter le nombre NECM si la date (tc-TDlff) est inférieure ou égale à la date t, sinon maintenir le nombre NECM à la valeur courante,
- incrémenter la période d' activité TAct de la valeur (t-tc) si la date t est comprise entre la date tc et la date tc+TinaMiri, sinon maintenir la période d'activité TAct à la valeur courante.
Selon une autre caractéristique avantageuse de l'invention, la sanction est appliquée graduellement selon les étapes suivantes : - d'abord la sanction est appliquée avec un niveau de sévérité n± un nombre de fois prédéterminé R1, - ensuite la sanction est appliquée avec un niveau de sévérité suivant n1+i un nombre de fois prédéterminé R1+I, - enfin la sanction maximale est appliquée quand le dernier niveau nimax est atteint. Dans une variante de mise en œuvre, la sanction comporte un premier niveau consistant en un blocage temporaire de la réception du contenu, un deuxième niveau consistant en un blocage de la réception du contenu avec obligation de contacter l'opérateur fournissant ledit contenu, et un troisième niveau consistant en un blocage définitif de la réception dudit contenu.
Préférentiellement, l'analyse de l'utilisation du processeur de sécurité est effectuée par un logiciel intégré audit processeur de sécurité. A cet effet, ce dernier comporte :
- un premier module pour analyser son utilisation pendant une période d'observation Tobs prédéfinie,
- un deuxième module pour déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d'observation TObs et pour comparer ladite valeur moyenne MECM à un seuil Smaχ prédéfini, et
- un troisième module pour appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement si la valeur moyenne MECM est supérieure au seuil Smaχ.
BRÈVE DESCRIPTION DES DESSINS
D'autres caractéristiques et avantages de l'invention ressortiront de la description qui va suivre, prise à titre d'exemple non limitatif, en référence aux figures annexées dans lesquelles : - la figure 1 représente schématiquement un organigramme illustrant le comptage de la valeur moyenne du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant la période d'observation TObs,
- la figure 2 illustre schématiquement les étapes d'analyse et de sanction selon l'invention.
EXPOSÉ DÉTAILLÉ DE MODES DE RÉALISATION PARTICULIERS
L'invention sera décrite dans un contexte de diffusion par un opérateur de programmes audiovisuels protégés par un système d'accès conditionnel (CAS) . Ces programmes sont destinés à plusieurs terminaux d'abonnés munis chacun d'un processeur de sécurité, typiquement une carte à puce.
Dans ce contexte, le contrôle par l'opérateur de l'accès à un programme embrouillé s'effectue en conditionnant l'accès au contenu à la détention par le terminal d'un mot de contrôle CW et à la disponibilité d'une autorisation commerciale. A cet effet, l'opérateur attache au contenu une condition d'accès qui doit être remplie par l'abonné pour pouvoir accéder à ce contenu. La transmission aux terminaux d'abonnés des mots de contrôle CW et de la description de la condition d'accès est réalisée via des messages de contrôle d'accès spécifiques ECM (pour Entitlement Control Message) . Au niveau de chaque terminal, les messages ECM sont soumis au processeur de sécurité pour être vérifiés quant à leur sécurité. Après vérification par le processeur de sécurité de la validité de ces messages, la condition d'accès qu'ils transportent est comparée aux titres d' accès présents dans une mémoire non volatile du processeur de sécurité. De façon connue en soi, ces titres d'accès sont préalablement reçus par le terminal via des messages de contrôle d'accès EMM (pour Entitlement Management Message) . Si la condition d'accès est remplie par un de ces titres d'accès, le processeur de sécurité restitue par déchiffrement le mot de contrôle CW et le fournit au terminal, permettant ainsi le désembrouillage des contenus. De façon connue en soi, les messages ECM et EMM sont protégés par des modalités cryptographiques, mettant en œuvre des algorithmes et des clés pour garantir l'intégrité de ces messages, leur authenticité et la confidentialité des données sensibles qu' ils peuvent transporter, et la mise à jour de ces clés notamment est assurée par des messages de gestion EMM spécifiques à la sécurité.
Il est d'usage de modifier la valeur aléatoire du mot de contrôle plus ou moins fréquemment, selon des stratégies variables choisies selon le contexte. Par exemple, un mot de contrôle peut être modifié toutes les 10 secondes, de façon classique, en télévision diffusée ou, à l'extrême, à chaque film uniquement en Video On Demand avec particularisation individuelle par abonné.
La mise en œuvre du procédé dans ce contexte a pour but de permettre au processeur de sécurité de détecter toute utilisation abusive dont il est l'objet et d'y réagir. L'utilisation considérée ici est celle contrôlant l'accès aux contenus, représentée donc par le traitement des messages ECM par le processeur de sécurité.
Pour détecter une utilisation abusive, on mesure statistiquement un paramètre représentatif de l'utilisation du processeur de sécurité et on compare ce paramètre avec une valeur de seuil prédéfinie représentative d'une utilisation normale dudit processeur de sécurité.
La mesure de l'utilisation du processeur de sécurité consiste à analyser les sollicitations de ce processeur de sécurité pendant une période d'observation Tobs prédéfinie, puis à déterminer, à partir de ladite analyse, la valeur moyenne MECM du nombre de sollicitations par unité de temps pendant ladite période d'observation Tobs .
