ホーム > 特許ランキング > ナグラビジョン エス アー
特許71811772つのセキュリティモジュールの間に安全な通信チャネルを生成する方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-21
(45)【発行日】2022-11-30
(54)【発明の名称】2つのセキュリティモジュールの間に安全な通信チャネルを生成する方法及びシステム
(51)【国際特許分類】
H04L 9/08 20060101AFI20221122BHJP
【FI】
H04L9/08 C
H04L9/08 E
【請求項の数】
27
(21)【出願番号】P 2019208644
(22)【出願日】2019-11-19
(62)【分割の表示】P 2016554879の分割
【原出願日】2015-03-11
(65)【公開番号】P2020039169
(43)【公開日】2020-03-12
【審査請求日】2019-12-17
【審判番号】
【審判請求日】2021-11-12
(31)【優先権主張番号】14/205,209
(32)【優先日】2014-03-11
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】504344495
【氏名又は名称】ナグラビジョン エス アー
(74)【代理人】
【識別番号】100129229
【弁理士】
【氏名又は名称】村澤 彰
(72)【発明者】
【氏名】メリア、テレマコ
(72)【発明者】
【氏名】サルダ、ピエール
【合議体】
【審判長】須田 勝巳
【審判官】林 毅
【審判官】山崎 慎一
(56)【参考文献】
【文献】特開平10-200521(JP,A)
【文献】特開2009-253783(JP,A)
【文献】特開2008-211370(JP,A)
【文献】特開2010-124355(JP,A)
【文献】特開2006-050624(JP,A)
【文献】特開2002-111870(JP,A)
【文献】特開平10-028155(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L9/08
(57)【特許請求の範囲】
【請求項1】
異なる通信ネットワークで作動可能な装置間に安全な通信チャネルを確立する方法であって、第1の装置により第1の通信ネットワークを使用して第1の管理ユニットにメッセージを送り、前記メッセージは前記第1の装置に接続された第1のセキュリティモジュールを識別し、
前記第1の装置により前記第1の通信ネットワークを使用して前記メッセージに基づいて前記第1の管理ユニットにより生成されたセキュリティデータを受信し、前記セキュリティデータは前記第1のセキュリティモジュールと前記第1の装置と異なる種類の第2の装置に接続された第2のセキュリティモジュールとの間に安全な通信チャネルを確立可能にし、
前記セキュリティデータを前記第1の管理ユニットから受信した第2の管理ユニットによって、前記セキュリティデータが前記第2のセキュリティモジュールに送信されることにより、
第3の通信ネットワークを介して前記第1のセキュリティモジュールと前記第2のセキュリティモジュールとの間に前記安全な通信チャネルを確立することを含み、前記第1の通信ネットワークがセルラーネットワークであり、前記第3の通信ネットワークがホーム・ローカル・ネットワークである方法。
【請求項2】
前記セキュリティデータは秘密を含む請求項1に記載の方法。
【請求項3】
前記セキュリティデータは暗号キーを含む請求項1に記載の方法。
【請求項4】
前記第1の装置はセルラールータである請求項1~3のいずれか1項に記載の方法。
【請求項5】
前記第1の装置は携帯電話である請求項1~3のいずれか1項に記載の方法。
【請求項6】
前記第1の装置はモデムである請求項1~3のいずれか1項に記載の方法。
【請求項7】
前記第2の装置はメディア装置である請求項1~6のいずれか1項に記載の方法。
【請求項8】
前記第1のセキュリティモジュールは加入者識別モジュール(SIM)を含む請求項1~7のいずれか1項に記載の方法。
【請求項9】
前記第1のセキュリティモジュールは汎用集積回路カード(UICC)を含む請求項1~7のいずれか1項に記載の方法。
【請求項10】
前記第2のセキュリティモジュールはスマートカードを含む請求項1~9のいずれか1項に記載の方法。
【請求項11】
前記第3の通信ネットワークはピア・ツー・ピア接続を含む請求項1~10のいずれか1項に記載の方法。
【請求項12】
前記第2の装置は第2の通信ネットワークにおいて作動可能である請求項1~11のいずれか1項に記載の方法。
【請求項13】
前記第2の通信ネットワークは衛星放送ネットワークを含む請求項12に記載の方法。
【請求項14】
前記第2の装置は前記第2の通信ネットワークを通してマルチメディアコンテンツを受信するよう構成されている請求項12~13のいずれか1項に記載の方法。
【請求項15】
前記第1の装置は、前記マルチメディアコンテンツに関連した付加価値のついたコンテンツを前記第1の通信ネットワークを通じて受信するよう構成されている請求項14に記載の方法。
【請求項16】
前記セキュリティデータは、前記第1のセキュリティモジュール及び前記第2のセキュリティモジュールのうち1つ以上の識別に使用される請求項1~15のいずれか1項に記載の方法。
【請求項17】
異なる通信ネットワークで作動可能な装置間に安全な通信チャネルを確立するシステムであって、1つ以上のプロセッサと、
前記1つ以上のプロセッサにアクセス可能であり命令を格納するメモリとを備え、前記1つ以上のプロセッサにより命令が実行されると、前記1つ以上のプロセッサは、
第1の通信ネットワークを使用してメッセージを第1の管理ユニットに送信し、前記メッセージは第1の装置に接続された第1のセキュリティモジュールを識別し、
