-
Die
vorliegende Erfindung bezieht sich auf Signatur- und Authentisierungsgeräte und Prozesse
sowie auf dazugehörige
Produkte, vor allem auf DVB (Digital Video Broadcasting = Digitalfernsehen)/
MPEG (Moving Picture Experts Group) Datenströme und insbesondere auf MHP
(Multimedia Home Platform) Standards.
-
Sie
bezieht sich somit auf den Bereich des digitalen Fernsehens. Die
Umgebung des digitalen Fernsehens umfasst die Übertragung oder das Streaming
unterschiedlicher Arten von Daten wie audiovisueller Inhalte (normalerweise
MPEG Audio/Video), interaktiver Inhalte, Triggerimpulse, programmspezifischer
Informationen (spezifische Informationen über die gesendeten Programme,
kurz „PSI"), Serviceinformationen
(zusätzliche
Informationen, mit denen ein Empfangsgerät automatisch konfiguriert
werden und ein Anwender die Dienste in einem EPG – Electronic
Program Guide (elektronische Programmzeitschrift) durchsuchen kann, kurz „SI"), private Daten,
Signalisierung, usw. Die Informationen, die sich auf Ursprung, Ziel
und Struktur des Inhalts (und zwar PSI, SI und private Daten) beziehen,
sind normalerweise in die Signalisierung integriert.
-
Diese
unterschiedlichen Daten werden normalerweise über MPEG-2 Transportströme weitergeleitet, die
aus audiovisuellen Strömen
bestehen, die in PES (Packetized Elementary Streams = paketierter
Elementardatenströme)
transportiert werden, sowie aus anderen Informationen (Signalisierung,
PSI, SI, interaktiver Inhalt..), die in MPEG2 Segmenten transportiert
werden. Einige digitale Übertragungsnetze
und Breitbandnetze sind mehr oder weniger anfällig für Spoofing-Angriffe. Technisch
gut ausgerüstete Computerpiraten
können Daten
abfangen, sie verändern
und diese Daten dann erneut in das Netz senden (oder streamen).
Terrestrische und Richtfunknetzwerke sind anfälliger als Satelliten- oder
Kabelnetzwerke. Somit besteht das Problem darin, die Übertragung
digitaler Daten über
MPEG-2 Netzwerke abzusichern.
-
Tatsächlich sind
einige der aufgeführten
Datenelemente wie audiovisuelle Inhalte, PSI und SI reine Rundfunkinhalte
und deren Piraterie ist für
den Anwender zwar ärgerlich,
hat aber zumindest keine finanziellen Auswirkungen für ihn. Allerdings
können
auf interaktiven Endgeräten
mit einem Rückkanal
auch T-Commerce (Television Commerce) oder Home Banking Anwendungen
laufen. Spoofing-Angriffe auf derartige Anwendungen sind dann nicht
nur sehr ärgerlich
für den
Anwender, sondern können
ihn auch sehr viel Geld kosten.
-
Die
Authentisierung von Dateninhalten ist bereits wohl bekannt. Besonders
in Dokument WO-99/49614 wird ein Verfahren zur Authentisierung von
Daten beschrieben, die in einem digitalen Datenstrom versandt werden,
bei dem die Daten innerhalb einer Hierarchie von mindestens einem
Stammverzeichnis, einem Unterverzeichnis und einem File organisiert
sind. Die Daten in einem File sind signiert und ein dazugehöriger Authentisierungswert
wird in dem dazugehörigen
Unterverzeichnis gespeichert. Der Authentisierungswert dieses Files
ist wiederum signiert und ein entsprechender Authentisierungswert
für das
Unterverzeichnis wird in dem dazugehörigen Stammverzeichnis gespeichert.
Weitere Aspekte dieser Enthüllung
beziehen sich auf die Authentisierung eines zweiten Stammverzeichnisses
durch Erzeugung eines zweiten Authentisierungswertes, und auf die
Authentisierung von Daten vor deren Einkapselung in Tabellen oder
Segmenten eines Transportstroms.
-
Auch
in Dokument WO-99/62248 wird ein Verfahren offengelegt, das in ein
interaktives Fernsehsystem implementiert wurde, um Module interaktiver
Fernsehanwendungen zu verwalten. Dieses System überträgt Module von einer Rundfunkstation
an mehrere Empfangsstationen, und die Empfangsstationen sind mit Modulverwaltern
ausgestattet, die Modulanfragen speichern und die verschiedenen
Kanäle
für die
Module entsprechend der Anfragen überwachen. In detaillierten
Ausführungsformen
besteht eine zu übertragende
Anfrage aus einer Reihe von Modulen, von denen eines das Verzeichnismodul
ist. Letzteres enthält
einen Eintrag für
jedes Modul innerhalb der Anwendung sowie ausreichend Informationen,
damit die Empfangsstationen auf alle Module der Anwendung zugreifen
können.
Desweiteren kann ein Authentisierungsmechanismus in den Empfangsstationen
eingesetzt werden, um sicherzustellen, dass die derzeit heruntergeladenen
Karussells und/oder Module authentisch sind.
-
In
den Dokumenten WO-00/19708, EP-A-0750423 und The TV Anytime Forum: „Requirement
Series, R3, Metadata Requirements (Normative)" vom 07.04.2000 wird die Authentisierung
der Signalisierung innerhalb von digitalen Datenströmen offengelegt.