La comparaison de ladite valeur moyenne MECM à un seuil Smaχ prédéfini permet de détecter une utilisation abusive du processeur de sécurité sur la période d'observation TObs considérée. L'établissement du seuil Smaχ est réalisé par examen du comportement moyen d'utilisateurs pendant une durée significative d'observation.
Afin de couvrir au moins un cycle caractéristique d'utilisation du terminal de réception par l'utilisateur final, on définit une période d'activité du processeur de sécurité, pendant la période d'observation TObs, représentant un intervalle de temps pendant lequel ce dernier est sollicité par plages temporelles continues, que ce soit de manière licite ou illicite. On définit également une durée minimum d' activité TActMin représentant la durée à atteindre par la période d' activité pour garantir le caractère significatif de l'analyse de l'utilisation du processeur de sécurité pendant la période d'activité. Le respect de cette durée minimale permet de minimiser le risque de détecter comme abusive une utilisation ponctuellement importante, bien que globalement normale de la carte. En effet, une utilisation normale peut présenter, typiquement en cas de zapping intense, des pics temporaires de sollicitation analogue à la sollicitation de la carte dans un contexte d'utilisation abusive.
On définit également une durée minimum d' inactivité TInaMin représentant la durée écoulée depuis le dernier message ECM traité avec succès à au delà de laquelle on considère que la période d'activité précédente est terminée.
Par ailleurs afin de déterminer, à une date courante tc correspondant au dernier traitement avec succès d'un message ECM, d'une part, les messages ECM contemporains de cette date courante tc soumis au processeur de sécurité en vue d'une première utilisation d'un contenu, d'autre part, les messages ECM anciens par rapport à la date tc soumis au processeur de sécurité en vue d'une réutilisation d'un contenu, on désigne par le paramètre TDlff la durée minimale séparant la date d'un message ECM ancien de la date courante, et on considère qu'un message ECM est soumis au processeur de sécurité en vue d'une réutilisation d'un contenu si la date de ce message ECM est antérieure à tc d'une durée supérieure ou égale à
Tϋiff • Notons que la date de diffusion d'un message ECM peut être déterminée par diverses solutions techniques connues en soi. Par exemple, elle est inscrite dans ce message ECM, avec la condition d'accès et le mot de contrôle, par le générateur de messages ECM, ECM-G et est extraite par le processeur de sécurité lors du traitement de ce message ECM.
Les étapes du procédé selon l'invention seront décrites ci-après en référence aux figures 1 et 2.
La figure 1 illustre les étapes de comptage du nombre NEcm de messages ECM traités par le processeur de sécurité pendant une période d' activité TAct et la mesure quasi-simultanée de ladite période d'activité Tact.
En référence à la figure 1, à une date courante tc durant une période d' observation TObs débutant à l'instant t0, le processeur de sécurité reçoit un message ECMt ayant pour date de diffusion t (étape 10) .
A l'étape 12, le processeur de sécurité analyse la syntaxe, l'authenticité et l'intégrité du message ECMt puis en détermine la date t et les critères d'accès. A l'étape 14, le processeur de sécurité vérifie la validité des critères d'accès, ainsi que l'authenticité et lλintégrité du message.
Si ces derniers ne sont pas satisfaits ou si le message n'est pas authentique ou intègre, le processeur de sécurité analyse le message ECM suivant (flèche 16) . Si les critères d'accès sont satisfaits
(flèche 18), le processeur de sécurité traite le message ECMt et compare, à l'étape 20, la date t de ce message ECMt à la date tc-Tdlff pour déterminer si le message ECMt est soumis pour une première utilisation du contenu ou pour une ré-utilisation après enregistrement de celui-ci.
Si tc-Tdlff est inférieure à t, autrement dit, si le message ECMt concerne une première exploitation du programme embrouillé, le processeur de sécurité incrémente le nombre de messages ECM traités d'une unité à l'étape 22.
Si la date t du message ECMt est comprise entre les dates tc et tc+TInaMiri (étape 24), le processeur de sécurité conclut que la période d'activité précédente n'est pas encore terminée et, à l'étape 26, la durée de la période d' activité courante TAct est incrémentée de la durée t-tc.
La détermination de la période d' activité TAct et le comptage du nombre NEcm de messages ECM traités par le processeur de sécurité sont ainsi effectués jusqu'à la fin de la période d'observation
Tobs •
La figure 2 illustre schématiquement les étapes d'analyse de l'utilisation du processeur de sécurité et de sanction selon l'invention.
A l'étape 30, le processeur de sécurité calcule le rapport
Figure imgf000015_0001
dans lequel NEcm représente le nombre de messages ECM comptés et TAct représente la durée totale la période d'activité pendant la période d'observation TObs • A l'étape 32, le processeur de sécurité vérifie si TAct est supérieure ou égale à une durée
TActMin prédéfinie. Cette étape a pour but de vérifier que la période d'activité TAct est suffisante pour garantir le caractère significatif de l'analyse.
Si TAct est inférieur à TActMin, le processeur de sécurité déchiffre à l'étape 54 le mot de contrôle contenu dans le message ECMt puis vérifie à l'étape 34 si la durée d'observation TObs est finie. Dans l'affirmative, le processeur de sécurité réinitialise (étape 36) les valeurs NEcm, Tact, et t0.
