DE60003841T2 - Intrusionsmelder für objektsicherheit - Google Patents

Intrusionsmelder für objektsicherheit Download PDF

Info

Publication number
DE60003841T2
DE60003841T2 DE60003841T DE60003841T DE60003841T2 DE 60003841 T2 DE60003841 T2 DE 60003841T2 DE 60003841 T DE60003841 T DE 60003841T DE 60003841 T DE60003841 T DE 60003841T DE 60003841 T2 DE60003841 T2 DE 60003841T2
Authority
DE
Germany
Prior art keywords
message
content
authorization
top box
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60003841T
Other languages
English (en)
Other versions
DE60003841D1 (de
Inventor
Alexander Medvinsky
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Arris Technology Inc
Original Assignee
Arris Technology Inc
General Instrument Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Arris Technology Inc, General Instrument Corp filed Critical Arris Technology Inc
Publication of DE60003841D1 publication Critical patent/DE60003841D1/de
Application granted granted Critical
Publication of DE60003841T2 publication Critical patent/DE60003841T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/24Monitoring of processes or resources, e.g. monitoring of server load, available bandwidth, upstream requests
    • H04N21/2404Monitoring of server processing errors or hardware failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25833Management of client data involving client hardware characteristics, e.g. manufacturer, processing or storage capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/426Internal components of the client ; Characteristics thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream, rendering scenes according to MPEG-4 scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/44236Monitoring of piracy processes or activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/4424Monitoring of the internal components or processes of the client device, e.g. CPU or memory load, processing speed, timer, counter or percentage of the hard disk space used
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/4425Monitoring of client processing errors or hardware failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4627Rights management associated to the content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N17/00Diagnosis, testing or measuring for television systems or their details
    • H04N17/004Diagnosis, testing or measuring for television systems or their details for digital television systems