前記第1の通信ネットワークを使用して前記メッセージに基づいて前記第1の管理ユニットにより生成されたセキュリティデータを受信し、前記セキュリティデータは、前記第1のセキュリティモジュールと前記第1の装置と異なる種類の第2の装置に接続された第2のセキュリティモジュールとの間に安全な通信チャネルを確立可能にし、
前記セキュリティデータを前記第1の管理ユニットから受信した第2の管理ユニットによって、前記セキュリティデータが前記第2のセキュリティモジュールに送信されることにより、
第3の通信ネットワークを介して、前記第1のセキュリティモジュールと前記第2のセキュリティモジュールとの間に前記安全な通信チャネルを確立することを含む動作を行い、前記第1の通信ネットワークがセルラーネットワークであり、前記第3の通信ネットワークがホーム・ローカル・ネットワークであるシステム。
【請求項18】
前記セキュリティデータは秘密を含む請求項17に記載のシステム。
【請求項19】
前記第1の装置はセルラールータである請求項17~18のいずれか1項に記載のシステム。
【請求項20】
前記第1の装置は携帯電話である請求項17~18のいずれか1項に記載のシステム。
【請求項21】
前記第1の装置はモデムである請求項17~18のいずれか1項に記載のシステム。
【請求項22】
前記第2の装置はメディア装置である請求項17~21のいずれか1項に記載のシステム。
【請求項23】
前記第1のセキュリティモジュールは加入者識別モジュール(SIM)又は汎用集積回路カード(UICC)を含む請求項17~22のいずれか1項に記載のシステム。
【請求項24】
前記第2のセキュリティモジュールはスマートカードを含む請求項17~23のいずれか1項に記載のシステム。
【請求項25】
前記第3の通信ネットワークはピア・ツー・ピア接続を含む請求項17~24のいずれか1項に記載のシステム。
【請求項26】
前記第2の装置は第2の通信ネットワークにおいて作動可能である請求項17~25のいずれか1項に記載のシステム。
【請求項27】
実行されると1つ以上のプロセッサに動作を行わせる命令を格納する非一時的コンピュータ読取可能格納媒体であって、命令は第1の通信ネットワークを使用してメッセージを第1の管理ユニットに送信し、前記メッセージは第1の装置に接続された第1のセキュリティモジュールを識別し、
前記第1の通信ネットワークを使用して、前記メッセージに基づいて前記第1の管理ユニットにより生成されたセキュリティデータを受信し、前記セキュリティデータは、前記第1のセキュリティモジュールと前記第1の装置と異なる種類の第2の装置に接続された第2のセキュリティモジュールとの間に安全な通信チャネルを確立可能にし、
前記セキュリティデータを前記第1の管理ユニットから受信した第2の管理ユニットによって、前記セキュリティデータが前記第2のセキュリティモジュールに送信されることにより、
第3の通信ネットワークを介して、前記第1のセキュリティモジュールと前記第2のセキュリティモジュールとの間に前記安全な通信チャネルを確立することを含み、前記第1の通信ネットワークがセルラーネットワークであり、前記第3の通信ネットワークがホーム・ローカル・ネットワークである媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本文書は、安全な電子通信及び通信ネットワークへの物理的アクセスを制御することに関する。
【背景技術】
【0002】
衛星通信サービスのユーザは、衛星ダウンリンクを通じてマルチメディアコンテンツを受信する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
ユーザが双方向通信ネットワークを介して衛星ネットワークへ送り返す方法が存在しなかったので、一部の従来の衛星ネットワークは一方向であった。無線技術の最近の進歩、例えば、3G及び4Gセルラー無線技術は、衛星テレビユーザが衛星ネットワークと通信できる無線通信チャネルを提供することを可能にした。
【課題を解決するための手段】
【0004】
本文書は、対使用のための2つの異なるネットワークで作動可能である2つの異なるセキュリティモジュール(例えば、スマートカード)の安全な対形成の技術を開示する。いくつかの実施態様において、加入者識別モジュール(SIM)カードが、それがスマートカードと対にされたままである間だけ無線通信の用に供することができるように、例えば、デジタルケーブル又は衛星テレビネットワークで用いられるスマートカード、及び、例えば、セルラー電話ネットワークで用いられるSIMカードは、ユーザ施設に配備されて、一緒に安全に対にされる。
【0005】
一つの態様において、ある方法が、異なる通信ネットワークで作動可能な装置間に安全な通信チャネルを確立する目的で提供される。この方法は、第1の装置により第1の通信ネットワークを使用して第1の管理ユニットにメッセージを送り、前記メッセージは前記第1の装置に接続された第1のセキュリティモジュールを識別し、前記第1の装置により前記第1の通信ネットワークを使用して前記メッセージに基づいて前記第1の管理ユニットにより生成されたセキュリティデータを受信し、前記セキュリティデータは前記第1のセキュリティモジュールと前記第1の装置と異なる種類の第2の装置に接続された第2のセキュリティモジュールとの間に安全な通信チャネルを確立可能にし、前記セキュリティデータを前記第1の管理ユニットから受信した第2の管理ユニットによって、前記セキュリティデータが前記第2のセキュリティモジュールに送信されることにより、第3の通信ネットワークを介して前記第1のセキュリティモジュールと前記第2のセキュリティモジュールとの間に前記安全な通信チャネルを確立することを含み、前記第1の通信ネットワークがセルラーネットワークであり、前記第3の通信ネットワークがホーム・ローカル・ネットワークである。
