本发明专利技术公开了一种识别码首次接收的自动诊断方法,该方法包括:a)建立(64,68)至少一个界限,作为N个已接收识别码的函数,其中N严格大于防重送内存中可包含的识别码的数目,建立此界限用于区分一方面目前未接收的识别码范围以及另一方面包含N个已接收识别码的识别码范围;b)比较(58)新接收的识别码与此界限;c)如果新接收识别码属于目前未接收的识别码范围,则诊断(60)新接收识别码的首次接收;以及e)如果新接收识别码属于包含N个已接收识别码的识别码范围,则从防重送内存中包含的识别码中搜寻(73)新接收识别码。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种识别码首次接收的自动诊断方法和装置。本专利技术还涉及一种重送消息的检测方法以及用于实施这些方法的记录介质与计算机程序。
技术介绍
为了说明识别码首次接收的诊断方法的效用,以下描述将结合终端接收加密多媒体内容的背景。在这种背景下,在此终端或连接此终端的芯片卡(或智能卡)中执行一模块,此模块通常被称为数字版权管理(digital rights management ;DRM)代理程序 (agent)或条件接收系统(conditional access system 。验证此加密多媒体内容的访问条件,以信赖此数字版权管理代理程序或条件接收系统。如果满足访问条件,则允许解密此多媒体内容。如果不满足,则禁止解密。例如,访问条件包括持有有效许可证(valid license)或有效访问权。为了简化问题,本文假设访问条件为许可证,其中包括一密钥CEK,用于解密此多媒体内容;一一组权利,用于定义已被解密的多媒体内容上允许的行为,例如浏览、打印、保存等等;以及一约束条件,用于限制这些权利之用量,例如使用多媒体内容的最大累积周期T。 或多媒体内容的最大用户数目N。。这些条件中,恶意用户可记录包含许可证的消息,然后仿佛把它作为新消息不时地向数字版权管理代理程序或条件接收系统再次提交。这种重复提交消息的行为被称为 “消息重送(message replay) ”。这种重送消息的企图被称为“重送攻击(r印lay attack) ”。许可证服务器发送包含许可证的消息,当终端能够依照双向模式与许可证服务器通讯时,目前已存在打击重送攻击的有效解决方案。这种解决方案包括在终端向服务器发送的每一许可证请求中插入终端得到的随机数。服务器向终端发送一个请求许可,包含此请求许可的消息包含从请求中提取的相同随机数。这意味着通过比较发送的随机数和从响应中提取的随机数,数字版权管理代理程序或条件接收系统可简单地诊断重送攻击。然而, 这种方法需要终端与服务器之间的双向通讯。现在并非总能是这种双向通讯。例如,有些情况下消息仅仅可从服务器传送至终端,但是另一方向则不可传送。如果能够实现双向通讯,已知方法中每一消息中包含不会被重送的唯一识别码 (Unique Identifier ;UID)。在可能产生的一组消息中,UID识别码提供此消息的唯一识别。 当首次接收此消息时,终端在终端的防重送(anti-r印lay)内存中记录UID识别码。此防重送内存有时被称为"防重送缓存"。然而,如果第二次或更多次接收到此消息,通过从防重送内存中已包含的若干UID识别码中搜寻此消息中包含的UID识别码,终端可检测出此重送攻击。如果防重送内存中已存在此UID识别码,这意味着已经接收过此消息,所以此消息为重送消息。4因此,实施的诊断方法包括a)在防重送内存中包含的若干识别码中搜寻新接收的识别码,从而诊断此新接收的识别码是否为首次接收,其中此防重送内存中最多能容纳M个识别码。因此,这种UID识别码首次接收的诊断方法和重送信息的检测方法的效率受到防重送内存的大小的限制。确实,内存必然大小有限。防重送内存的大小取决于使用的终端, 但是当数字版权管理(DRM)代理程序或条件接收系统(CAS)位于智能卡中时则尤其受限。因此,防重送内存仅仅可容纳有限数目的UID识别码。本文中防重送内存中可记录的UID识别码的最大数目被标记为M。因此,首次接收M条消息和M个UID识别码以后, 则需要从防重送内存中清除某些UID识别码,从而能够记录新接收的UID识别码。然后,可能重送那些UID识别码已经被清除的消息。
技术实现思路