Dans la négative, ces valeurs ne sont pas réinitialisées. Dans les deux cas, le processus se poursuit par l'étape 38 consistant à vérifier si la date t du message ECMt est postérieure à la date courante tc.
Si oui, la date t est affectée à la date courante tc. Le processus se poursuit à partir de l'étape 10 du comptage (figure 1).
Si TAct est supérieure ou égale à TActMin, le processeur de sécurité vérifie (étape 50) si la valeur moyenne calculée MECM est supérieure au seuil Smaχ. Si oui, une sanction est appliquée et le nombre n de sanctions et/ou le niveau de la sanction appliquée est incrémenté (étape 52), et les valeurs NECM, TAct et t0 sont réinitialisées (étape 53) .
Sinon, le mot de contrôle CW est déchiffré et transmis au terminal pour permettre le désembrouillage du contenu (étape 54). Le procédé se poursuit ensuite par l'étape 34 consistant à vérifier si la durée (t-t0) est supérieure à la durée TObs de la période d'observation.
Dans l'affirmative, le processeur de sécurité réinitialise (étape 36) les valeurs NEcm, Tact, et t0.
Dans la négative, ces valeurs ne sont pas réinitialisées.
Dans les deux cas, le processus se poursuit par l'étape 38 consistant à vérifier si la date t du message ECMt est postérieure à la date courante tc.
Si la date t de diffusion du message ECMt est postérieure à la date tc, l'étape 40 la date t est affectée à la date courante tc, et le procédé se poursuit à partir de l'étape 10 du comptage (figure 1) .
La gestion de la sanction à l'étape 52 comprend l'incrémentation du nombre n de sanctions et/ou du niveau de la sanction. Cette gestion de sanction est caractéristique de l'invention. Du fait que le procédé est une analyse statistique des sollicitations du processeur de sécurité basée sur une modélisation préalable comme cela sera décrit plus loin, définir une seule sanction et l'appliquer dès la détection d'usage anormal est excessif et peut rendre le procédé finalement inopérant. Afin de bénéficier de la progressivité apportée par l'analyse statistique dans la détection de l'utilisation abusive du processeur, la gestion des sanctions la mieux adaptée et donc inhérente au procédé est une gestion progressive. Cette gestion définit plusieurs niveaux de sanctions de sévérité croissante et appliquées progressivement par paliers.
A titre d'exemple, une première détection d'usage abusif du processeur de sécurité fait interrompre l'accès au contenu en en empêchant le désembrouillage . Quand cette sanction de sévérité faible a été répétée un certain nombre de fois pour cause de confirmation de l'usage abusif, une autre sanction de sévérité moyenne est appliquée qui consiste à bloquer temporairement le terminal avec obligation à l'usager de contacter son opérateur pour débloquer le terminal. Quand cette deuxième sanction a été appliquée un certain nombre de fois en raison de la persistance de l'usage abusif, une sanction ultime de sévérité forte est appliquée qui consiste à invalider de façon définitive le processeur de sécurité.
Le processus décrit ci-dessus met en œuvre des paramètres fréquemment mis à jour dans une mémoire du processeur de sécurité de type EEPROM (pour Electrically Erasable Programmable Read-Only Memory) afin d'assurer la continuité de l'analyse en cas d'interruption de l'alimentation du processeur de sécurité .
Or, ce type de mémoire supporte un nombre limité d'écritures. Aussi, afin de compenser cette restriction technologique, les paramètres NECM, tc et TAct qui sont le plus sollicités par les calculs sont stockés en mémoire non permanente (RAM) et sauvegardés régulièrement dans la mémoire EEPROM. A cet effet, on définit les nouveaux paramètres suivants : le nombre NBuf de messages ECM traités avec succès depuis le dernier transfert des paramètres NECM, tc et TAct dans la mémoire EEPROM. le nombre Nmax représentant un seuil maximum du nombre NBuf qui déclenche la mise à jour en mémoire EEPROM des paramètres NECM, tc et TAct.
Les paramètres NECM, tc et TAct sont alors gérés de la façon suivante :
Lors de la mise sous tension du processeur de sécurité, ou de l'activation de l'analyse de l'utilisation du processeur de sécurité, les paramètres NECM, tc et TAct sont créés et inscrits avec leur valeur d'initialisation en mémoire EEPROM s'ils ne l'ont encore jamais été auparavant. Après mise sous tension du processeur de sécurité, ou à l'activation de l'analyse de l'utilisation de ce processeur de sécurité : o les paramètres NECM, tc et TAct sont chargés en mémoire
RAM o toute incrémentation de ces paramètres se fait en mémoire RAM o si NBuf > Nmax, leurs valeurs sont en outre mises à jour en mémoire EEPROM.
Ainsi, chaque fois que le nombre de messages ECM traités avec succès pendant la durée TObs augmente de la valeur de seuil Nmax prédéfinie, les paramètres NECM, tc et TAct sont transférés dans une mémoire EEPROM.
Notons que si les valeurs NECM, tc et TAct sont connues, un intervenant malintentionné peut rendre ineffectif le procédé en mettant régulièrement hors tension le processeur de sécurité. Les valeurs mémorisées sont ainsi perdues, empêchant d'analyser l'utilisation du processeur de sécurité et permettant ainsi au pirate de le partager en toute impunité. Pour éviter ce contournement illicite du procédé, une solution est de télécharger dans le processeur de sécurité une nouvelle valeur plus faible du seuil Nmax . Une autre solution consiste à incrémenter, après chaque mise sous tension, les valeurs de TAct et NECM respectivement de TAct,ini