-
Desweiteren
geben interaktive Systeme wie die DVB Multimedia Home Platform genau
an, wie Broadcast-Anwendungen
zu authentisieren sind, und sie geben auch genau an, wie Dateninhalte
zu schützen
sind, die über
einen Rückkanal übertragen
werden. Allerdings bleiben betrügerische
Angriffe auch weiterhin möglich,
da man die Signalisierung entsprechend verändern kann, indem Inhalte gelöscht, ausgetauscht
oder hinzugefügt
werden, ohne das Veränderungen
erkennbar sind. Daher wäre
es sehr verlockend, nicht nur für
den Inhalt eine Authentisierung vorzusehen, sondern auch für die Signalisierung
selbst, wie dies insbesondere bei Datenströmen der Fall ist, die gemäß dem ATVEF
(Advanced Television Enhancement Forum) Standard aufgebaut sind.
-
Allerdings
wirft ein derartiges Verfahren speziell bei DVB-Datenströmen Schwierigkeiten auf, weil
Datenströme üblicherweise
in den Kopfstellen der Netzwerke remultiplext werden. Dann besteht
die Gefahr, dass die PIDs (Packet IDentifiers) oder auch die Inhalte
von Tabellen wie PMTs (Program Map Tables, eine Tabelle pro Programm,
welche die PIDs des PES enthält,
die das Programm einsetzt, möglicherweise
zusätzlich
zu privaten Informationen in Bezug auf das Programm) entsprechend
der Netzanforderungen modifiziert werden. Dies würde eine Neuberechung aller
Hash-Werte und Signaturen bedeuten, wozu jedem Multiplexer ein Private
Key zugewiesen werden müsste,
um eine entsprechende Signatur zu berechnen. Allerdings wären die Kosten
für die
Zuweisung eines zertifizierten Schlüsselpaares an jeden Multiplexer
sehr hoch. Diese Tatsache hat Fachleute entmutigt, eine dementsprechende
Strategie zur Authentisierung der Signalisierung zu entwickeln.
-
Die
vorliegende Erfindung bezieht sich auf ein Gerät zur Signierung von digitalen
Datenströmen,
die über
ein Kommunikationsnetzwerk übertragen
werden sollen, das zur Authentisierung von DVB-Datenströmen, insbesondere
für MHP Anwendungen,
geeignet ist und das Fernmeldewesen wesentlich sicherer macht.
-
Sie
betrifft auch einen entsprechenden Prozess sowie ein Gerät und einen
dazugehörigen
Decoder, und einen Prozess zur Authentisierung von digitalen Datenströmen, die über ein
Kommunikationsnetzwerk empfangen werden, sowie ein entsprechendes
Computerprogrammprodukt und digitale Datenströme.
-
Dementsprechend
bezieht sich die Erfindung auf ein Gerät zum Signieren von digitalen
Datenströmen, die über ein
Kommunikationsnetzwerk übertragen
werden sollen, indem mindestens eine in die digitalen Datenströme einzubindende
Signatur erzeugt wird, die aufgrund der Verschlüsselung der digitalen Datenströme entsteht.
Jeder dieser digitalen Datenströme
umfasst mehrere Informationseinheiten, die Folgendes beinhalten:
- – Inhalte
in Bezug auf mindestens audiovisuelle Informationen,
- – und
mindestens eine Signalisierung, die aus einem Informationssatz in
Bezug auf Ursprung, Ziel und Struktur des Inhalts besteht, wobei
diese Signalisierung Modifizierungen in Netzwerken entsprechend
den Netzwerkanforderungen unterliegt, essentielle Datenstrukturen
enthält,
die Deskriptoren genannt werden, und hauptsächlich aus bestimmten Gruppierungen
aufgebaut ist, die Tabellen genannt werden.
-
Gemäß der Erfindung
ist das Signaturgerät
dazu geeignet, die Verschlüsselung
mindestens auf die Signalisierung anzuwenden, und spezifischer auf
authentisierte Deskriptoren, die selektiv unter den Deskriptoren dieser Signalisierung
bestimmt werden, die authentisierten Deskriptoren, die unberührt bleiben,
wenn die Datenströme
in den Kopfstellen des Netzwerks remultiplext werden.
-
Somit
werden im Gegensatz dazu, was bei der Signatur der Signalisierung
die natürliche
Lösung
gewesen wäre,
nämlich
die Anwendung des Authentisierungsprozesses auf vollständige Segmente
(hierbei handelt es sich um Untertabellen der Signalisierung mit
limitierter Länge)
spezifische Deskriptoren der Signalisierung zur Authentisierung
ausgewählt.
Ein direkter Vorteil dieser überraschenden
Lösung
besteht darin, dass es bei der Signatur möglich wird, Deskriptoren auszuwählen, die
von der Remultiplexierung unberührt
bleiben. Auf diese Weise kann der Schutz gegen ungewollte Modifizierungen
sehr effektiv in die Praxis umgesetzt werden, während gleichzeitig schwerwiegende
Komplikationen beim Authentisierungsprozess aufgrund der Remulttplexierung
in den Kopfstellen des Netzwerks vermieden werden.
-
Auch
wenn entschieden wird, bei der Signatur einige Deskriptoren bestehen
zu lassen, die bei der Remultiplexierung modifiziert werden sollen,
kann dies einfacher und schneller erfolgen, als wenn die kompletten Segmente
wieder signiert werden müssten,
um aktualisierte Signaturen zu erzeugen und dabei die modifizierten
Deskriptoren in den Remultiplexgeräten zu berücksichtigen. In der Tat können bei
einer vernünftigen
Auswahl der modifizierten Deskriptoren die meisten auf der Emissionsebene
zur Signierung erhaltenen Informationen möglicherweise bestehen bleiben,
und zwar in Form von unveränderten
Digest-Werten, die sich aus dem Hashing ergeben, und nur ein geringer
Anteil der Signaturinformationen muss zur Signierung neu berechnet werden.
-
Mit „audiovisuellen
Informationen" sind
hörbare
und/oder sichtbare Informationen gemeint.
-
Vorzugsweise
sind die digitalen Datenströme
gemäß den DVB
und MPEG Standards aufgebaut, und spezifischer gemäß dem MHP
Standard.
