-
Diese Anmeldung beansprucht den Nutzen der
vorläufigen
U.S. Anmeldung Nr. 60/165,090, eingereicht am 12. November 1999,
und der vorläufigen U.S.
Anmeldung Nr. 60/173,962, eingereicht am 30. Dezember 1999.
-
QUERVERWEISE
AUF VERWANDTE ANMELDUNGEN
-
Diese Anmeldung ist eine verwandte
Anmeldung der U.S. Patentanmeldung, bezogen auf Patentanwalt-Dokumentennummer
018926-003220 US mit dem Titel „Object Security Implementation", eingereicht am
28. Januar 2000.
-
HINTERGRUND
DER ERFINDUNG
-
Diese Erfindung bezieht sich im Allgemeinen auf
Zugangsberechtigungssysteme und genauer auf das Erkennen von Modifikationen
an Informationen innerhalb eines Inhaltempfängers.
-
Kabelfernseh-Anbieter (Kabel-TV-Anbieter) verteilen
Video-Streams an Teilnehmer durch Zugangsberechtigungssysteme (CA-Systeme). CA-Systeme verteilen
Video-Streams von einer Kopfstelle des Kabel-TV-Anbieters an eine einem Teilnehmer zugehörige Set-Top-Box.
Die Kopfstelle schließt Hardware
ein, die die Video-Streams empfängt
und sie an die Set-Top-Boxen innerhalb des CA-Systems verteilt.
Es ist ausgewählten
Set-Top-Boxen erlaubt, gewisse Video-Streams gemäß der von dem Kabel-TV-Anbieter
an die Set-Top-Box gesendeten Berechtigungsinformationen zu decodieren.
Auf ähnliche
Weise verwenden andere Videoprogramm-Anbieter Satellitenschüsseln zum drahtlosen
Verteilen von Videoinhalt an Set-Top-Boxen.
-
Videoprogramme werden an alle Set-Top-Boxen übertragen,
jedoch wird lediglich einer Untereinheit dieser Boxen Zugang zu
spezifischen Videoprogrammen gewährt.
Zum Beispiel ist es lediglich denjenigen, die einen Pay-per-View-Boxkampf
bestellt haben, erlaubt, diesen zu schauen, obgleich jede Set-Top-Box
den Kampf empfangen kann. Sobald ein Teilnehmer das Pay-per-View-Programm
bestellt, wird in verschlüsselter
Form eine Berechtigungsnachricht an alle Set-Top-Boxen übertragen.
Nur die spezielle Set-Top-Box, für
die die Berechtigungsnachricht bestimmt ist, kann diese entschlüsseln. In
der entschlüsselten
Berechtigungsnachricht befindet sich ein Schlüssel, der das Pay-per-View-Programm entschlüsseln wird.
Mit diesem Schlüssel
entschlüsselt
die Set-Top-Box das Pay-per-View-Programm, wenn es in Echtzeit empfangen
wird.
-
Die Set-Top-Boxen sind von dem Kabel-TV-Anbieter
entfernt angeordnet und anfällig
für Hacken
durch Raubkopierer, die versuchen, Inhalt zu stehlen. Der Fachmann
wird erkennen, dass Set-Top-Boxen komplizierte Sicherheits-Mechanismen
enthalten, um den Bemühungen
von Raubkopierern entgegenzuwirken. Diese Sicherheits-Mechanismen
werden jedoch gelegentlich von Raubkopierern, die die Set-Top-Boxen
hacken, umgangen. Demgemäß sind Verfahren
zum entfernten Erkennen von Modifikation an Sicherheits-Mechanismen
erwünscht.
-
EP-A-936813 offenbart ein Verfahren
zur Verwendung in einem Zugangsberechtigungssystem, wobei heruntergeladene
Daten von einem Autorisierungsmechanismus verifiziert werden, um
eine Modifikation einer Anwendung oder Ausführung einer unberechtigten
Anwendung zu verhindern.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Gemäß der Erfindung wird ein Verfahren zum
Erkennen von Modifikationen an Informationen innerhalb eines Inhaltempfängers gemäß Anspruch
1 offenbart.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
ein Blockdiagramm, das eine Ausführungsform
eines Inhaltentsendungssystems zeigt;
-
2 ist
ein Blockdiagramm, das eine Ausführungsform
einer mit ihrer Umwelt verbundenen Set-Top-Box veranschaulicht;
-
3 ist
ein Blockdiagramm, das eine Ausführungsform
einer Autorisierungsnachricht darstellt;
-
4 ist
ein Blockdiagramm, das eine Ausführungsform
einer Objektnachricht zeigt;
-
5 ist
ein Blockdiagramm, das eine Ausführungsform
einer Signaturgruppe veranschaulicht, die Teile der Autorisierungs-
und Objektnachricht einschließt;
-
6 ist
ein Flussdiagramm, das eine Ausführungsform
eines Prozesses zeigt, der Modifikationen an Sicherheitsfunktionen
in der Set-Top-Box überprüft;
-
7 ist
ein Ablaufdiagramm, das eine weitere Ausführungsform eines Prozesses
darstellt, der Modifikationen an den Sicherheitsfunktionen überprüft;
-
8 ist
ein Ablaufdiagramm, das eine Ausführungsform eines Prozesses
zeigt, der ein Trojanisches Pferd aktiviert, wenn die Sicherheitsfunktionen gestört sind;
und
-
9 ist
ein Ablaufdiagramm, das eine weitere Ausführungsform eines Prozesses
zeigt, der ein Trojanisches Pferd aktiviert, wenn die Sicherheitsfunktionen
gestört
sind.
-
BESCHREIBUNG
DER SPEZIFISCHEN AUSFÜHRUNGSFORMEN
-
Die vorliegende Erfindung validiert,
dass Informationen, wie beispielsweise Software, nicht innerhalb
einer Fernseh-Set-Top-Box modifiziert worden sind. Bei einer Ausführungsform
wird eine Nachricht periodisch an die Set-Top-Box, die gezielt Fehler enthält, gesendet.
Ein Gültigkeitsprüfungs-Programm
in der Set-Top-Box sollte diese Fehler zurück an einen Kabelfernseh-Anbieter
(Kabel-TV-Anbieter) melden. Es kann jedoch sein, dass das Gültigkeitsprüfungs-Programm
diese Fehler nicht meldet, wenn es beispielsweise von Hackern modifiziert
oder ersetzt worden ist. Demgemäß kann der
Kabel-TV-Anbieter bestimmen, ob das Sicherheitsprogramm nicht länger funktionsfähig ist,
wenn er das Ausbleiben einer Fehlermeldung bemerkt.
-
In den Figuren haben ähnliche
Komponenten und/oder Merkmale denselben Verweis. Ferner werden verschiedene
Komponenten derselben Art durch das Anfügen eines Bindestrichs und
eines zweiten Verweises an den Verweis von ähnlichen Komponenten unterschieden.
Wird nur der erste Verweis in der Beschreibung verwendet, ist die
Beschreibung auf eine beliebige der ähnlichen Komponenten mit dem
zweiten Verweis anwendbar.