(Correction du temps d'activité) et NECM, ini (Correction du nombre de messages ECM traités avec succès) .
Ceci revient à baisser la valeur du seuil
Dans un mode préféré de réalisation, le paramétrage et l'activation de l'analyse sont programmables par l'opérateur par envoi de message EMM. Ce paramétrage peut également être réalisé en phase de personnalisation de la carte. II consiste à :
• choisir, parmi une liste donnée, la sanction de chacun des niveaux de sévérité moyenne et forte;
• fixer les nombres de répétitions des sanctions de sévérités faible et moyenne. En outre, ledit message EMM transporte au moins un des paramètres suivants :
- la durée TObs de la période d'observation,
- la durée minimum d' activité TActMin,
- le retard TDlff, - la durée minimum d' inactivité TlnaKin,
- la valeur du seuil Smaχ,
- la valeur du seuil NBuf-
Ces paramètres sont complétés par les paramètres suivants relatifs à la mise en oeuvre du procédé :
Nmax : Seuil de mémorisation exprimé en nombre de messages ECM,
TAct, îm : Correction du temps d'activité exprimée en secondes,
NEcM,im : correction du nombre de messages ECM traités avec succès,
TSFA : Durée, exprimée en secondes, du non traitement des ECM au titre de la sanction de niveau de sévérité faible,
R3FA : Nombre de répétitions de la sanction de niveau de sévérité faible,
RSMO : Nombre de répétitions de la sanction de niveau de sévérité moyenne. Nous décrivons ci-après un exemple d'un tel paramétrage résultant d'une modélisation de l'usage normal du processeur de sécurité.
Il est considéré que le comportement d'un utilisateur varie selon le jour de la semaine, mais se répète d'une semaine à l'autre.
L'analyse repose par ailleurs sur les hypothèses suivantes :
• Hypothèse de zapping : 1 message ECM supplémentaire à chaque zapping, • Zapping Faible : 20 messages ECM en plus/heure, soit 1 toutes les 3 minutes,
• Zapping Moyen : 60 messages ECM en plus/heure, soit 1 par minute, • Zapping Normal : 120 messages ECM en plus/heure, soit toutes les 30 secondes,
• Zapping Surabondant : 1000 messages ECM en plus/heure, soit toutes les 3 secondes.
Dans l'exemple de réalisation qui sera décrit, l'analyse a été expérimentée sur une période d'observation de 7 jours, puis sur une période d'observation de 15 jours. Dans le cas de programmes comportant plusieurs composantes embrouillées, seul est réalisé le comptage de la voie ECM principale, relative à la Vidéo, par exemple.
Les valeurs suivantes sont enfin fixées :
• Temps minimum d'inactivité : 15 secondes
• Retard de différé : 5 minutes,
• Crypto Période : 10 secondes, • Le nombre de tuners du système de réception est limité à 2, permettant l'accès simultané à deux contenus, l'un en visualisation directe, l'autre en enregistrement sur la mémoire de masse du terminal.
. Période d'observation : 7 à 14 jours, Sur la base des hypothèses ci-dessus et des usages connus, plusieurs profils d'utilisation licite et d'utilisation illicite d'un système de réception ont été élaborés. Pour pouvoir discriminer ces deux catégories de profils d'utilisation, la modélisation conduit à déterminer les valeurs suivantes des paramètres Tobs, TActMln et SMaχ :
. Le temps d'observation TObs est de 14 jours, soit 1209600 secondes. • Une sollicitation de 0,22 ECM par seconde permet la discrimination recherchée avec une marge de sécurité qui ménage une large latitude de comportement à l'utilisateur licite d'un système de réception à un ou deux tuners. Le maximum de sollicitation licite SMaχ est fixé à cette valeur.
. Le temps minimum d'activité TActMin est fixé à 30 heures, soit 108000 secondes.
Le procédé selon l'invention est mis en œuvre par un processeur de sécurité comportant : - un premier module pour analyser son utilisation pendant une période d'observation Tobs prédéfinie, un deuxième module pour déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d' observation TObs et pour comparer ladite valeur moyenne MECM à un seuil Smaχ prédéfini, et
- un troisième module pour appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement si la valeur moyenne MECM est supérieure au seuil Smaχ.
Ce processeur de sécurité met en oeuvre un logiciel comportant : des instructions pour analyser l'utilisation de ladite carte à puce par ledit terminal pendant une période d'observation TObs prédéfinie,
- des instructions pour déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps de ladite carte à puce par ledit terminal pendant ladite période d' observation TObs et pour comparer ladite valeur moyenne MECM à un seuil Smaχ prédéfini, et - des instructions pour appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement si la valeur moyenne MECM est supérieure au seuil Smax.
Le procédé a été décrit dans le cas où les ECM pris en compte dans le comptage et l'analyse sont des ECM traités avec succès, c'est à dire reconnus comme syntaxiquement corrects, authentiques, intègres et satisfaits par les droits ad hoc pour permettre l'accès aux contenus. En variante, le procédé peut également être mis en œuvre en prenant en compte les ECM reconnus comme erronés par le processeur de sécurité notamment au titre de la syntaxe, de l'authenticité et/ou de l'intégrité. Cela permet d'intégrer significativement, dans l'analyse d'un usage abusif du processeur, les attaques par force brute par soumissions réitérées d'ECM volontairement incorrects. Dans ce cas l'étape 14 de la figure n'est pas exécutée et le procédé de la figure 1 se poursuit à l'étape 20.