【0006】
別の態様において、通信システムで動作するシステムが開示される。このシステムは、異なる通信ネットワークで作動可能な装置間に安全な通信チャネルを確立するシステムであって、1つ以上のプロセッサと、前記1つ以上のプロセッサにアクセス可能であり命令を格納するメモリとを備え、前記1つ以上のプロセッサにより命令が実行されると、前記1つ以上のプロセッサは、第1の通信ネットワークを使用してメッセージを第1の管理ユニットに送信し、前記メッセージは第1の装置に接続された第1のセキュリティモジュールを識別し、前記第1の通信ネットワークを使用して前記メッセージに基づいて前記第1の管理ユニットにより生成されたセキュリティデータを受信し、前記セキュリティデータは、前記第1のセキュリティモジュールと前記第1の装置と異なる種類の第2の装置に接続された第2のセキュリティモジュールとの間に安全な通信チャネルを確立可能にし、前記セキュリティデータを前記第1の管理ユニットから受信した第2の管理ユニットによって、前記セキュリティデータが前記第2のセキュリティモジュールに送信さることにより、第3の通信ネットワークを介して、前記第1のセキュリティモジュールと前記第2のセキュリティモジュールとの間に前記安全な通信チャネルを確立することを含む動作を行い、前記第1の通信ネットワークがセルラーネットワークであり、前記第3の通信ネットワークがホーム・ローカル・ネットワークである。
【0007】
これらの態様及び他の態様が、図面、説明、及び請求項に後述される。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
デジタル通信技術の最近の進歩によって、いくつかの従来の通信ネットワークは、現在、データをユーザとやりとりするために付加的な方法により補足されている。多くの位置、例えば、ユーザの家又は企業或いは店や空港等の公的な場所において、ユーザには、インターネットのようなネットワークに接続するために複数の可能性があり得る。例えば、ユーザの家で、ユーザは、衛星又はケーブルネットワークを介してオーディオ/ビデオプログラム及びデータを受信することが可能である。同時に、ユーザは、3G又は4Gネットワークのような無線セルラーネットワークを介してオーディオ/ビデオプログラム及びデータを受信することが可能である。同様に、空港で、ユーザは、彼女のセルラー・データ・ネットワークを使用して、及び/又は無線ホットスポット又はWi―Fiネットワークを使用してデータ接続性を確立することが可能である。
【0010】
別の例として、一部の衛星テレビ番組プロバイダは、データ/コンテンツ接続性をユーザ施設へ提供する付加的な方法を提供するために、セルラーネットワークでそれらの衛星通信ネットワークを補足することを望むことができる。この種の2ネットワーク接続性を利用可能とすることは、とりわけ、付加的なコンテンツ及びサービスを提供する機会、ユーザがネットワークと通信できるリバースチャネル、及び通信サービスを統合することによってユーザに対する毎月の請求を減少させる可能性を提供することによってユーザ及びネットワーク・サービス・プロバイダの両方のためになることができる。結果として、マルチメディアコンテンツは、一方向衛星ネットワークを通して受信機に送信されることができて、マルチメディアコンテンツに関連した付加価値のついたコンテンツは、セルラーネットワークを通して送信されることができる。マルチメディアコンテンツを享受すると共に、ユーザは、拡張機能、例えばマルチメディアコンテンツのメタデータにおけるハイパーリンクを起動させることができる。ハイパーリンクは、安全なチャネルを通してセルラー受信機(例えばLTEルーター)に伝えられて、次にモバイル管理エンティティを介してCASヘッドエンドに送られる。CASヘッドエンドは、付加価値のついたコンテンツを作成して、それをセルラーネットワークを介してSTBに送信できる。図1は、通信システムの実施例を示す。放送システム(CAS HD)は、コンテンツを衛星リンクSNETを介してユーザ施設DEV2に提供できる。衛星SNETからの衛星信号は、屋上アンテナ、例えばパラボラアンテナを介して受信できる。ユーザ施設は、受信衛星信号で伝えられる衛星コンテンツを受信するために、セットトップボックス又は受信機DEV2を装備できる。受信機DEV2は、衛星リンクSNETを通じて送信されるさまざまなテレビ番組への条件つきのアクセスを提供するために、スマートカードSCを使用する解読サブシステムを含むことができる。第1のセキュリティモジュールS1及び第2のセキュリティモジュールS2が、異なる解読技術を使用してデータを解読するために使用する解読キーを含む点に留意する必要がある。加えて、第1のセキュリティモジュール及び第2のセキュリティモジュールは、異なる物理的形状因子及びセキュリティを提供する。
【0011】
ユーザ施設は、衛星リンクSNETと異なる第1の無線通信リンクFNETに基づいて、アンテナシステムを装着することもできる。アンテナシステムDEV1は、例えば、LTEネットワークFENTとの通信によって、インターネット接続を提供するために、ロング・ターム・エボリューション(LTE)送信/受信及びルーター機能を含むことができる。LTEネットワークFNETは、拡張ノードB(eNB)と呼ばれる、基地局を含むことができて、それはマクロセルにおいて無線通信を制御する。eNBは、インターネット及び他の電話通信サービスへの接続性を提供するために、進化したパケットコアEPCのようなネットワーク基盤と通信できる。衛星ネットワークFNETを通じて転送される衛星コンテンツ(それは衛星サービスプロバイダのためのバックボーンネットワークを形成する) は、EPC が利用できる(例えば、ユーザによる双方向対話性を実現するために)こともあり得る。
