[发明专利]跟踪安全模块的未授权使用

说明书

技术领域

本发明涉及跟踪安全模块的未授权使用，特别地，尽管不是必需地，涉及用来产生跟踪数据以便跟踪一群安全模块中的欺诈(rogue)安全模块的方法和系统，涉及一种基于跟踪数据来跟踪一群安全模块中的欺诈安全模块的方法，涉及一种事件产生器、一种有条件访问数据发送器、一种事件检测器、一种事件分析器以及一种安全模块，它们用在使用这种方法的这种系统和计算机产品程序中，并且/或者与这种系统和计算机产品程序一起使用。

背景技术

用于数字视频广播(DVB)传输的有条件访问系统是熟知的，并且广泛地与付费电视服务结合使用。这样的系统提供广播流的安全传输，该广播流包括对于数字接收器的一项或多项服务，该数字接收器例如包含在支持广播服务的机顶盒或移动终端中。为了保护广播服务不被未授权观看，数据包在发送器侧用随机产生的加密密钥进行加扰(加密)，该加密密钥通常称作控制字。可以通过定期改变控制字从而使控制字仅在一定时段(所谓的保密时段)内有效而提供进一步的安全性。在这种情况下，对于每个保密时段，应该向接收器侧提供新的控制字。典型地，这些控制字使用所谓的权限控制消息(ECM)按加密形式传输到接收器。为了从ECM中检索控制字，接收器设有安全模块，例如智能卡或安全软件模块，该安全模块包括用来解密ECM的安全密钥。

尽管努力保护服务不被未授权观看，但敌手可能能够对安全模块、接收器进行逆向工程或者监视通信接口以提取用于未授权控制字分发的信息。在这种情况下，运营商可以使用跟踪方案来定位智能卡群中的受危害智能卡。跟踪方法是已知的。例如，US 7,155,611描述了一种基于二叉搜索的跟踪方法，其中，通过将不同密钥发送到智能卡群中的不同组并监视由敌手产生的密钥信息，可以反复地跟踪未授权智能卡。

与现有技术相关的一个问题是：它依赖于在控制字的未授权再分发中使用单个欺诈智能卡的前提。然而，在实际中，敌手常常使用多个欺诈智能卡，以便将控制字提供给其订阅者。例如，使用连接到多个欺诈智能卡的服务器可以重新分发控制字。这种重新分发服务器可以使用特定算法在不同的卡之间切换，从而基于二叉方案的已知跟踪方法可能不再适用。解决这个问题的一种途径可以是一种跟踪方案，其中，基于加水印控制字可以识别智能卡，如在US 2000/0323949中描述的那样。

然而，这样的解决方案会要求对源于敌手的控制字流的检查。典型地，这样的控制字流是被保护的，从而在分析控制字之前可能需要逆向工程。此外，对这样的控制字加水印可被容易地被敌手检测到并且被避开。

WO2008/023023描述了另一种跟踪方案，其中，控制字用标记进行标记，该标记与卡标识符直接有关。然而标记控制字将在服务的处理期间不利地影响合法订阅者，并且将容易被敌手检测到。所以，有在技术方面对于改进方法和系统的需要，这些方法和系统允许对参与未授权使用系统的安全模块(如智能卡)的跟踪和识别，而不会不利地影响合法订阅者。

发明内容

本发明的一个目的是减少或消除与已知跟踪方法相关的至少一个或多个缺陷。在第一方面，本发明可以涉及一种用来产生跟踪数据(优选地为包括跟踪数据的事件数据库)来跟踪一群安全模块中的欺诈安全模块的方法，其中所述欺诈安全模块可被构造成将控制字未授权地提供给控制字共享网络，其中所述方法可以包括：对于所选择的群执行预定数量的跟踪试验，其中每个所述跟踪试验可以包括：将至少一个跟踪事件消息发送到所选择的群中的每个安全模块，其中所述跟踪事件消息中的事件信息被用来选择所述群中的至少一部分所述安全模块以产生跟踪事件；响应于接收到所述至少一个跟踪事件消息，跟踪事件检测器监视所述控制字共享网络中的至少一个跟踪事件的存在达到预定时间；以及将跟踪数据存储在事件数据库中，所述跟踪数据包括所述事件信息和指示是否检测到跟踪事件的事件触发信息。

该方法允许基于在智能卡群的一部分中产生跟踪事件，检测这样的跟踪事件，以及随后存储与跟踪事件相关的数据，来执行预定数量的跟踪试验。与已知跟踪方案相比，该方法允许在智能卡群中识别多个欺诈智能卡，而不需要将特殊固件安装在智能卡中。而且，该方法允许批处理。附费电视运营商可以在本地产生跟踪数据，并且随后将用于分析的这些跟踪数据发送到另一方。

在一个实施例中，每个安全模块可以与唯一标识符相关，优选地与随机化唯一标识符相关。随机性可以提供如下优点：标识符中的信息在智能卡群上被均等地分布。