Claims

REVENDICATIONS
1. Procédé de détection d'une utilisation anormale d'un processeur de sécurité sollicité par au moins un terminal de réception pour contrôler l'accès à un contenu numérique embrouillé fourni par au moins un opérateur audit terminal de réception, procédé caractérisé en ce qu' il comporte les étapes suivantes :
- analyser l'utilisation du processeur de sécurité pendant une période d'observation TObs prédéfinie,
- déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d'observation Tobs,
- comparer ladite valeur moyenne MECM à un seuil Smax prédéfini, et
- si la valeur moyenne MECM est supérieure au seuil Smaχ, appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement.
2. Procédé selon la revendication 1 dans lequel, au cours de ladite période d'observation TObs, la valeur moyenne MECM est déterminée pendant une période d'activité TAct dudit processeur de sécurité constituée par cumulation d'une pluralité de durées d'activité successives séparées par une durée minimale TinaMin de période d' inactivité dudit processeur de sécurité .
3. Procédé selon la revendication 2, caractérisé en ce que chaque sollicitation du processeur de sécurité consiste à soumettre à celui-ci un message de contrôle d'accès ECM associé au contenu embrouillé et transportant un mot de contrôle CW et la description d' au moins une condition d' accès afin de fournir au terminal le mot de contrôle pour désembrouiller le contenu, et en ce que l'analyse de l'utilisation du processeur de sécurité comporte les étapes suivantes :
- déterminer le nombre NEcm de messages ECM traités par le processeur de sécurité pendant la période d' activité Tact,
- calculer le rapport MECM = NEcm/Tact, - comparer le rapport MECM à la valeur seuil
appliquer la sanction si MECM est supérieur à Smaχ.
4. Procédé selon la revendication 3, dans lequel l'analyse de l'utilisation du processeur de sécurité est effectuée par un logiciel intégré audit processeur de sécurité.
5. Procédé selon la revendication 1, dans lequel ladite sanction est appliquée graduellement selon les étapes suivantes :
- d'abord la sanction est appliquée avec un niveau de sévérité nx un nombre de fois prédéterminée R1, - ensuite la sanction est appliquée avec un niveau de sévérité suivant n1+i un nombre de fois prédéterminé R1+I,
- enfin la sanction maximale est appliquée quand le dernier niveau nimax est atteint.
6. Procédé selon la revendication 5, dans lequel ladite sanction comporte un premier niveau consistant en un blocage temporaire de la réception du contenu, un deuxième niveau consistant en un blocage de la réception du contenu avec obligation de contacter l'opérateur fournissant ledit contenu, et un troisième niveau consistant en un blocage définitif de la réception dudit contenu.
7. Procédé selon la revendication 3, dans lequel l'analyse de l'utilisation du processeur de sécurité comporte les opérations suivantes : à une date courante tc, - déterminer, d'une part, les messages ECM ayant une date de diffusion contemporaine de la date courante tc et qui sont soumis au processeur de sécurité en vue d'une première utilisation d'un contenu, d'autre part, les messages ECM ayant une date de diffusion antérieure à la date courante tc et qui sont soumis au processeur de sécurité en vue d'une réutilisation d'un contenu, mesurer la période d' activité TAct du processeur de sécurité pendant laquelle il traite des messages ECM contemporains successifs, compter le nombre NECM de messages ECM contemporains au moins tant que la période d' activité TAct est inférieure à une durée minimale TActMin prédéfinie .
8. Procédé selon la revendication 7, dans lequel, à la date tc, la détermination d'un message ECM ancien est réalisée par comparaison de la date t de diffusion de ce message ECM à la date (tc-TDlff) , TDlff représentant un retard minimal préalablement défini séparant la date t et la date tc.
9. Procédé selon la revendication 8, dans lequel, à la date tc, le comptage du nombre NECM de messages ECM contemporains traités avec succès comporte les opérations suivantes :
- comparer la date t à la date (tc-TDlff) ,
- incrémenter le nombre NECM si la date (tc-TDlff) est inférieure ou égale à la date t, sinon maintenir le nombre NECM à la valeur courante,