【0012】
LTEルーター又は装置Dev1は、汎用集積回路カード(UICC)のようなセキュリティモジュール(S1)を備えることができて、それは携帯電話会社によって(又はUICCプロバイダによって)供給されることができる。本説明を通じて、セキュリティモジュールは、SIM、UICC、又はS1により識別されて、第1の装置DEV1に設置するセキュリティモジュールに関連する。UICCは、セルラーネットワークの加入者を識別して認証するために用いる、パラメータ及び証明書、例えば、国際移動電話加入者識別番号(IMSI)及び認証キー(Ki)を提供できる。LTEルーター(即ちDEV1)は、他のモバイル機器のように、MME(モバイル管理エンティティ)に接続している。MMEは、LTEルーターのセキュリティモジュール(S1)を識別して、認証する。LTEルーターは、最も近い移動アンテナを介して加えて設置される。
【0013】
LTEルーターが屋外ユニットであり得て、UICCもユーザの家の外にあるので、悪意のある攻撃を予防することは困難かもしれない(例えば夜間に)。UICC(又はUICCに含まれるパラメータ)のクローニングは、闇市場に売られたシステム又はイベントUICCの不正な使用に結果としてなることがあり得る。これは、ネットワーク運営者がユーザに提供するサービスに対して直接的な悪影響がある。
【0014】
本文書は、なかでも、LTE USIM(汎用加入者識別モジュール)カードとも呼ばれる、UICCの安全な対形成のための技術をスマートカードモジュール/放送チャネルに接続している衛星セットトップボックスの安全な環境に提供する。
【0015】
いくつかの実施形態では、既存の非常に安全なチャネル衛星リンクSEC_CHは、UICCとスマートカード(S2)の間に安全な対形成を確立するために用いる。この種の対形成は、一つの態様では、UICCを複製するか又は盗んで、それを他のために使用することによって、例えば4G対応スマートフォンに挿入することによって、悪意のあるアタッカーによるサービスの窃盗を防止する。別の態様では、ネットワーク・サービス・プロバイダによって、そうすることを許可されない場合、対形成は又、ユーザが、移動中に4G無線接続を得るために、UICCを彼/彼女の個人携帯電話に接続するのを防止することもできる。例えば、アンテナシステム112が固定無線アクセスネットワークで用いられる配備で、eNBは、UICCカードが可動性でないと仮定して特定の容量要件を満たすパラメータにより構成されることができる。このようなシステムでは、UICCのユーザの未許可の移動は、間違い設定及びサービスの品質の低下につながることがある。
【0016】
いくつかの実施形態では、2つの要素(ここでは、SIMカード及びSC)の間の安全な通信(SEC_CH)は、両方の要素で共有される秘密を使用して確立されることができる。いくつかの実施形態では、秘密は、第1の管理ユニットMME(例えば、衛星ネットワーク基盤)で生成されることができる。この秘密は、次に、この文書に記載されたようなプロセスを使用して衛星ネットワークとセルラーネットワークの間で共有される。次に、この秘密は、LTEルーター(DEV1)とセットトップボックス(DEV2)の間に安全なチャネルSEC_CHを生成するために用いる。秘密は、LTEルーターとセットトップボックスの間で交換されるデータを暗号化するためにキーとして用いることができるか、又は、例えば次のディフィ・ヘルマン・プロトコルのベースであり得る。
【0017】
ディフィ・ヘルマン・プロトコルは、2人のコンピュータ使用者が安全性が低いチャネルを通して情報を交換できる共有の秘密キーを生成する彼らのための方法である。ユーザにアリス及びボブという名前をつける。第1に、彼らは、2つの素数g及びpについて同意し、そこにおいて、pは大きい(概して少なくとも512ビット)、そしてgはpを法とする原始根である。(実際には、(p―1)/2も素数であるようにpを選ぶことは、良いアイデアである。)p又はgのうちの1つは、秘密の値から生成できる。数g及びpは、他のユーザに対して秘密に保つ必要はない。ここで、アリスは、彼女の秘密キーとして大きな乱数aを選び、そしてボブは同様に大きな数bを選ぶ。アリスは、次に、A=g^a(mod p)を計算し、それを彼女はボブに送り、そしてボブは、B=g^b(mod p)を計算し、それを彼はアリスに送る。
【0018】
ここで、アリス及びボブの両方とも、彼らの共有キーK=g^(ab)(mod p)を計算し、それを、アリスは、K=B^a(mod p)=(g^b)^a(mod p)として計算する。
【0019】
そしてボブは、K=A^b(mod p)=(g^a)^b(mod p)として計算する。
【0020】
アリス及びボブは、ここで、この情報を得ようとする他のユーザについて心配せずに情報を交換するために、彼らの共有キーKを使用できる。潜在的盗聴者(Eve)がそうするために、彼女は、g、p、A=g^a(mod p)、及びB=g^b(mod p)だけを知っているK=g^(ab)(mod p)を得ることを最初に必要とする。
【0021】
これは、A=g^a(mod p)からaを、そしてB=g^b(mod p)からbを計算することにより行なうことができる。これは離散対数問題であり、それは大きなpのために計算的に実行不可能である。pを法とする数の離散対数を計算することは、2つの素数の積をpと同一サイズに因数分解するのと同じ時間概ねかかり、それはRSA暗号法の安全が依存するものである。このように、ディフィ・ヘルマン・プロトコルは、RSAと概ね同程度安全である。
【0022】