-
Das
Signaturgerät
der Erfindung kann zur Authentisierung aller MPEG/DVB Tabellen wie
vor allem PSI Tabellen eingesetzt werden: PMT, PAT (Programm Access
Table, gibt für
jedes gesendete Programm den Link zwischen der Nummer des Programms
und den PIDs der PMT Transportpakete an), CAT (Conditional Access Table
= Verschlüsselung,
Zugriff, gibt die PIDs des PES mit Entitlement Management Messages
(private Zugriffsinformationen) – EMM an, wenn mindestens ein
Programm eine Zugangsberechtigung hat), und für DBV-SI Tabellen: NIT (Network
Information Table = Parameter des Übertragungssystems), SDT (Service
Description Table – Serviceparametertabelle),
EIT (Event Information Table = Art, Veranstalter und Verfügbarkeit von
Diensten/Programmen sowie neue Dienste/Programme), TOT (Time Offset
Table = Zeitverschiebungstabelle), AIT (Application Information
Table), BAT (Bouquet Association Table = Name und Inhalt des Bouquets). Das
Signaturgerät
kann auch für
alle privaten MPEG/DVB Tabellen eingesetzt werden, die auf der Segmentsyntax
des MPEG2-Systems (ISO/IEC 13818-1) basieren.
-
Das
Signaturgerät
umfasst zweckmäßigerweise
Mittel, die es einem Anwender ermöglichen, die authentisierten
Deskriptoren auszuwählen.
Dieser Anwender ist z.B. ein Mitglied eines Rundfunkteams. Dann werden
entweder die Identitäten
der ausgewählten
Deskriptoren in die Datenströme
eingefügt,
sodass die Empfangsgeräte über die
verwendeten Deskriptoren informiert werden, wenn sie diese Datenströme empfangen,
oder sie werden im Vorfeld zwischen dem Sendegerät und den Empfangsgeräten abgestimmt.
Eine andere Lösung
wäre, die
ausgewählten
Deskriptoren z.B. in einer spezifischen Standardversion systematischer festzulegen.
-
Vorzugsweise
ist das Signaturgerät
dazu gedacht:
- – Um die Signatur in mindestens
einen Lowest-Level Signaturdeskriptor in den digitalen Datenströmen einzubinden,
- – um
desweiteren in die digitalen Datenströme mindestens einen Zertifizierungsdeskriptor,
der Zertifizierungsdaten dieser Signatur enthält, einzubinden,
- – und
um mindestens einen Higher-Level Signaturdeskriptor einzubinden,
der sich aus der Verschlüsselung beider
Inhalte, dem des Lowest-Level Signaturdeskriptors und dem des Zertifizierungsdeskriptors,
ergibt.
-
Dies
ist sehr interessant für
die Gewährleistung
einer sicheren und flexiblen Interoperabilität zwischen verschiedenen Teilnehmern
wie Broadcastern und Herstellern.
-
In
der Praxis kann sich hieraus eine Public Key Infrastructure (PKI)
ergeben, sobald mehrere Ebenen vorhanden sind. Dann werden eine
Root Certification Authority (oberste Zertifizierungsstelle) (für die Signatur der
höchsten
Ebene) und optional andere Zertifizierungsstellen eingeführt.
-
Vorzugsweise
umfasst das Signaturgerät
Mittel zum Einfügen
der Adressen der authentisierten Deskriptoren in die digitalen Datenströme. Dies
ist eine effiziente Methode, um die Empfangsgeräte auf die zur Signatur verwendeten
Deskriptoren hinzuweisen.
-
Folglich
ist es von Vorteil, dass die Einbindungsmittel dazu vorgesehen sind,
mindestens einen Hash-Deskriptor in jeden digitalen Datenstrom einzubinden.
Der Hash-Deskriptor umfasst mindestens einen Digest-Wert, der sich
aus der Anwendung eines Hash-Algorhythmus auf mindestens einen der
authentisierten Deskriptoren ergibt, der zur Berechnung der Signatur
verwendet wird. Der Hash-Deskriptor umfasst auch die Adressen der
authentisierten Deskriptoren, die zur Berechnung des Digest-Wertes
verwendet wurden. Eine derartige Ausführung verbessert die Effizienz
der Authentisierung, weil sie auf der Übertragung von Zwischenergebnissen
zur Berechnung der Signatur aufbaut, und somit deren Authentizität überprüft.
-
Genauer
ausgedrückt
sind die Einbindungsmittel vorzugsweise dazu gedacht, um die Hash-Deskriptoren
gemäß einem
Baummodell in den digitalen Datenströmen anzuordnen, wobei mindestens
einer der Hash-Deskriptoren aus mindestens einem anderen der Hash-Deskriptoren
einer niedrigeren Ebene berechnet wird. Diese verwürfelte Berechnung
der Digest-Werte
ermöglicht
eine progressive Berechnung des Basiswerts, aus dem sich die Signatur
letztendlich ergibt (nämlich
des Digest-Werts der Wurzel), während
sichergestellt ist, dass alle benötigten Informationen über die
verschiedenen authentisierten Deskriptoren berücksichtigt werden.
-
Die
Digest-Werte haben vorzugsweise eine feste Länge, die sich für gewöhnlich nach
den angewandten Hash-Algorithmen richten.
-
Bevorzugt
werden auch die folgenden Ausführungsformen
mit Einbindungsmitteln, bei denen jede Tabelle mindestens ein Segment
limitierter Länge
umfasst, dem eine Nummer zugeordnet ist, und jedes Segment mindestens
eine Schleife umfasst, die sukzessive Deskriptoren in dieses Segment
einbringt. Diese Einbindungsmittel sind zweckmäßigerweise dazu gedacht, die
Adressen aller authentisierten Deskriptoren, die mindestens zu einer
vorgegebenen Schleife eines vorgegebenen Segments gehören und
mindestens jeweils eine Ereignisnummer für jede dieser Schleifen haben,
zu spezifizieren, indem sie mindestens Folgendes angeben:
- – die
entsprechende Segmentnummer
- – und
die entsprechenden Ereignisnummern.
