Спосіб створення локальної мережі та керування нею

1. Спосіб створення локальної мережі та керування нею, де мережа містить принаймні один пристрій відтворення (DV) для шифрованого потоку даних та пристрій поширення і повторного шифрування (MD) для всіх або частини згаданих шифрованих даних, при цьому згадані пристрої містять модулі захисту (СС, ТС, МС), а спосіб складається з наступних етапів: – з'єднання головного модуля (МС) захисту в одному з пристроїв поширення і повторного шифрування (MD) або в пристрої (DV) відтворення, які приєднані до локальної мережі, – установки ключа (NK) мережі головним модулем (МС) захисту, – захищеного передавання цього ключа (NK) мережі до одного або кількох користувацьких модулів (ТС) захисту, і при отриманні шифрованих даних точкою входу мережі: – отримання згаданим пристроєм поширення і повторного шифрування (MD) шифрованих даних, – перевірки модулем (СС) захисту пристрою поширення і повторного шифрування (MD), чи є права доступу до згаданих шифрованих даних, – у позитивному випадку, розшифрування зашифрованих даних завдяки інформації, забезпеченій модулем (СС) захисту, пов'язаним з цим пристроєм поширення і повторного шифрування (MD), – повторного шифрування даних згаданим пристроєм поширення і повторного шифрування (MD) за допомогою локального ключа, – передачі повторно зашифрованих локальним ключем даних до пристрою (DV) відтворення, – розшифровки згаданим пристроєм (DV) відтворення, завдяки відповідному модулю (ТС) захисту користувача, який розпоряджається засобами для знаходження локального ключа. 2 (19) 1 3 86590 4 11. Спосіб створення локальної мережі та керування нею за п. 1, який відрізняється тим, що модуль захисту користувача виконують у формі модуля захисту, котрий видаляється. 12. Спосіб створення локальної мережі та керування нею за п. 1, який відрізняється тим, що пристрій поширення і повторного шифрування містить модуль захисту, конверторний модуль, що викликається, де згаданий модуль одержує і збері гає ідентифікатор головного модуля, який створив мережу, а конверторний модуль повторно шифрує дані для згаданої мережі. 13. Спосіб створення локальної мережі та керування нею за п. 12, який відрізняється тим, що ідентифікатор згаданого головного модуля передають до центру керування протягом етапу зв'язку із згаданим центром керування. Цей винахід стосується сфери створення локальної мережі і її адміністрування, зокрема, локальної мережі, сполученої з точкою входу до потоку даних умовного доступу. Керування доступом до даних умовного доступу добре відоме і практикується протягом тривалого часу, особливо у сфері платного телебачення. Користувач має дешифратор для розшифровки шифрованого потоку з допомогою ключів, які пов'язані з абонентною підпискою або правами. Ці ключі зазвичай запам'ятовуються переважно в змінному модулі захисту, щоб допускати утворення запропонованих функцій та сприяти безпеці. Більшість дешифраторів, як тільки потік даних розшифрований, перетворює ці дані в аналогову форму для обробки пристроєм візуалізації, наприклад, екраном телеприймача. Поява цифрових екранів дещо зруйнувала цю схему. Фактично, оскільки вихід дешифратора в напрямі дисплея цифровий, то цей вихід може бути використаним з шахрайськими цілями для виготовлення нелегальних копій. Для цього, перед застосуванням цифрових дисплеїв, а більш загально будь-якої апаратури, що обробляє цей вид даних в цифровій формі, наприклад, цифрових записуючих пристроїв, що набувають широкого використання, були запропоновані рішення з метою перешкодити розповсюдженню даних умовного доступу. Таким чином, був запропонований наскрізний захист інформаційного наповнення для того, щоб підтримувати це інформаційне наповнення в шифрованій формі, допоки воно не досягне пристрою відтворення (наприклад, телевізора). Джерело, наприклад, дешифратор або програма читання DVD, обробляє шифрований вміст і санкціонує доступ, якщо виконуються умови (наприклад, згідно з підпискою користувача). Вміст, перед відправленням