図1は、対形成のために確立された通信ネットワークの実施例のブロック線図表示である。衛星セットトップボックス(STB)DEV2及び屋外アンテナユニットDEV1は、第3の通信ネットワークTNET(例えば、Wi-Fiネットワーク又は有線イーサネット(登録商標)ネットワーク)を形成するホーム・ローカル・ネットワーク(H_S)を介して互いに通信で連結できる。イーサネット(登録商標)スイッチ(例えば、アクセスポイント)は、ホームネットワーク・トラフィックを容易にするために任意に用いることができる。第3の通信チャネル(TNET)を使用する2つの論理通信チャネルは、STB DEV2とユニットDEV1-安全な論理チャネルSEC_CHと第2のチャネルHOME_NT、例えば、イーサネット(登録商標)通信チャネルの間に確立することができる。安全なチャネルSEC_CHは、SC(又はS2)及びSIM(又はS1)を使用して安全にされる安全な通信を使用できる。SIMカードを有するモバイル機器がモバイルネットワークに接続すると共に、SIMカード(又はUSIM、S1)はMMEにより識別される。MMEは、証明書を第2の管理ユニット(CASヘッドエンド)に接続するアプリケーションサーバに提供するホーム加入者サーバ(HSS)に接続している。STB(DEV2)は、衛星リンクSNETを通じて衛星プログラミング(即ち放送チャネル)及びユニットSCのための証明書を受信できる。一旦対形成が達成されると、付加価値のついたコンテンツ(例えば、広告、対話式データ、プログラムガイドなど)は、セルラー接続FNETを通じてうまく受信されて、安全なチャネルSEC_CHを介してコンテンツ視聴のユーザエクスペリエンスを向上させるためにSTB DEV2に提供されることができる。CASヘッドエンドに接続する対話型アプリケーションサーバ(IAS)は、次に付加価値のついたコンテンツを第1の通信ネットワークを通じてSTBに伝えることができる。
【0023】
図2を参照すると、それぞれの暗号化モジュールを互いと対にするために、第1のネットワークFNET、例えば4Gネットワーク302、及び第2のネットワークSNET、例えば衛星ネットワーク304を通じて交換されるメッセージ例が記載されている。
【0024】
4Gネットワーク(FNET)接続性の初期設定で(例えば、インストーラによる屋根上設置の間に)、LTEルーターに設置されるSIMカード(即ちUICC)は、例えばSMS(簡単なメッセージシステム)通信(図2、ステップ100)を使用して、MMEへ通信するために、予め設置されたアプレットを使用する。第1の装置DEV1のSIMカードは、第1のメッセージ(INIT_MESS)を生成して、第1のネットワーク(FNET)を介してMMEに送る。SIMカードは、4Gネットワーク(通信可能であるために)によって、そして電話番号、及び/又はSIMカードを一意に識別する他の利用できる情報によるMMEレベルで識別される。これは、UICCメッセージに含まれる識別番号により達成することができるか、又は識別は、電話番号のようなメッセージを伴っている個人データによるCAS OTAにより行うことができる。発信システム(SIMカード)が、MMEがSIMカードを一意に識別することを可能にするIMSIのような個人データを自動的に加えるので、SIMカードによって送られる「INIT」のような簡単なメッセージは、その場合、4Gネットワークの中で識別される。
【0025】
MMEは、次に、数又は英数字値であり得る固有の秘密を生成する。MMEは、乱数発生器であり得る秘密生成部を使用できる。
【0026】
秘密がSIM(例えば、SMSによる管理コマンド)に平文で送られないように、固有の秘密は、安全な通信チャネルを用いて4Gネットワーク(FNET)を通してSIMカードのための第1の装置DEV1に送信される(図2、ステップ2)。
【0027】
秘密は、第1の装置(FDEV)のSIMカードに格納される。
【0028】
肯定応答(例えば、SMSを介して)は、秘密の正しい受信を確認するために、MMEに任意に返信されることができる。
【0029】
MMEがSIMのための秘密を生成した後に、それは、秘密をCASヘッドエンドに(関連するCASアカウントを使用して)送信できる。図2、ステップ3参照。
【0030】
MME及びCASヘッドエンドは、それらの加入者のための異なる識別システムを有することができる。MMEは、加入者を固有識別子(UI―CO)で一意に識別することができて、CASヘッドエンドは、加入者を固有識別子(UI―CH)で一意に識別できる。UI CHを決定するために、MMEは、IMSI又は電話番号のようなユーザの秘密及び識別データを含むメッセージを送ることができる。CASヘッドエンドは、次に、そのデータベースの中でこの識別データを有するユーザの対応する固有識別(UI―CH)を検索できる。
【0031】
本発明の実施形態によれば、MMEは、対形成を要求する装置DEV1に関する情報を更に加えることができる。この情報は、装置のタイプ(携帯装置又はスタンドアロン装置)であり得て、この情報は、要求をフィルターに通すためにCASヘッドエンドによって用いることができる。対形成は、LTEルーターのようなスタンドアロン装置だけで受け入れられて、SIMカードがモバイル機器に差し込まれる場合に拒否されることがあり得る。
【0032】
一実施形態によれば、LTEルーター(又はDEV1)は、初期化プロセスを始める前に、その固有識別子(UI―CH)を得るために、セットトップボックスを問い合わせることができる。これは、LTEルーターをセットトップボックスに連係する通信チャネル(その時安全でない)を通して行なうことができる。次に、対形成を開始するUICCメッセージで、MMEが、UICCメッセージを受信すると共に、UI―CHを抽出できるように、UI―CHは加えられる。MMEが秘密をCASヘッドエンドに送信するときに、このUI―CHは使われ、そしてUI―CHはメッセージに加えられて、CASヘッドエンドがその加入者を識別することを可能にする。MMEは、識別された加入者(UI―CHで識別された)が要求された対形成を許可されているかどうか検査するために、MME加入者の名前のような付加的情報を送信できる。