-
Zunächst unter Bezugnahme auf 1 wird ein Blockdiagramm
einer Ausführungsform
eines Inhaltentsendungssystems 100 gezeigt. Das Entsendungssystem 100 stellt
einer Anzahl von Teilnehmern, auf gewissen erfüllten Bedingungen basierend,
selektiv Inhalt bereit. In dem System 100 eingeschlossen
sind eine Kopfstelle 104, eine Anzahl von Set-Top-Boxen 108,
ein lokaler Programmempfänger 112,
eine Satellitenschüssel 116 und
das Internet 120.
-
Die Kopfstelle 104 empfängt Inhalt
und verteilt diesen Inhalt an Teilnehmer. Der Inhalt kann Video,
Audio, interaktives Video, Software, Firmware und/oder Daten einschließen. Dieser
Inhalt wird von einer Vielfalt von Quellen empfangen, welche die
Satellitenschüssel 116,
den lokalen Programmempfänger 112,
Mikrowellenempfänger,
Paketvermittlungsnetze, Internet 120 etc. einschließen. Jede Set-Top-Box 108 hat
eine einzigartige Adresse, die erlaubt, dass die Berechtigungsinformationen
an eine individuelle Set-Top-Box 108 gesendet werden. Auf
diese Weise kann eine Set-Top-Box 108-1 einen bestimmten
Inhalt berechtigen, während
eine andere 108-2 dies nicht kann. Eine Einrichtung in
der Kopfstelle 104 reguliert, welche Set-Top-Boxen 108 zu welchem
Inhalt berechtigt sind.
-
Der Inhalt wird im Allgemeinen in
digitaler Form durch einen analogen Trägerkanal, der mehrere Inhaltströme enthält, verteilt.
Alle Inhaltströme werden
gemeinsam in einen Digitalstrom, der auf den analogen Trägerkanal
moduliert ist, statistisch gemultiplext. Die getrennten Inhaltströme werden
durch Paketidentifizierungs-Informationen (PID-Informationen) getrennt, so dass die
einzelnen Inhaltströme
gemäß ihrer
einzigartigen PID-Informationen entfernt werden können. In
dieser Ausführungsform
des Systems 100 gibt es ungefähr einhundertzwanzig analoge
Trägerkanäle. Andere
Ausführungsformen
könnten
den Inhalt mit Satellitenschüsseln,
Mikrowellenantennen, RF-Sendern, Paketvermittlungsnetzen, zellulären Datenmodems,
Trägerstrom
oder Telefonleitungen verteilen.
-
Als nächstes unter Bezugnahme auf 2, ist ein Blockdiagramm
einer Ausführungsform
eines Wiedergabesystems 200 gezeigt. Diese Ausführungsform
stellt mehrere Ebenen von Objekt- und Betriebsmittel-Sicherheit durch
verschiedene Sicherheitsmechanismen bereit. In dem Wiedergabesystem 200 eingeschlossen
sind eine Set-Top-Box 108, ein Netz 208, ein Drucker 212,
ein TV-Display 216 und eine drahtlose Eingabevorrichtung 218.
Diese Gegenstände
arbeiten so zusammen, dass der Teilnehmer den von einem Inhaltanbieter
bereitgestellten Inhalt genießen
kann. Der Inhalt kann Video, Audio, Software, Firmware, interaktives
TV, Daten oder andere Informationen sein. In dieser Ausführungsform
ist der Inhaltanbieter ein Kabel-TV-Anbieter.
-
Das Netz 208 dient als die
Leitung für
Informationen, die sich zwischen der Set-Top-Box 108 und
der Kopfstelle 104 des Kabel-TV-Anbieters bewegen. In dieser
Ausführungsform
verfügt
das Netz über
einhundertzwanzig analoge Kanäle
und einen bidirektionalen Steuerungsdatenkanal. Im Allgemeinen tragen
die analogen Kanäle
Inhalt, und der Steuerungsdatenkanal trägt Regelungs- und Berechtigungsinformationen.
Jeder analoge Trägerkanal
verfügt über eine
Anzahl von digitalen Kanälen,
die in einen Datenstrom, wo die digitalen Kanäle durch Paketkennzeichner
(PIDs) unterschieden werden, statistisch gemultiplext werden. Der
bidirektionale Regelungskanal ist ein Außenband-Kanal, der Daten auf einer
Frequenz an die Set-Top-Boxen 108 überträgt und Daten auf einer anderen
Frequenz von den Boxen 108 empfängt. Zurückgekehrte Daten können unter
Verwendung einer im Fach wohl bekannten Zwischenspeicherprinzip-Methodik
gestaut werden, um Überlastung
während
Hauptnutzungszeiträumen zu
verringern. Andere Ausführungsformen
könnten ein
Kabelmodem sowohl für
Steuerungsinformationen als auch Inhalt verwenden, wo der Inhalt
als Paketvermittlungsdaten formatiert ist.
-
Der Drucker 212 ist ein
optionales Zusatzteil, das manche Teilnehmer erwerben und ihrem
Wiedergabesystem 200 hinzufügen können. Wenn die Set-Top-Box 108 für Personal-Computer-Aufgaben verwendet
wird, erlaubt der Drucker 212 das Drucken von Daten, wie
beispielsweise E-Mail, Web-Seiten, Rechnungsinformationen, etc.
Wie weiter unten erklärt,
wird die Möglichkeit,
ein Peripheriegerät
wie einen Drucker zu verwenden, durch eine Autorisierungsüberprüfung geregelt.
Unter Verwendung des Regulierungsmerkmals funktionieren mit der Set-Top-Box 108 kompatible
Drucker 212 nur, wenn ordnungsgemäße Autorisierung erlangt wurde.
-
Das TV-Display 216 versorgt
den Teilnehmer mit dem Inhalt entsprechendem Audio und/oder Video.
Das Display 216 empfängt
typischerweise ein analoges Videosignal, das auf einen Kanal drei,
Kanal vier oder einen gemischten Kanal entsprechenden Träger moduliert
wird. Die Set-Top-Box 108 erzeugt beispielsweise ein NTSC-Signal,
das zu dem geeigneten Kanal moduliert wird. Andere Ausführungsformen
könnten
einen Videomonitor oder ein digitales Display anstelle eines Fernsehdisplays 216 verwenden.
Die Verwendung eines digitalen Displays würde den Bedarf an einer analogen
Konvertierung durch die Set-Top-Box 108 verringern, da
digitale Displays, wie beispielsweise Flüssigkristalldisplays, digitale
Informationen verwenden, um das wiedergegebene Bild zu formulieren.
-
Die drahtlose Eingabevorrichtung 218 erlaubt
Interaktion zwischen dem Teilnehmer und der Set-Top-Box 108.
Diese Vorrichtung 218 könnte
eine Fernbedienung, Maus, Tastatur, ein Steuergerät, Pen Tablet
oder ein anderer Eingabemechanismus sein. Ein Infrarot-Transceiver
auf der Eingabevorrichtung 218 kommuniziert mit einem ähnlichen
Transceiver auf der Set-Top-Box 108, um drahtlose Kommunikation
zu erlauben. In anderen Ausführungsformen könnte ein
RF-Verbindungsglied oder ein drahtgebundenes Verbindungsglied anstelle
des Infrarot-Transceivers verwendet werden.