до локальної мережі користувача, шифрується знову, згідно з ключем, пов'язаним з цією мережею, так що він може бути доступним тільки в цій мережі. Будь-яке використання за межами цієї мережі неможливе, що обумовлює унікальність цього ключа для кожної домашньої мережі. Поняття домашньої мережі, хоча воно визначається відносно користувача, може виявитися невиразним, оскільки сусід може легко приєднатися до тієї ж мережі, а отже користуватися тим же ключем мережі. З цієї причини найпростішим рі шенням є обмежити число людей, котрі формують локальну мережу. Щоб користуватися цим видом захищеної локальної мережі, кожен пристрій повинен мати модуль захисту, котрий містить секрет, що стосується цієї мережі. Ці модулі загалом виконані або у формі смарт-картки, що видаляється, або модуля захисту, безпосередньо встановленого в апаратурі. Згідно з першим відомим рішенням, це поняття обмеження здійснене за рахунок передавання батьківської ємності, що належить мережі. Для інсталяції локальної мережі перший модуль містить або здатний генерувати ключ, який служить, як загальний покажчик в цій мережі. Як тільки цей перший модуль генерував перший ключ, він стає батьківським модулем і може працювати сам по собі. Якщо в цій же мережі з'являється інший модуль, ця батьківська ємність передається цьому другому модулю, дозволяючи останньому бути частиною цієї мережі. Перший модуль втрачає свою батьківську ємність, і ця здатність передається другому модулю. Звичайно, інші параметри, наприклад, число майбутніх модулів, що задіяні в цій мережі, також зменшуються і запам'ятовуються в новому генераторному модулі. Переміщення батьківської ємності відповідає критеріям захисту тому, що в таку мережу один модуль може ввести лише один інший модуль. Проте це рішення має певні проблеми, оскільки ланцюг може бути перерваним через ігнорування його принципу, коли користувач від'єднує один з елементів, що точно став батьківським модулем. До того ж, якби апаратура, в якій знаходиться цей модуль, була пошкоджена, користувач відніс би її до пункту продажу і обміняв на іншу апаратуру, що призводить до припинення можливого розширення цієї мережі. В документі WO 01/67705 описується система для захищеної передачі даних і керування даними в мережі Інтернету, що містить передачу даних і модуль шифрування в блоці користувача та модуль керування даними в блоці сервера. Передача даних здійснюється шляхом переміщення даних від вікна, що відображається на екрані, як пов'язане з блоком користувача, до вікна, пов'язаного з блоком сервера. Кожне вікно пов'язане з паролем, так що переміщення даних від одного вікна до іншого призводить до шифрування або повторного шифрування одним чи іншим зв'язаним паролем. Система використовує симетричну ключову схему 5 шифрування, пов'язану з протоколом пересилання файлів, і забезпечує захищене пересилання великих файлів даних, розмір яких складає 100 Мегабайтів або більше. Ця передача даних від блока сервера до блока користувача або навпаки може здійснюватися безмежне число разів, незалежно від мережі і місцезнаходження блоків у мережі. Задача цього винаходу полягає в тому, щоб запропонувати спосіб створення локальної мережі та керування нею, в якому відсутні описані вище недоліки. Ця мета досягається способом створення локальної мережі та керування нею, де мережа містить принаймні один пристрій відтворення для шифрованого потоку даних та пристрій поширення і повторного шифрування для всіх або частини згаданих шифрованих даних, при цьому згадані пристрої містять модулі захисту, а спосіб складається з наступних етапів: - з'єднання модуля захисту, відомого як "головний", в одному з пристроїв, приєднаних до локальної мережі, - установки локального ключа мережі головним модулем захисту, - захищеної передачі цього ключа мережі до одного або кількох модулів захисту, відомих як "користувач", - розшифровки зашифрованих даних пристроєм поширення і повторного шифрування, - повторного шифрування даних згаданим пристроєм з допомогою