【0033】
共有秘密は、専用エンタイトルメント管理メッセージ(EMM)の使用によってCASヘッドエンドから識別されたSTBに送信されることができて、それはユーザごとに特有であり得る(ユーザのキーKuを使用する(図2、ステップ4)。このシステムは、特定のSTBのためのデータセットの安全な送受信を可能にする。データセットの安全な送信は、CASヘッドエンドにより管理される暗号化及びシグネチャによって安全にされる。一旦受信すると、共有秘密は、STB(SC又は信頼された環境(NOCS、NASC、NVSR…))の安全な要素により管理されて、更なる使用のために装置に安全に格納される。
【0034】
共有秘密が両側(SIM及びSC)で利用可能になると、専用の安全な通信プロトコルは、両方の要素の間でインスタンス化することができて(図2、ステップ5)、STBからSIMカードへのデータセット伝送を可能にする(図1のSEC_CH参照)。これを達成するために、SIMカードは、STBを有する専用通信プロトコルを管理するために、それの準備ができている専用アプレットを有することができる。
【0035】
最終的な肯定応答は、共有秘密の正しい送信を終えて、確認するために、MMEに送信されることができる。
【0036】
共有秘密の場合は、強い対形成は、2つの異なるネットワークの両方のセキュリティモジュールの間の適当な位置にある。
【0037】
同じ通信のシステム(MMEに集中される)を用いて、共有秘密は定期的に更新されることができる(両側で)。
【0038】
また、最初の共有秘密(MMEで生成される)から、二次秘密は、SIMとSCの間の通信の間に短期間に使用可能なセッションキーを生成するために、局所的に(SIM及びSC)生成されることができる。
【0039】
4GLTEユニットが屋外に設置されることができるので、装置へのアクセスを得るか、イーサネット(登録商標)ケーブルを盗聴するか、又はUSIMをクローンに置き換えることが可能であり得る。いくつかの実施形態では、アプリケーション/アプレットは、安全なプロトコルに従ってSCとの安全な接続を管理する、UICCにおいて実施されることができる。UICCは、複数のアプリケーションを同時に実行できる。1つはネットワークアクセスのためのUSIMであり、特注の他はUICC標準インターフェースに従って定められることが可能である。
【0040】
対形成のいくつかの有益な態様は、以下を含む。
【0041】
-CAS界(SC―STB)と4G(SIMカード)の間の強い/安全な連係を確立すること。
【0042】
-SIMとSC/STBの間の通信の暗号化されたトンネルを可能にすること。
【0043】
-4GネットワークとSTBの間のデータ(主に拡張されたビデオコンテンツのような、CASオペレータのデータ)の保護を管理すること。4Gネットワーク上のデータは、暗号化されて通過し(4Gネットワーク通信プロトコルによって固有に行なわれる)、そして4Gモデムにおいて解読される。このように、専用システムなしで、このデータはホームネットワークで平文で送信される。
【0044】
いくつかの実施形態では、データ/コンテンツは、特定のエンドユーザのためにすでに暗号化されている(CASエンドユーザは、MME―HSSリンク(ヘッドエンドリンク)によって、又はホームネットワーク対形成によって、4Gネットワークで識別されて、専用の情報は、CAS AND 4Gネットワークユーザを識別する4Gオペレータに送られることが可能である)。このように、データは、ユーザに送られる前に、CAS環境のために直接暗号化されることができる。
【0045】
いくつかの実施形態では、データは4Gネットワークによって暗号化されて、LTEルーターモデムで解読され、そこにおいて安全なVPNは、対形成を使用して、モデムからSTBにセットアップされる。このように、データは、LTEモデムとSTBの間で平文で交換されない。他のローカル・ネットワーク・データは、平文のままであり得る(例えば、ホームネットワークにおいて、ローカルラップトップhttpセッションにより要求されるウェブデータ)。
【0046】
対形成の1つの利点は、誰かがSIMカードを故意か偶然に交換しているか又は他の種類の攻撃を実行している場合、それを検出することができて、4GLTEアクセスをこえるコンテンツは、セットトップボックスに届けられないことである。
【0047】
又、技術の一態様は、対形成により生成されるように、4Gの+CASと異なる環境で4GSIMカードの使用を回避することである。
【0048】
攻撃又は変更態様が検出される場合、セットトップボックスは、信用できなくなったネットワーク技術でのコンテンツ伝達を止めるためにブロックメッセージを送ることができる(この場合、セルラーアクセス)。
【0049】
いくつかの実施形態では、対形成の有効性は定期的に点検されることがある。1つの有益な態様において、この点検は、4Gネットワークに対して、SIMカードが想定されたように正しく用いられることを検査して確認できる(例えば、屋根モデムにおいて)。実際、この種のSIMカードは、4G対応電話で直接使用可能であり、そして屋根モデムからそれを取り除くことは可能である。STB/SCにより開始される被保護通信の定期的点検を利用することによって、家庭内のCASシステムは、適切なカードが適所にあって良好に使用されていることを確認できる。この点検は、定期的であるか、又はCASヘッドエンドからの命令によるものであり、そして4Gネットワークを通して、ヘッドエンドに返される即時の状況フィードバックに結果としてなる場合がある。何かが機能しない(例えば、SIMカードが存在しない)場合、フィードバックは将来のアップロードのためにSTBに格納されることができる(一旦ネットワークが復帰するならば)。この種の定期的又は遠隔のモニタリングは、CASに制御された方法で、グローバルネットワークの鮮明な画像を有することを助ける。4GSIMカードの間違った使用は、その場合、4Gネットワークレベルだけでなく、CASレベルでも急速に識別することができる。