- si la date t est comprise entre la date tc et la date tc+TmaMin, incrémenter la période d' activité TAct de la valeur (t-tc) , sinon maintenir la période d'activité TAct à la valeur courante.
10. Procédé selon la revendication 7, dans lequel, au cours d'une période d'observation débutant à un instant to, l'analyse de l'utilisation du processeur de sécurité comporte les opérations suivantes : - calculer le rapport MECM = NECM/TAct, - vérifier si TAct est supérieure ou égale à une durée TActMin prédéfinie et si MECM est supérieur à
si oui, -- appliquer la sanction,
-- incrémenter le nombre n de sanctions et/ou le niveau de la sanction appliquée,
-- réinitialiser les valeurs NECM, TAct et t0. sinon, -- déchiffrer le mot de contrôle CW,
- si la durée (t-t0) est supérieure à la durée TObS de la période d'observation,
-- réinitialiser les valeurs de NECM, TAct et t0 - si la date t est supérieure à la date tc
-- remplacer la date tc par la date t.
11. Procédé selon la revendication 10, dans lequel, lorsque le nombre de messages ECM traités avec succès pendant la durée TObs a été augmenté d'une valeur de seuil NBuf prédéfinie, les paramètres NECM, tc et TAct sont transférés dans une mémoire EEPROM.
12. Procédé selon l'une quelconque des revendications précédentes, dans lequel le paramétrage et l'activation de l'analyse sont programmables par l'opérateur par envoi de message EMM.
13. Procédé selon la revendication 12, dans lequel ledit message EMM transporte au moins un des paramètres suivants : - la durée TObs de la période d'observation,
- la durée minimum d' activité TActMin,
- le retard TDlff,
- la durée minimum d' inactivité TinaMiri, - la valeur du seuil Smax,
- la valeur du seuil NBuf-
14. Processeur de sécurité destiné à contrôler l'accès à un contenu numérique embrouillé fourni par au moins un opérateur à au moins un terminal de réception, caractérisé en ce qu' il comporte : un premier module pour analyser son utilisation pendant une période d'observation Tobs prédéfinie, - un deuxième module pour déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps dudit processeur de sécurité pendant ladite période d' observation TObs et pour comparer ladite valeur moyenne MECM à un seuil Smaχ prédéfini, et
- un troisième module pour appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement si la valeur moyenne MECM est supérieure au seuil Smax.
15. Programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une des revendications 1 à 13 lorsque ledit programme est exécuté sur un processeur de sécurité associé à un terminal de réception de contenus numériques fournis par un opérateur, caractérisé en ce qu' il comporte :
- des instructions pour analyser l'utilisation de ladite carte à puce par ledit terminal pendant une période d'observation TObs prédéfinie,
- des instructions pour déterminer à partir de ladite analyse la valeur moyenne MECM du nombre de sollicitations par unité de temps de ladite carte à puce par ledit terminal pendant ladite période d'observation TObs et pour comparer ladite valeur moyenne MECM à un seuil Smax prédéfini, et des instructions pour appliquer audit terminal une sanction dont le niveau de sévérité croît graduellement si la valeur moyenne MECM est supérieure au seuil Smax.
PCT/EP2007/061470 2006-10-27 2007-10-25 Procédé de détection d'une utilisation anormale d'un processeur de sécurité Ceased WO2008049882A1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
EP07821833.6A EP2082574B1 (fr) 2006-10-27 2007-10-25 Procédé de détection d'une utilisation anormale d'un processeur de sécurité
CN2007800399325A CN101529904B (zh) 2006-10-27 2007-10-25 检测安全处理器的异常使用的方法
PL07821833T PL2082574T3 (pl) 2006-10-27 2007-10-25 Sposób wykrywania nieprawidłowego użycia procesora bezpieczeństwa
KR1020097007851A KR101433300B1 (ko) 2006-10-27 2007-10-25 보안 프로세서의 비정상적 사용을 탐지하는 방법
ES07821833.6T ES2675749T3 (es) 2006-10-27 2007-10-25 Procedimiento de detección de una utilización anormal de un procesador de seguridad
US12/444,559 US20100017605A1 (en) 2006-10-27 2007-10-25 Method of detecting an abnormal use of a security processor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0654599 2006-10-27
FR0654599A FR2907930B1 (fr) 2006-10-27 2006-10-27 Procede de detection d'une utilisation anormale d'un processeur de securite.