-
Die Set-Top-Box 108 weist
Einzelteile auf, die Authentifizierung und Autorisierung von Objekten und
Betriebsmitteln durchführen.
Objekte sind Informationen wie beispielsweise Software, Treiber,
Firmware, Daten, Video oder Audio. Betriebsmittel sind alles, was
von einem Objekt benötigt
wird, um wie vorgesehen beispielsweise als ein anderes Objekt oder eine
reale Vorrichtung zu arbeiten. In der Set-Top-Box 108 eingeschlossen
sind ein Kontrollen 220, ein Speicher 228, ein
Druckeranschluss 232, ein Netzanschluss 236, ein
Sicherheitsmodul 240, eine Display-Schnittstelle 244 und
ein Infrarot-Anschluss 248 (IR-Anschluss). Diese Blöcke kommunizieren über einen
Bus 132 miteinander, wobei jeder Block eine andere Adresse
aufweist, um einzigartig auf dem Bus 132 identifiziert
zu werden.
-
Der Kontrollen 220 steuert
Arbeitsabläufe der
Set-Top-Box 108 unter Verwendung eines zuverlässigen oder
sicheren Betriebssystems. Solche Funktionen wie Decodierung und
Dekomprimierung werden in dem Kontrollen 220 genauso durchgeführt wie
Funktionen wie beispielsweise Ändern
von Fernsehkanälen
für den
Teilnehmer und Darstellen von Befehlsübersichten für den Teilnehmer.
In dem Kontrollen eingeschlossen sind ein Prozessor, eine Verschlüsselungsmaschine,
ein Lokalspeicher und andere in Computersystemen übliche Gegenstände.
-
Die Set-Top-Box 108 schließt einen Speicherblock
228 zum Speichern von Daten und Programmen und zur Ausführung von
Programmen ein. Dieser Speicher 228 ist ein Halbleiterspeicher, der
RAM, ROM, Flash und andere Arten von flüchtigen und nicht-flüchtigen
Speichern einschließen kann.
Während
der Ausführung
werden Programme aus dem Speicher 228 geladen, und diese
benutzen den Speicher 228 als Notizblockspeicher. Schlüssel, Seriennummern
und Autorisierungen können
nichtflüchtig
in dem Flash-Speicher gespeichert werden.
-
Diese Ausführungsform schließt einen
Druckeranschluss 232 ein, der mit einem beliebigen Drucker 212 verbunden
werden kann. Das Betriebsmittel des Druckeranschlusses 232 ist
Programmen nur verfügbar,
wenn es autorisiert ist. Wie weiter unten erklärt, muss jedes Objekt über Autorisierung
verfügen,
um ein Betriebsmittel, wie beispielsweise den Druckeranschluss 232,
zu verwenden. Daten werden von dem Druckeranschluss 232 an
den Drucker 212 hintereinander oder parallel durch einen
drahtgebundenen oder drahtlosen Transportmechanismus gesendet.
-
Eine Prüfstelle wird erreicht, wenn
Drucken erforderlich ist. Die Prüfstelle
autorisiert und authentifiziert das Objekt, welches Drucken erfordert.
Prüfstellen
sind Orte in einem Objekt, an denen Authentifizierung und/oder Autorisierung
an diesem Objekt oder einem anderen Objekt ausgeführt wird.
Prüfstellen
werden Idealerweise durchgeführt,
wenn der Zweck des Objekts offensichtlich wird. Im Falle eines Druckeranschlusses 232 wird
dessen Zweck offensichtlich, wenn er verwendet wird, um etwas zu
drucken. Demgemäß wird eine
Prüfstelle
angesteuert, um das Objekt, das das Druckeranschluss 232-Betriebsmittel
verwendet, zu überprüfen, wenn
irgendetwas gedruckt wird.
-
Der Netzanschluss 236 erlaubt
bi-direktionale Kommunikation zwischen der Set-Top-Box 108 und
der Kopfstelle 104. In dem Netzanschluss 236 eingeschlossen
sind ein Tuner und ein Demodulator, die sich auf analoge Trägerkanäle einstellen
und einen MPEG-Datenstrom demodulieren, um einfachgerichtete Abgabe
des Inhalts zu erlauben. Ebenfalls in dem Netzanschluss 236 eingeschlossen
sind ein Steuerdatentransceiver oder Kabelmodem, der bi-direktionale
Kommunikation von Steuerdaten-Informationen
und/oder -Inhalt ermöglicht.
Um das Laden des Steuerdatenwegs zu der Kopfstelle 104 gleichmässiger zu
verteilen, kann eine Zwischenspeicherprinzip-Methodik verwendet
werden.
-
Modulieren des digitalen Videosignals
auf ein analoges Signal, das mit dem TV-Display 216 kompatibel
ist, wird von der Display-Schnittstelle 244 durchgeführt. Wie
oben besprochen, akzeptiert das TV-Display 216 im Allgemeinen auf
Kanal drei, Kanal vier oder einem gemischten Kanal modulierte Signale.
Für Displays,
die eine digitale Eingabe akzeptieren, wie beispielsweise LCD-Displays,
führt die
Display-Schnittstelle 244 jedes durch die digitale Eingabe
erforderliche Formatieren durch.
-
Der IR-Anschluss 248 kommuniziert
bi-direktional mit einer drahtlosen Eingabevorrichtung 218. In
dem IR-Anschluss 248 eingeschlossen ist ein IR-Transceiver,
der den drahtlosen Kommunikationskanal mit der Eingabevorrichtung 218 bereitstellt. Weitere
Elektronik in dem IR-Anschluss 248 konvertiert
von dem Transceiver empfangene analoge Signale in ein entsprechendes
digitales Signal und konvertiert an den Transceiver gesendete analoge
Signale aus einem entsprechenden digitalen Signal. Der Kontrollen 220 verarbeitet
die digitalen Signale, so dass der Teilnehmer manche der Funktionen
innerhalb der Set-Top-Box 108 steuern kann.
-
Das Sicherheitsmodul 240 reguliert
Sicherheitsfunktionen innerhalb der Set-Top-Box 108. Das Sicherheitsmodul 240 führt beispielsweise
Authentifizierung und Autorisierung entweder unter der Leitung des
Kontrollers 220 oder unabhängig von dem Kontrollen 220 durch,
wie in der Besprechung unten deutlich wird. Um seine Aufgaben durchzuführen, schließt das Sicherheitsmodul 240 einen
Prozessor, RAM und ROM ein, die zusammenarbeiten, um Software unabhängig von
dem Kontrollen 220 auszuführen. Das Sicherheitsmodul 240 schließt außerdem eine Entschlüsselungsmaschine
und eine Hash-Funktion zum Decodieren von Inhalt und Berechnen von
Signaturen ein. Wie zu erkennen ist, kann ein Raubkopierer fähig sein,
die Software entweder in dem Kontrollen 220 oder dem Sicherheitsmodul 240 zu
hacken, um den Eindruck zu erwecken, dass Authentifizierung und
Autorisierung durchgeführt
und dass bestimmte Ergebnisse erzielt wurden.