локального ключа, - передачі повторно зашифрованих даних до пристрою відтворення, - розшифровки згаданим пристроєм відтворення, завдяки відповідному модулю захисту користувача, який має засоби для знаходження локального ключа. Пристрій відтворення - це пристрій, в якому дані обов'язково розшифровуються для їх використання, в звуковій формі, відео або іншій формі, як наприклад, дані фондової біржі або ігри. Найхарактернішим прикладом є телевізор. Решта етапів, що залишається виконати з даними, здійснюються на зашифрованих даних. Ключ сеансу - це випадково генерований ключ, який далі шифрують ключем мережі. Цим ключем сеансу, який шифрується ключем мережі, супроводжуються зашифровані дані. Тому, знання ключа мережі дозволяє одержати ключ сеансу і робить доступними дані. Звичайно, можна передбачити пряме використання ключа мережі і передачу тільки повторно зашифрованих даних. У наступному описі, локальний ключ включає обидва поняття, тобто ключ сеансу або ключ мережі. Існує два принципи шифрування даних. Перший стосується шифрування низки даних локальним ключем. Модуль захисту, відомий як "конверторний модуль" мітить засоби для розшифровки даних і повторного шифрування згаданих даних локальним ключем, тільки тоді, якщо існують права. Відповідно до швидкості потоку і розміру даних, ємність, що вимагається для цієї операції, може виявитися дуже важливою. 86590 6 В основі другого принципу лежить ключовий файл, відомий як "Керуючі Слова". Дані не змінюються і залишаються зашифрованими низкою ключів; конверторним модулем розшифровується лише ключовий файл і повторно зашифровується локальним ключем. Слід зазначити, що низка ключів може бути зменшена аж до одного ключа на подію і може оброблятися як описано раніше, тобто повідомлення, що містить цей ключ, розшифровується конверторним модулем і повторно зашифровується локальним ключем. Наприклад, пристроєм поширення і повторного шифрування є дешифратор, сполучений з мережею, яка забезпечує дані умовного доступу, або зашифровану програму читання даних, наприклад, програму читання DVD. Цей пристрій перевіряє, чи є право розшифровувати дані перед поширенням згаданих даних по локальній мережі. Якщо право є, то після етапу розшифровки згадані дані, завдяки локальному ключу, повторно шифрується. Отже, ці дані можуть оброблятися лише в цій мережі. Дані, повторно зашифровані у такий спосіб, можуть зберігатися на жорсткому диску або у вигляді мікрорельєфу на DVD. Важливість локальної мережі полягає в тому, що ці дані не можуть бути оброблені за межами цієї локальної мережі. Під час обробки цих даних пристрій пам'яті поширює дані в мережі, ці дані містять зашифровану корисну частину (наприклад, звукову і відео) і частину управління, яка включає ключ сеансу, зашифрований ключем мережі. Головний модуль захисту буде відповідальний за ініціалізацію кожного модуля захисту користувача, що бажає долучитися до цієї мережі. Тому, користувачеві повинно бути очевидним, що цей перший модуль відіграє специфічну функцію, і важливо його не втратити. Такий головний модуль має також лічильник для визначення максимального числа модулів, які можуть бути ініціалізовані, і сертифікат, що показує причетність цього модуля до системи локальних мереж. Так вирішується проблема розділення апаратури, в якій знаходять головний модуль. З практичних причин, головний модуль матиме візуальну мітку відносно інших модулів. Установка ключа мережі може здійснюватися двома шляхами. Перший полягає у випадковому генеруванні цього ключа протягом першої ініціалізації локальної мережі. Другий полягає у використанні ключа, завантаженого під час процедури персоналізації головного модуля. Тому ключі відомі зарані за рахунок формування повноважень. Головний модуль, як перша задача, повинен ініціалізувати мережу. Модуль користувача є пасивною частиною цієї мережі і одержує ключ мережі, встановлений головним модулем. На практиці, можна об'єднати модуль користувача у фізичному модулі, що містить і головний модуль. Це дозволяє