Publications (1)

Publication Number Publication Date
WO2008049882A1 true WO2008049882A1 (fr) 2008-05-02

Family

ID=38123725

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/061470 Ceased WO2008049882A1 (fr) 2006-10-27 2007-10-25 Procédé de détection d'une utilisation anormale d'un processeur de sécurité

Country Status (9)

Country Link
US (1) US20100017605A1 (fr)
EP (1) EP2082574B1 (fr)
KR (1) KR101433300B1 (fr)
CN (1) CN101529904B (fr)
ES (1) ES2675749T3 (fr)
FR (1) FR2907930B1 (fr)
PL (1) PL2082574T3 (fr)
TW (1) TWI442772B (fr)
WO (1) WO2008049882A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012010706A1 (fr) 2010-07-23 2012-01-26 Viaccess Procede de detection d'une untilisation illicite d'un processeur de securite
WO2012055829A1 (fr) 2010-10-27 2012-05-03 Viaccess Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle et captcha

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2947361B1 (fr) 2009-06-29 2011-08-26 Viaccess Sa Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede
EP2357783B1 (fr) 2010-02-16 2013-06-05 STMicroelectronics (Rousset) SAS Procédé de détection d'un fonctionnement potentiellement suspect d'un dispositif électronique et dispositif électronique correspondant.
US9503785B2 (en) 2011-06-22 2016-11-22 Nagrastar, Llc Anti-splitter violation conditional key change
US9392319B2 (en) * 2013-03-15 2016-07-12 Nagrastar Llc Secure device profiling countermeasures
US9203850B1 (en) * 2014-02-12 2015-12-01 Symantec Corporation Systems and methods for detecting private browsing mode
US10684896B2 (en) 2017-02-20 2020-06-16 Tsinghua University Method for processing asynchronous event by checking device and checking device
US10657022B2 (en) 2017-02-20 2020-05-19 Tsinghua University Input and output recording device and method, CPU and data read and write operation method thereof
US10572671B2 (en) 2017-02-20 2020-02-25 Tsinghua University Checking method, checking system and checking device for processor security
US10642981B2 (en) * 2017-02-20 2020-05-05 Wuxi Research Institute Of Applied Technologies Tsinghua University Checking method, checking device and checking system for processor

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1447976A1 (fr) * 2003-02-12 2004-08-18 Irdeto Access B.V. Méthode de contrôle de désembrouillage d'une pluralité de flux de programmes, système récepteur et dispositif portable sécurisé
EP1575293A1 (fr) * 2004-03-11 2005-09-14 Canal+ Technologies Gestion dynamique d'une carte à puce

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1995008887A1 (fr) * 1993-09-20 1995-03-30 Transwitch Corporation Systeme asynchrone de transfert de donnees et de regulation de trafic de source
US5509075A (en) * 1994-04-21 1996-04-16 Grube; Gary W. Method of detecting unauthorized use of a communication unit in a secure communication system
JP2743872B2 (ja) * 1995-06-28 1998-04-22 日本電気株式会社 盗難保護機能付き無線装置
US7073069B1 (en) * 1999-05-07 2006-07-04 Infineon Technologies Ag Apparatus and method for a programmable security processor
US7257844B2 (en) * 2001-07-31 2007-08-14 Marvell International Ltd. System and method for enhanced piracy protection in a wireless personal communication device
GB2378539B (en) * 2001-09-05 2003-07-02 Data Encryption Systems Ltd Apparatus for and method of controlling propagation of decryption keys
US7743257B2 (en) * 2002-06-27 2010-06-22 Nxp B.V. Security processor with bus configuration
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7370210B2 (en) * 2002-11-18 2008-05-06 Arm Limited Apparatus and method for managing processor configuration data
GB2395583B (en) * 2002-11-18 2005-11-30 Advanced Risc Mach Ltd Diagnostic data capture control for multi-domain processors
EP1563376B1 (fr) * 2002-11-18 2006-04-12 ARM Limited Types d'exception au sein d'un systeme de traitement securise
US7322042B2 (en) * 2003-02-07 2008-01-22 Broadon Communications Corp. Secure and backward-compatible processor and secure software execution thereon
US7818574B2 (en) * 2004-09-10 2010-10-19 International Business Machines Corporation System and method for providing dynamically authorized access to functionality present on an integrated circuit chip
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7663479B1 (en) * 2005-12-21 2010-02-16 At&T Corp. Security infrastructure