Description

  • Diese Anmeldung beansprucht den Nutzen der vorläufigen U.S. Anmeldung Nr. 60/165,090, eingereicht am 12. November 1999, und der vorläufigen U.S. Anmeldung Nr. 60/173,962, eingereicht am 30. Dezember 1999.
  • QUERVERWEISE AUF VERWANDTE ANMELDUNGEN
  • Diese Anmeldung ist eine verwandte Anmeldung der U.S. Patentanmeldung, bezogen auf Patentanwalt-Dokumentennummer 018926-003220 US mit dem Titel „Object Security Implementation", eingereicht am 28. Januar 2000.
  • HINTERGRUND DER ERFINDUNG
  • Diese Erfindung bezieht sich im Allgemeinen auf Zugangsberechtigungssysteme und genauer auf das Erkennen von Modifikationen an Informationen innerhalb eines Inhaltempfängers.
  • Kabelfernseh-Anbieter (Kabel-TV-Anbieter) verteilen Video-Streams an Teilnehmer durch Zugangsberechtigungssysteme (CA-Systeme). CA-Systeme verteilen Video-Streams von einer Kopfstelle des Kabel-TV-Anbieters an eine einem Teilnehmer zugehörige Set-Top-Box. Die Kopfstelle schließt Hardware ein, die die Video-Streams empfängt und sie an die Set-Top-Boxen innerhalb des CA-Systems verteilt. Es ist ausgewählten Set-Top-Boxen erlaubt, gewisse Video-Streams gemäß der von dem Kabel-TV-Anbieter an die Set-Top-Box gesendeten Berechtigungsinformationen zu decodieren. Auf ähnliche Weise verwenden andere Videoprogramm-Anbieter Satellitenschüsseln zum drahtlosen Verteilen von Videoinhalt an Set-Top-Boxen.
  • Videoprogramme werden an alle Set-Top-Boxen übertragen, jedoch wird lediglich einer Untereinheit dieser Boxen Zugang zu spezifischen Videoprogrammen gewährt. Zum Beispiel ist es lediglich denjenigen, die einen Pay-per-View-Boxkampf bestellt haben, erlaubt, diesen zu schauen, obgleich jede Set-Top-Box den Kampf empfangen kann. Sobald ein Teilnehmer das Pay-per-View-Programm bestellt, wird in verschlüsselter Form eine Berechtigungsnachricht an alle Set-Top-Boxen übertragen. Nur die spezielle Set-Top-Box, für die die Berechtigungsnachricht bestimmt ist, kann diese entschlüsseln. In der entschlüsselten Berechtigungsnachricht befindet sich ein Schlüssel, der das Pay-per-View-Programm entschlüsseln wird. Mit diesem Schlüssel entschlüsselt die Set-Top-Box das Pay-per-View-Programm, wenn es in Echtzeit empfangen wird.
  • Die Set-Top-Boxen sind von dem Kabel-TV-Anbieter entfernt angeordnet und anfällig für Hacken durch Raubkopierer, die versuchen, Inhalt zu stehlen. Der Fachmann wird erkennen, dass Set-Top-Boxen komplizierte Sicherheits-Mechanismen enthalten, um den Bemühungen von Raubkopierern entgegenzuwirken. Diese Sicherheits-Mechanismen werden jedoch gelegentlich von Raubkopierern, die die Set-Top-Boxen hacken, umgangen. Demgemäß sind Verfahren zum entfernten Erkennen von Modifikation an Sicherheits-Mechanismen erwünscht.
  • EP-A-936813 offenbart ein Verfahren zur Verwendung in einem Zugangsberechtigungssystem, wobei heruntergeladene Daten von einem Autorisierungsmechanismus verifiziert werden, um eine Modifikation einer Anwendung oder Ausführung einer unberechtigten Anwendung zu verhindern.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Gemäß der Erfindung wird ein Verfahren zum Erkennen von Modifikationen an Informationen innerhalb eines Inhaltempfängers gemäß Anspruch 1 offenbart.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockdiagramm, das eine Ausführungsform eines Inhaltentsendungssystems zeigt;
  • 2 ist ein Blockdiagramm, das eine Ausführungsform einer mit ihrer Umwelt verbundenen Set-Top-Box veranschaulicht;
  • 3 ist ein Blockdiagramm, das eine Ausführungsform einer Autorisierungsnachricht darstellt;
  • 4 ist ein Blockdiagramm, das eine Ausführungsform einer Objektnachricht zeigt;
  • 5 ist ein Blockdiagramm, das eine Ausführungsform einer Signaturgruppe veranschaulicht, die Teile der Autorisierungs- und Objektnachricht einschließt;
  • 6 ist ein Flussdiagramm, das eine Ausführungsform eines Prozesses zeigt, der Modifikationen an Sicherheitsfunktionen in der Set-Top-Box überprüft;
  • 7 ist ein Ablaufdiagramm, das eine weitere Ausführungsform eines Prozesses darstellt, der Modifikationen an den Sicherheitsfunktionen überprüft;
  • 8 ist ein Ablaufdiagramm, das eine Ausführungsform eines Prozesses zeigt, der ein Trojanisches Pferd aktiviert, wenn die Sicherheitsfunktionen gestört sind; und
  • 9 ist ein Ablaufdiagramm, das eine weitere Ausführungsform eines Prozesses zeigt, der ein Trojanisches Pferd aktiviert, wenn die Sicherheitsfunktionen gestört sind.
  • BESCHREIBUNG DER SPEZIFISCHEN AUSFÜHRUNGSFORMEN
  • Die vorliegende Erfindung validiert, dass Informationen, wie beispielsweise Software, nicht innerhalb einer Fernseh-Set-Top-Box modifiziert worden sind. Bei einer Ausführungsform wird eine Nachricht periodisch an die Set-Top-Box, die gezielt Fehler enthält, gesendet. Ein Gültigkeitsprüfungs-Programm in der Set-Top-Box sollte diese Fehler zurück an einen Kabelfernseh-Anbieter (Kabel-TV-Anbieter) melden. Es kann jedoch sein, dass das Gültigkeitsprüfungs-Programm diese Fehler nicht meldet, wenn es beispielsweise von Hackern modifiziert oder ersetzt worden ist. Demgemäß kann der Kabel-TV-Anbieter bestimmen, ob das Sicherheitsprogramm nicht länger funktionsfähig ist, wenn er das Ausbleiben einer Fehlermeldung bemerkt.
  • In den Figuren haben ähnliche Komponenten und/oder Merkmale denselben Verweis. Ferner werden verschiedene Komponenten derselben Art durch das Anfügen eines Bindestrichs und eines zweiten Verweises an den Verweis von ähnlichen Komponenten unterschieden. Wird nur der erste Verweis in der Beschreibung verwendet, ist die Beschreibung auf eine beliebige der ähnlichen Komponenten mit dem zweiten Verweis anwendbar.
  • Zunächst unter Bezugnahme auf 1 wird ein Blockdiagramm einer Ausführungsform eines Inhaltentsendungssystems 100 gezeigt. Das Entsendungssystem 100 stellt einer Anzahl von Teilnehmern, auf gewissen erfüllten Bedingungen basierend, selektiv Inhalt bereit. In dem System 100 eingeschlossen sind eine Kopfstelle 104, eine Anzahl von Set-Top-Boxen 108, ein lokaler Programmempfänger 112, eine Satellitenschüssel 116 und das Internet 120.
  • Die Kopfstelle 104 empfängt Inhalt und verteilt diesen Inhalt an Teilnehmer. Der Inhalt kann Video, Audio, interaktives Video, Software, Firmware und/oder Daten einschließen. Dieser Inhalt wird von einer Vielfalt von Quellen empfangen, welche die Satellitenschüssel 116, den lokalen Programmempfänger 112, Mikrowellenempfänger, Paketvermittlungsnetze, Internet 120 etc. einschließen. Jede Set-Top-Box 108 hat eine einzigartige Adresse, die erlaubt, dass die Berechtigungsinformationen an eine individuelle Set-Top-Box 108 gesendet werden. Auf diese Weise kann eine Set-Top-Box 108-1 einen bestimmten Inhalt berechtigen, während eine andere 108-2 dies nicht kann. Eine Einrichtung in der Kopfstelle 104 reguliert, welche Set-Top-Boxen 108 zu welchem Inhalt berechtigt sind.
  • Der Inhalt wird im Allgemeinen in digitaler Form durch einen analogen Trägerkanal, der mehrere Inhaltströme enthält, verteilt. Alle Inhaltströme werden gemeinsam in einen Digitalstrom, der auf den analogen Trägerkanal moduliert ist, statistisch gemultiplext. Die getrennten Inhaltströme werden durch Paketidentifizierungs-Informationen (PID-Informationen) getrennt, so dass die einzelnen Inhaltströme gemäß ihrer einzigartigen PID-Informationen entfernt werden können. In dieser Ausführungsform des Systems 100 gibt es ungefähr einhundertzwanzig analoge Trägerkanäle. Andere Ausführungsformen könnten den Inhalt mit Satellitenschüsseln, Mikrowellenantennen, RF-Sendern, Paketvermittlungsnetzen, zellulären Datenmodems, Trägerstrom oder Telefonleitungen verteilen.
  • Als nächstes unter Bezugnahme auf 2, ist ein Blockdiagramm einer Ausführungsform eines Wiedergabesystems 200 gezeigt. Diese Ausführungsform stellt mehrere Ebenen von Objekt- und Betriebsmittel-Sicherheit durch verschiedene Sicherheitsmechanismen bereit. In dem Wiedergabesystem 200 eingeschlossen sind eine Set-Top-Box 108, ein Netz 208, ein Drucker 212, ein TV-Display 216 und eine drahtlose Eingabevorrichtung 218. Diese Gegenstände arbeiten so zusammen, dass der Teilnehmer den von einem Inhaltanbieter bereitgestellten Inhalt genießen kann. Der Inhalt kann Video, Audio, Software, Firmware, interaktives TV, Daten oder andere Informationen sein. In dieser Ausführungsform ist der Inhaltanbieter ein Kabel-TV-Anbieter.
  • Das Netz 208 dient als die Leitung für Informationen, die sich zwischen der Set-Top-Box 108 und der Kopfstelle 104 des Kabel-TV-Anbieters bewegen. In dieser Ausführungsform verfügt das Netz über einhundertzwanzig analoge Kanäle und einen bidirektionalen Steuerungsdatenkanal. Im Allgemeinen tragen die analogen Kanäle Inhalt, und der Steuerungsdatenkanal trägt Regelungs- und Berechtigungsinformationen. Jeder analoge Trägerkanal verfügt über eine Anzahl von digitalen Kanälen, die in einen Datenstrom, wo die digitalen Kanäle durch Paketkennzeichner (PIDs) unterschieden werden, statistisch gemultiplext werden. Der bidirektionale Regelungskanal ist ein Außenband-Kanal, der Daten auf einer Frequenz an die Set-Top-Boxen 108 überträgt und Daten auf einer anderen Frequenz von den Boxen 108 empfängt. Zurückgekehrte Daten können unter Verwendung einer im Fach wohl bekannten Zwischenspeicherprinzip-Methodik gestaut werden, um Überlastung während Hauptnutzungszeiträumen zu verringern. Andere Ausführungsformen könnten ein Kabelmodem sowohl für Steuerungsinformationen als auch Inhalt verwenden, wo der Inhalt als Paketvermittlungsdaten formatiert ist.