-
Unter Bezugnahme auf 3 – 5 sind jeweils eine Autorisierungsnachricht 300,
eine Objektnachricht 400 und eine Signaturgruppe 500 in
Blockdiagrammform gezeigt. In der Autorisierungsnachricht 300 aus 3 sind ein Autorisierungs-Header 304,
eine Autorisierungsdatenstruktur 308, eine Signatur 312 und
eine erste Prüfsumme 316 eingeschlossen.
Die Autorisierungsnachricht 300 weist Informationen auf,
die sowohl zum Authentifizieren als auch Autorisieren der Objektnachricht 400 verwendet werden.
Die Objektnachricht aus 4 wird
von einem Objekt-Header 404, einem Objekt 408 und
einer zweiten Prüfsumme 412 geformt.
Die Softwarenachricht 400 dient als Transport für das Objekt 408.
Die Signaturgruppe 500 schließt Komponenten der Autorisierungsnachricht 300 und
Softwarenachricht 400, in Ende-Ende-Anordnung, ein. Die
Signatur 312 wird über
die gesamte Signaturgruppe 500 berechnet. Genauer schließt die Signaturgruppe 500 aus 5 den Autorisierungs-Header 304,
die Autorisierungsdatenstruktur 308, den Objekt-Header 404 und
das Objekt 408 ein.
-
Der Autorisierungs-Header 304 gibt
die Konfiguration der Autorisierungsnachricht 300 an. In
dem Header 304 sind ein Untertyp-Identifikator und eine Nachrichtenversion
eingeschlossen. Der Untertyp-Identifikator
unterscheidet die unterschiedlichen Arten der Autorisierungsnachrichten 300 voneinander.
In dieser Ausführungsform
entsprechen Autorisierungsnachricht-Untertypen Objekten und Betriebsmitteln.
Objekt-Untertypen weisen eine entsprechende Objektnachricht 400 auf,
Betriebsmittel-Untertypen hingegen nicht. Demgemäß wird der Untertyp-Identifikator
zur Bestimmung, ob eine Objektnachricht 400 mit einer zugehörigen Autorisierungsnachricht 300 vorhanden
ist, verwendet. Ein gegebenes System kann verschiedene Arten von Softwareobjekt-Untertypen
und Betriebsmittel-Untertypen aufweisen und die Nachrichtenversion
erlaubt ein Unterscheiden der verschiedenen Arten voneinander.
-
Die Autorisierungsdatenstruktur 308 stellt der
Set-Top-Box 108 Autorisierungsinformationen bereit. Im
Falle, dass ein Autorisierungsnachricht-Untertyp einem Objekt entspricht,
enthält
die Autorisierungsdatenstruktur 308 einen Objekt-Identifikator, eine
Softwareversion, Kosteninformationen, Berechtigungsinformationen,
Lebensdauerinformationen und eine oder mehrere Programmstufen. Der
Objekt-Identifikator ist einzigartig für jedes Objekt 408 und
erlaubt das Zuordnen einer Autorisierungsnachricht 300 an
ihre entsprechende Objektnachricht 400. Die Versionsinformationen
sind in der Datenstruktur 308 eingeschlossen, um die Version
des Objekts 408 anzugeben.
-
Teile der Autorisierungsdatenstruktur 308 werden
verwendet, um die Verfügbarkeit
des Objekts 408 für
die Set-Top-Box 108 zu bestimmen. Die Kosteninformationen
geben der Set-Top-Box 108, und manchmal dem Teilnehmer,
den mit dem Objekt 408 verbundenen Preis an. Die Berechtigungsinformationen
werden verwendet, um zu bestimmen, ob die bestimmte Set-Top-Box 108 autorisiert
ist, das Objekt 408 zu akzeptieren. Die Berechtigungsinformationen können einen
Schlüssel
einschließen,
wenn das Objekt 408 mit einem symmetrischen Schlüssel verschlüsselt worden
ist. Falls die Set-Top-Box 108 nicht für das Objekt autorisiert ist,
besteht kein Bedarf, das entsprechende Objekt 408 zu verarbeiten,
wenn es empfangen wird. Die Lebensdauerinformationen erlauben das Erlöschen der
Autorisierung des Objekts 408, um den Gebrauch nach einem
gewissen Datum oder Zeitraum zu verhindern. Programmstufen werden
verwendet, um die Autorisierung von Objekten 408 auf vorgegebene
Stufen einzuschränken,
so dass eine Set-Top-Box 108 lediglich auf Objekte 408 innerhalb
einer vorbestimmten Stufe zugreifen kann.
-
Die Signatur 312 wird verwendet,
um zu überprüfen, dass
Teile sowohl der Autorisierungsnachricht 300 als auch der
entsprechenden Softwarenachricht 400 authentisch sind.
Eine Hash-Funktion, wie beispielsweise SHA-1 oder MD5 wird über die gesamte
Signaturgruppe laufen gelassen, wonach das Ergebnis durch einen
Unterzeichnungsalgorithmus, wie beispielsweise RSA, ECC und DSA,
laufen gelassen wird, um die Signatur zu erzeugen. Alternativ dazu
könnte
ein einfacher CRC-Algorithmus für die
Hash-Funktion verwendet werden, wonach das Ergebnis durch einen
Verschlüsselungsalgorithmus, wie
beispielsweise ein Dreifach-DES und DES, gesendet wird, um die Signatur
zu erzeugen. Wenn die Autorisierungsnachricht 300 zusammengestellt
wird, berechnet die Kopfstelle 104 die Signatur 312 über die
gesamte Signaturgruppe 500, bevor sie die Signatur 312 in
die Autorisierungsnachricht 300 einfügt. Die Set-Top-Box 108 berechnet
die Signatur der Signaturgruppe 500 nach Erhalt der Autorisierungs-
wie auch der Softwarenachricht 300, 400. Sobald
die Signatur berechnet worden ist, wird sie mit der empfangenen
Signatur verglichen, um Teile der Autorisierungs- wie auch der Softwarenachricht 300, 400 zu authentifizieren.
Stimmen die Signaturen nicht überein,
verwirft die Set-Top-Box 108 die
Softwarenachricht 400, da sie mutmaßlich von einer unzulässigen Quelle
kam.
-
Die erste und zweite Prüfsumme 316, 412 wird
mit entweder linearen oder nicht linearen Algorithmen berechnet.
Diese Prüfsummen 316, 412 überprüfen die
Integrität
der Daten, während
diese über
das Netz 208 zur Set-Top-Box 108 transportiert werden.
Die Prüfsumme
könnte
beispielsweise eine zyklische Blocksicherung (CRC) sein, die eine
binäre Addition
ohne Übertrag
für jedes
Byte in der Nachricht durchführt.
Der Nachrichten-Spooler 208 berechnet die Prüfsumme 316,
während
die Nachricht 300 gesendet wird und hängt die Prüfsumme 316 an das
Ende der Nachricht 300. Wechselweise berechnet die Set-Top-Box 108 die
Prüfsumme,
während
die Nachricht 300 empfangen wird, und vergleicht die berechnete
Prüfsumme
mit der Prüfsumme 316 in
der empfangenen Nachricht 300. Stimmen die berechneten
und empfangenen Prüfsummen
nicht überein,
ist ein Fehler in der Übertragung
aufgetreten. Nachrichten 300, 400 mit Fehlern
werden verworfen, wonach die Kopfstelle 104 Ersatz-Nachrichten 300, 400 senden
kann.