-
Auf
diese Weise ist es möglich,
die Identitäten
der verwendeten Deskriptoren zur Authentisierung effizient und auf
einfache Weise zu identifizieren.
-
Weitere
zur Adressierung möglicherweise übertragene
Informationen umfassen:
- – Die Versionsnummer des entsprechenden
Segments
- – und/oder
der entsprechende Segmenttyp.
-
In
einer speziellen Ausführungsform
mit den Einbindungsmitteln ist das Signaturgerät zweckmäßigerweise darauf ausgelegt,
die Signatur einzubinden, und möglicherweise
mindestens einen Wert der Digest-Werte und der Zertifizierungsdaten
in Form privater Daten in mindestens ein spezielles Segment einzubinden,
wobei dieses spezielle Segment mit den Segmenten verlinkt ist, welche
die authentisierten Deskriptoren enthalten. Diese Ausführung lässt die
Trennung von mindestens einigen der Authentisierungsinformationen
von den anderen Signalisierungsdaten zu.
-
Folglich
soll das spezielle Segment in einer bevorzugten Ausführungsform
die Signatur(en)- und Zertifikatsdaten enthalten, zweckmäßigerweise
in Form von Signatur- und Zertifizierungsdeskriptoren, sowie einen
Hash-Deskriptor der Wurzel, der den Digest-Wert der Wurzel angibt
und auf Digest-Werte niedrigerer Ebenen in anderen Segmenten hinweist.
Dies kann sehr zweckmäßig sein,
weil die Struktur des DVB/MPEG-2 es nicht zulässt, am Anfang eines Segments
Deskriptoren zu platzieren, die für den Rest des Segments gültig sind.
Das heißt,
dass sich alle Deskriptoren irgendwo in Schleifen befinden, was
der Grund dafür
ist, dass Top-Level Deskriptoren nicht direkt mit dem Segment gesendet
werden können.
-
In
einer anderen Ausführungsform
mit dem speziellen Segment sind nicht nur die Signatur(en), die Zertifikatsdaten
und der Hash-Deskriptor der Wurzel in dem speziellen Segment platziert,
sondern auch alle anderen Hash-Deskriptoren (z.B. auf dem Top-Level
des entsprechenden Segments). Dies ist mit DVB/MPEG-2 möglich, weil
der Adressierungsmechanismus es zulässt, Deskriptoren direkt in
Tabellen zu adressieren.
-
Die
Erfindung bezieht sich auch auf einen Prozess entsprechend dem oben
beschriebenen Gerät,
der vorzugsweise mittels einer der Ausführungsformen des Signaturgeräts gemäß der Erfindung
durchgeführt
werden sollte.
-
Ein
weiteres Ziel der Erfindung ist ein Gerät zur Authentisierung digitaler
Datenströme,
die über
ein Kommunikationsnetzwerk empfangen werden, indem mindestens eine
Signatur, die in die digitalen Datenströme eingebunden ist, überprüft wird.
Jeder dieser digitalen Datenströme
umfasst mehrere Informationseinheiten, die Folgendes beinhalten:
- – Inhalte
in Bezug auf audiovisuelle Informationen,
- – und
mindestens eine Signalisierung, die aus einem Informationssatz in
Bezug auf Ursprung, Ziel und Struktur des Inhalts besteht, wobei
diese Signalisierung Modifizierungen in Netzwerken entsprechend
den Netzwerkanforderungen unterliegt, essentielle Datenstrukturen
enthält,
die Deskriptoren genannt werden und hauptsächlich aus bestimmten Gruppierungen
aufgebaut ist, die Tabellen genannt werden.
-
Gemäß der Erfindung
ist das Authentisierungsgerät
dazu geeignet, die Authentisierung mindestens auf die entsprechende
Signalisierung anzuwenden, und spezifischer auf authentisierte Deskriptoren,
die selektiv unter den Deskriptoren der entsprechenden Signalisierung
bestimmt werden, den authentisierten Deskriptoren, die bei der Remultiplexierung
in den Kopfstellen des Netzwerks unberührt bleiben und aus denen die
Signatur berechnet wird.
-
Das
Authentisierungsgerät
ist vorzugsweise dazu bestimmt, um auf digitale Datenströme angewandt zu
werden, die Signaturen umfassen, die von einem Signaturgerät gemäß der Erfindung
erstellt wurden.
-
Die
Erfindung bezieht sich auch auf einen Decoder, dadurch gekennzeichnet,
dass er ein Authentisierungsgerät
gemäß der Erfindung
enthält.
-
Ein
weiteres Ziel der Erfindung ist ein Authentisierungsprozess entsprechend
dem Authentisierungsgerät
der Erfindung, der vorzugsweise mittels einer der Ausführungsformen
des Letzteren durchgeführt
werden soll.
-
Die
Erfindung betrifft auch ein Computerprogrammprodukt, das Programmcodeanweisungen
enthält, um
die Schritte des Signatur- oder Authentisierungsprozesses der Erfindung
auszuführen,
wenn dieses Programm auf einem Computer ausgeführt wird.
-
Der
Begriff „Computerprogrammprodukt" ist so zu verstehen,
dass er jede Realisierung eines Computerprogramms einbezieht, was
nicht nur auf die Speicherung auf unterstützenden Medien (Kassetten,
Disketten), sondern auch auf Signale (elektrisch, optisch...) bezogen
sein kann.