【0050】
図2は、第1の通信ネットワーク(4Gネットワーク)で動作可能な第1の装置(LTEルーター)に接続する第1のセキュリティモジュール(SIMカード)を第2の通信ネットワーク(放送チャネル)で動作可能な第2の装置(STB)に接続する第2のセキュリティモジュール(SCモジュール)と対にして、それによって第1のセキュリティモジュールの動作は、第2のセキュリティモジュールにより制御されるプロセスのフローチャート表示である。
【0051】
100で、初期化メッセージは、第1の装置から第1の通信ネットワークを通してSTBとの通信の初期化を要求するMMEへ送られる。初期化メッセージは、第1のセキュリティモジュールを一意に識別する。
【0052】
MMEにおいて、秘密は初期化メッセージに基づいて生成される。
【0053】
101で、秘密は第1の通信ネットワークを介して第1のセキュリティモジュールに送られる。
【0054】
102で、秘密は、SIMの識別により、MMEによってCAS HDに送られる。
【0055】
103で、秘密は、第2の通信ネットワークを介して第2の装置に送信されて、第2のセキュリティモジュール(S2)にロードされる。
【0056】
104で、秘密を使用して、安全なチャネルは、第1の通信ネットワーク及び第2の通信ネットワークと異なる第3の通信リンクを介して、第2のセキュリティモジュールと第1のセキュリティモジュールの間に確立される。第3の通信リンクは、例えば、Wi―Fiネットワークのようなホーム・エリア・ネットワーク(有線又は無線)として確立されることができるか、或いは、例えば、有線イーサネット(登録商標)又はUSB接続性を使用する、或いはブルートゥース(登録商標)又はWi―Fiピア・ツー・ピア・モードを使用する、ピア・ツー・ピア・タイプ通信リンクであり得る。
【0057】
いくつかの実施形態では、方法は、第3の通信リンクの第1のセキュリティモジュール、又は第3の通信リンクが動作する通信ネットワークの存在を定期的に確認すること、及び確認が失敗するときにエラーメッセージを出すことを更に含む。それは、エラーメッセージを受信すると即座に、第2の通信ネットワークの第2のセキュリティモジュールの動作を停止できる。このために、CASヘッドエンドによって送られる秘密を含むメッセージは、第1のセキュリティモジュールの識別(例えばIMSI)を更に含むことができる。第2のセキュリティモジュールは、次に、その現在のIMSIを得るために第1のセキュリティモジュールを問い合わせて、次に安全なチャネルを生成する間に受信したものと比較できる。
【0058】
いくつかの開示された実施形態において、第1の通信ネットワーク及び第2の通信ネットワークを通じてコンテンツを提供するシステムは、第1のセキュリティモジュール(例えば、SIMカード)及びユーザ施設で動作する第2のセキュリティモジュール(例えば、スマートカード)、初期化メッセージを第1の通信ネットワークから第2の通信ネットワーク(例えば、SNET)へ送るように構成した、第1の通信ネットワーク(例えば、FNET)で動作する第1の管理ユニット(例えば、MME)、第1のセキュリティモジュールを一意に識別する初期化メッセージ、初期化メッセージに基づいて秘密を生成する秘密生成部(例えば、暗号化キー生成サーバ又はソフトウェア・アプリケーション又はハードウェア/ソフトウェアの組合せ)、秘密を第1の通信ネットワークを介して第1のセキュリティモジュールに伝達して、秘密を第2の通信ネットワークを介して第2のセキュリティモジュールに送信するアプリケーションサーバ、及び第2のセキュリティモジュールに、秘密を使用して、第1の通信ネットワーク及び第2の通信ネットワークと異なる第3の通信リンク(上記の通りのピア・ツー・ピア接続、又はホーム・エリア・ネットワークの一部)を介して第2のセキュリティモジュールと第1のセキュリティモジュールの間に安全なチャネル(例えば、IP Secトンネル、SSL接続などを用いて)を確立させることを含む。
【0059】
2つの異なるネットワークにおける動作のための2つの異なる暗号化技術を使用する2つの異なるセキュリティモジュールを対にする技術が開示されることはいうまでもない。1つの有利な態様において、複製又は窃盗の傾向があり得る、セキュリティモジュールのうちの1つは、対形成を経て他のセキュリティモジュールに論理的に結びつけられる。例えば、対形成がうまく行なわれると、ローカルネットワーク、例えば加入者のホームネットワーク、又は近接通信ネットワークにおけるその存在が、第2のセキュリティモジュールにより検出されて、確認されることができる場合にだけ、第1のセキュリティモジュールは、ワイド・エリア・ネットワークで使用可能であり得る。
【0060】
開示された技術が、帯域外値付加コンテンツをユーザに伝えるための双方向対話型チャネルを提供するために用いることができて、ネットワークに対するキャリーユーザ対話メッセージが、伝統的に一方向のネットワーク、例えば衛星有料テレビネットワークに加えられることが可能であると更に認められる。対話型アプリケーションサーバ(IAS)は、単一ユーザ用である専用コンテンツを送ることができて、MME及び第1の通信ネットワークを介して付加的なコンテンツを送る。双方向対話型チャネルは、LTEのような既存技術を使用するが、同時に、セルラー受信機を衛星有料テレビ加入者の身元と確実に対にすることによって器材を著作権侵害又は無許可の使用から保護できる。
【0061】
