Módulo de seguridad actualizable.

Módulo de seguridad que incluye primeros medios de comunicación (COM0) hacia un dispositivo huésped, primeros medios de almacenamiento

(MEM0) y primeros medios de desencriptación (ENC0), al igual que un módulo de estado (ME) y segundos medios de comunicación (COM1), caracterizado por el hecho de que comprende medios de acoplamiento/desacoplamiento eléctricos (TSB) de dichos segundos medios, estos medios de acoplamiento/desacoplamiento están controlados por el módulo de estado (ME), y por el hecho de que comprende medios de recepción de un mensaje protegido que permite modificar el estado de dicho módulo de estado (ME) y controlar la activación y la desactivación de los segundos medios de comunicaciones (COM1).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2006/069150.

Solicitante: NAGRAVISION S.A..

Nacionalidad solicitante: Suiza.

Dirección: ROUTE DE GENEVE 22-24 1033 CHESEAUX-SUR-LAUSANNE SUIZA.

Inventor/es: HILL, MICHAEL, JOHN.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE IMAGENES, p. ej. TELEVISION > Sistemas de televisión (detalles H04N 3/00, H04N... > H04N7/16 (Sistemas de secreto analógicos; Sistemas de pago previo analógico)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > RECONOCIMIENTO DE DATOS; PRESENTACION DE DATOS; SOPORTES... > Soportes de registro para utilización con máquinas... > G06K19/07 (con chips de circuito integrado)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE IMAGENES, p. ej. TELEVISION > H04N5/00 (Detalles de los sistemas de televisión (detalles de la exploración o su combinación con la producción de las tensiones de alimentación H04N 3/00; adaptados especialmente para la televisión en color H04N 9/00; servidores especialmente adaptados para la distribución de contenido H04N 21/20; Dispositivos de cliente específicamente adaptados para la recepción de, o interacción con, contenidos H04N 21/40))
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/77 (en tarjetas inteligentes)

PDF original: ES-2531910_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Módulo de seguridad actualizable Dominio de la invención [0001] La presente invención se refiere al dominio de los módulos de seguridad electrónicos, en particular a los módulos de seguridad destinados al control de acceso a las prestaciones teletransmitidas y otros medios de comunicación.

Estado de la técnica [0002] Las operaciones de seguridad se realizan habitualmente en un módulo de seguridad asociado a la unidad multimedia o al descodificador. Tal módulo de seguridad se puede realizar en particular según cuatro formas distintas. Una de ellas es una tarjeta con microprocesador protegida habitualmente de forma ISO 7816, una tarjeta inteligente o más habitualmente un módulo electrónico (que tiene forma de llave, de etiqueta de identificación...) . Tal módulo es habitualmente desmontable y conectable al descodificador. La forma con contactos eléctricos es la más utilizada, pero no excluye un enlace sin contacto por ejemplo de tipo ISO 14443 o una combinación de tipo con y sin contacto.

Una segunda forma conocida es la de un alojamiento de circuito integrado colocado, habitualmente de manera definitiva e inamovible, en el alojamiento del descodificador. Una variante está constituida por un circuito instalado sobre un zócalo o conector tal como un conector de módulo tarjeta SIM.

En una tercera forma, el módulo de seguridad está integrado en un alojamiento de circuito integrado que tiene igualmente otra función, por ejemplo en un módulo de descodificación del descodificador o el microprocesador del

descodificador.

En la práctica, la evolución de estos módulos de seguridad es grande entre los primeros módulos utilizados en un parque de descodificadores y los instalados con los últimos descodificadores. Varias generaciones de módulos de seguridad pueden cohabitar en un mismo parque de un operador de distribución de medios de comunicación, por

ejemplo por satélite, por cable, a través de Internet.

No hace falta decir que si se detectan fallos de seguridad, entonces se efectúa el reemplazo de antiguos módulos.

La diferencia de generación de los módulos está a menudo relacionada con los servicios que acepta la unidad de usuario que está unida a los mismos. De hecho, si una versión de módulo no contiene la función "monedero", le será imposible cargar un crédito y por lo tanto autorizar el consumo de contenido sin intercambio bidireccional con un centro de gestión.

Así, un módulo de una cierta generación ofrecerá un número de servicios limitado.

