Gestión dinámica de tarjetas inteligentes.

Método para asegurar un módulo de seguridad portátil que se usa junto a un elemento de descodificación,

de talmanera que el módulo de seguridad portátil y el elemento de descodificación permiten descodificar informaciónaudiovisual codificada q 5 ue se organiza en una pluralidad de canales; el método comprende:

el procesamiento en el módulo de seguridad portátil de los Mensajes de Control de Titularidad (ECM) recibidos en dichomódulo para permitir la descodificación de la información audiovisual codificada;

el método se caracteriza además por el hecho comprender además:

el análisis (402) en el módulo de seguridad portátil de una secuencia de ECM, que comprende un nuevo ECM y un ECMprevio recibido; los ECM de la secuencia se recibirían en el módulo de seguridad portátil en momentos diferentes, elanálisis se realizaría en el momento de la recepción del nuevo ECM y determina si el nuevo ECM y el ECM previopertenecen a un canal diferente;

en un evento positivo, el aumento del registro de errores durante el análisis;

la aplicación de una penalización al módulo de seguridad portátil dependiendo del valor del registro de errores mediantela introducción de un tiempo muerto en el procesamiento para ralentizar el procesamiento (404).

Gestión dinámica de tarjetas inteligentes Antecedentes de la invención

Campo de la invención [0001] En general, la invención tiene que ver con módulos de seguridad portátiles adaptados para descodificar información audiovisual codificada.

Estado de la técnica [0002] La transmisión de datos encriptados es bien conocida en el campo de los sistemas de TV de pago, donde normalmente se difunde información audiovisual codificada a través de emisores terrestres, satélite o mediante una red de cable, a un número de abonados, cada uno de los cuales posee un descodificador o receptor/descodificador capaz de descodificar la información audiovisual codificada para su posterior visionado.

En un sistema típico, la información audiovisual codificada se puede descodificar utilizando una palabra de control. Para tratar de mejorar la seguridad del sistema, la palabra de control es modificada más o menos cada diez segundos. Cada 10 segundos, cada abonado recibe, en un ECM (Mensaje de control de titularidad) , la palabra de control necesaria para descodificar la información audiovisual codificada y así permitir el visionado de la transmisión.

La palabra de control se encripta por una clave de explotación y se transmite en formato encriptado en el ECM. La información audiovisual codificada y la palabra de control encriptada son recibidas por un descodificador que, en el caso de un abonado, tiene acceso a la clave de explotación almacenada en un módulo de seguridad portátil, como por ejemplo una tarjeta inteligente, insertada en el descodificador. La palabra de control encriptada es desencriptada por la tarjeta inteligente utilizando la clave de explotación. La tarjeta inteligente transmite la palabra de control al descodificador. La información audiovisual codificada es descodificada utilizando la palabra de control desencriptada por el descodificador. El descodificador es lo suficientemente potente como para proporcionar una descodificación a tiempo real de la información audiovisual codificada.

La clave de explotación es modificada periódicamente, por ejemplo cada mes. El descodificador recibe mensualmente un EMM (Mensaje de gestión de titularidad) , que se transmite en la tarjeta inteligente. El EMM contiene la clave de explotación en formato codificado. Una clave de grupo asignada a la tarjeta inteligente se habilita para descodificar la clave de explotación codificada.

El descodificador, por lo tanto, manda regularmente mensajes de comando a la tarjeta inteligente.

El mensaje de comando puede ser un ECM, es decir, el descodificador transmite a la tarjeta inteligente una palabra de control en formato encriptado. La tarjeta inteligente desencripta la palabra de control que utiliza la clave de explotación. La transmisión de la palabra de control normalmente tiene lugar cada 10 segundos.

Si un espectador cambia de un primer canal a un segundo canal, el descodificador transmite a la tarjeta inteligente una segunda palabra de control en formato encriptado después de transmitir la primera palabra de control en formato encriptado. La primera palabra de control y la segunda palabra de control corresponden respectivamente al primer canal y al segundo canal. La tarjeta inteligente puede, por lo tanto, recibir Mensajes de Control de Titularidad con más frecuencia en lugar de cada 10 segundos debido al cambio de canales.