  • Der Drucker 212 ist ein optionales Zusatzteil, das manche Teilnehmer erwerben und ihrem Wiedergabesystem 200 hinzufügen können. Wenn die Set-Top-Box 108 für Personal-Computer-Aufgaben verwendet wird, erlaubt der Drucker 212 das Drucken von Daten, wie beispielsweise E-Mail, Web-Seiten, Rechnungsinformationen, etc. Wie weiter unten erklärt, wird die Möglichkeit, ein Peripheriegerät wie einen Drucker zu verwenden, durch eine Autorisierungsüberprüfung geregelt. Unter Verwendung des Regulierungsmerkmals funktionieren mit der Set-Top-Box 108 kompatible Drucker 212 nur, wenn ordnungsgemäße Autorisierung erlangt wurde.
  • Das TV-Display 216 versorgt den Teilnehmer mit dem Inhalt entsprechendem Audio und/oder Video. Das Display 216 empfängt typischerweise ein analoges Videosignal, das auf einen Kanal drei, Kanal vier oder einen gemischten Kanal entsprechenden Träger moduliert wird. Die Set-Top-Box 108 erzeugt beispielsweise ein NTSC-Signal, das zu dem geeigneten Kanal moduliert wird. Andere Ausführungsformen könnten einen Videomonitor oder ein digitales Display anstelle eines Fernsehdisplays 216 verwenden. Die Verwendung eines digitalen Displays würde den Bedarf an einer analogen Konvertierung durch die Set-Top-Box 108 verringern, da digitale Displays, wie beispielsweise Flüssigkristalldisplays, digitale Informationen verwenden, um das wiedergegebene Bild zu formulieren.
  • Die drahtlose Eingabevorrichtung 218 erlaubt Interaktion zwischen dem Teilnehmer und der Set-Top-Box 108. Diese Vorrichtung 218 könnte eine Fernbedienung, Maus, Tastatur, ein Steuergerät, Pen Tablet oder ein anderer Eingabemechanismus sein. Ein Infrarot-Transceiver auf der Eingabevorrichtung 218 kommuniziert mit einem ähnlichen Transceiver auf der Set-Top-Box 108, um drahtlose Kommunikation zu erlauben. In anderen Ausführungsformen könnte ein RF-Verbindungsglied oder ein drahtgebundenes Verbindungsglied anstelle des Infrarot-Transceivers verwendet werden.
  • Die Set-Top-Box 108 weist Einzelteile auf, die Authentifizierung und Autorisierung von Objekten und Betriebsmitteln durchführen. Objekte sind Informationen wie beispielsweise Software, Treiber, Firmware, Daten, Video oder Audio. Betriebsmittel sind alles, was von einem Objekt benötigt wird, um wie vorgesehen beispielsweise als ein anderes Objekt oder eine reale Vorrichtung zu arbeiten. In der Set-Top-Box 108 eingeschlossen sind ein Kontrollen 220, ein Speicher 228, ein Druckeranschluss 232, ein Netzanschluss 236, ein Sicherheitsmodul 240, eine Display-Schnittstelle 244 und ein Infrarot-Anschluss 248 (IR-Anschluss). Diese Blöcke kommunizieren über einen Bus 132 miteinander, wobei jeder Block eine andere Adresse aufweist, um einzigartig auf dem Bus 132 identifiziert zu werden.
  • Der Kontrollen 220 steuert Arbeitsabläufe der Set-Top-Box 108 unter Verwendung eines zuverlässigen oder sicheren Betriebssystems. Solche Funktionen wie Decodierung und Dekomprimierung werden in dem Kontrollen 220 genauso durchgeführt wie Funktionen wie beispielsweise Ändern von Fernsehkanälen für den Teilnehmer und Darstellen von Befehlsübersichten für den Teilnehmer. In dem Kontrollen eingeschlossen sind ein Prozessor, eine Verschlüsselungsmaschine, ein Lokalspeicher und andere in Computersystemen übliche Gegenstände.
  • Die Set-Top-Box 108 schließt einen Speicherblock 228 zum Speichern von Daten und Programmen und zur Ausführung von Programmen ein. Dieser Speicher 228 ist ein Halbleiterspeicher, der RAM, ROM, Flash und andere Arten von flüchtigen und nicht-flüchtigen Speichern einschließen kann. Während der Ausführung werden Programme aus dem Speicher 228 geladen, und diese benutzen den Speicher 228 als Notizblockspeicher. Schlüssel, Seriennummern und Autorisierungen können nichtflüchtig in dem Flash-Speicher gespeichert werden.
  • Diese Ausführungsform schließt einen Druckeranschluss 232 ein, der mit einem beliebigen Drucker 212 verbunden werden kann. Das Betriebsmittel des Druckeranschlusses 232 ist Programmen nur verfügbar, wenn es autorisiert ist. Wie weiter unten erklärt, muss jedes Objekt über Autorisierung verfügen, um ein Betriebsmittel, wie beispielsweise den Druckeranschluss 232, zu verwenden. Daten werden von dem Druckeranschluss 232 an den Drucker 212 hintereinander oder parallel durch einen drahtgebundenen oder drahtlosen Transportmechanismus gesendet.
  • Eine Prüfstelle wird erreicht, wenn Drucken erforderlich ist. Die Prüfstelle autorisiert und authentifiziert das Objekt, welches Drucken erfordert. Prüfstellen sind Orte in einem Objekt, an denen Authentifizierung und/oder Autorisierung an diesem Objekt oder einem anderen Objekt ausgeführt wird. Prüfstellen werden Idealerweise durchgeführt, wenn der Zweck des Objekts offensichtlich wird. Im Falle eines Druckeranschlusses 232 wird dessen Zweck offensichtlich, wenn er verwendet wird, um etwas zu drucken. Demgemäß wird eine Prüfstelle angesteuert, um das Objekt, das das Druckeranschluss 232-Betriebsmittel verwendet, zu überprüfen, wenn irgendetwas gedruckt wird.
  • Der Netzanschluss 236 erlaubt bi-direktionale Kommunikation zwischen der Set-Top-Box 108 und der Kopfstelle 104. In dem Netzanschluss 236 eingeschlossen sind ein Tuner und ein Demodulator, die sich auf analoge Trägerkanäle einstellen und einen MPEG-Datenstrom demodulieren, um einfachgerichtete Abgabe des Inhalts zu erlauben. Ebenfalls in dem Netzanschluss 236 eingeschlossen sind ein Steuerdatentransceiver oder Kabelmodem, der bi-direktionale Kommunikation von Steuerdaten-Informationen und/oder -Inhalt ermöglicht. Um das Laden des Steuerdatenwegs zu der Kopfstelle 104 gleichmässiger zu verteilen, kann eine Zwischenspeicherprinzip-Methodik verwendet werden.
  • Modulieren des digitalen Videosignals auf ein analoges Signal, das mit dem TV-Display 216 kompatibel ist, wird von der Display-Schnittstelle 244 durchgeführt. Wie oben besprochen, akzeptiert das TV-Display 216 im Allgemeinen auf Kanal drei, Kanal vier oder einem gemischten Kanal modulierte Signale. Für Displays, die eine digitale Eingabe akzeptieren, wie beispielsweise LCD-Displays, führt die Display-Schnittstelle 244 jedes durch die digitale Eingabe erforderliche Formatieren durch.
  • Der IR-Anschluss 248 kommuniziert bi-direktional mit einer drahtlosen Eingabevorrichtung 218. In dem IR-Anschluss 248 eingeschlossen ist ein IR-Transceiver, der den drahtlosen Kommunikationskanal mit der Eingabevorrichtung 218 bereitstellt. Weitere Elektronik in dem IR-Anschluss 248 konvertiert von dem Transceiver empfangene analoge Signale in ein entsprechendes digitales Signal und konvertiert an den Transceiver gesendete analoge Signale aus einem entsprechenden digitalen Signal. Der Kontrollen 220 verarbeitet die digitalen Signale, so dass der Teilnehmer manche der Funktionen innerhalb der Set-Top-Box 108 steuern kann.
  • Das Sicherheitsmodul 240 reguliert Sicherheitsfunktionen innerhalb der Set-Top-Box 108. Das Sicherheitsmodul 240 führt beispielsweise Authentifizierung und Autorisierung entweder unter der Leitung des Kontrollers 220 oder unabhängig von dem Kontrollen 220 durch, wie in der Besprechung unten deutlich wird. Um seine Aufgaben durchzuführen, schließt das Sicherheitsmodul 240 einen Prozessor, RAM und ROM ein, die zusammenarbeiten, um Software unabhängig von dem Kontrollen 220 auszuführen. Das Sicherheitsmodul 240 schließt außerdem eine Entschlüsselungsmaschine und eine Hash-Funktion zum Decodieren von Inhalt und Berechnen von Signaturen ein. Wie zu erkennen ist, kann ein Raubkopierer fähig sein, die Software entweder in dem Kontrollen 220 oder dem Sicherheitsmodul 240 zu hacken, um den Eindruck zu erwecken, dass Authentifizierung und Autorisierung durchgeführt und dass bestimmte Ergebnisse erzielt wurden.
  • Unter Bezugnahme auf 35 sind jeweils eine Autorisierungsnachricht 300, eine Objektnachricht 400 und eine Signaturgruppe 500 in Blockdiagrammform gezeigt. In der Autorisierungsnachricht 300 aus 3 sind ein Autorisierungs-Header 304, eine Autorisierungsdatenstruktur 308, eine Signatur 312 und eine erste Prüfsumme 316 eingeschlossen. Die Autorisierungsnachricht 300 weist Informationen auf, die sowohl zum Authentifizieren als auch Autorisieren der Objektnachricht 400 verwendet werden. Die Objektnachricht aus 4 wird von einem Objekt-Header 404, einem Objekt 408 und einer zweiten Prüfsumme 412 geformt. Die Softwarenachricht 400 dient als Transport für das Objekt 408. Die Signaturgruppe 500 schließt Komponenten der Autorisierungsnachricht 300 und Softwarenachricht 400, in Ende-Ende-Anordnung, ein. Die Signatur 312 wird über die gesamte Signaturgruppe 500 berechnet. Genauer schließt die Signaturgruppe 500 aus 5 den Autorisierungs-Header 304, die Autorisierungsdatenstruktur 308, den Objekt-Header 404 und das Objekt 408 ein.