-
Desweiteren
ist die Erfindung auf einen digitalen Datenstrom anwendbar, der
mehrere Informationseinheiten umfasst, wobei diese Einheiten Folgendes
beinhalten:
- – Inhalte in Bezug auf audiovisuelle
Informationen,
- – und
mindestens eine Signalisierung, die aus einem Informationssatz in
Bezug auf Ursprung, Ziel und Struktur jener Inhalte besteht, wobei
die Signalisierung Modifizierungen in Netzwerken entsprechend den Netzwerkanforderungen
unterliegt, essentielle Datenstrukturen enthält, die Deskriptoren genannt
werden und hauptsächlich
aus bestimmten Gruppierungen aufgebaut ist, die Tabellen genannt
werden,
- – mindestens
eine Signatur, die in den digitalen Datenstrom eingebunden ist.
-
Gemäß der Erfindung
wird diese Signatur aus der Signalisierung berechnet, und spezifischer
aus authentisierten Deskriptoren, die selektiv unter den Deskriptoren
der Signalisierung bestimmt werden, wobei die authentisierten Deskriptoren
bei der Remultiplexierung in den Kopfstellen des Netzwerks unberührt bleiben.
-
Jener
digitale Datenstrom wird vorzugsweise von einer der Ausführungsformen
des beanspruchten Signaturgeräts
hergestellt.
-
Die
Erfindung wird anhand der folgenden Ausführungsformen bezugnehmend auf
die in der Anlage beigefügten
Figuren, die in keiner Weise einschränken sollen, besser verständlich und
erklärt,
wobei:
-
1 eine
schematische Darstellung eines Signaturgeräts und eines entsprechenden
Authentisierungsgeräts
gemäß der Erfindung
ist;
-
2 elementare
DVB/MPEG-2 Ströme
einschließlich
audiovisueller und privater Datenströme und verbundener Tabellen
(PAT, PMT und AIT) darstellt und die Links zwischen den Tabellen
und den Datenströmen
hervorhebt;
-
und 3 Einzelheiten
der Tabellen (PMT und AIT) aus 2 im Hinblick
auf elementare Datenströme
und Anwendungsinformationen und Anwendungsströme darstellt.
-
Ein
Sendegerät 1 für digitale
Datenströme 10 sendet
diese Ströme 10 über ein
Netzwerk 5 an Empfangsgeräte 2, die über Decodierungskapazitäten verfügen (1).
Das Sendegerät 1 ist
normalerweise zum Übertragen
von Datenströmen 10 gedacht,
wobei das Netzwerk 5 z.B. ein Breitband- oder Rundfunknetzwerk, namentlich
ein Kabel- oder Satellitennetzwerk, ist. In einer anderen Ausführungsform
befindet sich das Netzwerk 5 im Internet. Im dargestellten
Fall bestehen die digitalen Datenströme 10 aus DVB/MPEG-2
Datenströmen,
die daher vor allem diesbezügliche
Inhalte und Signalisierungsdaten umfassen. Die Signalisierung ist hauptsächlich aus
Tabellen aufgebaut und enthält
Deskriptoren. Die Datenströme 10 können auf
dem MHP Standard basieren.
-
Das
Sendegerät 1 umfasst
ein Signaturgerät 11 zur
Signatur der zu versendenden digitalen Datenströme 10 und eine Benutzeroberfläche 15,
die es dem Versender, z.B. einem Broadcaster, vor allem ermöglicht, den
Signierungsprozess zu überwachen.
Das Signaturgerät 11 soll
die Signalisierung, und nicht nur den Inhalt signieren. Es enthält ein Auswahlmodul 12,
damit ein Anwender über
die Benutzeroberfläche 15 einige
Deskriptoren der Signalisierung auswählen kann, die authentisierte
Deskriptoren genannt werden und zur Authentisierung der Signalisierung
zu verwenden sind. Folglich werden sie verschlüsselt, damit sie die betreffende(n) Signatur(en)
erhalten. Das Signaturgerät 11 enthält auch
ein Einbindungsmodul 13, das die Adressen der authentisierten
Deskriptoren in die gesendeten digitalen Datenströme 10 einbinden
kann.
-
Jedes
der Empfangsgeräte 2 umfasst
ein Authentisierungsgerät 21,
das die erhaltenen Signaturen überprüfen kann
und vor allem jene zur Authentisierung der Signalisierung. Das Authentisierungsgerät 21 ist in
der Lage, die in den Datenströmen 10 zur
Authentisierung angegebenen authentisierten Deskriptoren zu berücksichtigen.
-
Nachstehend
werden nun besonders interessante Beispiele beschrieben. Ein wichtiger
Einstiegspunkt bei der Signalisierung eines digitalen Fernsehdienstes
(interaktiv oder nicht) ist die PMT (Program Map Table = Paketidenfizierer,
Deskriptoren), die im MPEG-2 Systemstandard beschrieben ist (ISO/IEC
13818-1). Im Fall der Signalisierung interaktiver MHP Anwendungen
enthält
die PMT die Position des Datenstroms, der die AIT (Application Information
Table) transportiert, und die Position des Datenstroms, der den
Anwendungscode und die Daten (Pfeil auf der DSM-CC DSI Nachricht,
wobei DSM-CC für
Digital Storage Media – Command
and Control Standard steht und DSI für „DownloadServerInitiate", ISO/IEC 13818-6
Internationaler Standard), wie in 2 und 3 dargestellt.
Die nachstehend beschriebenen technischen Ausführungen ermöglichen es, die Signalisierungsdaten
für interaktive
MHP Anwendungen zu schützen,
sodass eine Decodierungsplattform überprüfen kann, ob sie während des
Transports im Netzwerk modifiziert wurden. Desweiteren verbietet
der MPEG-2 Systemstandard die Verwürfelung der PMT, sodass hier
keine Verwürfelung
in Betracht gezogen wird.