本专利技术的目的在于提高识别码首次接收的诊断方法的效率。因此,本专利技术的目的为这种方法,此方法包括b)建立至少一个界限(limit),作为N个已接收识别码的函数,其中N严格大于M, 建立的界限用于区分,一方面目前未接收的识别码范围以及另一方面包含N个已接收识别码的识别码范围;c)比较新接收的识别码与此界限,以判定新接收的识别码是否属于目前未接收的识别码范围;d)如果新接收的识别码属于目前未接收的识别码范围,则诊断新接收的识别码为首次接收,并且新建此界限作为新接收的识别码的函数;以及e)如果新接收的识别码属于包含N个已接收识别码的识别码范围,则执行步骤a) ο以上方法中,假定此界限被计算作为已接收识别码的数目的函数,已接收识别码的数目大于防重送内存中包含的M个识别码数目,此界限本质上保持着识别码数目严格大于数目M的轨迹。这意味着,至少当新接收的识别码属于目前未接收的识别码范围时,所做诊断的确定度比步骤a)结束时得到的大。因此,此方法的效率被提高。这种诊断方法的实施例包括一或多个以下特征此方法包括一为不同类别的识别码建立界限,对于每一类别的识别码,与此类别关联之界限被建立为已接收的N个识别码之函数,并且属于此识别码的类别;一从识别码的现有类别中识别新接收的识别码所属的识别码类别,以及一步骤C)比较新接收的识别码与此识别类别的相关界限,以及不比较新接收的识别码与不属于的类别的相关界限;此方法包括—通过防重送内存的不同扇区(section)中可接收的不同识别码的预定分布定律,从若干现有扇区中识别出可记录新接收识别码的防重送内存的扇区;以及一在步骤a)处,仅仅从防重送内存的识别扇区中所包含的识别码中搜寻新接收的识别码,而并非从防重送内存的不可记录新接收识别码的扇区中所包含的识别码中搜寻;此方法包括一计数一个时隙期间新接收的识别码的数目;一比较此数目与预定阀值;以及一如果且只有预定阀值被超过,则检测到重送攻击;此方法包括一计数一个时隙期间被诊断为非首次接收的识别码的数目;一比较此数目与预定阀值;以及一如果且只有预定阀值被超过,则检测到重送攻击;对于此新接收的识别码,如果执行步骤d),则不执行步骤a);建立此界限的步骤包含判定N个已接收识别码的弱函数或强函数。这些诊断方法的实施例更具有以下优点一将这些识别码分配至识别码类别内,并且为每一识别码类别设定界限,通过增加未执行步骤a)的情况的数量,从而提高这种方法的效率,一仅仅从防重送内存的特定扇区中包含的识别码中搜寻新接收的识别码,能够加快诊断识别码的首次接收,一计数新接收识别码的数目且比较此数目与阀值,可检测重送攻击,一计数非首次接收的识别码的数目且比较此数目与阀值,也可检测重送攻击,—因为无需从防重送内存中包含的识别码中搜寻此新接收识别码,则可能诊断出识别码首次接收,当执行步骤d)时,在执行时间内给出增益,则不执行步骤a)。本专利技术的目的还提供一种重送消息的检测方法,其中每一消息包含一识别码,用于将其与其它消息区别开来,此方法包括识别码首次接收之自动诊断,依照以上诊断方法以确定是否某条接收消息被重送。本专利技术的目的还提供一种信息记录介质和计算机程序,其中包含若干指令,当电子计算机执行这些指令时,则完成以上方法其中之一。最后,本专利技术的目的还提供一种识别码首次接收的自动诊断装置,此装置包括一模块,用于从防重送内存中包含的那些识别码中搜寻新接收的识别码;一此防重送内存可容纳最多M个识别码,新接收的识别码可与M个识别码比较;一建立器,建立至少一个界限作为N个已接收识别码的函数,其中N严格大于M,此界限被建立以区分,一方面目前未接收的识别码范围,本文档来自技高网...
【技术保护点】
1.一种识别码首次接收的自动诊断方法,包括:a)从一防重送内存中包含的多个识别码中搜寻一新接收识别码(73),该防重送内存能够包含最多M个识别码,可与该新接收识别码比较,该方法的特征在于包含以下步骤:b)建立(64,68)至少一个界限作为N个已接收识别码的函数,其中N严格地大于M,该界限被建立以区分一方面目前未接收的识别码范围,以及另一方面包含该N个已接收识别码的识别码范围;c)比较(58)该新接收识别码与该界限,以判定该新接收识别码是否属于目前未接收的识别码范围;d)如果该新接收识别码属于未接收的识别码范围,则诊断(60)该新接收识别码的首次接收,并且新建立(64,68)界限作为该新接收识别码的函数;以及e)如果该新接收识别码属于包含N个已接收识别码的识别码范围,则执行步骤a)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:海萨姆·噶达贾,
申请(专利权)人:维亚塞斯公司,
类型:发明
国别省市:FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。