  • Der Autorisierungs-Header 304 gibt die Konfiguration der Autorisierungsnachricht 300 an. In dem Header 304 sind ein Untertyp-Identifikator und eine Nachrichtenversion eingeschlossen. Der Untertyp-Identifikator unterscheidet die unterschiedlichen Arten der Autorisierungsnachrichten 300 voneinander. In dieser Ausführungsform entsprechen Autorisierungsnachricht-Untertypen Objekten und Betriebsmitteln. Objekt-Untertypen weisen eine entsprechende Objektnachricht 400 auf, Betriebsmittel-Untertypen hingegen nicht. Demgemäß wird der Untertyp-Identifikator zur Bestimmung, ob eine Objektnachricht 400 mit einer zugehörigen Autorisierungsnachricht 300 vorhanden ist, verwendet. Ein gegebenes System kann verschiedene Arten von Softwareobjekt-Untertypen und Betriebsmittel-Untertypen aufweisen und die Nachrichtenversion erlaubt ein Unterscheiden der verschiedenen Arten voneinander.
  • Die Autorisierungsdatenstruktur 308 stellt der Set-Top-Box 108 Autorisierungsinformationen bereit. Im Falle, dass ein Autorisierungsnachricht-Untertyp einem Objekt entspricht, enthält die Autorisierungsdatenstruktur 308 einen Objekt-Identifikator, eine Softwareversion, Kosteninformationen, Berechtigungsinformationen, Lebensdauerinformationen und eine oder mehrere Programmstufen. Der Objekt-Identifikator ist einzigartig für jedes Objekt 408 und erlaubt das Zuordnen einer Autorisierungsnachricht 300 an ihre entsprechende Objektnachricht 400. Die Versionsinformationen sind in der Datenstruktur 308 eingeschlossen, um die Version des Objekts 408 anzugeben.
  • Teile der Autorisierungsdatenstruktur 308 werden verwendet, um die Verfügbarkeit des Objekts 408 für die Set-Top-Box 108 zu bestimmen. Die Kosteninformationen geben der Set-Top-Box 108, und manchmal dem Teilnehmer, den mit dem Objekt 408 verbundenen Preis an. Die Berechtigungsinformationen werden verwendet, um zu bestimmen, ob die bestimmte Set-Top-Box 108 autorisiert ist, das Objekt 408 zu akzeptieren. Die Berechtigungsinformationen können einen Schlüssel einschließen, wenn das Objekt 408 mit einem symmetrischen Schlüssel verschlüsselt worden ist. Falls die Set-Top-Box 108 nicht für das Objekt autorisiert ist, besteht kein Bedarf, das entsprechende Objekt 408 zu verarbeiten, wenn es empfangen wird. Die Lebensdauerinformationen erlauben das Erlöschen der Autorisierung des Objekts 408, um den Gebrauch nach einem gewissen Datum oder Zeitraum zu verhindern. Programmstufen werden verwendet, um die Autorisierung von Objekten 408 auf vorgegebene Stufen einzuschränken, so dass eine Set-Top-Box 108 lediglich auf Objekte 408 innerhalb einer vorbestimmten Stufe zugreifen kann.
  • Die Signatur 312 wird verwendet, um zu überprüfen, dass Teile sowohl der Autorisierungsnachricht 300 als auch der entsprechenden Softwarenachricht 400 authentisch sind. Eine Hash-Funktion, wie beispielsweise SHA-1 oder MD5 wird über die gesamte Signaturgruppe laufen gelassen, wonach das Ergebnis durch einen Unterzeichnungsalgorithmus, wie beispielsweise RSA, ECC und DSA, laufen gelassen wird, um die Signatur zu erzeugen. Alternativ dazu könnte ein einfacher CRC-Algorithmus für die Hash-Funktion verwendet werden, wonach das Ergebnis durch einen Verschlüsselungsalgorithmus, wie beispielsweise ein Dreifach-DES und DES, gesendet wird, um die Signatur zu erzeugen. Wenn die Autorisierungsnachricht 300 zusammengestellt wird, berechnet die Kopfstelle 104 die Signatur 312 über die gesamte Signaturgruppe 500, bevor sie die Signatur 312 in die Autorisierungsnachricht 300 einfügt. Die Set-Top-Box 108 berechnet die Signatur der Signaturgruppe 500 nach Erhalt der Autorisierungs- wie auch der Softwarenachricht 300, 400. Sobald die Signatur berechnet worden ist, wird sie mit der empfangenen Signatur verglichen, um Teile der Autorisierungs- wie auch der Softwarenachricht 300, 400 zu authentifizieren. Stimmen die Signaturen nicht überein, verwirft die Set-Top-Box 108 die Softwarenachricht 400, da sie mutmaßlich von einer unzulässigen Quelle kam.
  • Die erste und zweite Prüfsumme 316, 412 wird mit entweder linearen oder nicht linearen Algorithmen berechnet. Diese Prüfsummen 316, 412 überprüfen die Integrität der Daten, während diese über das Netz 208 zur Set-Top-Box 108 transportiert werden. Die Prüfsumme könnte beispielsweise eine zyklische Blocksicherung (CRC) sein, die eine binäre Addition ohne Übertrag für jedes Byte in der Nachricht durchführt. Der Nachrichten-Spooler 208 berechnet die Prüfsumme 316, während die Nachricht 300 gesendet wird und hängt die Prüfsumme 316 an das Ende der Nachricht 300. Wechselweise berechnet die Set-Top-Box 108 die Prüfsumme, während die Nachricht 300 empfangen wird, und vergleicht die berechnete Prüfsumme mit der Prüfsumme 316 in der empfangenen Nachricht 300. Stimmen die berechneten und empfangenen Prüfsummen nicht überein, ist ein Fehler in der Übertragung aufgetreten. Nachrichten 300, 400 mit Fehlern werden verworfen, wonach die Kopfstelle 104 Ersatz-Nachrichten 300, 400 senden kann.
  • Der Objekt-Header 404 schließt Attribute für die Objektnachricht 400 ein. Im Objekt-Header 404 sind eine Header-Länge, eine Objektlänge, der Objekt-Identifikator, die Softwareversion und ein Domänen-Identifikator eingeschlossen. Der Header und die Objektlängen geben jeweils die Längen des Objekt-Headers 404 und des Objekts 408 an. Wie oben beschrieben, stellt der Objekt-Identifikator einen einzigartigen Code bereit, der das Zuordnen der Autorisierungsnachricht 300 zu der Objektnachricht 400 erlaubt. Die Softwareversion gibt die Version des Objekts an. Unterschiedlichen Kabel-TV-Anbietern sind Domänen-Identifikatoren zugeteilt, so dass alle Set-Top-Boxen 108, die ein Objekt 408 empfangen können, nach ihren Domänen verbundene Objekte 408 abtasten können.
  • Das Objekt 408 schließt Inhalt ein, den das dafür konfigurierte System 100 an Set-Top-Boxen 108 liefert. In einem Objekt können verschiedene Arten von Informationen eingeschlossen sein, wie etwa ausführbare Programme, Firmware-Erweiterungen, Ausführungsprogramme (z. B.
  • Java® oder ActiveX®), Programmierungspläne, Rechnungsinformationen, Video, Audio oder Daten. Das Objekt 408 kann umgehend nach der Authentifizierung und der Autorisierung oder zu einem späteren Zeitpunkt genutzt werden. Außerdem kann die Autorisierung so programmiert werden, dass sie nach einem gewissen Zeitraum verfällt.
  • Mit besonderem Bezug auf 5 ist die Signaturgruppe 500 gezeigt. Diese Gruppe 500 umfasst Teile sowohl der Autorisierungsnachricht 300 als auch der Objektnachricht 400. Alle zur Berechnung der Signatur 312 verwendeten Daten sind in der Signaturgruppe 500 eingeschlossen. Da die Signatur Komponenten der Autorisierungsnachricht 300 sowie der Objektnachricht 400 erfordert, gibt eine verfehlte Signaturprüfung an, dass entweder die Autorisierungsnachricht 300 oder die Softwarenachricht 400 nicht als von einer zuverlässigen Quelle stammend verifiziert werden können. Wobei die zuverlässige Quelle der Kabel-TV-Anbieter ist, der die Signatur 312 erzeugt hat.
  • Als nächstes, unter Bezugnahme auf 6, wird eine Ausführungsform eines Prozesses zum Testen der Integrität der Sicherheit in einer Set-Top-Box gezeigt. Dieser Prozess erkennt Modifikationen an der Set-Top-Box, die erfolgreiche Authentifizierung von Nachrichten mit ungültigen Signaturen oder erfolgreiche Autorisierung von Nachrichten mit unzulässiger Berechtigung verursachen. Durch Umgehen der Autorisierungsprüfung kann eine gehackte Set-Top-Box 108 sich selbst autorisieren, jeden an sie übertragenen Inhalt zu empfangen. Wie ein Fachmann auf diesem Gebiet anerkennen wird, könnte ein Raubkopierer eine Set-Top-Box so hacken, dass alle Objekte 408 ohne jede Prüfung authentifiziert und autorisiert werden. Modifizieren der Software in dem Sicherheitsmodul 240 oder Kontrollen 220 könnte diese Umgehung der Sicherheit erreichen. In einem gehackten System würde jedoch eine Nachricht, die gezielt einen Fehler enthält, nicht zu einem Fehler führen, der zurück an die Kopfstelle 104 gemeldet wird. Durch Erkennen dieser Ablaufunterbrechung werden gehackte Set-Top-Boxen erkannt.
  • Der Prozess beginnt bei Schritt 604, wo die Kopfstelle 104 Autorisierungs- und Objektnachrichten 300, 400 erzeugt, die gemeinsam eine Test-Signaturgruppe 500 und Signatur 312 einschließen. Entweder die Test-Signaturgruppe 500 oder die Signatur 312 schließt absichtlich einen Fehler ein. Bei dem Fehler könnte es sich um einen oder mehrere fehlerhafte Bits handeln, die irgendwo in der Test-Signaturgruppe 500 oder der Signatur 312 platziert sind. In Schritt 608 werden die Nachrichten 300, 400 an die Set-Top-Box 108 gesendet. Die ersten und zweiten Prüfsummen 316, 412 werden richtig auf den fehlerhaften Nachrichten 300, 400 berechnet und an die Nachrichten 300, 400 angehängt, außer, das Prüfsummen-Gültigkeitsprüfungs-Programm soll getestet werden. Die Set-Top-Box 108 empfängt die Nachrichten 300, 400 in Schritt 612.