Esto es también un inconveniente para las unidades de usuarios, a saber la compatibilidad con todas las generaciones de módulo. El procedimiento utilizado hasta ahora es la identificación del módulo de seguridad por la unidad de usuario. Esta identificación puede además ser bidireccional es decir que el módulo de seguridad interrogue a 45 la unidad de usuario con el fin de saber cuáles son sus características.

El cambio de generación de módulo de seguridad puede estar acompañado de modificaciones materiales, por ejemplo, de la disponibilidad de nuevos puertos de comunicación. Un ejemplo de tal módulo de seguridad se ilustra en la patente US 6.779.734.

Es por lo tanto importante que un módulo de seguridad pueda adaptarse a las unidades de usuario y ajustar sus funcionalidades según los medios de comunicación de la unidad de usuario.

Un tercero malintencionado podría utilizar un descodificador modificado e intentar acceder a servicios de alto 55 valor añadido haciéndose pasar por un descodificador de última generación. Una vez en este modo, va a intentar modificar la memoria interna del módulo de seguridad para su beneficio. Además, la presencia en un módulo de medios de comunicación evolucionados tales como USB 2.0 permite a estos terceros multiplicar los ataques por estos medios de comunicación a gran velocidad con respecto a otros medios de comunicación (IS07816) mucho más lentos.

En la solicitud EP 1 486 907, un módulo de seguridad es igualmente configurable en función del entorno. El objetivo es proceder a una autoconfiguración según las señales recibidas por el dispositivo huésped. Así, si un tercero malintencionado imita un entorno particular, el módulo se va a adaptar a este entorno incluso si no está autorizado.

Breve descripción de la invención 65

El objetivo de la presente invención es proponer un módulo de seguridad capaz de soportar las diferentes funcionalidades y configuraciones físicas de la conectividad de la última generación y las generaciones anteriores, ofreciendo ninguna nueva posibilidad de ataque debido a esta adaptabilidad.

Este objetivo se alcanza por un módulo de seguridad que incluye primeros medios de comunicación (COM0) hacia un dispositivo huésped, primeros medios de almacenamiento (MEM0) y primeros medios de desencriptación (ENC0) , al igual que un módulo de estado (ME) y segundos medios de comunicación (COM1) , caracterizado por el hecho de que comprende medios de acoplamiento/desacoplamiento eléctricos (TSB) de dichos segundos medios, estos medios de acoplamiento/desacoplamiento están controlados por el módulo de estado (ME) , y por el hecho de que comprende medios de recepción de un mensaje protegido que permite modificar el estado de dicho módulo de estado (ME) y controlar la activación y la desactivación de los segundos medios de comunicaciones (COM1) .

Así, según el estado memorizado en la memoria de estado del módulo, los segundos medios de comunicaciones son completamente inoperantes y no se pueden utilizar por un tercero con fines deshonestos. El

acoplamiento/desacoplamiento eléctrico de los medios de comunicación es controlado por unos medios materiales tales como elementos de tres estados (tri-state) o "High Voltage bidirectional MOSFETs" según el resultado de una operación criptográfica.

Es lo mismo para las otras partes del módulo de seguridad tales como una parte de la memoria. Esta memoria puede contener informaciones tales como claves o números de serie que estén completamente desactivados, por lo tanto imposibles de acceder según la memoria de estado. Esta memoria de estado envía señales materiales de bloqueo o desbloqueo de la memoria para que aunque un programa pirata funcione en tal módulo, no pueda acceder a esta memoria. El mismo mecanismo puede aplicarse a otros elementos tales como un motor de descodificación o un módulo de desencriptación asimétrica.

Existen varias variantes de realización para definir el modo de operación del módulo de seguridad.

A. Preconfiguración [0019] En el momento de la fabricación del módulo de seguridad, o en el momento de una etapa de personalización de dicho módulo, se preconfigura para que funcione según un entorno particular. No hace falta decir que esta preprogramación podrá ser modificada durante otra etapa de preconfiguración en un entorno de inicialización.

B. Activación por mensaje [0020] En el momento de la inicialización, el módulo está en un modo básico y sólo los medios de comunicación comunes para todos los dispositivos huéspedes están activados. Según la preconfiguración, podrá estar en un modo particular que tiene en cuenta el destino de tal módulo. Para cambiar el estado del módulo de seguridad y por lo tanto activar otras funcionalidades, el módulo espera la recepción de un mensaje protegido que autoriza tal cambio. Sólo después de haber desencriptado tal mensaje y después de verificar este mensaje el módulo va a cambiar de estado y por lo tanto a abrir los segundos medios de comunicación.