-
Der
Schutz der Signalisierung basiert auf Hash Codes, Signaturen und
Zertifikaten. Die Codierung dieser kryptographischen Nachrichten
erfolgt durch die Angabe von drei neuen Deskriptoren, die jeweils
die oben beschriebenen Objekte enthalten:
- – hash_descriptor
- – signature_descriptor
- – certificate_descriptor.
-
Die
hash_descriptor Felder werden hier unabhängig für jedes Segment eingebracht,
das individuell authentisiert werden soll, und wir werden nachstehend
ein derartiges vorgegebenes Segment einer Tabelle betrachten, wobei
Letztere entweder aus mehreren oder aus nur einem Segment besteht.
Einerseits gelten die signature_descriptor Felder für alle hash_descriptor
Felder in einer Tabelle und die certificate_descriptor Felder beziehen
sich auf alle signature_descriptor Felder in dieser Tabelle.
-
Spezifikation des hash_descriptor:
-
Der
hash_descriptor kann in Schleifen der AIT oder der PMT (oder jeder
anderen zu authentisierenden MPEG-2 Tabelle) platziert werden. Genauer
gesagt wird er in jeder Deskriptorschleife positioniert, die zu
authentisierende Deskriptoren enthält.
-
Die
Position innerhalb der Schleife ist nicht wichtig, weil der hash_descriptor
ein descriptor_address Feld enthält,
das jeden Deskriptor einzeln adressieren kann.
-
Der
hash_descriptor enthält
einen Hash-Code, der auch Digest-Wert genannt und über die
Deskriptoren berechnet wird, auf welche die descriptor_address hinweist.
Im Fall der AIT oder PMT enthält
er nur Deskriptoren, die in derselben Schleife folgen wie der hash_descriptor.
Die gezeigten Deskriptoren selbst befinden sich in hash_descriptor
Feldern, die einen sich selbst abrufenden Berechnungsprozess zulassen.
-
Die
Syntax des hash_descriptor lautet wie folgt:
wobei "uimsbf" und "bslbf" für "unsigniertes ganzzahliges
maßgeblichstes
Bit zuerst" und „Bitfolge
linkes Bit zuerst" stehen.
- descriptor_tag: Kennzeichnung des hash_descriptor.
- descriptor_length: Länge
des hash_descriptor.
- digest_count: dieser Wert mit 16 Bit gibt die Anzahl der Digest-Werte
in diesem hash_descriptor an.
- digest_type: dieser Wert mit 8 Bit kennzeichnet den Digest-Algorithmus, falls
für die
entsprechenden Deskriptoren ein Algorithmus verwendet wurde. Die
zulässigen
Werte sind in Tabelle 1 enthalten, wobei der MD-5 (MD steht für „Message
Digest") in RFC
1321 beschrieben ist (RFC steht für „Request For Comment"; http://www.ietf.org/rfc1321.txt)
und SHA-1 (SHA steht für
den „Secure
Hash Algorithmus",
der in FIPS-180-1 beschrieben ist (FIPS Publication 180-l:Secure
Hash Standard, National Institute of Standards and Technology, 1994;
http://www.itl.nist.gov/fipspubs/fip180-1.htm).
Tabelle
1 – Zulässige Werte
für den
Digest Algorithmus 
- descriptor_count: dieser Wert mit 16 Bit
gibt die Anzahl der Deskriptoren an, die zum Digest-Wert zugeordnet sind.
Der Wert in diesem Feld muss größer als
Null sein.
- descriptor_address: dies ist die generische Adresse von Deskriptoren
in Segmenten und wird später
genauer erklärt.
- digest_length: dieser ganzzahlige Wert gibt die Anzahl der Bytes
in jedem Digest-Wert an. Er ist, wie in Tabelle 1 dargestellt, abhängig vom
Digest-Typ.
- digest_byte: dieser Wert mit 8 Bit enthält ein Byte des Digest-Wertes.
-
Spezifikation des signature_descriptor
-
Die
Syntax dieses Deskriptoren ist wie folgt:
- decriptor_tag:
Kennzeichnung des signature_descriptor.
- descriptor_length: Länge
des signature_descriptor
- signature_id: dieser ID (Bezeichner) ermöglicht es, Signaturen mehrerer
Aussteller zu haben.
- signature_length: gibt die Länge
der nachfolgenden Schleife an.
-
Das
Feld „signature
specific data" (signaturspezifische
Daten) enthält
folgende ASN.1 RSN.1 Struktur (für „Abstract
Syntax Notation one" Sprache),
die eine Kombination der BER (Basic Encoding Rules) und der DER
(Distinguished Encoding Rules) Strukturen darstellt:
- certificateIdentifier:
gemäß Definition
der ITU-T, Erweiterung X.509 (für
International Telecommunications Union – Telecommunication Standardization
Section (Abteilung für
Normung in der Telekommunikation), Empfehlung X.509: The Directory
Authentication Framework, 1997) bezogen auf das Feld AuthorityKeyIdentifier.
Es kennzeichnet das Zertifikat, das den zertifizierten Public Key
trägt,
der zur Überprüfung der
Signatur verwendet wird:
-
Zur
Nutzung eines möglicherweise
vorhandenen Schlüsselbezeichnungselements
(„keyIdentifier") des AuthorityKeyIdentifier
sind keine Implementierungen erforderlich. Die Struktur des AuthorityKeyIdentifier enthält sowohl
eine Kennung des Zertifikatausstellers (authorityCertIssuer) als
auch entsprechende Elemente der Seriennummer des vom Aussteller
ausgestellten Zertifikats (authorityCertSerialNumber).