  • Das Bearbeiten nach Schritt 612 hängt davon ab, ob die Authentifizierungs- und Autorisierungsprogramme gehackt sind, so dass sie immer melden, dass die Nachrichten 300, 400 Authentifizierung und Autorisierung bestehen. Wenn die Sicherheitsfunktionen der Set-Top-Box 108 nicht gehackt worden sind, dauert das Bearbeiten bis zu den Schritten 618, 620 und 624 an, wo übliches Bearbeiten durchgeführt wird. In Schritt 618 führt das Sicherheitsmodul 240 Authentifizierung und Autorisierung durch. Da die Nachrichten 300, 400 mindestens einen absichtlichen Fehler einschließen, scheitert die Authentifizierung. Als Teil der üblichen Arbeitsabläufe werden Authentifizierungs- und Autorisierungs-Fehler in Schritt 620 zurück an die Kopfstelle 104 gemeldet. In Schritt 624 empfängt die Kopfstelle 104 den Fehler, was die erwartete Reaktion ist. Demgemäß wird keine Ablaufunterbrechung für die ungehackte Set-Top-Box 108 gemeldet.
  • Wenn die Authentifizierungs- und Autorisierungprüfungen durch einen Raubkopierer, Virus oder andere Probleme deaktiviert werden, meldet das Sicherheitsmodul 240 in Schritt 628 keinen Fehler an die Kopfstelle 104. Nachdem kein Fehler von der Kopfstelle 104 empfangen worden ist, wird eine Ablaufunterbrechung durch den Inhaltanbieter gemeldet. Um die gestörte Set-Top-Box 108 zu deaktivieren, werden zukünftige Berechtigungen und Autorisierungen nicht an die Top-Set-Box 108 adressiert. Zusätzlich könnten Anstrengungen unternommen werden, die gehackte Set-Top-Box 108 abzurufen und den Raubkopierer zu ergreifen.
  • Unter Bezugnahme auf 7 wird eine weitere Ausführungsform eines Prozesses zum Erkennen von Modifikationen an den Sicherheitsfunktionen der Set-Top-Box 108 gezeigt. Diese Ausführungsform schützt vor einer gehackten Set-Top-Box, die auf bekannte Objekte 408 ohne Fehler reagiert und auf unbekannte Objekte 408 mit einem Fehler reagiert. Die gehackte Set-Top-Box in dieser Ausführungsform ist modifiziert, um gewisse Signaturgruppen durch Aufnahme einer Liste ihrer Signaturen 312 oder auch durch Abnehmen von Fingerabdrücken an den Objekten zu erkennen. Diese erwünschten Signaturen werden von anderen Set-Top-Boxen oder verschiedenen verborgenen Mitteln gesammelt.
  • Der Prozess beginnt bei Schritt 704, wo die Kopfstelle 104 zufällig Autorisierungs- und Objektnachrichten 300, 400 ohne irgendwelche Fehler vorbereitet. Diese Nachrichten 300, 400 erfüllen keinen funktionalen Zweck und würden auf der Liste von Fingerabdrücken, die vom Raubkopierer erhalten worden sind, nicht erscheinen. Die Nachrichten 300, 400 sind zufällig erzeugt, so dass sie von der gehackten Set-Top-Box nicht erkannt werden können. Zusätzlich werden die Testgruppen zu zufälligen Zeiten gesendet und erscheinen üblichen Objekten 408 ähnlich. In Schritt 708 werden die Nachrichten 300, 400 an die Set-Top-Box gesendet. Die Set-Top-Box 108 empfängt die Nachrichten 300, 400 in Schritt 712.
  • Das Bearbeiten nach diesem Punkt hängt davon ab, ob die Sicherheitsmechanismen umgangen worden sind. Wenn keine Modifikation an den Sicherheitsmerkmalen vorliegt, werden Authentifizierung und Autorisierung in Schritt 718 ohne Auffinden von Fehlern durchgeführt. Da in Schritt 718 kein Fehler in der Testsignaturgruppe gefunden worden ist, wird in Schritt 720 kein Fehler an die Kopfstelle 104 gemeldet. Die Kopfstelle 104 nimmt wahr, dass sich die Set-Top-Box 108 in Schritt 724 normal verhält.
  • Alternativ dazu wird das Bearbeiten von Schritt 716 bis Schritt 728 fortgeführt, wenn die Sicherheitsmerkmale gehackt sind, um manche Signaturgruppen zu erkennen, während alle anderen zurückgewiesen werden. In Schritt 728 bezieht sich die gehackte Software in der Set-Top-Box 108 auf die Liste der zu erkennenden Objekte 408. Wenn das Objekt 408 erkannt ist, wird das Bearbeiten bis Schritt 732 fortgeführt, wo kein Fehler an die Kopfstelle 104 gemeldet wird. Als nächstes lädt die Set-Top-Box 108 das Objekt in Schritt 736. In diesem Beispiel wird das Objekt 408 jedoch wahrscheinlich nicht erkannt, weil die Nachrichten 300, 400 zufällig erzeugt sind, so dass Erkennung äußerst selten stattfindet.
  • Wenn das Objekt 408 nicht erkannt wurde, wird in Schritt 740 ein Fehler an die Kopfstelle 104 gemeldet. Die Fehlernachricht schließt den einzigartigen Identifikator der Set-Top-Box 108, den Fehlertyp und die Statusinformationen ein. Durch Melden dieses Fehlers, wenn keiner aufgetreten sein sollte, erzeugt die Kopfstelle 104 in Schritt 744 eine Ablaufunterbrechung. An diesem Punkt geht die Kopfstelle 104 davon aus, dass die Set-Top-Box 108 gestört ist. Nach weiteren Tests könnte der Inhaltanbieter Schritte unternehmen, um den Arbeitsablauf der gestörten Set-Top-Box 108 zu stoppen.
  • Als nächstes, unter Bezugnahme auf 8, wird eine Ausführungsform eines Prozesses gezeigt, der einen Trojanisches Pferd-Mechanismus verwendet, um den Betrieb einer Set-Top-Box 108 zu unterbrechen. Der Trojanisches Pferd-Mechanismus aktiviert sich, wenn er erkennt, dass übliche Authentifizierung und Autorisierung nicht durchgeführt wird. Sobald er aktiviert ist, wird eine Nachricht an das TV-Display 216, das das übliche Programm unterbricht, ausgegeben.
  • Bearbeitung beginnt bei Schritt 804, wo die Kopfstelle 104 eine Trojanisches Pferd-Signaturgruppe 500 und Signatur 312, die absichtlich einen Fehler einschließt, erzeugt. Dieser Fehler beeinträchtigt den Arbeitsablauf des Trojanisches Pferd-Objekts 408 nicht. Der Trojanisches Pferd-Mechanismus kann in einer üblichen Anwendung eingeschlossen sein, so dass er so unauffällig wie möglich erscheint. Das übliche E-Mail-Anwendungsobjekt könnte beispielsweise den Trojanisches Pferd-Code einschließen, allerdings deaktiviert. Der eingeführte Fehler könnte einen einzigen Bitwert verändern, der den Trojanisches Pferd-Code in der E-Mail-Anwendung aktivieren würde. Durch Testen auf den vorbestimmten Fehler weiß die E-Mail-Anwendung, wann der Trojanisches Pferd-Code aktiviert werden muss und wann nicht. Demgemäß unterscheidet sich das aktivierte Trojanisches Pferd-Objekt nur durch ein Bit von dem üblichen E-Mail-Objekt.
  • Die Trojanisches Pferd-Nachrichten 300, 400 werden in Schritt 808 an die Set-Top-Box 108 gesendet und in Schritt 812 von der Set-Top-Box 108 empfangen. Weiteres Bearbeiten hängt davon ab, ob die Sicherheitsmerkmale deaktiviert worden sind, so dass Authentifizierung und Autorisierung nicht durchgeführt werden. Wenn die Sicherheitsmerkmale nicht deaktiviert oder gehackt worden sind, wird das Bearbeiten bis Schritt 820 fortgeführt, wo Authentifizierung und Autorisierung auf übliche Weise durchgeführt werden. Da die Trojanisches Pferd-Nachrichten 300, 400 den absichtlichen Fehler einschließen, wird Authentifizierung und/oder Autorisierung fehlschlagen. Das Fehlschlagen dieser Überprüfungen führt zur Entfernung des Trojanisches Pferd-Objekts 408 aus dem Speicher. In Schritt 824 meldet das Sicherheitsmodul 240 den Fehler an die Kopfstelle 104. Da ein Fehler erwartet wird, nimmt der Inhaltanbieter wahr, dass sich die unmodifizierte Set-Top-Box 108 normal verhält. Die E-Mail-Anwendung ohne den Fehler wird periodisch verteilt, und schließt den Fehler nur während gelegentlicher Tests ein.
  • Im Gegensatz hierzu verhält sich eine gehackte Set-Top-Box 108 anders als die unmodifizierte Set-Top-Box 108. Auf der gehackten Set-Top-Box 108 läuft keine Authentifizierung oder Autorisierung. Demgemäß wird in der Trojanisches Pferd-Signaturgruppe kein Fehler erkannt und kein Fehler wird in Schritt 832 an die Kopfstelle 104 zurück gemeldet. Nachdem keine Fehlernachricht empfangen wurde, nimmt der Inhaltanbieter in Schritt 836 eine Ablaufunterbrechung für die gehackte Set-Top-Box 108 wahr.
  • Das Sicherheitsmodul 240 ist normalerweise an Authentifizierung und Autorisierung beteiligt. Zusätzlich kann das Laufen von Authentifizierung und Autorisierung von Software in der Set-Top-Box 108 wahrgenommen werden. Durch das Wahrnehmen, dass Authentifizierung und Autorisierung nicht durchgeführt worden sind, wird das Trojanische Pferd in dem Objekt aktiviert und unterbricht den Arbeitsablauf der Set-Top-Box 108. Die Unterbrechung könnte eine Nachricht auf dem TV-Display 216 anzeigen oder andernfalls die Funktionalität der Set-Top-Box 108 deaktivieren.
  • Obwohl die Ausführungsform aus 8 das Laufen von Authentifizierung und Autorisierung, um zu bestimmen, wann die Set-Top-Box 108 gehackt worden ist, wahrnimmt, könnten andere Ausführungsformen diese Bestimmung auf andere Weise vornehmen. In einer bevorzugten Ausführungsform ist ein Fehler in mindestens entweder der Signaturgruppe 500 oder der Signatur 312 eingeschlossen, so dass Authentifizierung immer fehlschlagen und das Trojanisches Pferd-Objekt 408 dazu bringen sollte, nicht geladen zu werden. Eine gehackte Set-Top-Box 108 könnte das Fehlschlagen der Authentifizierung übersehen und das Objekt 408 trotzdem laufen lassen. Innerhalb des Trojanisches Pferd-Objekts 408 befinden sich unterbrechende Programme, die Funktionen innerhalb der Set-Top-Box 108 deaktivieren. Demgemäß ist die bloße Tatsache, dass das Trojanisches Pferd-Objekt 408 lädt, ein Zeichen, dass das Authentifizierungsprogramm deaktiviert ist.