Breve descripción de las figuras 45 [0021] La invención se comprenderá mejor gracias a la siguiente descripción detallada y que se... [Seguir leyendo]

 


Reivindicaciones:

1. Módulo de seguridad que incluye primeros medios de comunicación (COM0) hacia un dispositivo huésped, primeros medios de almacenamiento (MEM0) y primeros medios de desencriptación (ENC0) , al igual que un módulo de estado (ME) y segundos medios de comunicación (COM1) , caracterizado por el hecho de que comprende medios de acoplamiento/desacoplamiento eléctricos (TSB) de dichos segundos medios, estos medios de acoplamiento/desacoplamiento están controlados por el módulo de estado (ME) , y por el hecho de que comprende medios de recepción de un mensaje protegido que permite modificar el estado de dicho módulo de estado (ME) y controlar la activación y la desactivación de los segundos medios de comunicaciones (COM1) .

2. Módulo de seguridad según la reivindicación 1, caracterizado por el hecho de que el módulo de estado (ME) comprende medios para detectar la actividad de los medios de comunicación (COM0, COM1) y para determinar, según esta actividad, el estado de dicho módulo de estado (ME) .

3. Módulo de seguridad según las reivindicaciones 1 o 2, caracterizado por el hecho de que los segundos medios de comunicación (COM1) están conectados al dispositivo huésped por contactos físicamente distintos de los contactos de los primeros medios de comunicación (COM0) .

4. Módulo de seguridad según una de las reivindicaciones 1 a 3, caracterizado por el hecho de que los medios de acoplamiento/desacoplamiento eléctricos (TSB) comprenden elementos conductores/aislantes del tipo "Tri-State" o "High Voltage bidirectional MOSFETs".

5. Módulo de seguridad según una de las reivindicaciones 1 a 4, caracterizado por el hecho de que los medios de acoplamiento/desacoplamiento eléctricos están colocados en serie con dichos primeros medios de comunicación (COM0) permitiendo aislar eléctricamente dichos primeros medios de comunicación (COM0) .

6. Módulo de seguridad según una de las reivindicaciones 1 a 5, caracterizado por el hecho de que los medios de acoplamiento/desacoplamiento eléctricos están también colocados en serie con al menos una de las vías de enlace (RST, I/O, CLK) permitiendo aislar eléctricamente dichas vías de enlace (RST, I/O, CLK) .

7. Módulo de seguridad según una de las reivindicaciones 1 a 6, caracterizado por el hecho de que comprende segundos medios de almacenamiento (MEM1) , el módulo de estado (ME) comprende medios de activación/desactivación de dichos segundos medios de almacenamiento.

8. Módulo de seguridad según las reivindicaciones 1 a 7, caracterizado por el hecho de que el módulo de estado (ME) comprende módulos y/o funcionalidades que se autorizan o prohíben según el estado del módulo de estado (ME) .

9. Módulo de seguridad según la reivindicación 8, caracterizado por el hecho de que el estado del módulo de estado (ME) comprende medios para limitar el nivel de acceso a los segundos medios de almacenamiento (MEM1) bien sólo en lectura, sólo en escritura, bien en lectura/escritura.

10. Módulo de seguridad según una de las reivindicaciones 1 a 9, caracterizado por el hecho de que comprende segundos medios de desencriptación (ENC1) , estos segundos medios de desencriptación son activados/desactivados por el módulo de estado (ME) .

11. Módulo de seguridad según la reivindicación 10, caracterizado por el hecho de que a los segundos medios de desencriptación se les suministra energía bajo el control del módulo de estado (ME) .

12. Módulo de seguridad según cualquiera de las reivindicaciones precedentes, caracterizado por el hecho de que el módulo de estado (SM) comprende medios de vigilancia de los parámetros de funcionamiento actuales de todas las vías de enlace del módulo de seguridad y medios que permiten cambiar el estado del módulo de estado (ME) según el resultado de la vigilancia.

13. Módulo de seguridad según la reivindicación 12, caracterizado por el hecho de que los medios de vigilancia están conectados igualmente a la vía o las vías de enlace (RST, Vdd, Vss, CLK) de dicho módulo.

14. Módulo de seguridad según una de las reivindicaciones 12 o 13, caracterizado por el hecho de que los medios de vigilancia comprenden un perfil de vigilancia de las vías de comunicación que puede ser propio de cada estado del módulo de estado.