開示された実施形態及び他の実施形態、本文書に記載された機能的動作及びモジュールは、本文書で開示された構造及びそれらの構造的同等物を含む、デジタル電子回路において、あるいはコンピュータ・ソフトウェア、ファームウェア、又はハードウェアにおいて、若しくはそれらの1つ以上の組合せで実施できる。開示された実施形態及び他の実施形態は、1つ以上のコンピュータプログラム製品、即ち、データ処理装置による実行のために、又はデータ処理装置の動作を制御するためにコンピュータ可読媒体にコード化されるコンピュータプログラム命令の1つ以上のモジュールとして実施できる。コンピュータ可読媒体は、機械可読記憶装置、機械可読記憶基板、メモリデバイス、機械可読伝達信号に影響を及ぼす組成物、又は1つ以上のそれらの組合せであり得る。「データ処理装置」という用語は、例えば、プログラム可能なプロセッサ、コンピュータ、或いは複数のプロセッサ又はコンピュータを含む、データを処理するためのすべての装置、デバイス、及び機械を包含する。装置は、ハードウェアに加えて、当該のコンピュータプログラムのための実行環境を生成するコード、例えば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、又はそれらの1つ以上の組合せを構成するコードを含むことができる。伝達信号は、擬似生成された信号、例えば、適切な受信装置に伝送するために情報をコード化するために生成される、機械が生成する電気、光、又は電磁気の信号である。
【0062】
コンピュータプログラム(別名、プログラム、ソフトウェア、ソフトウェア・アプリケーション、スクリプト、又はコード)は、コンパイラ型言語又はインタープリタ型言語を含む、プログラミング言語のいかなる形にも書かれることができて、それは、スタンドアロンプログラムとして、又はコンピュータ環境の使用に適しているモジュール、構成要素、サブルーチン、又は他のユニットとして含む、いかなる形でも展開することができる。コンピュータプログラムは、ファイルシステムのファイルに必ずしも対応するというわけではない。プログラムは、当該のプログラム専用の単一のファイルに、又は複数の調整ファイル(例えば、1つ以上のモジュール、下位プログラム、又はコードの部分を格納するファイル)に、他のプログラム又はデータ(例えば、マークアップ言語文書に格納される1つ以上のスクリプト)を保存するファイルの一部に格納することができる。コンピュータプログラムは、1つのコンピュータで、或いは1つのサイトに設置されるか、又は複数のサイトにわたって分散されて、通信ネットワークによって相互接続する複数のコンピュータで実行されるように展開することができる。
【0063】
本文書に記載されているプロセス及び論理フローは、入力データで動作して出力を生成することによって機能を実行するために、1つ以上のコンピュータプログラムを実行する1つ以上のプログラム可能プロセッサにより実行することができる。プロセス及び論理フローは、装置によって実行することもできて、装置は、特殊用途の論理回路、例えば、FPGA(フィールドプログラム可能ゲートアレイ)又はASIC(特定用途向け集積回路)として実施することもできる。
【0064】
コンピュータプログラムの実行に適しているプロセッサは、例えば、汎用及び特殊用途のマイクロプロセッサの両方、並びにあらゆる種類のデジタルコンピュータのいかなる1つ以上のプロセッサも含む。通常、プロセッサは、読出し専用メモリ若しくはランダム・アクセス・メモリ又はその両方から命令及びデータを受け取る。コンピュータの必須の要素は、命令を実行するためのプロセッサ並びに命令及びデータを格納するための1つ以上のメモリデバイスである。通常、コンピュータは、データを格納するための1つ以上の大容量記憶装置、例えば、磁気、光磁気ディスク、又は光ディスクも含むか、或いはそれからデータを受け取るか、それにデータを送るか、又は送受するために動作可能に接続される。しかしながら、コンピュータは、この種の装置を備える必要はない。コンピュータプログラム命令及びデータを格納するのに適しているコンピュータ可読媒体は、例証として、半導体メモリデバイス、例えば、EPROM、EEPROM、及びフラッシュメモリデバイス、磁気ディスク、例えば、内蔵ハードディスク又はリムーバブルディスク)、光磁気ディスク、並びにCD―ROM及びDVD―ROMディスクを含む、非揮発性メモリ、媒体、及びメモリデバイスのすべての形を含む。プロセッサ及びメモリは、特殊用途の論理回路により補足されるか又はそれに組み込むことができる。
【0065】
本文書は多くの特質を含むが、これらは、請求される発明の、又は請求することがあり得るものの範囲に対する制限として解釈してはならず、むしろ特定の実施形態に特有の特徴の説明として解釈するべきである。別々の実施形態との関連で本文書に記載されている特定の特徴は、単一の実施形態において、共に実施することもできる。逆にいえば、単一の実施形態との関連で記載されているさまざまな特徴は、複数の実施形態において、別々に、又はいかなる適切な副組合せでも実施することもできる。更に、特徴が、特定の組合せで作用するとして上に記載されて、このように初めに請求されることさえできるけれども、請求される組合せからの1つ以上の特徴は、場合によっては組合せから削除されることができて、請求される組合せは、副組合せ又は副組合せの変形例を目的とする。同様に、動作が特定の順序で図面に示されるが、これは、望ましい結果を達成するために、この種の動作が示される特定の順序で又は連続した順序で実行されること、或いはすべての図示の動作が実行されることを必要とすると理解してはならない。
【0066】
ほんの少数の実施例及び実施態様だけが開示されている。記載されている実施例及び実施態様に対する変形例、変更態様、及び拡張、並びに他の実施態様は、開示されていることに基づいて行なうことができる。
【図1】
【図2】