  • In einer weiteren Ausführungsform beschattet das Trojanisches Pferd-Objekt 408 das Sicherheitsmodul 240, wenn es einige der Sicherheitsfunktionen wie Authentifizierung und Autorisierung durchführt. Mit anderen Worten vervielfältigt das Trojanisches Pferd-Objekt 408 die Authentifizierung und Autorisierung, um den richtigen Arbeitsablauf des Sicherheitsmoduls 240 zu verifizieren. Wenn das Trojanisches Pferd-Objekt 408 durch Verifizieren eines Teils der Funktionalität von Modul 240 erkennt, dass das Sicherheitsmodul 240 in irgendeiner Weise defekt ist, aktiviert sich die Trojanisches Pferd-Funktionalität, um die Verwendung der Set-Top-Box 108 zu unterbrechen.
  • In einer bevorzugten Ausführungsform könnte die Autorisierung durch Verwendung einer ungültigen Autorisierung getestet werden. Eine zufällige Autorisierungsstufe oder ein zufälliges Autorisierungsniveau, das dem Liefersystem 100 als ungültig bekannt ist, wird beispielsweise dem Trojanisches Pferd-Objekt 408 zugeteilt. Da die Autorisierungsstufe ungültig ist, sollte keine Set-Top-Box 108 autorisiert sein, das Trojanisches Pferd-Objekt 408 zu laden. Wenn das Trojanisches Pferd-Objekt 408 trotz der ungültigen Autorisierungsstufe geladen wird, unterbricht das Objekt 408 den Arbeitsablauf der Set-Top-Box 108.
  • Wie ein Fachmann auf diesem Gebiet erkennen wird, könnte eine gehackte Set-Top-Box 108 die Autorisierungsstufen, die normalerweise in einem Versuch, die ungültigen Autorisierungsstufen zu bestimmen, verwendet werden, überwachen. Sobald die angeblich ungültigen Autorisierungsstufen bekannt sind, werden Objekte, die mit den vorher unbenutzten Autorisierungsstufen verbunden waren, nicht geladen, da sie vermutlich Trojanisches Pferd-Objekte 408 sind. Um dieses Hacken durch den Raubkopierer zu umgehen, könnte die zufällige Autorisierungsstufe, die zum ersten Mal von einem Trojanisches Pferd-Objekt 408 benutzt wurde, später als eine gültige Autorisierungsstufe, die üblichen Objekten 408 entsprach, verwendet werden. Demgemäß könnte der Raubkopierer nicht alle Objekte 408, die mit einer neuen Autorisierungsstufe verbunden sind, zurückweisen, ohne übliche Objekte 408 zu verlieren.
  • In einer weiteren Verbesserung wird ein Testobjekt der neuen Autorisierungsstufe zugeteilt und an die Set-Top-Boxen 108 übertragen. Da die zufällige Autorisierungsstufe zu einer gültigen Autorisierungsstufe geworden ist, führen normale Set-Top-Boxen das Testobjekt aus, gehackte Set-Top-Boxen weisen jedoch das Testobjekt 408 zurück, nur weil es zu der zufälligen Autorisierungsstufe gehört. In der üblichen Set-Top-Box fragen die Testobjekt-Monitoren die Set-Top-Box 108 ab und melden den Status zurück an die Kopfstelle 104. Im Gegensatz hierzu weist die gehackte Set-Top-Box das Testobjekt zurück, das nicht laden und keinen Status zurückmelden kann. Die Abwesenheit von Status an der Kopfstelle 104 gibt der Kopfstelle 104 an, dass die Set-Top-Box 108 defekt ist. Sobald sich die Kopfstelle 104 der Ablaufunterbrechung bewusst ist, wird die defekte Set-Top-Box markiert, so dass eingegriffen werden kann.
  • Unter Bezugnahme auf 9 wird eine weitere Ausführungsform eines Prozesses gezeigt, der einen Trojanisches Pferd-Mechanismus verwendet, um den Betrieb auf einer gehackten Set-Top-Box 108 zu unterbrechen. Diese Ausführungsform testet Set-Top-Boxen 108, die deaktivierte Betriebsmittel-Autorisierungsmechanismen aufweisen. Objekte 408 sind autorisiert, mit vorbestimmten Betriebsmitteln, wie in der Autorisierungsdatenstruktur 308 festgelegt, zu interagieren. Nach Zugriff auf ein Betriebsmittel durch ein Objekt 408 wird die zur Verwendung dieses Betriebsmittels notwendige Autorisierung während des üblichen Arbeitsablaufs der Set-Top-Box 108 überprüft. Jeder nicht autorisierte Zugriff wird zurück an die Kopfstelle 104 gemeldet.
  • Der Prozess beginnt bei Schritt 904, wo der Inhaltanbieter eine Trojanisches Pferd-Signaturgruppe 500 und eine Signatur 312 in der Kopfstelle 104 erzeugt. In der Trojanisches Pferd-Signaturgruppe 500 ist ein Objekt 408, das gezielt auf ein Betriebsmittel, das durch die Autorisierungsdatenstruktur 308 des Objekts 408 nicht erlaubt ist, zugreift, eingeschlossen. Die Trojanisches Pferd-Signaturgruppe 500 wird durch die Kopfstelle 104 in Schritt 808 gesendet und durch die Set-Top-Box in Schritt 812 empfangen. Weiteres Bearbeiten hängt davon ab, ob die Sicherheitsmerkmale deaktiviert worden sind, so dass Autorisierung nicht durchgeführt werden kann.
  • Wenn die Sicherheitsmerkmale normal funktionieren, wird das Bearbeiten bis zu Schritt 920 fortgeführt, wo Authentifizierung und Autorisierung auf den Trojanisches Pferd-Nachrichten 300, 400 durchgeführt werden. Nach Laden des Objekts 408 versucht es, in Schritt 924 auf ein nicht autorisiertes Betriebsmittel zuzugreifen. Der Fehler bei der Autorisierung wird bei Schritt 928 bemerkt, und das Sicherheitsmodul 240 informiert die Kopfstelle 104 über den Fehler. Aufgrund des Fehlschlagens der Autorisierung wird das Objekt 408 aus dem Speicher 228 entfernt. Das Entfernen des Objekts 408 aus dem Speicher 228 verhindert die nachfolgenden unterbrechenden Funktionen des Objekts 228. Nach Empfang der Fehlernachricht nimmt die Kopfstelle 104 wahr, dass die Set-Top-Box 108 normal reagiert hat.
  • Alternativ dazu überprüft die gehackte Set-Top-Box 108 die Autorisierung nicht. In Schritt 936 greift das Objekt 408 ungehindert auf das Betriebsmittel zu, obwohl es nicht autorisiert ist. Demgemäß wird in Schritt 940 kein Fehler an die Kopfstelle 104 gesendet. Wenn die Kopfstelle 104 bemerkt, dass kein Fehler empfangen wird, wird eine Ablaufunterbrechung in Schritt 944 wahrgenommen, die bedeutet, dass die Set-Top-Box 108 gestört ist. Da das Trojanisches Pferd-Objekt 408 im Speicher 228 bleiben und die Ausführung fortsetzen konnte, unterbricht das Trojanisches Pferd-Objekt 408 die Funktionalität der Set-Top-Box 108. Auf diese Weise wird die Autorisierung zur Verwendung von Betriebsmitteln durch den Inhaltanbieter verifiziert.
  • Die Ausführungsform von 9 ist wirksam, wenn ein Trojanisches Pferd-Objekt für die einzigartige Adresse und Autorisierungen für jede Set-Top-Box 108 ausgelegt ist. Der Fachmann wird erkennen, dass unterschiedliche Set-Top-Boxen 108 unterschiedliche Autorisierungen für ihre Betriebsmittel aufweisen können. Um die Ablaufunterbrechung auf die in Bezug auf 9 beschriebene Weise zu verschließen, wählt der Inhaltanbieter ein Betriebsmittel, das noch nicht für eine bestimmte Set-Top-Box 108 ausgewählt ist.
  • In einem System 100, in dem die Trojanisches Pferd-Objekte nicht einzigartig formuliert und an jede Set-Top-Box adressiert sind, wird ein einziges Trojanisches Pferd-Objekt zur Verwendung durch eine Anzahl von Boxen übertragen. In dieser Ausführungsform überträgt das System 100 ein Testobjekt vor dem Übertragen des Trojanisches Pferd-Objekts. Das Testobjekt dient als nicht autorisiertes Betriebsmittel, auf das das Trojanisches Pferd-Objekt zuzugreifen versucht. Auf diese Weise ist das Wissen darüber, welche Betriebsmittel in jeder Set-Top-Box 108 autorisiert sind, unwichtig.
  • Um Erkennung des nicht autorisierten Betriebsmittels zu verhindern, so dass eine gehackte Set-Top-Box mit einem Fehler reagieren könnte, wenn auf das nicht autorisierte Bebtriebsmittel zugegriffen wird, wird das nicht autorisierte Betriebsmittel letztendlich autorisiert. Sobald es autorisiert ist, wird ein Testobjekt an die Set-Top-Boxen 108 übertragen, um auf das nun autorisierte Betriebsmittel zuzugreifen. Unmodifizierte Set-Top-Boxen 108 erlauben den Zugriff ohne Fehler. Eine gehackte Set-Top-Box würde jedoch mit einem Fehler reagieren, wegen der falschen Annahme, dass das Betriebsmittel immer noch nicht autorisiert ist. Dieser Fehler der gehackten Set-Top-Box erzeugt eine Ablaufunterbrechung, die signalisiert, dass die gehackte Set-Top-Box komprimiert ist.
  • Angesichts der obigen Beschreibung sind eine Anzahl von Vorteilen der vorliegenden Erfindung leicht ersichtlich. Der Kabel-TV-Anbieter erkennt Störungen in der Set-Top-Box, die den üblichen Arbeitsablauf der Sicherheitsmechanismen beeinträchtigen. Zusätzlich hierzu können Signaturgruppen Trojanisches Pferd-Programme enthalten, die den Arbeitsablauf gestörter Set-Top-Boxen unterbrechen, so dass ein Raubkopierer den Inhalt nicht auf üblichem Wege einsehen kann.
  • Es können auch eine Anzahl von Variationen und Modifikationen der Erfindung verwendet werden. Die Set-Top-Box könnte beispielsweise keine separate Einheit sein, sondern im Fernseher oder in einer anderen audiovisuellen Ausstattung integriert sein. Obwohl die oben beschriebene Ausführungsform in Bezug auf 9 ein Trojanisches Pferd-Programm mit einem Test nicht autorisierter Betriebsmittel-Zugriffe koppelt, könnten andere Ausführungsformen nicht autorisierte Betriebsmittel-Zugriffe ohne ein Trojanisches Pferd-Programm testen. Das Fehlschlagen beim Erkennen des nicht autorisierten Betriebsmittel-Zugangs würde an die Kopfstelle zur Beschlussfassung zurückgemeldet werden.
  • Obgleich die Erfindung unter Bezugnahme auf deren spezifische Ausführungsformen beschrieben wird, dienen die Ausführungsformen lediglich der Veranschaulichung der Erfindung und nicht deren Einschränkung und deren Bereich soll nur durch die angehängten Ansprüche bestimmt werden.