El mensaje de comando también puede ser un EMM, es decir, el descodificador transmite a la tarjeta inteligente una clave de explotación en formato codificado, o cualquier otro mensaje de comando que procede del descodificador.

La FIG. 1 ilustra esquemáticamente una tarjeta inteligente según un diseño anterior. La tarjeta inteligente 11 se activa por la recepción de un mensaje, por ejemplo un Mensaje de control de titularidad ECMn de un descodificador (no representado) : el descodificador da las órdenes y la tarjeta inteligente 11 las obedece. Una unidad de procesamiento 12 de la tarjeta inteligente sólo ejecuta los mensajes de comando recibidos desde el descodificador. La tarjeta inteligente 11 consta de una memoria de parámetros, por ejemplo una EEPROM 13, en la que los parámetros son almacenados. La unidad de procesamiento 12 puede controlar que los parámetros almacenados en la EEPROM 13 sean correctos. Los parámetros pueden ser, por ejemplo el tamaño de los Mensajes de Control de Titularidad que han de ser recibidos. La unidad de procesamiento puede controlar que el Mensaje de control de titularidad ECMn tenga un tamaño apropiado antes de desencriptar una palabra de control encriptada contenida en el Mensaje de control de titularidad ECMn.

Una tarjeta inteligente está pensada generalmente para la comunicación con un único descodificador. No obstante, un usuario fraudulento puede intentar configurar un servidor entre una única tarjeta inteligente y una pluralidad de descodificadores. El servidor puede ser un divisor que comunica con la pluralidad de descodificadores directamente, por ejemplo a través de un cable eléctrico. El servidor también puede ser un Servidor de palabra de control que comunica con la pluralidad de descodificadores a través de una red, por ejemplo una red de internet.

La FIG. 2 ilustra esquemáticamente un ejemplo de la configuración de un divisor según un diseño anterior .

Un primer descodificador 24A recibe de forma continua la primera información audiovisual codificada E CW1 (m1) correspondiente a un primer canal. Un segundo descodificador 24B recibe de forma continua una segunda información audiovisual codificada E CW2 (m2) correspondiente a un segundo canal. El primer descodificador 24A y el segundo descodificador 24B permiten, respectivamente, una descodificación a tiempo real de la primera información audiovisual codificada E CW1 (m1) y de la segunda información audiovisual codificada E CW2 (m2) .

La primera información audiovisual codificada E CW1 (m1) y la segunda información audiovisual codificada E CW2 (m2) son respectivamente descodificadas utilizando una primera palabra de control CW1 almacenada en una primera memoria 25A del primer descodificador 24A y una segunda palabra de control CW2 almacenada en una segunda memoria 25B del segundo descodificador 24B.

En cada criptoperiodo, es decir, cada 10 segundos, por ejemplo, el primer descodificador 24A y el segundo descodificador 24B reciben respectivamente, un primer Mensaje de control de titularidad ECM1 y un segundo Mensaje de control de titularidad ECM2.

En una configuración de divisor, el primer descodificador 24A y el segundo descodificador 24B transmiten, respectivamente, el primer Mensaje de control de titularidad ECM1 y el segundo Mensaje de control de titutlaridad ECM2 a un servidor único, por ejemplo un divisor 22, durante un único criptoperiodo.

El divisor 22 remite uno de los Mensajes de Control de Titularidad transmitidos, por ejemplo ECM1, a un módulo de seguridad portátil único, por ejemplo una tarjeta inteligente 21. Usando una clave de explotación almacenada en una memoria de tarjeta inteligente 26, la tarjeta inteligente puede desencriptar la palabra de control correspondiente, por ejemplo CW1, en la recepción del Mensaje de control de titularidad (ECM1) remitido. La palabra de control correspondiente CW1 es transmitida al divisor 22. Una vez el divisor 22 recibe la palabra de control transmitida CW1, el divisor 22 remite un Mensaje de control de titularidad diferente entre los Mensajes de Control de Titularidad transmitidos, por ejemplo ECM2, a la tarjeta inteligente 21. La tarjeta inteligente desencripta la palabra de control correspondiente, por ejemplo CW2, en la recepción del Mensaje de control de titularidad remitido (ECM2) . La palabra de control correspondiente CW2 es transmitida al divisor 22.