-
Der Objekt-Header 404 schließt Attribute
für die
Objektnachricht 400 ein. Im Objekt-Header 404 sind
eine Header-Länge,
eine Objektlänge,
der Objekt-Identifikator, die Softwareversion und ein Domänen-Identifikator
eingeschlossen. Der Header und die Objektlängen geben jeweils die Längen des
Objekt-Headers 404 und des Objekts 408 an. Wie
oben beschrieben, stellt der Objekt-Identifikator einen einzigartigen
Code bereit, der das Zuordnen der Autorisierungsnachricht 300 zu
der Objektnachricht 400 erlaubt. Die Softwareversion gibt
die Version des Objekts an. Unterschiedlichen Kabel-TV-Anbietern
sind Domänen-Identifikatoren zugeteilt,
so dass alle Set-Top-Boxen 108, die ein Objekt 408 empfangen können, nach
ihren Domänen
verbundene Objekte 408 abtasten können.
-
Das Objekt 408 schließt Inhalt
ein, den das dafür
konfigurierte System 100 an Set-Top-Boxen 108 liefert.
In einem Objekt können
verschiedene Arten von Informationen eingeschlossen sein, wie etwa ausführbare Programme,
Firmware-Erweiterungen, Ausführungsprogramme
(z. B.
-
Java® oder
ActiveX®),
Programmierungspläne,
Rechnungsinformationen, Video, Audio oder Daten. Das Objekt 408 kann
umgehend nach der Authentifizierung und der Autorisierung oder zu
einem späteren
Zeitpunkt genutzt werden. Außerdem
kann die Autorisierung so programmiert werden, dass sie nach einem
gewissen Zeitraum verfällt.
-
Mit besonderem Bezug auf 5 ist die Signaturgruppe 500 gezeigt.
Diese Gruppe 500 umfasst Teile sowohl der Autorisierungsnachricht 300 als auch
der Objektnachricht 400. Alle zur Berechnung der Signatur 312 verwendeten
Daten sind in der Signaturgruppe 500 eingeschlossen. Da
die Signatur Komponenten der Autorisierungsnachricht 300 sowie der
Objektnachricht 400 erfordert, gibt eine verfehlte Signaturprüfung an,
dass entweder die Autorisierungsnachricht 300 oder die
Softwarenachricht 400 nicht als von einer zuverlässigen Quelle
stammend verifiziert werden können.
Wobei die zuverlässige Quelle
der Kabel-TV-Anbieter
ist, der die Signatur 312 erzeugt hat.
-
Als nächstes, unter Bezugnahme auf 6, wird eine Ausführungsform
eines Prozesses zum Testen der Integrität der Sicherheit in einer Set-Top-Box gezeigt. Dieser
Prozess erkennt Modifikationen an der Set-Top-Box, die erfolgreiche
Authentifizierung von Nachrichten mit ungültigen Signaturen oder erfolgreiche
Autorisierung von Nachrichten mit unzulässiger Berechtigung verursachen. Durch
Umgehen der Autorisierungsprüfung
kann eine gehackte Set-Top-Box 108 sich selbst autorisieren,
jeden an sie übertragenen
Inhalt zu empfangen. Wie ein Fachmann auf diesem Gebiet anerkennen wird,
könnte
ein Raubkopierer eine Set-Top-Box so hacken, dass alle Objekte 408 ohne
jede Prüfung
authentifiziert und autorisiert werden. Modifizieren der Software
in dem Sicherheitsmodul 240 oder Kontrollen 220 könnte diese
Umgehung der Sicherheit erreichen. In einem gehackten System würde jedoch
eine Nachricht, die gezielt einen Fehler enthält, nicht zu einem Fehler führen, der
zurück
an die Kopfstelle 104 gemeldet wird. Durch Erkennen dieser
Ablaufunterbrechung werden gehackte Set-Top-Boxen erkannt.
-
Der Prozess beginnt bei Schritt 604,
wo die Kopfstelle 104 Autorisierungs- und Objektnachrichten 300, 400 erzeugt,
die gemeinsam eine Test-Signaturgruppe 500 und
Signatur 312 einschließen.
Entweder die Test-Signaturgruppe 500 oder
die Signatur 312 schließt absichtlich einen Fehler
ein. Bei dem Fehler könnte
es sich um einen oder mehrere fehlerhafte Bits handeln, die irgendwo
in der Test-Signaturgruppe 500 oder der Signatur 312 platziert
sind. In Schritt 608 werden die Nachrichten 300, 400 an
die Set-Top-Box 108 gesendet. Die ersten und zweiten Prüfsummen 316, 412 werden
richtig auf den fehlerhaften Nachrichten 300, 400 berechnet
und an die Nachrichten 300, 400 angehängt, außer, das
Prüfsummen-Gültigkeitsprüfungs-Programm
soll getestet werden. Die Set-Top-Box 108 empfängt die
Nachrichten 300, 400 in Schritt 612.
-
Das Bearbeiten nach Schritt 612 hängt davon
ab, ob die Authentifizierungs- und Autorisierungsprogramme gehackt
sind, so dass sie immer melden, dass die Nachrichten 300, 400 Authentifizierung
und Autorisierung bestehen. Wenn die Sicherheitsfunktionen der Set-Top-Box 108 nicht
gehackt worden sind, dauert das Bearbeiten bis zu den Schritten
618, 620 und 624 an, wo übliches
Bearbeiten durchgeführt
wird. In Schritt 618 führt
das Sicherheitsmodul 240 Authentifizierung und Autorisierung durch.
Da die Nachrichten 300, 400 mindestens einen absichtlichen
Fehler einschließen,
scheitert die Authentifizierung. Als Teil der üblichen Arbeitsabläufe werden
Authentifizierungs- und Autorisierungs-Fehler in Schritt 620 zurück an die
Kopfstelle 104 gemeldet. In Schritt 624 empfängt die
Kopfstelle 104 den Fehler, was die erwartete Reaktion ist.
Demgemäß wird keine
Ablaufunterbrechung für
die ungehackte Set-Top-Box 108 gemeldet.
-
Wenn die Authentifizierungs- und
Autorisierungprüfungen
durch einen Raubkopierer, Virus oder andere Probleme deaktiviert
werden, meldet das Sicherheitsmodul 240 in Schritt 628
keinen Fehler an die Kopfstelle 104. Nachdem kein Fehler
von der Kopfstelle 104 empfangen worden ist, wird eine
Ablaufunterbrechung durch den Inhaltanbieter gemeldet. Um die gestörte Set-Top-Box 108 zu
deaktivieren, werden zukünftige
Berechtigungen und Autorisierungen nicht an die Top-Set-Box 108 adressiert. Zusätzlich könnten Anstrengungen
unternommen werden, die gehackte Set-Top-Box 108 abzurufen und
den Raubkopierer zu ergreifen.
-
Unter Bezugnahme auf 7 wird eine weitere Ausführungsform
eines Prozesses zum Erkennen von Modifikationen an den Sicherheitsfunktionen der
Set-Top-Box 108 gezeigt. Diese Ausführungsform schützt vor
einer gehackten Set-Top-Box, die auf bekannte Objekte 408 ohne
Fehler reagiert und auf unbekannte Objekte 408 mit einem
Fehler reagiert. Die gehackte Set-Top-Box in dieser Ausführungsform
ist modifiziert, um gewisse Signaturgruppen durch Aufnahme einer
Liste ihrer Signaturen 312 oder auch durch Abnehmen von
Fingerabdrücken
an den Objekten zu erkennen. Diese erwünschten Signaturen werden von
anderen Set-Top-Boxen oder verschiedenen verborgenen Mitteln gesammelt.
-
Der Prozess beginnt bei Schritt 704,
wo die Kopfstelle 104 zufällig Autorisierungs- und Objektnachrichten 300, 400 ohne
irgendwelche Fehler vorbereitet. Diese Nachrichten 300, 400 erfüllen keinen funktionalen
Zweck und würden
auf der Liste von Fingerabdrücken,
die vom Raubkopierer erhalten worden sind, nicht erscheinen. Die
Nachrichten 300, 400 sind zufällig erzeugt, so dass sie von
der gehackten Set-Top-Box nicht erkannt werden können. Zusätzlich werden die Testgruppen
zu zufälligen
Zeiten gesendet und erscheinen üblichen
Objekten 408 ähnlich.
In Schritt 708 werden die Nachrichten 300, 400 an
die Set-Top-Box gesendet. Die Set-Top-Box 108 empfängt die
Nachrichten 300, 400 in Schritt 712.
-
Das Bearbeiten nach diesem Punkt
hängt davon
ab, ob die Sicherheitsmechanismen umgangen worden sind. Wenn keine
Modifikation an den Sicherheitsmerkmalen vorliegt, werden Authentifizierung
und Autorisierung in Schritt 718 ohne Auffinden von Fehlern durchgeführt. Da
in Schritt 718 kein Fehler in der Testsignaturgruppe gefunden worden
ist, wird in Schritt 720 kein Fehler an die Kopfstelle 104 gemeldet.
Die Kopfstelle 104 nimmt wahr, dass sich die Set-Top-Box 108 in
Schritt 724 normal verhält.
-
Alternativ dazu wird das Bearbeiten
von Schritt 716 bis Schritt 728 fortgeführt, wenn die Sicherheitsmerkmale
gehackt sind, um manche Signaturgruppen zu erkennen, während alle
anderen zurückgewiesen
werden. In Schritt 728 bezieht sich die gehackte Software in der
Set-Top-Box 108 auf
die Liste der zu erkennenden Objekte 408. Wenn das Objekt 408 erkannt
ist, wird das Bearbeiten bis Schritt 732 fortgeführt, wo kein Fehler an die
Kopfstelle 104 gemeldet wird. Als nächstes lädt die Set-Top-Box 108 das
Objekt in Schritt 736. In diesem Beispiel wird das Objekt 408 jedoch
wahrscheinlich nicht erkannt, weil die Nachrichten 300, 400 zufällig erzeugt
sind, so dass Erkennung äußerst selten
stattfindet.
-
Wenn das Objekt 408 nicht
erkannt wurde, wird in Schritt 740 ein Fehler an die Kopfstelle 104 gemeldet.
Die Fehlernachricht schließt
den einzigartigen Identifikator der Set-Top-Box 108, den
Fehlertyp und die Statusinformationen ein. Durch Melden dieses Fehlers,
wenn keiner aufgetreten sein sollte, erzeugt die Kopfstelle 104 in
Schritt 744 eine Ablaufunterbrechung. An diesem Punkt geht die Kopfstelle 104 davon
aus, dass die Set-Top-Box 108 gestört ist. Nach weiteren Tests
könnte
der Inhaltanbieter Schritte unternehmen, um den Arbeitsablauf der
gestörten Set-Top-Box 108 zu
stoppen.
-
Als nächstes, unter Bezugnahme auf 8, wird eine Ausführungsform
eines Prozesses gezeigt, der einen Trojanisches Pferd-Mechanismus
verwendet, um den Betrieb einer Set-Top-Box 108 zu unterbrechen.
Der Trojanisches Pferd-Mechanismus aktiviert sich, wenn er erkennt,
dass übliche
Authentifizierung und Autorisierung nicht durchgeführt wird. Sobald
er aktiviert ist, wird eine Nachricht an das TV-Display 216,
das das übliche
Programm unterbricht, ausgegeben.
-
Bearbeitung beginnt bei Schritt 804,
wo die Kopfstelle 104 eine Trojanisches Pferd-Signaturgruppe 500 und
Signatur 312, die absichtlich einen Fehler einschließt, erzeugt.
Dieser Fehler beeinträchtigt
den Arbeitsablauf des Trojanisches Pferd-Objekts 408 nicht.
Der Trojanisches Pferd-Mechanismus kann in einer üblichen
Anwendung eingeschlossen sein, so dass er so unauffällig wie
möglich
erscheint. Das übliche
E-Mail-Anwendungsobjekt
könnte
beispielsweise den Trojanisches Pferd-Code einschließen, allerdings
deaktiviert. Der eingeführte
Fehler könnte
einen einzigen Bitwert verändern,
der den Trojanisches Pferd-Code in der E-Mail-Anwendung aktivieren würde. Durch
Testen auf den vorbestimmten Fehler weiß die E-Mail-Anwendung, wann
der Trojanisches Pferd-Code aktiviert werden muss und wann nicht. Demgemäß unterscheidet
sich das aktivierte Trojanisches Pferd-Objekt nur durch ein Bit
von dem üblichen
E-Mail-Objekt.
-
Die Trojanisches Pferd-Nachrichten 300, 400 werden
in Schritt 808 an die Set-Top-Box 108 gesendet und in Schritt
812 von der Set-Top-Box 108 empfangen. Weiteres Bearbeiten
hängt davon
ab, ob die Sicherheitsmerkmale deaktiviert worden sind, so dass
Authentifizierung und Autorisierung nicht durchgeführt werden.
Wenn die Sicherheitsmerkmale nicht deaktiviert oder gehackt worden
sind, wird das Bearbeiten bis Schritt 820 fortgeführt, wo
Authentifizierung und Autorisierung auf übliche Weise durchgeführt werden.
Da die Trojanisches Pferd-Nachrichten 300, 400 den
absichtlichen Fehler einschließen,
wird Authentifizierung und/oder Autorisierung fehlschlagen. Das
Fehlschlagen dieser Überprüfungen führt zur
Entfernung des Trojanisches Pferd-Objekts 408 aus dem Speicher.
In Schritt 824 meldet das Sicherheitsmodul 240 den Fehler
an die Kopfstelle 104. Da ein Fehler erwartet wird, nimmt
der Inhaltanbieter wahr, dass sich die unmodifizierte Set-Top-Box 108 normal
verhält.
Die E-Mail-Anwendung ohne den Fehler wird periodisch verteilt, und
schließt
den Fehler nur während
gelegentlicher Tests ein.
-
Im Gegensatz hierzu verhält sich
eine gehackte Set-Top-Box 108 anders als die unmodifizierte
Set-Top-Box 108. Auf der gehackten Set-Top-Box 108 läuft keine
Authentifizierung oder Autorisierung. Demgemäß wird in der Trojanisches
Pferd-Signaturgruppe kein Fehler erkannt und kein Fehler wird in Schritt
832 an die Kopfstelle 104 zurück gemeldet. Nachdem keine
Fehlernachricht empfangen wurde, nimmt der Inhaltanbieter in Schritt
836 eine Ablaufunterbrechung für
die gehackte Set-Top-Box 108 wahr.
-
Das Sicherheitsmodul 240 ist
normalerweise an Authentifizierung und Autorisierung beteiligt.
Zusätzlich
kann das Laufen von Authentifizierung und Autorisierung von Software
in der Set-Top-Box 108 wahrgenommen werden. Durch das Wahrnehmen, dass
Authentifizierung und Autorisierung nicht durchgeführt worden
sind, wird das Trojanische Pferd in dem Objekt aktiviert und unterbricht
den Arbeitsablauf der Set-Top-Box 108. Die Unterbrechung
könnte eine
Nachricht auf dem TV-Display 216 anzeigen oder andernfalls
die Funktionalität
der Set-Top-Box 108 deaktivieren.
-
Obwohl die Ausführungsform aus 8 das Laufen von Authentifizierung und
Autorisierung, um zu bestimmen, wann die Set-Top-Box 108 gehackt worden
ist, wahrnimmt, könnten
andere Ausführungsformen
diese Bestimmung auf andere Weise vornehmen. In einer bevorzugten
Ausführungsform ist
ein Fehler in mindestens entweder der Signaturgruppe 500 oder
der Signatur 312 eingeschlossen, so dass Authentifizierung
immer fehlschlagen und das Trojanisches Pferd-Objekt 408 dazu
bringen sollte, nicht geladen zu werden. Eine gehackte Set-Top-Box 108 könnte das
Fehlschlagen der Authentifizierung übersehen und das Objekt 408 trotzdem
laufen lassen. Innerhalb des Trojanisches Pferd-Objekts 408 befinden sich unterbrechende Programme,
die Funktionen innerhalb der Set-Top-Box 108 deaktivieren.
Demgemäß ist die bloße Tatsache,
dass das Trojanisches Pferd-Objekt 408 lädt, ein
Zeichen, dass das Authentifizierungsprogramm deaktiviert ist.
-
In einer weiteren Ausführungsform
beschattet das Trojanisches Pferd-Objekt 408 das Sicherheitsmodul 240,
wenn es einige der Sicherheitsfunktionen wie Authentifizierung und
Autorisierung durchführt.
Mit anderen Worten vervielfältigt
das Trojanisches Pferd-Objekt 408 die
Authentifizierung und Autorisierung, um den richtigen Arbeitsablauf
des Sicherheitsmoduls 240 zu verifizieren. Wenn das Trojanisches
Pferd-Objekt 408 durch Verifizieren eines Teils der Funktionalität von Modul 240 erkennt,
dass das Sicherheitsmodul 240 in irgendeiner Weise defekt
ist, aktiviert sich die Trojanisches Pferd-Funktionalität, um die Verwendung der Set-Top-Box 108 zu unterbrechen.
-
In einer bevorzugten Ausführungsform
könnte
die Autorisierung durch Verwendung einer ungültigen Autorisierung getestet
werden. Eine zufällige
Autorisierungsstufe oder ein zufälliges
Autorisierungsniveau, das dem Liefersystem 100 als ungültig bekannt ist,
wird beispielsweise dem Trojanisches Pferd-Objekt 408 zugeteilt.
Da die Autorisierungsstufe ungültig ist,
sollte keine Set-Top-Box 108 autorisiert sein, das Trojanisches
Pferd-Objekt 408 zu laden. Wenn das Trojanisches Pferd-Objekt 408 trotz
der ungültigen Autorisierungsstufe
geladen wird, unterbricht das Objekt 408 den Arbeitsablauf
der Set-Top-Box 108.
-
Wie ein Fachmann auf diesem Gebiet
erkennen wird, könnte
eine gehackte Set-Top-Box 108 die Autorisierungsstufen,
die normalerweise in einem Versuch, die ungültigen Autorisierungsstufen
zu bestimmen, verwendet werden, überwachen.
Sobald die angeblich ungültigen
Autorisierungsstufen bekannt sind, werden Objekte, die mit den vorher
unbenutzten Autorisierungsstufen verbunden waren, nicht geladen,
da sie vermutlich Trojanisches Pferd-Objekte 408 sind.
Um dieses Hacken durch den Raubkopierer zu umgehen, könnte die
zufällige
Autorisierungsstufe, die zum ersten Mal von einem Trojanisches Pferd-Objekt 408 benutzt
wurde, später
als eine gültige
Autorisierungsstufe, die üblichen
Objekten 408 entsprach, verwendet werden. Demgemäß könnte der
Raubkopierer nicht alle Objekte 408, die mit einer neuen
Autorisierungsstufe verbunden sind, zurückweisen, ohne übliche Objekte 408 zu
verlieren.
-
In einer weiteren Verbesserung wird
ein Testobjekt der neuen Autorisierungsstufe zugeteilt und an die
Set-Top-Boxen 108 übertragen.
Da die zufällige Autorisierungsstufe
zu einer gültigen
Autorisierungsstufe geworden ist, führen normale Set-Top-Boxen das
Testobjekt aus, gehackte Set-Top-Boxen weisen jedoch das Testobjekt 408 zurück, nur
weil es zu der zufälligen
Autorisierungsstufe gehört.
In der üblichen Set-Top-Box fragen die
Testobjekt-Monitoren die Set-Top-Box 108 ab und melden
den Status zurück an
die Kopfstelle 104. Im Gegensatz hierzu weist die gehackte
Set-Top-Box das Testobjekt zurück,
das nicht laden und keinen Status zurückmelden kann. Die Abwesenheit
von Status an der Kopfstelle 104 gibt der Kopfstelle 104 an,
dass die Set-Top-Box 108 defekt ist. Sobald sich die Kopfstelle 104 der
Ablaufunterbrechung bewusst ist, wird die defekte Set-Top-Box markiert,
so dass eingegriffen werden kann.
-
Unter Bezugnahme auf 9 wird eine weitere Ausführungsform
eines Prozesses gezeigt, der einen Trojanisches Pferd-Mechanismus
verwendet, um den Betrieb auf einer gehackten Set-Top-Box 108 zu
unterbrechen. Diese Ausführungsform
testet Set-Top-Boxen 108, die deaktivierte Betriebsmittel-Autorisierungsmechanismen
aufweisen. Objekte 408 sind autorisiert, mit vorbestimmten
Betriebsmitteln, wie in der Autorisierungsdatenstruktur 308 festgelegt,
zu interagieren. Nach Zugriff auf ein Betriebsmittel durch ein Objekt 408 wird
die zur Verwendung dieses Betriebsmittels notwendige Autorisierung während des üblichen
Arbeitsablaufs der Set-Top-Box 108 überprüft. Jeder nicht autorisierte Zugriff
wird zurück
an die Kopfstelle 104 gemeldet.
-
Der Prozess beginnt bei Schritt 904,
wo der Inhaltanbieter eine Trojanisches Pferd-Signaturgruppe 500 und
eine Signatur 312 in der Kopfstelle 104 erzeugt.
In der Trojanisches Pferd-Signaturgruppe 500 ist ein Objekt 408,
das gezielt auf ein Betriebsmittel, das durch die Autorisierungsdatenstruktur 308 des
Objekts 408 nicht erlaubt ist, zugreift, eingeschlossen.
Die Trojanisches Pferd-Signaturgruppe 500 wird durch die
Kopfstelle 104 in Schritt 808 gesendet und durch die Set-Top-Box in Schritt 812
empfangen. Weiteres Bearbeiten hängt
davon ab, ob die Sicherheitsmerkmale deaktiviert worden sind, so dass
Autorisierung nicht durchgeführt
werden kann.
-
Wenn die Sicherheitsmerkmale normal
funktionieren, wird das Bearbeiten bis zu Schritt 920 fortgeführt, wo
Authentifizierung und Autorisierung auf den Trojanisches Pferd-Nachrichten 300, 400 durchgeführt werden.
Nach Laden des Objekts 408 versucht es, in Schritt 924
auf ein nicht autorisiertes Betriebsmittel zuzugreifen. Der Fehler
bei der Autorisierung wird bei Schritt 928 bemerkt, und das Sicherheitsmodul 240 informiert
die Kopfstelle 104 über
den Fehler. Aufgrund des Fehlschlagens der Autorisierung wird das
Objekt 408 aus dem Speicher 228 entfernt. Das
Entfernen des Objekts 408 aus dem Speicher 228 verhindert
die nachfolgenden unterbrechenden Funktionen des Objekts 228.
Nach Empfang der Fehlernachricht nimmt die Kopfstelle 104 wahr,
dass die Set-Top-Box 108 normal
reagiert hat.
-
Alternativ dazu überprüft die gehackte Set-Top-Box 108 die
Autorisierung nicht. In Schritt 936 greift das Objekt 408 ungehindert
auf das Betriebsmittel zu, obwohl es nicht autorisiert ist. Demgemäß wird in
Schritt 940 kein Fehler an die Kopfstelle 104 gesendet.
Wenn die Kopfstelle 104 bemerkt, dass kein Fehler empfangen
wird, wird eine Ablaufunterbrechung in Schritt 944 wahrgenommen,
die bedeutet, dass die Set-Top-Box 108 gestört ist.
Da das Trojanisches Pferd-Objekt 408 im Speicher 228 bleiben
und die Ausführung
fortsetzen konnte, unterbricht das Trojanisches Pferd-Objekt 408 die
Funktionalität
der Set-Top-Box 108. Auf diese Weise wird die Autorisierung
zur Verwendung von Betriebsmitteln durch den Inhaltanbieter verifiziert.
-
Die Ausführungsform von 9 ist wirksam, wenn ein Trojanisches
Pferd-Objekt für die einzigartige
Adresse und Autorisierungen für
jede Set-Top-Box 108 ausgelegt
ist. Der Fachmann wird erkennen, dass unterschiedliche Set-Top-Boxen 108 unterschiedliche
Autorisierungen für
ihre Betriebsmittel aufweisen können.
Um die Ablaufunterbrechung auf die in Bezug auf 9 beschriebene Weise zu verschließen, wählt der
Inhaltanbieter ein Betriebsmittel, das noch nicht für eine bestimmte
Set-Top-Box 108 ausgewählt ist.
-
In einem System 100, in
dem die Trojanisches Pferd-Objekte nicht einzigartig formuliert
und an jede Set-Top-Box adressiert sind, wird ein einziges Trojanisches
Pferd-Objekt zur Verwendung durch eine Anzahl von Boxen übertragen.
In dieser Ausführungsform überträgt das System 100 ein
Testobjekt vor dem Übertragen
des Trojanisches Pferd-Objekts. Das Testobjekt dient als nicht autorisiertes
Betriebsmittel, auf das das Trojanisches Pferd-Objekt zuzugreifen
versucht. Auf diese Weise ist das Wissen darüber, welche Betriebsmittel
in jeder Set-Top-Box 108 autorisiert sind, unwichtig.
-
Um Erkennung des nicht autorisierten
Betriebsmittels zu verhindern, so dass eine gehackte Set-Top-Box
mit einem Fehler reagieren könnte, wenn
auf das nicht autorisierte Bebtriebsmittel zugegriffen wird, wird
das nicht autorisierte Betriebsmittel letztendlich autorisiert.
Sobald es autorisiert ist, wird ein Testobjekt an die Set-Top-Boxen 108 übertragen, um
auf das nun autorisierte Betriebsmittel zuzugreifen. Unmodifizierte
Set-Top-Boxen 108 erlauben den Zugriff ohne Fehler. Eine
gehackte Set-Top-Box würde
jedoch mit einem Fehler reagieren, wegen der falschen Annahme, dass
das Betriebsmittel immer noch nicht autorisiert ist. Dieser Fehler
der gehackten Set-Top-Box erzeugt eine Ablaufunterbrechung, die signalisiert,
dass die gehackte Set-Top-Box komprimiert ist.
-
Angesichts der obigen Beschreibung
sind eine Anzahl von Vorteilen der vorliegenden Erfindung leicht
ersichtlich. Der Kabel-TV-Anbieter erkennt Störungen in der Set-Top-Box,
die den üblichen
Arbeitsablauf der Sicherheitsmechanismen beeinträchtigen. Zusätzlich hierzu
können
Signaturgruppen Trojanisches Pferd-Programme enthalten, die den
Arbeitsablauf gestörter
Set-Top-Boxen unterbrechen, so dass ein Raubkopierer den Inhalt
nicht auf üblichem Wege
einsehen kann.
-
Es können auch eine Anzahl von Variationen und
Modifikationen der Erfindung verwendet werden. Die Set-Top-Box könnte beispielsweise
keine separate Einheit sein, sondern im Fernseher oder in einer anderen audiovisuellen
Ausstattung integriert sein. Obwohl die oben beschriebene Ausführungsform
in Bezug auf 9 ein Trojanisches
Pferd-Programm mit einem Test nicht autorisierter Betriebsmittel-Zugriffe
koppelt, könnten
andere Ausführungsformen nicht
autorisierte Betriebsmittel-Zugriffe ohne ein Trojanisches Pferd-Programm
testen. Das Fehlschlagen beim Erkennen des nicht autorisierten Betriebsmittel-Zugangs
würde an
die Kopfstelle zur Beschlussfassung zurückgemeldet werden.
-
Obgleich die Erfindung unter Bezugnahme auf
deren spezifische Ausführungsformen
beschrieben wird, dienen die Ausführungsformen lediglich der Veranschaulichung
der Erfindung und nicht deren Einschränkung und deren Bereich soll
nur durch die angehängten
Ansprüche
bestimmt werden.