проводити операції в мережі тільки з одним модулем, причому ініціалізація полягає в перемі 7 щенні ключа мережі з головної частини в частину користувача того ж фізичного модуля. Винахід стане краще зрозумілим завдяки наступному детальному опису, який посилається на додану ілюстрацію, котра наведена як приклад, що не вносить обмежень, і котра описує конфігурацію локальної мережі. На Фіг.1 локальна мережа позначена як LNT. Вона зв'язує різні елементи, об'єднані, наприклад, всередині будинку. Існує два види пристроїв, а саме пристрої відтворення, як наприклад, телевізор DV1 і комп'ютер DV2. Інші пристрої - це пристрої поширення і розшифровки, як наприклад, дешифратор MD1 або програма читання диска MD2. Шифрований потік даних STE входить в дешифратор MD1 і там обробляється. Цей дешифратор має модуль захисту СС1, який містить права, пов'язані із вмістом зашифрованих даних. Модуль СС1 перевіряє права, що дозволяють доступ до цих зашифрованих даних і, у разі передачі даних, шифрованих керуючими словами CW, він розшифровує ці керуючі слова і повторно шифрує останні, використовуючи локальний ключ. Відповідно до режиму роботи локальний ключ є ключем сеансу, що генерується конверторним модулем MD1 і шифрується ключем мережі. Цей етап шифрування локального ключа здійснюється не в конверторному модулі MD1, але швидше в модулі ТС користувача, який розпоряджається тільки ключем мережі. Під час етапу ініціалізації конверторний модуль генерує випадковий ключ сеансу. Взаємодіючи з дешифратором, згаданий модуль передає запитдля того, щоб визначити присутність локальної мережі. Пристрій відтворення, наприклад, телевізор DV1, реагує і передає загальний ключ модуля ТС1 його користувача. Цей ключ буде використано конверторним модулем для шифрування ключа MD1 сеансу і передачі цього зашифрованого набору до модуля користувача в телевізорі. Модуль ТС1 користувача, завдяки його особистому ключеві, розшифровує це повідомлення і добуває ключ сеансу. Далі він шифрує цей ключ сеансу з допомогою ключа мережі і передає це нове повідомлення конверторному модулю. Коли конверторний модуль одержує повідомлення, котре містить керуюче слово, яке походить від потоку даних умовного доступу STE, він перевіряє права, що містяться в цьому повідомленні, і, якщо такі права є, розшифровує керуюче слово і повторно шифрує останнє з допомогою ключа сеансу. Нове повідомлення містить керуюче слово, повторно зашифроване ключем сеансу, а ключ сеансу зашифрований ключем мережі. Функціонування пристрою, такого, як програма читання DVD, дуже подібне. Цей пристрій також містить конверторний модуль СС2, до складу якого входять засоби для доступу до зашифрованих даних, що містяться на диску. У нашому прикладі передбачатиметься, що дані шифруються ключем, який має відношення до вмісту згідно з алгоритмом, та/або ключем вмісту в конверторному модулі. 86590 8 Цей конверторний модуль СС2 перевіряє, чи має право власник модуля на розшифровку і транслювання диска CDE по локальній мережі. Якщо право існує, то можливі два випадки: - конверторний модуль СС2 розшифровує вміст диска і повторно шифрує цей вміст з допомогою ключа мережі, повторно зашифровані дані і ключ мережі передаються до пристрою відтворення, - конверторний модуль лише шифрує ключ диска з допомогою ключа мережі і передає початкові дані та ключ диска, зашифрований ключем мережі. Цей спосіб припускає, що кожен вміст має відповідний ключ диска; в іншому випадку, доступ до вмісту відкриває можливість доступу до всіх вмістів. Згідно з одним із аспектів винаходу головний модуль МС розміщують в телеприймачі DV1. Цей головний модуль дозволяє генерувати локальну мережу і розпоряджається ключем NK мережі. В одному варіанті здійснення цей модуль містить також функціональні засоби модуля користувача, а тому може розшифрувати зашифровані дані, що передаються пристроєм, наприклад, дешифратором MD1. Коли приєднують другий новий модуль ТС2 користувача, в цьому випадку до комп'ютера DV2, між головним модулем МС і цим новим модулем