El divisor 22 remite las palabras de control desencriptadas CW1 y CW2, respectivamente, al primer descodificador 24A y al segundo descodificador 24B.

El servidor permite que una pluralidad de descodificadores descodifiquen la información audiovisual codificada con una única tarjeta inteligente.

Resumiendo, un abonado posee generalmente un único módulo de seguridad portátil, por ejemplo una tarjeta inteligente. No obstante, un servidor configurado por un usuario fraudulento, por ejemplo un divisor o un Servidor de palabra de control, permite a una pluralidad de descodificadores descodificar información audiovisual codificada con una única tarjeta inteligente. Por lo tanto, es posible para el abonado facilitar el acceso de uno o más usuarios desautorizados que no posean una tarjeta inteligente a la información audiovisual dirigida al abonado.

Es necesario un método que permita desalentar el uso de un servidor configurado como un divisor . No obstante,... [Seguir leyendo]

1. Método para asegurar un módulo de seguridad portátil que se usa junto a un elemento de descodificación, de tal manera que el módulo de seguridad portátil y el elemento de descodificación permiten descodificar información audiovisual codificada que se organiza en una pluralidad de canales; el método comprende: el procesamiento en el módulo de seguridad portátil de los Mensajes de Control de Titularidad (ECM) recibidos en dicho módulo para permitir la descodificación de la información audiovisual codificada; el método se caracteriza además por el hecho comprender además: el análisis (402) en el módulo de seguridad portátil de una secuencia de ECM, que comprende un nuevo ECM y un ECM previo recibido; los ECM de la secuencia se recibirían en el módulo de seguridad portátil en momentos diferentes, el análisis se realizaría en el momento de la recepción del nuevo ECM y determina si el nuevo ECM y el ECM previo pertenecen a un canal diferente; en un evento positivo, el aumento del registro de errores durante el análisis; la aplicación de una penalización al módulo de seguridad portátil dependiendo del valor del registro de errores mediante la introducción de un tiempo muerto en el procesamiento para ralentizar el procesamiento (404) .

2. Método según la reivindicación 1, donde el tiempo muerto tiene una duración que depende del valor del registro de errores (404) .

3. Método según la reivindicación 1 o 2, donde la duración del tiempo muerto es más corta que un valor de tiempo máximo; el valor de tiempo máximo es lo suficientemente alto como para evitar que el módulo de seguridad portátil (31) procese más de un ECM durante un único criptoperiodo.

4. Método según cualquiera de las reivindicaciones 1 a 3, donde: cada ECM (54n, 54n+1) comprende un identificador de canal (51n, 51n+1) , el cual se asocia a un canal determinado; el análisis de la secuencia de ECM comprende la comparación del identificador de canal 51n+1 del nuevo ECM 54n+1 y el identificador de canal 51n del ECM 54n previo.

5. Método según cualquiera de las reivindicaciones 1 a 3, donde: cada ECM (54n, 54n+1) comprende una primera palabra de control encriptada (52n, 52n+1) y una segunda palabra de control encriptada (53n .53n+1) ; la primera palabra de control permite descodificar la información audiovisual codificada durante un primer criptoperiodo; la segunda palabra de control permite descodificar la información audiovisual codificada durante un segundo criptoperiodo inmediatamente posterior al primer criptoperiodo; el análisis de la secuencia de ECM comprende la comparación de una segunda palabra de control 53n del ECM 54n previo con una primera palabra de control 52n del nuevo ECM 54n+1.