-
Das
Feld authorityCertIssuer enthält
wiederum das Feld „directoryName", das den Namen des
Ausstellers des Zertifikats angibt, das den Public Key trägt, der
zur Überprüfung der
Signatur verwendet wird (und entspricht somit einem Feld issuerName,
das in MHP verwendet wird).
-
hashSignatureAlgorithm:
dieses Feld bezeichnet den verwendeten Hash-Algorithmus. Was den
zur Berechnung der Signatur erforderlichen Verschlüsselungsalgorithmus
betrifft, so ist dieser bereits in dem Zertifikat angegeben, in
dem der entsprechende Schlüssel
zertifiziert ist (in einem SubjectKeyInfo Feld). Somit wird nur
die Kennzeichnung des Hash-Algorithmus benötigt. Bei den unterstützten Algorithmen
handelt es sich um MD5 und SHA-1, deren Bezeichner klassischerweise
wie folgt angegeben werden (siehe RFC 2379):
- signatureValue:
Wert der Signatur, der abhängig
von der gewählten
MHP-Spezifikation ist.
-
Spezifikation des certificate_descriptor:
-
Dieser
Deskriptor enthält
mehrere Zertifikate, die rekursiv wie in der klassischen PKI Technik
verwendet werden. Insbesondere wird zuerst ein Blatt-Zertifikat
im certificate_descriptor platziert, und ein Wurzel-Zertifikat, das nur
aus Konsistenzgründen
enthalten ist, wird zuletzt angeben.
-
Ein
File mit dem Namen CertificateFile enthält alle Zertifikate der Zertifikatskette,
die im certificate_descriptor aufgeführt ist, bis zum und einschließlich des
Wurzel-Zertifikats. Das Profil zur Codierung des Zertifikats ist
unter ETSI TS 102 812 V1.1.1 („European
Telecommunication Standards Institute, Technical Specification") definiert.
-
Der
certificate_descriptor ist wie folgt spezifiziert:
- descriptor_tag:
Kennzeichnung des certificate_descriptor.
- descriptor_length: Länge
des certificate_descriptor
- signature_id: diese ID verlinkt die Zertifikate mit einer spezifischen
Signatur.
- certificate_here_flag: dies ist ein Bit-Feld, das, wenn es auf „1" gesetzt ist, anzeigt,
dass die Zertifikate in diesem Deskriptor positioniert sind. Sollten
jedoch die Zertifikate aus einer anderen Anwendung verwendet werden,
muss ein Link definiert werden.
- certificate_count: diese Ganzzahl mit 16 Bit trägt die Anzahl
der Zertifikate im certificate_descriptor.
- certificate_length: diese Ganzzahl mit 24 Bit spezifiziert die
Anzahl der Bytes im Zertifikat.
- certificate(): dieses Feld trägt eine einzige Datenstruktur
eines „Zertifikats" gemäß Definition
in ITU-T X.509.
-
Im
Fall einer MHP Plattform kann dieselbe Zertifikatsverwaltung genutzt
werden, wie für
interaktive Anwendungen. Andernfalls werden gezielte Mechanismen
zur Zertifikatsverwaltung erstellt.
-
Generische Adressierung
von Deskriptoren in MPEG/DVB Segmenten
-
(Feld „descriptor-address" im hash_descriptor)
-
Nachstehend
wird nun der Adressierungsmechanismus zur Adressierung von Deskriptoren
in MPEG und DVB Tabellen beschrieben. Man kann einen Adressierungsmechanismus
mit variabler Länge
verwenden, der es ermöglicht,
Adressen kompakter zu speichern. Allerdings haben die Adressen in
den vorliegenden Ausführungsformen
eine konstante Länge
von 40 Bit, was die Bearbeitung erleichtert. Wenn wir gängige MPEG und
DVB Spezifikationen betrachten, können wir drei unterschiedliche
Segmenttypen erkennen.
-
Der
erste Segmenttyp (nachstehend als „type0" bezeichnet) hat die nachstehend beschriebene
Struktur, wobei die PAT, CAT und TOT Tabellen mit derartigen type0
Segmenten aufgebaut werden:
wobei table_id die Tabelle
kennzeichnet und CRC für „Cyclic
Redundancy Check" (periodische
Redundanzprüfung)
steht.
-
Im
Fall eines type0 Segments haben die Bytes in der Adresse folgende
Bedeutung:
- – Erstes Byte: Segmentnummer
in der Tabelle;
- – Zweites
Byte: 0;
- – Drittes
Byte: 0;
- – Viertes
Byte: i(N), dieses Byte adressiert den Deskriptor in der Schleife
des type0 Segments.
-
Der
zweite Segmenttyp (nachstehend „type1" genannt) hat die nachstehend beschriebene
Struktur, wobei die SDT und EIT Tabellen mit derartigen type1 Segmenten
aufgebaut werden:
- – Erstes
Byte: Segmentnummer in der Tabelle;
- – Zweites
Byte: 0;
- – Drittes
Byte: i(N1), dieses Byte adressiert die äußere Schleife des type1 Segments;
- – Viertes
Byte: j(N2), dieses Byte adressiert die innere Schleife des type1
Segments.
-
Der
dritte Segmenttyp (nachstehend „type1" genannt) hat die nachstehend beschriebene
Struktur, wobei die NIT, BAT, PMT und AIT Tabellen mit derartigen
type1 Segmenten aufgebaut werden:
-
Im
Fall des type1 Segments benötigt
die Deskriptoradresse fünf
Bytes:
- – Erstes
Byte: Segmentnummer in der Tabelle;
- – Zweites
Byte: i(N1), dieses Byte adressiert die erste Schleife des type1
Segments;
- – Drittes
Byte: j(N2), dieses Byte adressiert die äußere Schleife der zweiten Schleife
des type1 Segments;
- – Viertes
Byte: k(N3), dieses Byte adressiert die innere Schleife der zweiten
Schleife des type1 Segments.