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1447976A1 (fr) * 2003-02-12 2004-08-18 Irdeto Access B.V. Méthode de contrôle de désembrouillage d'une pluralité de flux de programmes, système récepteur et dispositif portable sécurisé
EP1575293A1 (fr) * 2004-03-11 2005-09-14 Canal+ Technologies Gestion dynamique d'une carte à puce

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012010706A1 (fr) 2010-07-23 2012-01-26 Viaccess Procede de detection d'une untilisation illicite d'un processeur de securite
US8885816B2 (en) 2010-07-23 2014-11-11 Viaccess Method for detecting an illicit use of a security processor
WO2012055829A1 (fr) 2010-10-27 2012-05-03 Viaccess Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle et captcha

Also Published As

Publication number Publication date
KR101433300B1 (ko) 2014-08-22
US20100017605A1 (en) 2010-01-21
EP2082574A1 (fr) 2009-07-29
PL2082574T3 (pl) 2018-12-31
TWI442772B (zh) 2014-06-21
CN101529904B (zh) 2012-07-18
KR20090073169A (ko) 2009-07-02
FR2907930B1 (fr) 2009-02-13
CN101529904A (zh) 2009-09-09
ES2675749T3 (es) 2018-07-12
FR2907930A1 (fr) 2008-05-02
EP2082574B1 (fr) 2018-05-16
TW200829019A (en) 2008-07-01

Similar Documents

Publication Publication Date Title
EP2082574B1 (fr) Procédé de détection d&#39;une utilisation anormale d&#39;un processeur de sécurité
EP2055102B1 (fr) Procédé de transmission d&#39;une donnée complémentaire a un terminal de réception
EP1961223B1 (fr) Procede de controle d&#39;acces a un contenu embrouille
EP2103123B1 (fr) Procédé de controle d&#39;acces a un contenu numerique embrouille
EP2567500B1 (fr) Procedes de dechiffrement, de transmission et de reception de mots de controle, support d&#39;enregistrement et serveur de mots de controle pour la mise en oeuvre de ces procedes
EP3732849B1 (fr) Procédé et système d&#39;identification de terminal d&#39;utilisateur pour la réception de contenus multimédia protégés et fournis en continu
WO2012055829A1 (fr) Procede de reception d&#39;un contenu multimedia embrouille a l&#39;aide de mots de controle et captcha
EP1900211B1 (fr) Methode et dispositif de controle d&#39;acces a des donnees chiffrees
WO2017089705A2 (fr) Procédé d&#39;identification de processeurs de sécurité
EP2596623B1 (fr) Procede de detection d&#39;une utilisation illicite d&#39;un processeur de securite
EP2098073B1 (fr) Procédé de gestion du nombre de visualisations, processeur de securité et terminal pour ce procédé
EP2304944B1 (fr) Procédé de protection de données de sécurité transmises par un dispositif émetteur à un dispositif récepteur.
EP1452026A1 (fr) Procede de distribution de cles de dechiffrement de donnees numeriques embrouillees
EP1917664B1 (fr) Méthode de traitement de contenus à accès conditionnel par une unité d&#39;utilisateur
EP2326035B1 (fr) Procédé de traitement par un module de sécurité de messages de contrôle d&#39;accès à un contenu et module de sécurité associé
FR2872651A1 (fr) Procede de transmission d&#39;un message contenant une description d&#39;une action a executer dans un equipement recepteur
FR2953672A1 (fr) Procede de dechiffrement de donnees par un equipement utilisateur comportant un terminal et un module de securite
WO2003055214A1 (fr) Dispositif decodeur de donnees numeriques brouillees et procede de blocage du desembrouillage
EP2265013A1 (fr) Transmission de contenu vers un équipement client comportant au moins un module de décodage et un module de sécurité

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200780039932.5

Country of ref document: CN

DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07821833

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 673/MUMNP/2009

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 1020097007851

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 2007821833

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 12444559

Country of ref document: US