6. Método según cualquiera de las reivindicaciones 1 a 5, que comprende además: la introducción, durante un reinicio, de un tiempo muerto de reinicio con cada procesamiento de los ECM, donde: el tiempo muerto de reinicio tiene una duración que depende del número ECM recibidos en el módulo de seguridad portátil después del reinicio, si dicha duración es igual a un primer valor de tiempo de reinicio en un primer procesamiento inmediatamente posterior al reinicio el primer valor de tiempo de reinicio es inferior al valor de tiempo máximo.

7. Método según cualquiera de las reivindicaciones 1 a 6, que comprende además: una evaluación de la naturaleza de un reinicio posterior según un grupo intermedio de ECM intermedios, que comprende los ECM recibidos después de un reinicio previo anterior al reinicio posterior .

8. Método según la reivindicación 7, que comprende además: el recuento del número de ECM intermedios (72) ; la comparación del número de ECM intermedios con el umbral de reinicio (73) , donde el resultado de la comparación permite evaluar la naturaleza de un reinicio posterior; el aumento del registro de errores de reinicio durante un reinicio

(79) si el reinicio es evaluado como sospechoso; el bloqueo del módulo de seguridad portátil (711) si el registro de errores de reinicio tiene un valor superior al umbral de errores de reinicio.

9. Módulo de seguridad portátil (31) que se usa con un elemento de descodificación, donde el módulo de seguridad portátil y el elemento de descodificación permiten descodificar información audiovisual codificada que se organiza en una pluralidad de canales; el módulo de seguridad portátil comprende:

sistemas de recepción para recibir Mensajes de Control de Titularidad (ECM) ; sistemas de procesamiento (32) para procesar un ECM recibido en módulo de seguridad portátil para permitir la descodificación de la información audiovisual codificada; el módulo de seguridad portátil que se caracteriza además por el hecho de que comprende: una memoria de mensajes de comando (36) en la que se puede almacenar al menos un identificador perteneciente a un canal concreto de un ECM (ECMn) recibido sistemas de análisis (35) para analizar una secuencia de ECM, que comprende un nuevo ECM y un ECM previo recibido; los ECM de la secuencia serían recibidos en el módulo de seguridad portátil en momentos diferentes, y el

análisis se realizaría con cada recepción de un nuevo ECM (ECMn+1) ; sistemas de comparación para determinar si el ECM y el ECM previo pertenecen a un canal diferente; un registro de errores (37) ; sistemas de incremento para incrementar el registro de errores cuando ambos ECM están relacionados con un canal diferente; medios de retraso para introducir un tiempo muerto con cada procesamiento para ralentizar el mismo.

10. Módulo de seguridad portátil (31) según la reivindicación 9, donde: los sistemas de retraso también permiten introducir un tiempo muerto de reinicio con cada procesamiento después del reinicio; el tiempo muerto de reinicio tiene una duración que depende del número de procesamientos que tienen lugar después del reinicio, la duración es igual a un primer valor de tiempo de reinicio en un primer procesamiento inmediatamente posterior al reinicio.

11. Módulo de seguridad portátil (31) según las reivindicaciones 9 o 10, que comprende además: un registro de recuento que permite memorizar varios ECM intermedios, que se reciben en el módulo de seguridad portátil después de un reinicio previo; un indicador, cuyo valor depende del resultado de la comparación del registro de recuento con el umbral de reinicio; un registro de errores de reinicio que aumenta dependiendo del valor del indicador en caso de reinicio;

sistemas de bloqueo para bloquear el módulo de seguridad portátil según el valor del registro de errores de reinicio.

12. Módulo de seguridad portátil según cualquiera de las reivindicaciones 9 a 11, donde la determinación de que dos ECM pertenecen al mismo canal se basa en un identificador de canal extraído del ECM.

13. Módulo de seguridad portátil según cualquiera de las reivindicaciones 9 a 11, donde la determinación de que dos ECM pertenecen al mismo canal se basa en palabra de control extraída del ECM.

14. Programa informático que se usa dentro de un módulo de seguridad portátil, donde el programa informático implementa el método según cualquiera de las reivindicaciones 1 a 8.