-
Top-Level
Deskriptoren
-
Unter
Top-Level Deskriptoren versteht man die Felder für den certificate_descriptor
und den signature_descriptor sowie das Feld für den hash_descriptor, das
auf alle anderen hash_descriptor Felder mit den zu authentisierenden
Deskriptoren in dem Segment hinweist (vor allem den hash-descriptor, der den
Digest-Wert der Wurzel enthält).
-
In
der vorliegenden Ausführungsform
werden diese Deskriptoren in ein spezielles Segment versandt, das
mit dem Segment verlinkt ist, das die zu authentisierenden Deskriptoren
enthält.
Dieses verlinkte spezielle Segment enthält die gleiche PID und Table_ID
wie das Originalsegment, unterscheidet sich aber von Letzterem durch
einen speziellen Indikator, der „section_syntax_indicator" genannt wird. Für alle gemäß DVB/MPEG definierten
Segmente wird dieser section_syntax_indicator auf Eins gesetzt,
was bedeutet, dass die Segmentsyntax der Syntax des generischen
Segments folgt. Für
die spezielle Erweiterung wird der section_syntax_indicator auf
Null gesetzt, was bedeutet, dass nach einem Feld, das die Länge des
speziellen Segments (private_section_length) angibt, private Daten
existieren. Derartige private Daten sind so spezifiziert, dass sie
Top-Level-Informationen
enthalten können.
Das Erweiterungssegment hat z.B. folgende Struktur:
-
Bei
dem Feld private_indicator, das in ISO/IEC 13818-1 in dem Definitionsteil
eines privaten Segments spezifiziert ist, handelt es sich um ein
für zukünftige Verwendungen
reserviertes Bit, und das Feld „version_number" gibt an, zu welcher
Tabellenversion das Erweiterungssegment gehört (siehe EN 300 468 V1.3.1 – „Europäische Norm").
-
Beispiel
-
Im
folgenden Beispiel wird dargestellt, wie die Deskriptoren einer
AIT zur Signierung eingesetzt werden können. In diesem Beispiel wird
die gesamte, aus mehreren Segmenten bestehende Tabelle global authentisiert,
anstatt jedes Segment, wie vorher, einzeln zu authentisieren. Im
ersten Schritt werden die zu authentisierenden Deskriptoren ausgewählt. Im
zweiten Schritt werden dann unter Anwendung des MD5 Digest-Algorithmus
die Hash-Codes über
jene Deskriptoren berechnet. Ein hash_descriptor, der in jeder Schleife platziert
ist, die mindestens einen authentisierten Deskriptor enthält, enthält die Adressen
dieser Deskriptoren und den MD5 Digest-Wert dieser Deskriptoren.
Da der hash_decriptor adressierbar ist, muss er keine spezifische
Position in einer Schleife haben. Auf diese Weise können Hash-Codes
für das
AIT Segment erzeugt werden.
-
Die
nachstehende Figur zeigt die Einbindung von hash-descriptor Feldern in eine übliche AIT
Struktur (gemäß Definition
in ETS TS 102 812 V1.1.1):
wobei „rpchof" für „remainder
polynomial coefficients, highest order first" (verbleibende Polynomkoeffizienten, die
Höchstwertigen
zuerst) steht.
-
Die
komplette AIT Tabelle kann aus mehreren Segmenten bestehen, genau
wie jede DVB/MPEG Tabelle. Nachdem die Hash-Codes für alle Segmente
der Tabelle berechnet worden sind, muss die Top-Level-Information
erzeugt werden. Zu diesem Zweck wird unter Einbeziehung aller hash_descriptor
Felder der entsprechenden Tabelle ein Top-Level hash_descriptor
berechnet (Digest-Wert der Wurzel), wobei der oben beschriebene
Mechanismus zur Adressierung der Deskriptoren verwendet wird. Im
nächsten
Schritt erfolgt die RSA-Verschlüsselung
(RSA kryptographischer Algorithmus steht für Rivest-Shamir-Adleman) dieses Top-Leve1
hash-descriptors
mit einem Private Key, der dem Public Key entspricht, der im Blatt-Zertifikat
des entsprechenden certificate_descriptor zu finden ist. Das Ergebnis
der RSA-Verschlüsselung
ist die Signatur, die im signature_descriptor gespeichert wird.
Die drei Top-Level Deskriptoren werden in einem sogenannten Erweiterungssegment
der entsprechenden Tabelle abgespeichert. Im Fall der AIT ist die
table_ID immer 0x74, aber der PID (Packet IDentifier) ist der Wert,
der in der PMT des entsprechenden Dienstes gelistet ist. Das Erweiterungssegment,
das die Top-Level Deskriptoren enthält, hat denselben PID und table_ID
wie die zu authentisierende AIT, aber der section_syntax_indicator
ist auf Null gesetzt:
-
Die
Versionsnummer gibt an, zu welcher Version der Tabelle dieses Erweiterungssegment
gehört.
-
In
einer abweichenden Ausführungsform
werden alle hash_descriptor Felder im Top Level des extension_section
platziert.
-
Für Implementierungen
wird empfohlen, das Bit des section_syntax_indicator auf „Nicht
beachten" zu setzen
(was bedeutet, dass der den Strom bearbeitende Demultiplexer das
Bit passieren lässt,
egal ob sein Status „0" oder „1" ist), sodass das
erforderliche DVB/MPEG Segment selbst und das Erweiterungssegment den
Filter des Demultiplexers passieren. Auf diese Weise sind die Top-Level Deskriptoren
des Erweiterungssegments direkt verfügbar und die Authentisierung
kann sofort erfolgen.