встановлюється зв'язок. Після взаємної ідентифікації головний модуль передає ключ NK мережі модулю ТС2 користувача, який надалі має можливість отримувати і розшифровувати дані цієї локальної мережі. Після цього, для доступу до даних, зашифрованих локальним ключем, присутність головного ключа МС більше не потрібна, оскільки він має ключ NK мережі. Основним принципом оцінки локальної мережі є число можливих модулів користувача. Ця функція визначена для головного модуля, який зменшує показ лічильника кожного разу, коли модуль користувача одержує ключ мережі. Якщо бажають чітко диференціювати функцію створення мережі і функцію для доступу до зашифрованих даних, то в головному модулі МС необхідно лише включити функцію керування мережею. Після одноразової ініціалізації модуля ТС2 користувача, головний модуль МС видаляють і вводять попередньо конфігурований модуль ТС1 користувача. Винахід застосовується також до способу перевірки відповідності локальної мережі. Протягом взаємодії між термінальним модулем ТС і конверторним модулем СС, термінальний модуль передає дані, що мають відношення до головного модуля МС стосовно створення цієї мережі. Це може бути ідентифікатор, підпис або посвідчення (наприклад, Х509). Завдяки тому, що тільки головні модулі МС можуть генерувати локальну мережу, до уваги буде взятий лише цей вид модуля, кількість яких набагато менша, ніж кількість модулів користувача, що знаходяться в роботі. Конверторний модуль СС накопичує ці шматки інформації, відомої як ідентифікатор локальної мережі. 9 86590 У випадку застосування дешифратора платного телебачення, останній повинен бути з'єднаним із центром керування з метою оновлення, з причин отримання статистичних даних або для виписування рахунків за користування локальною мережею. У цей момент конверторний модуль СС передає, разом із звичайними даними, ідентифікатор для локальної мережі, пов'язаний із цим дешифратором. Центр керування має список ідентифікаторів локальних мереж, не уповноважених одержувати розшифровані дані з конверторного модуля, і передає цю інформацію до згаданого модуля. Таким чином, конверторний модуль може погодитися або відмовитися працювати з такою мережею. Слід зазначити, що конверторний модуль може взаємодіяти з кількома локальними мережами, наприклад, якщо третя сторона хотіла б приєднати свій термінальний модуль в телеприймачі DV1. У цій конфігурації конверторний модуль може утримувати в своїй пам'яті кілька ідентифікаторів мережі. В одному варіанті здійснення шифровані дані, зокрема повідомлення, що містять ключ або ключі розшифровки, можуть містити умови, які роблять цей вид перевірки обов'язковим, і вона здійсню Комп’ютерна верстка М. Ломалова 10 ється перед будь-яким повторним шифруванням для даної локальної мережі. Тоді дешифратор виконує операцію перевірки, аби підтвердити ідентифікатор локальної мережі, до якої він приєднаний. Якщо протягом узгодження локального ключа з'являється ідентифікатор іншої мережі, це не дозволятиме розшифровки керуючого слова для локальної мережі. Таким чином, в зашифровані дані або в ключі, котрі супроводжують згадані дані, можна ввести умови для того, щоб визначити рівень захисту. Слід зазначити, що цей варіант здійснення особливо підходить для пристроїв відтворення, у яких модуль захисту встановлено безпосередньо на друкованій платі. Цей модуль, у формі електронної схеми (зрештою привареної), охоплює всі функції користувачевого модуля захисту. Видалятися буде тільки головний модуль, і він буде приєднуватися лише для ініціалізації мережі і завантаження ключа мережі в цю електронну схему. Якщо цей пристрій переносять на іншу мережу, то необхідні лише повноваження для ліквідації зв'язків з попередньою мережею і повноваження для входу в нову мережу. Для багаторазового використання даних, що вже накопичені і зашифровані ключем мережі, головний модуль знову виконує роль модуля користувача з своїм власним ключем мережі. Підписне Тираж 28 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601