Claims (11)

  1. Ein Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems, wobei das Verfahren folgende Schritte umfasst: Erzeugen einer Nachricht durch einen Inhaltanbieter, wobei die Nachricht absichtlich einen Fehler beinhaltet; Senden der Nachricht an einen Inhaltempfänger über ein Netz; Empfangen der Nachricht durch den Inhaltempfänger aus dem Netz; Bestimmen, ob der Inhaltempfänger den Inhaltanbieter über den Fehler in der Nachricht nicht informiert; und Erkennen von unbefugter Modifikation an dem Inhaltempfänger, das mindestens teilweise auf dem Bestimmungsschritt basiert.
  2. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1, das ferner einen Schritt des zufälligen Platzierens des Fehlers in der Nachricht umfasst.
  3. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß den Ansprüchen 1 und 2, das ferner folgende Schritte umfasst: Erkennen, ob der Inhaltempfänger mindestens entweder die Authentifizierung der Nachricht oder die Autorisierung der Nachricht nicht überprüft; und Laden eines Teils der Nachricht, die die Funktion des Inhaltempfängers unterbricht.
  4. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1 – 3, das ferner folgende Schritte umfasst: Interagieren mit einer unbefugten Quelle; Erkennen, ob der Inhaltempfänger den Interaktionsschritt nicht meldet; und Laden eines Teils der Nachricht, die die Funktion des Inhaltempfängers unterbricht.
  5. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1 – 4, das ferner folgende Schritte umfasst: Überprüfen der Authentizität der Nachricht, und Überprüfen der Autorisierung der Nachricht.
  6. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 5, das ferner einen Schritt des Meldens einer Ablaufunterbrechung umfasst, falls der Inhaltempfänger den Fehler als Reaktion auf entweder den einen oder den anderen Überprüfungschritt nicht meldet.
  7. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß den Ansprüchen 5 und 6, das ferner einen Schritt des Meldens einer Ablaufunterbrechung umfasst, falls der Inhaltempfänger den Fehler als Reaktion auf entweder den einen oder den anderen Überprüfungschritt meldet.
  8. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1 – 7, wobei der Erkennungsschritt einen Schritt des Erkennens, ob der Inhaltempfänger mindestens entweder die Authentifizierung der Nachricht oder die Autorisierung der Nachricht nicht überprüft, umfasst.
  9. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1 – 8, das ferner einen Schritt des Verifizierens der Gültigkeit der Nachricht, während diese vom Inhaltanbieter zum Inhaltempfänger übergeht, umfasst.
  10. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1 – 9, das ferner einen Schritt des Aufzeichnens einer Ablaufunterbrechung umfasst, falls der Inhaltempfänger den Inhaltanbieter über einen Fehler in der Nachricht informiert.
  11. Verfahren zum Erkennen von Modifikation an einem Inhaltempfänger innerhalb eines Zugangsberechtigungssystems gemäß Anspruch 1–10, wobei der Inhaltempfänger eine Set-Top-Box ist.
DE60003841T 1999-11-12 2000-11-10 Intrusionsmelder für objektsicherheit Expired - Fee Related DE60003841T2 (de)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US16509099P 1999-11-12 1999-11-12
US165090P 1999-11-12
US17396299P 1999-12-30 1999-12-30
US173962P 1999-12-30
US09/505,336 US6754908B1 (en) 1999-11-12 2000-02-16 Intrusion detection for object security
US505336 2000-02-16
PCT/US2000/030956 WO2001035635A2 (en) 1999-11-12 2000-11-10 Intrusion detection for object security

Publications (2)

Publication Number Publication Date
DE60003841D1 DE60003841D1 (de) 2003-08-14
DE60003841T2 true DE60003841T2 (de) 2004-06-03

Family

ID=27389102

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60003841T Expired - Fee Related DE60003841T2 (de) 1999-11-12 2000-11-10 Intrusionsmelder für objektsicherheit

Country Status (10)

Country Link
US (2) US6754908B1 (de)
EP (1) EP1228634B1 (de)
KR (1) KR20020059720A (de)
CN (1) CN1423892A (de)
AT (1) ATE244973T1 (de)
AU (1) AU3072201A (de)
CA (1) CA2390751A1 (de)
DE (1) DE60003841T2 (de)
ES (1) ES2202217T3 (de)
WO (1) WO2001035635A2 (de)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351817B1 (ko) * 2000-01-13 2002-09-11 엘지전자 주식회사 오픈케이블 수신 시스템 및 시스템 진단 방법
JP3864656B2 (ja) * 2000-01-18 2007-01-10 株式会社日立製作所 データ伝送方法
US20030208561A1 (en) * 2000-05-31 2003-11-06 Khoi Hoang Counterfeit STB prevention through protocol switching
JP4272801B2 (ja) * 2000-08-10 2009-06-03 キヤノン株式会社 情報処理装置及び方法
US20020112175A1 (en) * 2000-12-13 2002-08-15 Makofka Douglas S. Conditional access for functional units
US20020178455A1 (en) * 2001-03-14 2002-11-28 General Instrument Corporation Dynamic movement of the control channel for broadband communication devices
US20020141348A1 (en) * 2001-04-02 2002-10-03 Scott Swix Remote diagnostic tool for a media delivery network
US20030018445A1 (en) * 2001-07-19 2003-01-23 General Instrument Corporation Detection of unauthorized applications, objects, or configurations in a local device of a cable system
FR2831757B1 (fr) 2001-10-26 2004-01-30 Canal Plus Technologies Procede de verification de recepteurs de television a controle d'acces et recepteur correspondant
US7792978B2 (en) * 2001-12-28 2010-09-07 At&T Intellectual Property I, L.P. System and method to remotely manage and audit set top box resources
US7565678B2 (en) * 2001-12-28 2009-07-21 At&T Intellectual Property, I, L.P. Methods and devices for discouraging unauthorized modifications to set top boxes and to gateways
GB2395868A (en) * 2002-11-29 2004-06-02 Nokia Corp Messaging system using set-top box and television display
KR100456162B1 (ko) * 2002-12-14 2004-11-09 한국전자통신연구원 디지털 케이블 티비 제한수신시스템에서 키 업데이트 방법
US8191160B2 (en) * 2003-10-16 2012-05-29 Rene Juneau Method and system for auditing and correcting authorization inconsistencies for reception equipment in a content delivery network
US7958524B2 (en) * 2003-10-16 2011-06-07 Maxxian Technology Inc. Method and system for detecting and preventing unauthorized signal usage in a content delivery network
US7690042B2 (en) * 2003-12-08 2010-03-30 Nokia Corporation Method and device for sharing of content protected by digital rights management
US7895632B2 (en) * 2004-02-12 2011-02-22 Sony Corporation Cable diagnostic and monitoring system
CN1691581B (zh) * 2004-04-26 2010-04-28 彭诗力 基于特征值的多模式匹配方法
GB0411053D0 (en) * 2004-05-18 2004-06-23 Ricardo Uk Ltd Data processing
US8671457B2 (en) 2004-10-15 2014-03-11 Maxxian Technology Inc. Method and system for identifying and correcting location discrepancies for reception equipment in a content delivery network
US8205243B2 (en) * 2005-12-16 2012-06-19 Wasilewski Anthony J Control of enhanced application features via a conditional access system
US8824685B2 (en) * 2007-10-15 2014-09-02 Sony Corporation Method for detection of a hacked decoder
US8418215B2 (en) * 2009-10-22 2013-04-09 At&T Intellectual Property I, Lp System and method for using a set-top box application to diagnose customer premises equipment

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4599646A (en) * 1984-05-18 1986-07-08 D-Tec Industries, Inc. Method and apparatus for identifying unauthorized or defective converter/decoder boxes in CATV system
US4712239A (en) * 1986-06-16 1987-12-08 General Instrument Corporation Security arrangement for downloadable cable television converters
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
JPH03272293A (ja) * 1990-03-22 1991-12-03 Pioneer Electron Corp テレビジョン信号のスクランブル方法および装置
US5420923A (en) * 1993-02-16 1995-05-30 Scientific-Atlanta, Inc. Addressed messaging in a cable television system
US5483658A (en) * 1993-02-26 1996-01-09 Grube; Gary W. Detection of unauthorized use of software applications in processing devices
US5646997A (en) 1994-12-14 1997-07-08 Barton; James M. Method and apparatus for embedding authentication information within digital data
DE69637733D1 (de) 1995-02-13 2008-12-11 Intertrust Tech Corp Systeme und verfahren für ein sicheres übertragung
US6108365A (en) 1995-05-05 2000-08-22 Philip A. Rubin And Associates, Inc. GPS data access system
US5625693A (en) 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
JP2000503154A (ja) 1996-01-11 2000-03-14 エムアールジェイ インコーポレイテッド デジタル所有権のアクセスと分配を制御するためのシステム
JPH09311806A (ja) * 1996-05-24 1997-12-02 Hitachi Ltd データ不正更新の検出方法
US5844986A (en) 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US6119172A (en) * 1997-01-21 2000-09-12 Compaq Computer Corporation Access control for a TV/PC convergence device
US5968136A (en) 1997-06-05 1999-10-19 Sun Microsystems, Inc. Apparatus and method for secure device addressing
JP3921598B2 (ja) 1997-06-06 2007-05-30 ユーキューイー, エルエルシー スクランブルされたイベントに対するアクセスを管理する方法
WO1999009743A2 (en) 1997-08-01 1999-02-25 Scientific-Atlanta, Inc. Conditional access system
US5961644A (en) * 1997-09-19 1999-10-05 International Business Machines Corporation Method and apparatus for testing the integrity of computer security alarm systems
EP0909094A1 (de) 1997-10-07 1999-04-14 CANAL+ Société Anonyme Mehrdrahtdatenverarbeitungsgerät
EP0914001A1 (de) 1997-10-28 1999-05-06 CANAL+ Société Anonyme Fernladen von Anwendungen in einen Decoder
US6125447A (en) 1997-12-11 2000-09-26 Sun Microsystems, Inc. Protection domains to provide security in a computer system
US6069647A (en) 1998-01-29 2000-05-30 Intel Corporation Conditional access and content security method
EP0936813A1 (de) 1998-02-16 1999-08-18 CANAL+ Société Anonyme Digitale Bildverarbeitung in einem Kodierer
EP0946019A1 (de) 1998-03-25 1999-09-29 CANAL+ Société Anonyme Authentifizierung von Daten in einem digitalen Übertragungssystem
US6256393B1 (en) * 1998-06-23 2001-07-03 General Instrument Corporation Authorization and access control of software object residing in set-top terminals
US6865675B1 (en) 1998-07-14 2005-03-08 Koninklijke Philips Electronics N.V. Method and apparatus for use of a watermark and a unique time dependent reference for the purpose of copy protection
US6226618B1 (en) * 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system

Also Published As

Publication number Publication date
DE60003841D1 (de) 2003-08-14
WO2001035635A2 (en) 2001-05-17
CA2390751A1 (en) 2001-05-17
US20040194124A1 (en) 2004-09-30
CN1423892A (zh) 2003-06-11
WO2001035635A3 (en) 2001-11-29
EP1228634A2 (de) 2002-08-07
AU3072201A (en) 2001-06-06
EP1228634B1 (de) 2003-07-09
ATE244973T1 (de) 2003-07-15
KR20020059720A (ko) 2002-07-13
ES2202217T3 (es) 2004-04-01
US6754908B1 (en) 2004-06-22
US7590996B2 (en) 2009-09-15

Similar Documents

Publication Publication Date Title
DE60003841T2 (de) Intrusionsmelder für objektsicherheit
DE60112045T2 (de) Methode und gerät für sicheres fernladen von software
DE69932326T2 (de) Verbessertes verfahren für bedingten zugang und zur inhaltssicherung
DE60036086T2 (de) Berechtigung und zugriffskontrolle von in set-top geräten vorhandenen programmobjekten
DE60015964T2 (de) Verschlüsselungseinrichtung und verfahren zur integritätssicherstellung der gesicherten nachrichten eines treuhandvermittlers
DE60127681T2 (de) System zum Inhaltsschutz und zur Kopierverwaltung für ein Netzwerk
DE60119326T2 (de) Systeme und verfahren zur integritätszertifikation und verifikation von inhaltsverbrauchsumgebungen
US9038145B2 (en) Method and system for restricting access to user resources
DE69719803T3 (de) Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen
DE102006044299B4 (de) Vorrichtung und Verfahren zur gesicherten Verteilung von Inhalten in einem Telekommunikationsnetzwerk
DE69936157T2 (de) Authentifizierung von in einem digitalen Übertragungssystem übertragenen Daten
US6189101B1 (en) Secure network architecture method and apparatus
DE69634058T2 (de) System zur Datenurheberrechtsverwaltung unter Verwendung von Schlüsselverteilung
DE69837459T2 (de) Urheberrechtsdatenverwaltungssystem mit elektronischem Wasserzeichen
DE102006045352B4 (de) Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
CN1486569A (zh) 对于功能单元的条件访问
JP2004310420A (ja) 保守・診断データ蓄積サーバ、保守・診断データの蓄積・取得システム、保守・診断データの蓄積・提供システム
DE112017002050T5 (de) Konfiguration für Multifaktorautorisierung
EP3876127A1 (de) Gerätefernwartung auf basis verteilter datenspeicherung
DE69836215T2 (de) System um verschlüsselte Daten zu liefern, System um verschlüsselte Daten zu entschlüsseln und Verfahren um eine Kommunikationsschnittstelle in einem solchen System zur Verfügung zu stellen
US7225463B2 (en) Secure network architecture method and apparatus
EP1653701A1 (de) Verfahren, Vorrichtungen und Computerprogrammprodukt zur Überprüfung der Signaturen signierter Dateien und zur Konvertierung unsignierter Dateien
EP1240569A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
DE60002754T2 (de) Durchführung der objektsicherung
DE60021905T2 (de) Erkennung von verdächtigen software-objekten und unterschriften nach einer misslungenen authentifizierung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee