Устройство, способ и система эффективного распределения информации условного доступа

Изобретение относится к системам технических средств защиты авторских прав. Технический результат заключается в уменьшении вероятности несанкционированного доступа к обновлениям программ. Определяют период времени, в который действительно разрешение доступа к сервису, в соответствии с сообщением о разрешении доступа с зависящей от сервиса идентификацией пользователя. Деактивируют разрешение. Разрешают доступ к сервису с использованием прежней зависящей от сервиса идентификации пользователя для продления или реактивации, когда с момента последнего временного интервала, в течение которого был открыт доступ к сервису при помощи разрешения доступа к сервису, уже прошел заданный промежуток времени, в котором осуществляется отсчет истекшего времени и запрет продления или возобновления доступа с применением уже задействовавшегося идентификатора пользователя, относящегося к определенному сервису, при достижении или превышении использованным временем заданного предела действия авторизации. 6 н. и 26 з.п. ф-лы, 11 ил.

 

Настоящие изобретение представляет собой концепцию эффективного распределения информации условного доступа для электронной системы управления правами или программы условного доступа. Настоящее изобретение представляет собой также устройство и способ для управления служебной информацией, на которую необходимо право доступа, устройство и способ для подготовки обновлений к программе условного доступа, а также системы управления предоставлением права пользования удаленным доступом.

Системы технических средств защиты авторских прав («Digital Rights Management» - системы), называемые также DRM-системами, представляют собой способ, при помощи которого должен осуществляться контроль над электронными средствами массовой информации. В первую очередь это относится к электронным аудиозаписям и фильмам, технические средства защиты авторских прав применяются также в операционных системах, электронных документах и книгах. Данные системы позволяют провайдерам, применяющим подобные электронные системы для управления доступа к использованию своих данных, использовать новые платежные опции, для того чтобы, например, при помощи лицензий и предоставления прав возможно было возмещать права использования данных, а не сами данные.

Субъекты авторского права и пользователи часто заинтересованы в том, чтобы контролировать и ограничивать распространение и использование их интеллектуальной собственности после передачи. Электронная система технических средств защиты авторских прав должна способствовать использованию данных, в той мере, в которой это позволяют рамки, установленные правообладателями, то есть лицензия.

Между тем электронные системы технических средств защиты авторских прав находят применение и в других областях, например, они используются на предприятиях для защиты документов, такие системы также называют системами управления предпринимательским правом.

Электронные системы технических средств защиты авторских прав представляют собой технические меры по обеспечению безопасности, для того чтобы предоставить правообладателю интеллектуальной собственности возможность выбирать способ использования своей собственности пользователями на основании принятого ранее соглашения по использованию.

Электронные системы технических средств защиты авторских прав позволяют также управлять электронной информацией путем исключительно паушального возмещения и разрешают индивидуальное лицензирование или, например, оплату в зависимости от частоты, продолжительности и охвату использования. Это, с одной стороны, позволяет ограничить использование, с другой стороны, это позволяет использовать модели деловых отношений по запросу, что ранее было едва ли возможно.

Например, электронными системами технических средств защиты авторских прав являются: обозначаемая как ОМА DRM система Open Mobile Alliance или ОМА Standarts в версиях ОМА DRM V1.0 (см. например, http:\www.openmobilealliance.org\Technical\reliase_program\drm_v1_0.aspx), ОМА DRM V2.0 (http:\www.openmobilealliance.org\Technical\reliase_program\drm_v2_0.aspx) и ОМА DRM V2.1 (http:\www.openmobilealliance.org\Technical\reliase_program\drm_v2_l.aspx) и обозначаемая как EROCRYPT система ETSI-Standarts EN 50094 в версии BS EN 50094:1993 или Erocrypt BE EN 50094:1993 (http:\www.beuth.de\langanzeige\BS+EN+50094\9799264.html).

Кроме того, существует большое количество проприетарных электронных систем технических средств защиты авторских прав, которые отчасти базируются на открытых платформах.

В статье "Digital rights management" (в переводе: «технические средства защиты авторских прав») в онлайн энциклопедии Википедия от 23.04.2008 дается обзор технических средств защиты авторских прав, коротко описываются системы "Fairplay" производителя Apple, применяемых в "Itunes-Store", а также „Windows Media DRM" производителя Microsoft.

Наиболее широкое распространение получили системы технических средств защиты авторских прав "Fairplay" производителя Apple, „Windows Media DRM" производителя Microsoft и ОМА DRM System от Open Mobile Alliance Standardisierung. Они позволяют точно установить права и могут быть использованы для разного рода аудио- и видеоданных. Лидер рынка Apple, например, в одном из своих приложений "Itunes-Store" использует систему "Fairplay". Другими оферентами электронных данных вступают Napster и Musicload. Службы по подготовке видеоданных используют DRM системы производства Microsoft. ОМА DRM система применяется практически в любом мобильном телефоне для рингтонов и изображений, а также для мобильной передачи музыки или телевизионных программ такими провайдерами, как, например, Vodafone или T-Mobile.

В будущем системы средств электронной защиты авторских прав могут найти свое применение во многих других отраслях, например в автомобилях для защиты программного обеспечения, системах навигации в режиме реального времени, равно как и в навигации в режиме online, они также могут сыграть большую роль в различных встроенных системах.

Системы цифровых (электронных) средств защиты авторских прав используются при осуществлении контроля доступа к электронным данным, чаще всего, криптографическим методом. На практике мы сталкиваемся с этим, когда доступ к каким-либо электронным данным становится возможен только после видения секретного ключа, то есть после приобретения лицензии. Без наличия действительной лицензии на пользование какими-либо электронными данными можно будет приобрести какой-либо прибор или носитель информации, но использовать эти данные будет невозможно. Устройство числового управления данными управляет данными, которые необходимо охранять, и зашифровывает их при помощи системы средств электронной защиты авторских прав, которая, прежде всего, не позволяет считывать эти данные. Устройство лицензионного управления данными при запросе необходимой лицензии вместе с ключом проводит идентификацию пользователя и расшифровывает данные. В том случае, если пользователю необходимо получить доступ к охраняемым данным, он может при помощи средств электронной защиты авторских прав запросить у устройства лицензионного управления данными необходимую для считывания лицензию. В случае если авторизация и интеграция программы считывания проходят успешную верификацию, зашифрованные данные расшифровываются ключом из лицензии, становятся читаемыми и воспроизводятся программой считывания.

Программы условного доступа, также называемые СА-системами («Conditional Access»-системами или системами условного доступа), применяются для закрытия/открытия доступа к платному телевидению, кабельному телевидению, могут также применяться в цифровом радиовещании и автомобильной навигации.

Для того чтобы получатель был в состоянии при помощи пароля получить доступ к данным, ему требуется постоянно изменяющееся кодовое слово. Задачей программ условного доступа и является обеспечить получателю доступ к кодовому слову, и чтобы этот доступ имели только определенные получатели.

Параллельно с полезными данными провайдер высылает отдельные пакеты данных для обновления системы управления, так называемые ЕСМ-обновления. При помощи ЕСМ-обновлений авторизированный пользователь получает доступ к актуальному кодовому слову и может ввести его в декодер. После этого данные расшифровываются. Получатель получает разрешение на право доступа, например карта доступа клиента в виде Smart-карты и анонимный модуль доступа. Данный модуль позволяет отфильтровывать из потока данных обновления для программы управления и вычислять пароль при помощи полученной информации и карты доступа. Логическая структура программы доступа распределяется между модулем и картой доступа. Часто в соответствии с пожеланием клиента данные хранятся на карте доступа, для того чтобы таким образом ограничить к ним доступ третьих лиц.

Дополнительно к информации, хранящейся на карте доступа клиента, информация об обновлениях программы управления вместе с прилагающимися инструкциями могут быть присланы через входящий информационный поток. Эти обновления программы обновления, называемые также ЕММ-обновлениями, служат для намеренной активации/ деактивации карты клиента. Это позволяет варьировать объем прав клиента в зависимости от пакета услуг, не меняя при этом карты доступа.

Примерами программ условного доступа выступают системы "Betacrypt" и "Betacrypt II" для платного цифрового телевидения, которые разрабатывались как программа D-Box, далее "Videoguard "-система для цифрового телевидения, широкодиапазонного телевидения, кроме того мобильных систем, например, так называемой "Nagravision Аlаdin" для кабельного и спутникового телевидения, представляющей собой программу условного доступа.

В статье "Conditional access" (русское название "Система условного доступа") свободной энциклопедии «Википедия» от 12.03.2008 описаны системы платного цифрового телевидения (англ. PayTV) системы "Videoguard", "Nagravision Aladin" коротко описаны в смежных статьях «Википедии»: "Videoguard" от 08.01.2008, "Nagravision Aladin" от 20.04.2008. В статье "Conditional access system" от 21.12. 2007 упоминается программа условного доступа "Betacrypt", замененная впоследствии на "Betacrypt II".

Поскольку в однонаправленных радиосистемах получатель, как правило, не в состоянии подтвердить полученные сообщения, или часто бывает так, что система отключена, то для того чтобы улучшить качество приема, информация об обновлениях посылается несколько раз. Для того чтобы обеспечить высокий уровень безопасности, обновления программы условного доступа могут быть так надежно защищены паролем, что их открытие без действительного ключа активации невозможно как экономически, так и технически. В дальнейшем разные программы условного доступа могут отделиться друг от друга и больше не будут оказывать влияние друг на друга.

Цифровые системы технических средств защиты авторских прав и программы условного доступа позволяют провайдерам распределять охраняемые мультимедийные данные между закрытыми группами пользователей. Их распространение может осуществляться посредством различных систем, например аналоговой или цифровой системы для передачи видео- и аудиоданных, через систему мобильной коммуникации, протоколирующую Интернет-систему или цифровую систему передачи мультимедиа. Среди прочего используемыми системами являются DVB-системы ("Digital Video Broadcast" - семейство стандартов цифрового телевидения разработанных консорциумом DVB), GSM-системы ("Global system for Mobile Communications" - глобальные системы для мобильной коммуникации), IP-системы (Интернет протокол), DAB/DMB-системы ("Digital Audio/Multimedia Broadcast" - цифровое аудио/мультимедиа вещание).

Перед распространением данные могут защитить паролем. В дополнительных обновлениях программы управления могут быть разгруппированы необходимые инструкции и необходимые криптографические ключи. Данные могут быть разгруппированы по сервисам. В качестве пользователя какого-либо сервиса может выступать определенная группа лиц, управлять которой можно с передающей стороны.

Пользователь получает доступ к сервису в том случае, если в самом приборе или присоединенном компоненте защиты, например на пропускной карте (чип-карте) сохранены необходимые пропуски. Пользователь может получить пропуск в рамках процесса персонализации.

Распространенной моделью деловых отношений выступает модель, при которой сервис-провайдер регулирует доступ пользователя к сервису при помощи абонемента. Например, пропуск к сервису действителен в течение определенного периода времени и может быть продлен в том случае, если сервис-провайдер и пользователь сервиса продолжают свои отношения. Продление (Vn) осуществляется при помощи обновления программы управления, приходящего на определенный сервис. Оно может содержать параметры, в которых может быть закодирован период продления (Startn, Endn), начало периода продления (Startn) и конец периода продления (Endn).

В том случае, электронная система технических средств защиты авторского права или программа условного доступа работают в условиях, когда посланный сигнал доступен большому числу получателей ("Point-to-Multipoint" - из одной точки во множество точек), например, в цифровом радиовещании (система "digital broadcast"), то обновления программы управления отсылаются сразу нескольким пользователям. То есть адресная область обновлений программы управления может состоять из списка пользователей. У этих пользователей будет совпадать либо дата окончания продления, например 31 декабря, либо срок периода продления, например 3 месяца.

В случае непродления абонемента пользователю перестанут высылаться обновления программы управления. Он теряет право доступа.

Обычно право доступа истекает к моменту истечения абонемента.

Системы управления пользователями, содержащие большое количество пользовательских данных и пользователей системами технических средств защиты авторского права или программами условного доступа, могут потребовать персонализацию для управления данными, при которой каждому отдельному оборудованию пользователя может быть присвоена идентификация "g", каждому отдельному сервису может быть присвоена идентификация „d", каждому отдельному, зависящему от сервиса пользователю может быть присвоена идентификация „i", последняя может зависеть от идентификаций прибора и сервиса. В виде формулы это можно предоставить следующим образом: i=f(g,d), где “f()" - функция распределения. Возможно также и другое распределение при персонализиции.

На передающей стороне системы управления пользователями ("Subscriber Management System") инициализации оборудования, сервиса и пользователя могут сохраняться.

Например, терминальное оборудование распознает присвоенную ему идентификацию для персонализации дополнительного сервиса. После персонализации большого количества сервисов n оборудование может постоянно или периодически сохранять поступающие с сервера пользовательские идентификации, при этом список представляет собой последовательность чисел, (d1, i1), …, (dn, in) состоящую из пар идентификации сервиса и идентификации пользователя с индексами от 1 до n.

Поступающая с сервиса идентификация пользователя является временной в течение периода, на который распространяется идентификация сервиса.

Задача настоящего изобретения заключается в том, чтобы создать решение, позволяющее эффективно распределить информацию об обновлениях программы доступа.

Данная задача решается при помощи устройства для управления обновлениями программы управления в соответствии с пунктом формулы изобретения 1 или способа, описанного в пункте 30 формулы изобретения, устройства для подготовки обновлений программы управления согласно пункту 10 формулы изобретения, или способа согласно пункту 31 формулы изобретения, или способа управления системой обновлений программ, согласно пункту 19 формулы изобретения.

Некоторые варианты исполнения настоящего изобретения базируются на том, что устройство управления сервисными обновлениями запрограммировано в соответствии с разрешенным сервером периодом доступа и реагирует на поступающее с сервиса идентифицирующее каждого пользователя сообщение о пропуске, содержащее разрешение доступа к сервису, где установки могут зависеть от установленного времени, по истечении которого доступ запрещается.

Некоторые варианты исполнения настоящего изобретения в дальнейшем будут базироваться на том, что устройство для управления разрешением доступа к сервису для пользовательского прибора в отношении сервиса с ограниченным доступом устанавливает по отношению к сервису с ограниченным доступом определенный период времени, в течение которого прибору пользователя разрешен доступ к обновлениям, оставляет идентификатор пользователя неизменным на заранее установленный срок.

Некоторые варианты исполнения базируются на сведениях о том, что освободившиеся идентификаторы пользователей, как правило, могут быть снова использованы, для того чтобы таким образом ограничить необходимое адресное пространство, то есть количество пользователей, обозначаемое i. Это делается для того чтобы создать относительно стабильную группу для эффективной адресации пользователей. Ограничение адресного пространства достигается при помощи небольшого числа битов, которые необходимо переслать для подготовки разрешения доступа к сервису, это происходит в том случае, когда зависящие от сервиса идентификации пользователей можно представить как определенную последовательность битов. Если для передачи зависящих от сервиса идентификаций пользователей требуется меньшее количество бит, то сообщение, содержащее разрешение доступа к сервису, может передаваться через канал с более низкой пропускной способностью. В данном случае система управления пользователями может зарезервировать меньшее количество логических записей для управления зависящим от сервиса идентификатором пользователей.

Концепция данного изобретения позволяет предотвратить повторную передачу поступивших в свободный доступ идентификаций пользователя пользователям, пользовательская идентификация которых стала недействительной, их также называют «старыми пользователями», для того чтобы, вновь воспользовавшись ими, они не смогли получить повторный доступ. Кроме того, может быть предотвращена ситуация, когда пользователь, уже продлил свой абонемент, но его конечный прибор не может получить сообщение о продлении, и исключается, таким образом, из списка пользователей сервисом.

Другими словами, настоящее изобретение способствует тому, чтобы пользователь был доволен, чтобы испытывал, так сказать «Good-User-Feeling».

При этом следует отметить, что устройство не в состоянии получить сообщение о продлении, если он долгое время выключен или находится в месте, где плохой прием, например, если машина стоит на подземной стоянке или если вы едете в отпуск, а прибор встроен в транспортное средство.

Пользователю следует ожидать ограничения комфортности управления, если он, хотя и продлил свой абонемент, но его прибор очень долгое время находился вне зоны приема, и не мог получить сообщение о продлении. В данной ситуации прибору пользователя может быть ограничен доступ к сервису. В данном случае пользователю необходимо связаться с провайдером, для того чтобы получить код доступа для того, чтобы восстановиться в системе пользователей и получить деактивированные параметры и ключи.

Предпочтительные примеры осуществления настоящего изобретения далее будут детально рассмотрены с опорой на прилагаемые чертежи, на которых изображено:

Фиг.1А. Блок-схема устройства управления пропуском к сервису согласно примеру осуществления настоящего изобретения.

Фиг.1В. Блок-схема устройства управления пропуском к сервису согласно следующему примеру осуществления настоящего изобретения.

Фиг.2А. Блок-схема устройства для подготовки обновления допуска в соответствии с примером осуществления настоящего изобретения.

Фиг.2В. Блок-схема устройства для подготовки обновления кода доступа в соответствии со следующим примером осуществления настоящего изобретения.

Фиг.3. Пример осуществления изобретения в форме блок-схемы процесса способа для управления пропуском к сервису.

Фиг.4. Пример осуществления изобретения в форме блок-схемы процесса способа для подготовки обновления допуска.

Фиг.5. Пример хода протекания процесса продления доступа к сервису во времени, при помощи сообщений о продлении.

Фиг.6А. Пример хода протекания процесса продления доступа к сервису во времени, когда были приняты не все сообщения о продлении, относящиеся к данному абонементу.

Фиг.6В. Еще один пример хода протекания процесса продления доступа к сервису во времени, когда между первым и последним сообщениями о продлении лежит определенный промежуток времени, когда сообщения о продлении не были приняты.

Фиг.7А. Пример хода протекания процесса продления доступа к сервису во времени, при помощи сообщений о продлении, с момента нового запуска устройства и в процессе функционирования устройства в спящем режиме.

Фиг.7В. Пример хода протекания процесса продления доступа к сервису во времени, с получением первого сообщения о продлении, второго сообщения о продлении и в процессе функционирования устройства в спящем режиме.

Фиг.8. Пример осуществления изобретения в форме блок-схемы системы для управления разрешением доступа к сервису.

Фиг.1А показывает блок-схему устройства 100 для управления разрешениями доступа для пользовательского прибора по отношению к сервису с ограниченным доступом в соответствии с одним из примеров осуществления настоящего изобретения. Устройство 100 включает в себя блок, подготавливающий разрешение доступа 101, который рассчитан на то, чтобы определять промежуток времени, в течение которого сохраняется разрешение доступа к сервису 104, и где разрешение срабатывает на сообщение о разрешении доступа 103, содержащее идентификатор пользователя 102. Блок подготовки разрешения доступа 101 к сервису рассчитан на то, чтобы продлевать или реактивировать разрешение доступа к сервису 104 при помощи прежнего зависящего от сервиса идентификатора пользователя 102 или же деактивировать 105 его в том случае, если с момента окончания временного интервала 106, в течение которого был открыт доступ к сервису, истек заданный промежуток времени. Другой пример осуществления деактивации 105 разрешения доступа к сервису 104 его продления и реактивации показан на фиг.1b.

Фиг.1В изображает блок-схему устройства 100 для управления разрешением доступа к сервису для прибора пользователя в отношении сервиса с ограниченным доступом в соответствии со следующим примером осуществления данного изобретения. Устройство 100 включает в себя блок для разрешения доступа к сервису 101, принимающее сообщение о разрешении доступа 103, включающее в себя зависящее от сервиса устройство для идентификации пользователя и временной интервал 106 или информацию о временном интервале, в течение которого разрешен доступ. В зависимости от оповещения о разрешении доступа 103 блок для подготовки разрешения доступа проходит следующие 5 шагов, которые идентифицируют со следующими 5 функциональными блоками: 111, 112, 113, 114 и 115.

Первый шаг 111. Блок для подготовки разрешения доступа 101 принимает сообщение о разрешении доступа 103 с временным интервалом 106, в течение которого разрешен доступ.

Второй шаг 112. Блок для подготовки разрешения доступа 101 сравнивает временной интервал, в течение которого разрешен доступ 106 с временным интервалом 107 настоящего устройства. Определяется истекший промежуток времени 120 между окончанием последнего временного интервала, в течение которого был разрешен доступ 107, и началом принятого нового временного интервала 1.06.

На шаге 113 блок для подготовки разрешения доступа 101 сравнивает истекший промежуток времени 120 с заданным промежутком времени 123. В том случае, если истекший промежуток времени 120 больше или равен заданному промежутку времени, то блок для подготовки разрешения доступа 101 переходит к шагу 4а 114; если же, напротив, истекший промежуток времени 120 меньше, чем заданный промежуток времени 123, то блок для подготовки разрешения доступа 101 переходит к шагу 4b 114.

На шаге 4а 114 разрешение на продление или реактивацию при помощи прежнего зависящего от сервиса идентификатора пользователя 102 деактивируется 105. На шаге 4b, 115 разрешение доступа 104 продляется или реактивируется, а разрешение продления или реактивации при помощи прежнего, зависящего от сервиса идентификатора пользователя сохраняется.

Решающим параметром, определяющим режим работы устройства 100, является заданный промежуток времени, который обозначается как «период поддержания жизни», по-английски «Keep Alive Period» или КАР. При помощи данного параметра устройство 100 контролирует, сохранено или деактивировано 105 ли разрешение на продление или реактивации при помощи прежнего идентификатора пользователя 102.

Пример исполнения изобретения 100 для управления для подготовки разрешения доступа может применяться в различных приборах, например в различных аудио-, видео- или мультимедиа сервисах, в системах платного телевидения и платного видео или системах навигации для автомобилей, причем системы могут быть внедрены в мобильные или встроенные приборы. Кроме того, устройство 100 может быть использовано в различных справочных или мультимедийных службах в мобильном телефоне или в платных службах/службах, доступ к которым контролируется, на переносном или стационарном компьютерах, имеющих подключение к Интернету.

Вместо стартового временного пункта 122 разрешенного временного интервала 106 подтверждение истекшего промежутка времени может сработать в тот момент времени, когда устройство было выключено. В этом случае истекший промежуток времени 120 складывается из промежутка времени между окончанием 121 временного интервала, в течение которого был разрешен доступ, 107 и моментом времени, в который устройство 100 было отключено. Например, в том случае, когда прибор после окончания 121 последнего временного интервала, в течение которого был разрешен доступ 107, был выключен и включился в более поздний момент времени. В данном случае возможна ситуация, когда устройство временно не принимало посылаемые провайдером сообщения о продлении. И именно от продолжительности истекшего промежутка времени 120 (с того момента, когда было принято последнее сообщение о продлении) зависит, сможет ли пользователь получить свое разрешение доступа к сервису 104 или разрешение на продление права пользования сервисом, используя личную идентификацию 102.

Например, блок подготовки разрешения доступа 101 принимает сообщение о разрешении доступа 103, которое может содержать сообщение об активации или о продлении, и, руководствуясь им, определяет временной интервал, в течение которого разрешен доступ к сервису 106, со стартовым 122 и конечным 124 моментами времени. Блок подготовки разрешения доступа 101 производит расчет, для того чтобы активировать разрешение доступа к сервису 104, в том случае, если конечный момент времени, в который было действительно разрешение доступа 124 для устройства 100 шире предусмотренного в устройстве 100 актуального времени, другими словами, если разрешение доступа к сервису активно в настоящий момент времени.

Сообщение о разрешении доступа 103 помимо зависящей от сервиса идентификации пользователя 102 и временного интервала, в течение которого действительно разрешение 106, в другом варианте исполнения изобретение может содержать также и идентификатор устройства, причем блок подготовки разрешения доступа 101 перед тем как определить интервал, в течение которого действительно разрешение 106, проверяет сообщение о разрешении доступа 103 и сравнивает его с идентификатором устройства терминального оборудования, в которое встроено устройство 100, и в том случае, если интервал, в течение которого действительно разрешение 106, совпадает, считывает сообщение о разрешении доступа 103.

Блок подготовки разрешения доступа 101 разработан таким образом, чтобы сохранять разрешение, позволяющее продлять или реактивировать разрешение доступа к сервису 104 при использовании прежнего, зависящего от сервиса, идентификатора пользователя 102. Это показано в шаге 4b 115. Это означает, что после получения сообщения о разрешении доступа 103 и продления либо реактивации разрешения доступа к сервису 104, продляется срок действия разрешения, продления или реактивации при помощи прежнего, зависящего от сервиса идентификатора пользователя 102, позволяющего продлить ранее заданный промежуток времени 123, в течение которого было действительно разрешение доступа к сервису. Этот заданный промежуток времени 123 обозначается как «период поддержания жизни», по-английски «Keep Alive Period» или КАР. Заданный промежуток времени 123 является характерным параметром устройства 100.

Блок подготовки разрешения доступа 101 рассчитан, кроме того, и на то, чтобы по истечении временного интервала, в течение которого был разрешен доступ 121, деактивировать 105 разрешение доступа к сервису 104, в том случае, если по истечении временного интервала, в течение которого был разрешен доступ 121, устройству 100 не было предоставлено разрешение доступа к сервису 104. То есть по истечении 121 последнего временного интервала, в течение которого был разрешен доступ 107, происходит деактивация разрешения доступа к сервису. Это означает, что по истечении последнего временного интервала, в течение которого разрешен доступ 107, происходит деактивация доступа к сервису 104, даже если сохраняется разрешение на продление или реактивацию разрешения доступа к сервису при помощи прежней, зависящей от сервиса идентификации пользователя 102. Данные для разрешения продления и реактивации при помощи прежнего зависящего от сервиса идентификатора пользователя 102, действительны более долгий промежуток времени, в течение заданного времени 123. Деактивация разрешения продления и реактивации при помощи прежнего, зависящего от сервиса, идентификатора пользователя 102 может быть произведена, если стереть, сделать нечитаемым или блокировать разрешение доступа к сервису 104, используя параметры или ключи, относящиеся к прежнему зависящему от сервиса идентификатору пользователя 102.

Устройство 100 с блоком подготовки разрешения доступа 101 может быть представлено, например, в виде электронной схемы. Оно может быть отдельным компьютером или частью компьютера или логической ячейкой в мобильном телефоне, портативном или стационарном компьютере системе навигации, автомобильном навигаторе, кабельном или радиоприемнике.

Фиг.2А показывает блок-схему устройства 200 для подготовки сообщения о разрешении доступа для прибора пользователя в отношении сервиса с ограниченным доступом в соответствии с одним из примеров осуществления настоящего изобретения. Устройство 200 включает в себя блок управления идентификацией 201 и блок создания сообщения о продлении 202. Блок создания сообщения о продлении 202 предназначен, для того чтобы создавать сообщение об активации 103 в форме сообщения об активации для активации разрешения доступа к сервису или сообщения о продлении для продления разрешения доступа к сервису 104, при этом сообщение об активации 103/продлении 103 снабжены управлением идентификацией 201. Блок управления идентификацией 201 предназначен для того, чтобы оставить без изменений 203 в течение заданного времени 123 идентификацию пользователя, зависящую от сервиса, по истечении временного интервала, в течение которого действительно разрешение 106 устройства пользователя, к которому подключена зависящая от сервиса идентификация пользователя 102, и для того чтобы разрешить возобновление использования 204 при помощи создателя сообщения о продлении 202 после истечения заданного времени 123.

Блок управления идентификацией 201 может состоять, например, из трех блоков с зависящими от сервиса идентификаторами пользователя: первый блок 205 включает присоединенные зависящие от сервиса идентификаторы пользователя 102, для которых действителен временной интервал, в течение которого разрешен доступ к сервису 106 для устройства пользователя, второй блок 206 включает в себя неиспользовавшиеся 206 идентификаторы пользователя 102, для которых временной интервал, в течение которого разрешен доступ к сервису для устройства пользователя меньше 123, чем заданный промежуток времени, и третий блок 207, позволяющий возобновить использование отключенного 204, зависящего от сервиса идентификатора пользователя 102.

Схема управления 208 внутри блока управления идентификацией 201 отвечает за то, какой из идентификаторов пользователя 102 должен быть предоставлен блоку создания сообщения о продлении 202. Схема управления 208 при этом отвечает за подготовку присоединенных зависящих от сервиса идентификаторов пользователя 102 блока 205 или неиспользовавшихся идентификаторов пользователя 102 блока 206 или за подготовку возобновления использования отключенного 204, зависящего от сервиса идентификатора пользователя 102 блока 207.

Блок создания сообщения о продлении 202 включает в себя блок 210 для формирования сообщения об активации или продлении при помощи предоставленного управлением идентификацией 201 зависящего от сервиса идентификатора пользователя 102. Таким образом, устройство 200 подготавливает сообщение о разрешении доступа 103 при помощи зависящего от сервиса идентификатора пользователя 102.

Фиг.2В показывает блок-схему устройства 200 для подготовки сообщения о разрешении доступа для устройства пользователя в отношении сервиса с ограниченным доступом согласно следующему варианту осуществления настоящего изобретения. Блок создания сообщения о продлении 202 создан аналогично блоку создания сообщения о продлении 202 фиг.2а. Функция управления 208 фиг.2а раскрывается на фиг.2b более подробно при помощи блоков 220, 221, 222 и 223. Задачей управления идентификацией 201 является подготовить зависящий от сервиса идентификатор пользователя 102, представленный блоком 220. Это также может быть осуществлено альтернативно вне управления идентификацией 201 или вне устройства 200.

Подготовка включает в себя множество функциональных возможностей. Для подключенного к терминальному устройству идентификатора пользователя 102 в блоке 221 производится проверка того, истек ли временной интервал, в течение которого действительно разрешение доступа к сервису 106, 107 для подключенного идентификатора пользователя 102. В том случае, если временной интервал, в течение которого действительно разрешение доступа к сервису 106, 107 (в течение которого терминальное устройство пользователя имеет доступ к сервису), еще не истек, то подключенный зависящий от сервиса идентификатор пользователя 102 может быть использован для создания сообщений об активации/продлении, предназначенных для данного пользователя. Если же временной интервал, в течение которого действительно разрешение доступа к сервису 106, 107, напротив, истек, то зависящий от сервиса идентификатор пользователя 102 не используется на протяжении заданного промежутка времени 123, что указано в блоке 222. Однако зависящий от сервиса идентификатор пользователя 102 может быть использован перед тем, как истечет заданный промежуток времени 123, по истечении 121 временного интервала, в течение которого действительно разрешение доступа к сервису 107, для того чтобы обновить временной интервал, в течение которого действительно разрешение доступа к сервису для настоящего терминального устройства.

Наконец в блоке 223 производится проверка того, истек ли заданный промежуток времени 123. В том случае, если заданный промежуток времени 123 истек, зависящий от сервиса идентификатор пользователя 102 может быть использован повторно, причем теперь уже новый пользователь получает сообщение о разрешении доступа с зависящей от сервиса идентификацией пользователя 102, которая ранее принадлежала другому пользователю. В том случае, если заданный промежуток времени 123 еще не истек, зависящий от сервиса идентификатор пользователя 102 не может быть передан другому пользователю, другому терминальному устройству. Управление идентификацией 201 предоставляет другому терминальному устройству другую, зависящую от сервиса, идентификацию пользователя 102, возможность использования которой проверяется, например, в блоках 221, 222, 223, при этом обеспечивается возможность использования блока создания сообщения о продлении 202 таким образом, что сообщение о разрешении доступа 103 может быть создано при помощи другого, зависящего от сервиса, идентификатора пользователя 102.

Блок создания сообщения о продлении 202 может быть рассчитан на то, чтобы создавать сообщение 103 для активации или продления, например, какого-либо аудио-, видео- или мультимедиа сервиса для системы платного телевидения или системы автомобильной навигации при помощи мобильного или же стационарного устройства, или услуги сети передачи данных, или мультимедийного сервиса в мобильном телефоне, или сервиса с контролем доступа, он может быть как платным, так и бесплатным, на портативном или стационарном компьютере с открытым доступом в Интернет.

Блок формирования сообщения о продлении 202, кроме того, может быть рассчитан на то, чтобы создавать сообщение о разрешении доступа 103 при помощи зависящих от сервиса идентификаторов пользователя 102, где зависящий от сервиса идентификатор пользователя представлен в виде определенной последовательности бит. Блок формирования сообщения о продлении может быть также рассчитан на то, чтобы передавать сообщение о продлении 103 при помощи зависящих от сервиса идентификаторов пользователя через канал сообщений с определенной пропускной способностью. Блоки создания сообщения о продлении 202 и управления идентификацией 201 могут быть выполнены в форме электронной схемы.

Эффективное управление 208 способствует эффективному распределению информации о разрешении доступа к сервису. Это происходит благодаря тому, что зависящий от сервиса идентификатор пользователя 102, остававшийся неизменным на протяжении заданного промежутка времени 123, может быть деблокирован и предоставлен другому пользователю или терминальному устройству пользователя. Это позволяет сократить количество необходимых, зависимых от сервиса идентификаторов пользователя 102, необходимых для идентификации сервиса d прибором g. Сообщение о разрешении доступа 103, которое содержит зависящий от сервиса идентификатор пользователя 102, может быть передано при средней пропускной способности благодаря сокращению количества бит зависящего от сервиса идентификатора пользователя 102. Дополнительно к этому требуется меньше запоминающих ячеек для сохранения данных пользователя в системе управления пользователями.

Управление идентификацией 201, кроме того, рассчитано на то, чтобы деблокировать зависящие от сервиса идентификаторы пользователя 102 по истечении заданного промежутка времени 123 для возобновления их использования другим пользователем или терминальным устройством. По истечении абонемента прежнего пользователя пользовательским прибором, к которому в последний раз был подключен идентификатор пользователя 102, зависящий от сервиса идентификатор пользователя 102 по истечении заданного промежутка времени 123 может быть снова использован для другого абонемента другого или того же самого пользователя. Заданный промежуток времени может представлять собой величину, охватывающую период времени от трех дней до трех месяцев, то есть заданный промежуток времени может быть определен в соответствии с временными интервалами, в течение которых открыт доступ к сервису, типичными для платного телевидения или других сервисов, для доступа к которым необходим абонемент, как то мобильная телефония, системы навигации, системы автомобильной навигации, платные Интернет сервисы. Сообщение о продлении 103 может быть рассчитано, к примеру, на большое количество получателей. Например, в так называемой радиосистеме "Broadcast System". Но также возможно и то, что сообщение о разрешении доступа адресовано определенной группе пользователей или же одному единственному пользователю.

Сообщение об активации/продлении может иметь персонализированную форму, таким образом, что идентификация пользователя 102 зависит от идентификации прибора, поступающей на сервис, и идентификации сервиса. Кроме того, сообщения об активации/продлении 103 могут быть сгруппированы таким образом, что сообщения 103 пользователям с одинаковым временным интервалом, в течение которого открыт доступ к сервису 106, могут быть собраны в одну группу. Это позволяет создать наглядное представление о системе управления пользователями, где пользователи, чей абонемент должен быть продлен в одинаковый срок, одновременно получают сообщение о продлении 103, причем сообщение о продлении 103 должно быть отослано только тем пользователям, которым оно необходимо. Группировка делает возможным наглядное управление сообщениями о продлении в системе пользователей и избегание ненужных сообщений о продлении 103.

Временной интервал, в течение которого открыт доступ к сервису 106, указывается при помощи стартового временного пункта 122 и конечного временного пункта 124 или же при помощи стартового временного пункта 122 и указания продолжительности. Возможны также и другие варианты.

Фиг.3 показывает пример в форме блок-схемы процесса способа управления разрешением доступа к сервису в отношении сервиса с ограниченным доступом. Способ 300 включает шаги 301, 302, 303, 304, 305 и 306.

На первом шаге 301 сообщение о разрешении доступа 103 может быть принято зависящим от сервиса идентификатором пользователя. За этим следует шаг 302, на котором с сообщения о продлении считываются стартовый 122 и конечный 124 временной пункты, ограничивающие временной интервал, в течение которого разрешен доступ к сервису. За этим следует шаг 303, на котором стартовый временной интервал 122 сравнивается с последним стартовым временным интервалом 121 последнего временного интервала, в течение которого был разрешен доступ к сервису 107, для которого было действительно разрешение доступа к сервису 104. На следующем за этим 304 шаге может быть произведена проверка того, истек ли заданный промежуток времени между временным пунктом 122, когда действовало разрешение доступа к сервису, и временным пунктом 121 последнего временного интервала, когда действовало разрешение доступа к сервису 107, или между временным пунктом, когда закончило действовать разрешение доступа к сервису 121, и настоящим моментом времени. В том случае, если заданный промежуток времени 123 истек, может быть выполнен шаг 305, на котором может быть деактивировано 105 разрешение на продление или реактивацию при помощи ранее использовавшегося идентификатора пользователя 102. В том случае, если заданный промежуток времени 123 еще не истек, то на шаге 306 действует возможность на продление или реактивацию разрешения доступа к сервису 104 при помощи ранее использовавшегося идентификатора пользователя 102.

Фиг.4 показывает пример в форме блок-схемы процесса способа 400 для подготовки сообщения о продлении в отношении сервиса с ограниченным доступом. После того как способ 400 запущен, 401 на шаге 402 может быть запущен возможный зависящий от сервиса идентификатор пользователя 102, причем в дальнейшем будет произведена проверка того, стоит ли вообще использовать возможный, зависящий от сервиса идентификатор пользователя. На шаге 403 может быть произведена проверка того, не истек ли временной интервал, в течение которого разрешен доступ к сервису 106, 107 для терминального устройства, к которому присоединен зависящий от сервиса идентификатор пользователя 102. Если нет, то на шаге 404 может быть задано или установлено, что зависящий от сервиса идентификатор пользователя 102 в течение заданного промежутка времени 123 не может быть использован ни одним терминальным устройством, кроме того, которому присвоена, зависящая от сервиса данная идентификация пользователя. На четвертом шаге 405 может быть произведена проверка того, не истек ли заданный промежуток времени 123. Если заданный промежуток времени еще не истек, то устройство 400 возвращается к шагу 402, на котором происходит подготовка зависящего от сервиса идентификатора пользователя 102, причем этот идентификатор пользователя 102 должен отличаться от того, который был использован при предыдущей проверке. В том случае, если заданный на шаге 405 промежуток времени 123 истек, то на пятом шаге 406 может быть созданы сообщения об активации /продлении 103 при помощи зависящего от сервиса идентификатора пользователя 102 и подготовлены сообщения 103.

Похожий пятый шаг 406 может быть выполнен в том случае, когда на втором шаге 403 временной интервал, в течение которого разрешен доступ к сервису 106, 107 для терминального устройства, еще не истек. И в этом случае на пятом шаге 406 может быть создано сообщение об активации/продлении 103 при помощи зависящего от сервиса идентификатора пользователя 102. Разница между переходом со второго шага 403 на пятый шаг 406 от перехода с четвертого шага 405 на пятый шаг 406 заключается в том, что в первом случае сообщение об активации/продлении 103 создается при помощи зависящего от сервиса идентификатора пользователя 102 для прежнего пользователя, тогда как во втором случае сообщение об активации/продлении 103 создается при помощи зависящего от сервиса идентификатора пользователя 102 для нового пользователя, которым может быть и прежний пользователь.

Фиг.5 показывает пример временного протекания продления доступа к сервису при помощи сообщения о продлении и представляет процесс продления доступа к сервису при помощи сообщений о продлении Vk 500, V1 501, Vm 502 и Vn 503. На окончание действия разрешения доступа к сервису 504 указывает конечныйn момент времени 517. Доступ к сервису с ограниченным доступом может быть продлен при помощи сообщений о продлении. В данном примере осуществления изобретения пользователь сервисом в определенный момент времени 505 получает сообщение о продлении Vk 500, причем сообщение о продлении Vk 500 имеет два параметра для временного интервала, в течение которого разрешен доступ: стартk 510 и конецk 511, которые определяют, на какой период времени продлевается разрешение доступа к сервису. В том случае, если пользователь сервиса хочет продлить разрешение доступа к сервису на время, более длительное, чем конечное значение интервала k (например, внеся плату), то незадолго до конечного значения временного интервала k он получает сообщение о продлении V1 501, которое продлевает разрешение доступа к сервису на период времени, который указан в сообщении о продлении V1 501 при помощи параметров старт) 512 и конец) 513. Сообщение о продлении V1 501 может посылаться модератором много раз перед окончанием абонемента и позволяет пользователю сервиса продлять разрешение доступа к сервису. Поскольку возможно, что прибор, принадлежащий пользователю сервиса, не всегда включен или находится вместе с плохим приемом, то сообщение о продлении V1 501 может быть послано неоднократно незадолго до того, как истечет срок действия абонемента, то есть незадолго до конца k.

В том случае, если пользователь сервиса продлевает свой абонемент, например до конечного момента времени k, 513 и при этом продлевает свой абонемент дальше, то провайдер незадолго до конечного момента 1 513 может послать сообщение о продленииm 502, при помощи которого пользователь сервиса смог бы продлить разрешение доступа к сервису на период с начального моментаm 514 до конечного моментаm 515. В том случае, если абонемент будет продлеваться и дольше, то провайдер может посылать сообщение о продлении Vm 502, например, незадолго до конечного момента временит 515, таким образом, чтобы пользователь сервиса смог продлить доступ к сервису на временной интервал между стартомn 516 и концомn 517. В том случае, если абонемент истекает, как это показано на фиг.5, в конечный момент времениn 517, соответствующий разрешению доступа к сервису 504, то провайдер не посылает пользователю никаких сообщений о продлении и разрешение доступа к сервису этого пользователя истекает. Показанные на фиг.5 временные интервалы, в течение которых действителен доступ к сервису 520, 521, 522 и 523, могут быть ограничены во времени. Однако это необязательно. Например, между временным интервалом 520 и временным интервалом 521 существует не очень длительный промежуток времени, в течение которого пользователь не имел доступа к сервису, например, в том случае, когда абонемент был продлен несвоевременно и сообщение о продлении 501 пришло только по истечении конечного момента времениk 501. Но фиг.5 показывает также, что разрешение доступа к сервису определенного пользователя может также зависть от того, дошло ли до него посланное провайдером сообщение, и от того, увидел ли пользователь посланные ему сообщения о продлении 500, 501, 502, 503. Без этого пользователю не удастся сохранить доступ к сервису.

Фиг.6А показывает похожий пример временного протекания продления доступа к сервису, в том случае, если были получены не все относящиеся к абонементу сообщения о продлении. В отличие от фиг.5 в данном случае не были приняты сообщения о продлении V1 501 и Vm 502. В результате разрешение доступа к сервису для данного пользователя на протяжении временного интервала 521, то есть с момента старта1 512 до конца1 513, а также на протяжении временного интервала 522, то есть с момента стартаm 514 до концаm 515, отсутствует. На фиг.6А показан заданный промежуток времени 123, обозначенный как КАР 600 или Keep Alive Period, где заданный промежуток времени 123 соответствует КАР 600.

Фиг.6А иллюстрирует случай, когда стартовый момент, в который начинает действовать разрешение доступа к сервису 122 или 516 во времени, расположен раньше, чем заданный 123 или 600, продленный промежуток времени, до которого действительно разрешение доступа к сервису 121 или 511 последнего временного интервала, в течение которого разрешен доступ к сервису 107 или 520. В то же время разрешение на продление или реактивации разрешения доступа к сервису при помощи прежнего зависящего от сервиса идентификатора пользователя 102 может быть сохранено, и разрешение доступа к сервису 104 в момент времени стартn 516 может быть продлено или реактивировано. На фиг.6 это можно увидеть по тому, что конечный момент времениk 511, представляющий конечный момент действия сообщения о разрешении доступа к сервису Vk 500 во временном интервале 520, продлевается на заданный промежуток времени КАР 600, который во временном интервале расположен после стартового момента,, 516 временного интервала, в течение которого разрешен доступ к сервису 523, открытый при помощи сообщения о продлении Vn 503. Пользователь может сохранить свой прежний зависящий от сервиса идентификатор пользователя 102, для того чтобы продлевать или реактивировать свое разрешение доступа к сервису.

Фиг.6В показывает альтернативный показанному на фиг.6А вариант исполнения временного протекания продления доступа. Если на фиг.6А оба сообщения о продлении V1 501 и Vm 502 отмечены как непринятые, то на фиг.6В они не отмечены совсем, то есть в промежутке между Vk 500 и Vn 503 могло существовать большое количество сообщений о продлении, которые не были приняты. Для фиг.6В период поддержания жизни, обозначаемый также как Keep Alive Period или КАР, задается и соответствует заданному промежутку времени 123. Этот период поддержания жизни КАР известен как система управления пользователями, обозначаемой также как „Subscriber Management System", так и терминальному устройству. Его величина может быть задана как при активации сервиса, так и представлять собой устойчивую величину, выводимую из известных параметров.

Когда абонемент пользователя истекает, должен пройти так называемый период поддержания жизни или Keep Alive Period, прежде чем соответствующая идентификация пользователя системы пользователей будет присвоена новому абонементу (новому пользователю или терминальному устройству).

Терминальное устройство может проверить истек ли период поддержания жизни или Keep Alive Period при включении прибора, это в дальнейшем будет подробно показано на фиг.7А, или при получении сообщения о продлении Vn 503, основывающегося на временном интервале 523 между моментом «Стартn» и «Конецn», в течение которого действительно разрешение доступа к сервису. Плюс ко всему к концу конецk 511 последнего сохраненного интервала, в течение которого был разрешен доступ к сервису, может быть прибавлен период поддержания жизни или КАР 600.

В том случае, если суммарное значение концаk 511 и КАР 600 во времени расположена позднее нового запуска устройства (или момента, в который осуществляется новый запуск устройства) или стартового момента действия разрешения доступа к сервису стартn актуального сообщения о продлении Vn 503, то период поддержания жизни или КАР 600 еще не истек. В данном случае сообщения о продлении V1 501 и Vm 502 не были приняты по одной из приведенных выше причин. В данном случае доступ к сервису для терминального устройства может быть продлен. Идентификация пользователя в системе пользователей не переходит к другому пользователю. Сообщения о продлении адресуются прежнему пользователю.

Пример на фиг.6В показывает принятые сообщения о продлении Vk 500 и Vn 503; к моменту времени стартn 516 Keep Alive Period или КАР 600 еще не истек, то есть это можно отразить при помощи формулы: (Конецk+КАР<Стартn). Разрешение доступа к сервису может быть продлено.

Можно воспрепятствовать тому, чтобы пользователь, продливший свой абонемент, чье терминальное устройство, однако, еще не получило сообщение о продлении, сразу же был исключен из списка пользователей сервиса, то есть самое важное, чтобы пользователь был доволен, поддержание так называемого Good-User-Feeling.

Фиг.7А показывает пример временного протекания продления доступа к сервису при помощи сообщения о продлении Vk 500 в момент нового запуска прибора, здесь Т 700 и периода поддержания жизни КАР 600, соединяющих конечный момент действия сообщения о продлении конецk 511 временного интервала, в течение которого разрешен доступ 520 в соответствии с сообщением о продлении Vk 500, с моментом Т 700 нового запуска устройства. Данный пример исполнения изобретения показывает, что после окончания конецk 511 временного интервала, в течение которого разрешен доступ к сервису 520, до момента нового запуска прибора Т 700 проходит больше времени, чем это предусмотрено КАР 600. Под моментом нового запуска прибора Т 700 подразумевается момент времени, в который устройство 100 выключено. Так до момента Т 700 прошло больше времени, чем это предусматривает КАР 600, то терминальное устройство должно деактивировать 105 свое разрешение на активацию или реактивацию при помощи прежнего зависящего от сервиса идентификатора пользователя 102. Так как разрешение доступа к сервису 104 при помощи прежнего зависящего от сервиса идентификатора пользователя 102 уже могло быть передано другому пользователю.

В случае, который показывает фиг.7А, если сумма, складывающаяся из момента окончания конецk 511 последнего временного интервала, в течение которого разрешен доступ 520, и периода поддержания жизни КАР 600, дают момент времени, в который предшествует моменту включения устройства 100 или моменту запуска прибора Т 700, то период поддержания жизни КАР 600 истек. Терминальное устройство может свободно деактивировать параметры, относящиеся к этому сервису, и ключи. Идентификация пользователя в системе пользователей может быть уже передана другому пользователю.

В примере в соответствии с фиг.7А представлено принятое сообщение о продлении Vk 500; в момент нового запуска устройства Т 700 516 «Keep Alive Period» или КЕР 600 уже истек, что можно выразить формулой: (Конецk+КАР<Т). Параметры сервиса деактивируются.

Фиг.7В показывает пример временного протекания продления доступа к сервису при помощи двух сообщений о продлении Vk 500 и Vn 503, равно как и их отношение к периоду поддержания жизни КАР 600. В фиг.7В в момент поступления сообщения о продлении Vn 503 с относящимся к нему стартовым моментом, в который начинает действовать разрешение доступа к сервису стартn 516, период поддержания жизни КАР 600 уже истек, отсчет велся с момента окончания конецk последнего временного интервала, в течение которого был разрешен доступ к сервису 520, на основании сообщения о продлении Vk 500. В этом случае также терминальное устройство обязано деактивировать 105 разрешение на продление или реактивацию при помощи прежнего зависящего от сервиса идентификатора пользователя 102.

В случае, который показывает фиг.7В, в момент поступления сообщения о продлении Vn 503, если сумма, складывающаяся из момента окончания конецk 511 последнего временного интервала, в течение которого разрешен доступ 520, и периода поддержания жизни КАР 600, дают момент времени, предшествующий стартовому моменту времени действия разрешения доступа к сервису стартn 516 поступления сообщения о продлении Vn 503 (или до получения этого сообщения Vn 503), то период поддержания жизни КАР 600 истек. Терминальное устройство должно деактивировать, относящиеся к данному сервису параметры и ключи. Поскольку сообщение о продлении может быть адресовано уже другому пользователю. Идентификация пользователя 102 может быть передана системой управления пользователями другому пользователю. Это показано на фиг.7В. Принятые сообщения о продлении Vk 500 и Vn 503 показывают, что к стартовому моменту стартn 516 периода поддержания жизни КАР 600 уже истек, что отражает формула: (конецk+КАР<Стартn). Разрешение доступа не продляется.

Это позволяет избежать того, чтобы после передачи освободившейся идентификации пользователя 102 пользователь, чья идентификация пользователя 102 уже стала недействительной, получил доступ к данным.

Возможна также ситуация, когда пользователь продлевал абонемент, но его прибор на протяжении слишком долгого времени был отключен и поэтому был исключен из списка пользователей сервисом. В этом случае пользователь должен связаться с провайдером и, например, получить новую идентификацию пользователя 102 или же вернуть свою прежнюю, еще существующую в системе управления пользователями идентификацию 102 вместе с параметрами и ключами.

Представленный здесь метод повторного присвоения идентификации регулирует то, каким образом может быть присвоена освободившаяся идентификация пользователя 102. Для этого должно существовать ограниченное адресное пространство и оптимальный принцип формирования группы пользователей. Эта функция не описана в существующих системах с условным доступом и ограниченным доступом, а также в СА- или DRM-системах. Однако эта функция может найти свое применение в системах УВМ, в настройках сервера или же клиентов.

Настоящий метод предполагает наличие соответствующего проводящего операции терминального устройства и соответствующей проводящей операции системы управления пользователями Subscriber Management System. Данный концепт не приведет к свертыванию существующей рыночной модели. Он разработан в соответствии с существующими требованиями и представляет надежное решение.

Фиг.8 показывает пример исполнения изобретения системы 800 для управления разрешением доступа к сервису в форме блок-схемы. Система состоит из устройства 200 для подготовки сообщения о разрешении доступа, первое устройство 100 для управления разрешением доступа к сервису, а также второе устройство 100 для управления разрешением доступа к сервису.

Система 800 рассчитана на то, чтобы распределить зависящий от сервиса идентификатор пользователя 102 в первом случае устройства 100 для управления разрешением доступа к сервису 104, и для того, чтобы после того, как зависящий от сервиса идентификатор пользователя 102 снова освободиться, было возможно его использование вторым устройством 100 для разрешения доступа к сервису 104. Кроме того, система рассчитана также на то, если сообщение о продлении 104, созданное первым устройством 100, и сообщение о продлении 104, созданное вторым устройством 100, позволяющие продлевать или реактивировать разрешение доступа к сервису при помощи заданного заранее зависящего от сервиса идентификатора пользователя 102, активны, причем первое устройство 100 для управления разрешением доступа к сервису 104 и второе устройство 100 для управления разрешением доступа к сервису 104 связаны с устройством 200 для подготовки сообщения о разрешении доступа 103, то они могут принять сообщение о разрешении доступа 103.

Система 800 может также быть рассчитана, например, на то, чтобы передавать сообщение о продлении 103 через систему цифрового видео или радиовещания, систему сотовой связи, сеть данных или языковую сеть или через систему Интернет протоколов, GSM, UMTS или CDMA-систему, DSL-систему, как проводную, так и беспроводную. Система 800 может состоять также из большего числа систем 100 для управления разрешением доступа 104. Так, например, она может быть выполнена в виде системы электронных ячеек, а сообщение о разрешении доступа 103 может быть сообщением с данными, которое может передаваться от устройства 200 для подготовки разрешения доступа 103 первому устройству 100 для управления разрешением доступа к сервису 104, второму устройству 100 для управления разрешением доступа к сервису 104 и другим имеющимся в наличии устройствам 100 для управления разрешением доступа к сервису.

Зависящий от сервиса идентификатор пользователя 102 может быть представлен в виде определенной последовательности бит, причем интервал значений зависящего от сервиса идентификатора пользователя 102 может, например, включать в себя меньшую область значений, чем число зарегистрированных в системе 800 пользователей или сервисов. Это может означать, что без возобновления использования зависящих от сервиса идентификаторов пользователя 102 для каждого пользователя с пользовательским устройством должно существовать определенное количество зависящих от сервиса идентификаторов пользователя 102, которое соответствует количеству зарегистрированных сервисов в системе 800, то есть количеству сервисов, которыми могут пользоваться пользователи. При полной загруженности системы 800 каждому пользователю может быть присвоено большое количество зависящих от сервиса идентификаторов пользователя, которые регистрируют сервисы. Идея настоящего изобретения позволяет повторно использовать зависящий от сервиса идентификатор пользователя 102, не требует наличия максимального количества возможных комбинаций, то есть их может быть не так много.

Заданный промежуток времени 123 или период поддержания жизни Keep Alive Period или КАР 600, представляет собой важный параметр способа осуществления настоящего изобретения и системы 800. Так, например, КАР 600 в устройстве 200 для подготовки сообщения о разрешении доступа 103 может быть определен заранее и при деактивации передан первому и второму устройствам 100. КАР 600 может быть также постоянной величиной системы 800, или его возможно вывести из известных параметров системы 800. В качестве альтернативы возможно существование такой системы 800, где КАР задан в одном из устройств 100 и от него передается другим устройствам 100 и устройству 200. Система 800 может быть также устроена таким образом, чтобы временно предоставлять зависящий от сервиса идентификатор пользователя 102 и ограничивать доступ к нему же по истечении разрешения доступа к сервису 104 до истечения заданного времени 123 для пользователя или пользовательского устройства, которым последним принадлежал зависящий от сервиса идентификатор пользователя. При помощи этого системе 800 удается избежать того, что пользователь, чье разрешение доступа к сервису 104 истекло, при помощи имеющихся в наличии данных, необходимых для доступа, получил доступ к сервису 104, предназначенный для другого пользователя, с таким же зависящим от сервиса идентификатором пользователя.

В предпочитаемом варианте исполнения система 800 может являться криптографической системой, которая кодирует или частично кодирует сообщение о разрешении доступа 103, например, при помощи симметричного криптографического ключа при использовании, например, AES-алгоритма кодирования, который также обозначается как Advanced Encryption Standard или при помощи DES-алгоритма кодирования, также Data Encryption Standard. Система 800 может быть системой управления правами, например, согласно одному из стандартов ОМА, DRM, ETSI-EUROCRYPT или ISMA, об обозначениях стандартов было сказано выше.

Система 800 для управления разрешением доступа к сервису может объединять устройство 200 с первым устройством 100 и вторым устройством 100. Объединение должно происходить при помощи компьютерной сети, например, через Интернет или IP-протоколы, причем сеть может быть как проводной, так и беспроводной. Например, объединение может осуществляться через кабельную сеть, радиосистему, спутниковую систему, систему сотовой связи, например GSM-систему, или UMTS-систему, или CDMA-систему или многоканальную систему с временным уплотнением. Соединение может также достигаться при помощи LAN-сети, MAN-сети, WLAN-сети или оптической сети передачи данных. В дальнейшем соединение может быть также установлено через электросеть, трансмиссию линии электропередач, равно как и при помощи АТМ-сети или при помощи DSL.

Предлагаемое решение может найти свое применение в системах с ограниченным доступом или Conditional Access системах или в электронных системах защиты данных или DRM-системах, в установках сервиса или пользователей, где настройки сервиса распространяются на управляющее вычислительное устройство, а настройки пользователей распространяются на управляемое вычислительное устройство. Например, в примере осуществления изобретения согласно фиг.8 устройства 200 рассматривается как настройки сервиса, то есть установки управляющего вычислительного устройства, а первое устройство 100 для управления разрешением доступа к сервису 104 равно как и второе устройство рассматриваются как настройки пользователей, то есть находятся на стороне управляемого вычислительного устройства.

В зависимости от ситуации, изобретение согласно настоящему способу может быть исполнено в аппаратной части ЭВМ или в программном обеспечении. Это может быть цифровой носитель, такой как, например, дискета или CD, с которого можно считать необходимую информацию. Они могут функционировать в программируемой компьютерной системе, выполненной в соответствии с настоящим способом. В общем, изобретение представляет собой программируемый при помощи компьютера продукт на носителе с программным кодом для осуществления способа согласно настоящему изобретению, который можно использовать при помощи вычислительного устройства. Другими словами, изобретение может быть выполнено в виде компьютерной программы с программным кодом, необходимым, для того чтобы программа работала на компьютере.

1. Устройство (100) для управления разрешением доступа с пользовательского устройства к сервису с ограниченным доступом, содержащее блок подготовки разрешения доступа к сервису (101), предназначенный для задания срока действия разрешения доступа к сервису (104), реагирующее на сообщение о разрешении доступа (103), содержащее идентификатор пользователя (102), причем блок подготовки разрешения доступа к сервису (101) сконфигурирован с возможностью продлевать, активировать или деактивировать (105) прежнее разрешение доступа к сервису (104) при помощи зависящего от сервиса идентификатора пользователя (102), уже примененного для доступа к определенному сервису, в зависимости от истечения, хотя бы, расчетного периода времени (123) по завершении последнего срока действия (106) разрешения доступа к сервису (104), заданного устройством (100), при этом блок подготовки разрешения доступа к сервису (101) предусматривает отсчет истекшего времени и сравнение его с заданным сроком действия с целью запрета продления или возобновления разрешения доступа к данному сервису с применением уже задействовавшегося идентификатора пользователя (102) при достижении или превышении истекшим временем доступа (120) заданного срока действия авторизации.

2. Устройство 100 по п.1, в котором блок подготовки разрешения доступа к сервису (101) выполнен с возможностью запрета продления или реактивации разрешения с помощью уже примененного идентификатора пользователя (102) с целью предотвращения получения пользователем повторного доступа к контенту после передачи идентификатора пользователя данным сервисом (102) другому пользователю.

3. Устройство (100) по п.1, в котором блок подготовки разрешения доступа к сервису (101) сконфигурирован с возможностью обеспечения разрешения доступа (104) для аудио, видео, мультимедиа сервисов или услуг сети передачи данных для системы платного видео, систем автонавигации на мобильном или портативном устройстве, услуг сети передачи данных на мобильном телефоне, или для платного сервиса с ограниченным доступом на стационарном или портативном компьютере без или с доступом к интернету.

4. Устройство (100) по п.1, в котором блок подготовки разрешения доступа к сервису (101) рассчитан на то, чтобы при включении устройства (100) продлять или реактивировать разрешение доступа к сервису (104) при использовании прежних зависящих от сервиса идентификаторов пользователя (102) или же деактивировать (105) его, в том случае, если к тому моменту, когда устройство (100) было включено, последний срок действия (107), в течение которого был разрешен доступ к сервису (104), при помощи устройства (100) уже истек (121), а заданный промежуток времени (123) также истек.

5. Устройство (100) по п.1, в котором блок подготовки разрешения доступа к сервису (101) рассчитан на то, чтобы при помощи принятого сообщения о продлении или активации (103), включающего в себя идентификатор прибора и зависящий от сервиса идентификатор пользователя (102), в том случае, если идентификатор прибора соответствует идентификатору устройства, определить временной интервал, в течение которого разрешен доступ к сервису (106), и активировать разрешение доступа к сервису (104), в том случае, если конечный момент (124) временного интервала, в течение которого разрешен доступ к сервису (106), расположен дальше заданного момента времени и если временной интервал между стартовым моментом времени, (122) временного интервала, в течение которого разрешен доступ (106), и конечным моментом времени (121) предыдущего временного интервала, в течение которого был разрешен доступ (107), для разрешения доступа к сервису (104) при помощи устройства (100) короче, чем заданный промежуток времени (123).

6. Устройство (100) по п.5, в котором блок подготовки разрешения доступа к сервису (101) рассчитан на то, чтобы продлять или реактивировать разрешение доступа к сервису (104) при помощи зависящей от сервиса идентификации пользователя (102), для того чтобы продлить заданный промежуток времени (123), в том случае, когда сообщение об активации или сообщение о продлении (103) определены при помощи сообщения о разрешении доступа (104) устройством (100).

7. Устройство (100) по п.1, где блок подготовки разрешения доступа (101) рассчитан на то, чтобы по истечении конечного времени (124), временного интервала, в течение которого разрешен доступ (106), деактивировать разрешение доступа к сервису (104), в том случае, если к конечному моменту времени (124) от устройства (100) не поступит обновленное разрешение доступа к сервису (104).

8. Устройство (100) по п.1, в котором блок подготовки разрешения доступа к сервису (101) рассчитан на то, чтобы деактивировать (105) разрешение доступа к сервису при использовании прежнего зависящего от сервиса идентификатора пользователя (102) путем стирания, кодирования или сделав разрешение доступа к сервису (104) нечитаемым или путем изменения прошлых необходимых для идентификации пользователя (102) параметров и ключей.

9. Устройство (100) по п.1, в котором блок подготовки разрешения доступа к сервису (101) выполнен в виде электронной схемы.

10. Устройство (200) для подготовки сообщения о разрешении доступа для устройства пользователя в отношении сервиса с ограниченным доступом, содержащее блок создания сообщения о разрешении доступа (202); и диспетчер идентификаторов (201), при этом блок создания сообщения об авторизации (202) выполнен таким образом, чтобы создать сообщение об активации (103) для активации разрешения доступа к сервису (104) или сообщение о продлении (103) для продления разрешения доступа к сервису (104), где сообщение об активации (103) или сообщение о продлении (103) снабжены зависящим от сервиса идентификатором пользователя (102), подготовленным блоком управления идентификацией (201); который включает в себя первый блок (205) идентификаторов пользователя (102), относящихся к определенному сервису, где ведется отсчет текущего времени разрешения доступа (106) пользовательского устройства, второй блок (206), содержащий неиспользованные идентификаторы пользователя (102), относящиеся к определенному сервису, где срок действия разрешения доступа (206) пользовательского устройства истек раньше заданного времени (123), и третий блок (207) относящихся к определенному сервису идентификаторов пользователя (102), допущенных к повторному использованию; причем блок управления идентификацией (201) рассчитан на то, чтобы оставить неизменным (203) зависящий от сервиса идентификатор пользователя (102) по истечении временного интервала пользовательского устройства, в течение которого разрешение доступа к сервису (106) было возможным при помощи зависящего от сервиса идентификатора пользователя (102), на протяжении заданного промежутка времени (123), и на то, чтобы освободить (204) зависящий от сервиса идентификатор пользователя (102) по истечении заданного промежутка времени (123), при помощи блока создания сообщения о продлении (202).

11. Устройство (200) по п.10, где блок создания сообщения о разрешении доступа (202) рассчитан на то, чтобы создавать сообщение (103) для активации или продления работы аудио, видео, мультимедиа сервисов или услуг сети передачи данных для системы платного видео, систем автонавигации на мобильном или портативном устройстве, услуг сети передачи данных на мобильном телефоне или для платного сервиса с ограниченным доступом на стационарном или портативном компьютере, подключенном или неподключенном к интернету.

12. Устройство (200) по п.10, где блок создания сообщения о разрешении доступа (202) рассчитан на то, чтобы создавать сообщение о разрешении доступа (103) при помощи одного или нескольких зависящих от сервиса идентификаторов пользователя (102), где зависящие от сервиса идентификаторы пользователя представляют собой последовательность бит, и где блок создания сообщения о разрешении доступа к сервису (202) представляет собой электронную схему, и где блок создания сообщения о продлении (103) выполнен таким образом, чтобы передавать сообщение (103) при помощи зависящих от сервиса идентификаторов пользователя (102) через канал для сообщений с ограниченной пропускной способностью, и где блок управления идентификацией представляет собой электронную схему.

13. Устройство (200) по п.10, причем управление идентификацией (201) выполнено таким образом, чтобы освободить зависящий от сервиса идентификатор пользователя (102) по истечении заданного промежутка времени (123) для его использования другими пользователями и другими терминальными устройствами.

14. Устройство (200) по п.10, в котором блок управления идентификацией (201) рассчитан на то, чтобы по истечении абонемента пользователя и пользовательского устройства, к которому в последнее время принадлежала зависящая от сервиса идентификация пользователя (102), можно было снова использовать зависящую от сервиса идентификацию пользователя (102) по истечении заданного промежутка времени (123) после окончания абонемента, для нового абонемента, нового или того же самого пользователя.

15. Устройство (200) по п.10, в котором блок управления идентификацией (201) рассчитан на то, чтобы определять значение заданного промежутка времени (123) периодом от трех дней до трех месяцев.

16. Устройство (200) по п.10, в котором блок сообщения о разрешении доступа (202) рассчитан на то, чтобы создавать сообщение, которое затем отсылается большому количеству пользователей.

17. Устройство (200) по п.10, в котором блок создания сообщения о разрешении доступа (202) рассчитан на то, чтобы персонифицировать сообщение об активации/продлении (103) таким образом, чтобы зависящий от сервиса идентификатор пользователя (102) зависел от идентификации прибора, с которым связан сервис, и от идентификации сервиса, причем блок создания сообщения о продлении (202) рассчитан на то, чтобы группировать большое количество сообщений об активации или продлении таким образом, чтобы сообщения (103), адресованные пользователям с одинаковым временным интервалом, в течение которого открыт доступ к сервису (106), объединялись в одну группу.

18. Устройство (200) по п.10, в котором временной интервал, в течение которого действительно разрешение доступа к сервису, персонифицируется при помощи стартового момента времени (122) и конечного момента времени (124) либо при помощи стартового момента времени (122) и указания продолжительности.

19. Система (800) для управления разрешением доступа к сервису (104) в отношении сервиса с ограниченным доступом, содержащая устройство (200) для подготовки сообщения о разрешении доступа (103) в соответствии с пунктами с 10 по 18; первое устройство (100) для управления разрешением доступа к сервису (104) в соответствии с пунктами 1-9 и второе устройство (100) для управления разрешением доступа к сервису (104) в соответствии с пунктами 1-9, причем система (800) выполнена таким образом, чтобы распределить заранее определенную зависящую от сервиса идентификацию пользователя (102) сначала первого устройства (100) для управления разрешением доступа к сервису (104) и чтобы распределить заранее определенную зависящую от сервиса идентификацию пользователя (102) после того, как она освободится, для повторного использования вторым устройством (100) для управления разрешением доступа к сервису (104), при этом система (800) рассчитана на то, чтобы как минимум одно из двух устройств (100): первое устройство (100) для управления разрешением доступа к сервису (104) и второе устройство (100) для управления разрешением доступа к сервису (104) разрешение на продление или реактивацию разрешения доступа к сервису (104) при помощи использования зависящей от сервиса идентификации пользователя (102), активно, причем первое устройство (100) для управления разрешением доступа к сервису (104) и второе устройство (100) для управления разрешением доступа к сервису (104) соединены с устройством (200) для подготовки сообщения о разрешении доступа (103), для того чтобы иметь возможность принять сообщение о разрешении доступа (103).

20. Система (800) по п.19, в которой система (800) рассчитана на то, чтобы передавать сообщение о продлении (103) через цифровую систему видео и радиовещания, через систему мобильной связи, проводную или пакетную систему языковых сетей или сетей с данными, систему Интернет протоколов, GSM-систему, UMTS-систему или CDMA- систему, GPS-систему DLS-систему, как проводную, так и беспроводную.

21. Система (800) по п.19, в которой система (800) рассчитана на то, чтобы в устройстве (200) для подготовки сообщения о продлении, первом устройстве (100) для управления разрешением доступа к сервису (104) и втором устройстве (100) для управления разрешением доступа к сервису (104) использовать один и тот же заданный промежуток времени (123), причем система (800) рассчитана на то, чтобы передавать заданный промежуток времени (123) при активации сервиса или устанавливать его как постоянную величину системы (800) или вычислять его, используя имеющиеся параметры.

22. Система (800) по п.19, в которой устройство (200) предназначено для создания сообщения о продлении (103), для того чтобы подготовить зависящую от сервиса идентификацию пользователя (102) с меньшим диапазоном значений, чем число пользователей системы (800) или число зарегистрированных в системе сервисов.

23. Система (800) по п.19, в которой блок управления идентификацией (201) устройства (200) для подготовки сообщения о разрешении доступа (103) рассчитано на то, чтобы заранее распределять зависящий от сервиса идентификатор пользователя (102) и где система (800) рассчитана на то, чтобы блокировать зависящий от сервиса идентификатор пользователя (102) по истечении разрешения доступа к сервису, до момента истечения заданного промежутка времени (123) для пользователя и пользовательского устройства, которым последним принадлежал зависящий от сервиса идентификатор пользователя (102).

24. Система (800) по п.19, в которой система (800) рассчитана на то, чтобы частично или полностью кодировать сообщение о продлении (103) при помощи криптографического ключа и алгоритма кодирования и передавать его полностью или частично закодированным.

25. Система (800) по п.24, где система (800) рассчитана на то, чтобы передавать сообщение о продлении (103) в частично или полностью закодированном виде, кодирование производится определенным способом.

26. Система (800) по п.19, где система (800) рассчитана на то, чтобы отмечать сообщение о разрешении доступа (103) при помощи электронного способа аутоидентификации или же при помощи электронной подписи.

27. Система (800) по п.26, где система (800) рассчитана на то, чтобы передавать сообщение о продлении (103) вместе с кодом аутоидентификации для данного сообщения.

28. Система (800) по п.19, в которой сообщение о разрешении доступа (103) специфицируется согласно одному из стандартов ОМА, DRM, ETSI-EUROCRYPT или ISMA.

29. Система (800) по п.19, выполненная с возможностью исключения ситуации, когда пользователь, чье разрешение доступа к сервису (104) истекло, при помощи имеющихся у него данных, необходимых для доступа, получил доступ к разрешению доступа к сервису (104) другого пользователя, к которому перешел зависящий от сервиса идентификатор пользователя (102).

30. Способ (300) для управления разрешением доступа к сервису (104) относительно сервиса с ограниченным доступом, включающий определение периода времени, в который действительно разрешение доступа к сервису (104), в соответствии с сообщением о разрешении доступа с зависящей от сервиса идентификацией пользователя; и деактивация (105) разрешения; разрешения доступа к сервису (104) с использованием прежней зависящей от сервиса идентификации пользователя (102) для продления или реактивации, когда с момента последнего временного интервала, в течение которого был открыт доступ к сервису (107) при помощи разрешения доступа к сервису (104), уже прошел заданный промежуток времени (123), в котором осуществляется отсчет истекшего времени и запрет продления или возобновления доступа с применением уже задействовавшегося идентификатора пользователя (102), относящегося к определенному сервису, при достижении или превышении использованным временем (120) заданного предела действия авторизации (123).

31. Способ (400) для подготовки сообщения о разрешении доступа (103) в отношении сервиса с ограниченным доступом, включающий создание сообщения об активации (103) для активации разрешения доступа к сервису (104) или сообщения о продлении (104) для продления разрешения доступа к сервису (104), причем сообщение об активации (103) либо сообщение о продлении (103) снабжены зависящим от сервиса идентификатором пользователя (102); неиспользование зависящего от сервиса идентификатора пользователя (102) по истечении временного интервала, в течение которого разрешен доступ к сервису (106) для пользовательского устройства, которому последний раз была присвоена зависящая от сервиса идентификация пользователя (102), в течение, как минимум, заданного промежутка времени (123); и по истечении заданного промежутка времени (123) освобождение зависящей от сервиса идентификации пользователя (102) для создания нового сообщения об активации (103) или продлении (103).

32. Машиночитаемый носитель информации с записанной на него компьютерной программой для реализации, будучи выполненной на компьютере, способов по п. 30 или 31.



 

Похожие патенты:

Изобретение относится к вычислительной технике и электросвязи, предназначено для решения задач защиты компьютерной информации. Наиболее предпочтительной областью использования изобретения является построение генераторов псевдослучайных чисел (ГПСЧ), а также криптографических примитивов хеширования, блочного и поточного шифрования. Техническим результатом изобретения является повышение криптостойкости и увеличение быстродействия итеративного криптографического преобразования данных. Указанный технический результат при осуществлении изобретения достигается тем, что в итеративном криптографическом преобразовании данных, включающем формирование из секретного ключа с помощью процедуры разворачивания ключа последовательности раундовых ключей K1, K2,…, KR, где R - число раундов преобразования; формирование по входному блоку М блока С в соответствии с выражением С:=М; выполнение R раундов преобразования, при этом преобразование блока данных на i-м раунде записывается в виде С:=Е(С, Ki), где Е() - раундовая функция преобразования, Ki - раундовый ключ, используемый на i-м раунде, полученное значение С:=Е(С, Ki) при i<R поступает на вход следующего раунда, а результат действия последнего раунда С:=Е(С, KR) является результатом преобразования; дополнительно из каждого раундового ключа Ki формируют N раундовых подключей Ki1, Ki2,…, KiN, где N - число траекторий раундовых преобразований в каждом раунде; при выполнении каждого i-го раунда создают N копий Сi1, Ci2,…, СiN входного блока данных С, каждую копию Cij подвергают стохастическому преобразованию Eij, которое записывается в виде Cij:=Eij(Cij, Kij), преобразованные значения Cij поступают на входы комбинационной схемы F, функцией которой является параллельная композиция различных траекторий раундовых преобразований, результат действия комбинационной схемы С:=F(Ci1, Сi2,…, CiN) объявляют результатом раунда. В частном случае стохастическое преобразование Еij включает представление входного блока Cij, промежуточных результатов преобразования и раундового подключа Kij в виде квадратного массива бит размерностью 8×8; сложение по модулю два (XOR) входного блока Cij и раундового подключа Kij, разбиение результата на строки r1, r2,…, r8 и выполнение для каждой строки операции замены с использованием таблицы S размерностью 8×256; разбиение результата на столбцы с1, с2,…, с8 и выполнение для каждого столбца операции замены с использованием таблицы S размерностью 8×256. Благодаря совокупности перечисленных решений увеличивается криптостойкость преобразования за счет выполнения последовательной и параллельной композиции раундовых преобразований и повышается быстродействие за счет появления возможности сокращения числа раундов и выполнения всех раундовых преобразований Cij:=Eij(Cij, Kij) параллельно.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей.

Изобретение относится к защите от несанкционированного доступа к информации, хранимой в вычислительной сети, и может быть использовано в автоматизированных системах обработки информации.

Настоящее изобретение предоставляет способ аутентификации авторского права устройства в автономном режиме, систему защиты цифровых прав и способ предоставления цифровых контентов, который, главным образом, включает в себя встроенный в цифровой контент агент аутентификации, и упомянутый агент аутентификации, в отличие от издателя авторских прав на стороне сервера, аутентифицирует сертификацию воспроизведения устройства перед воспроизведением цифрового контента.

Изобретение относится к области видеоаутентификации пользователя. Техническим результатом является предотвращение фальсификации аутентификационной фотографии, выполняемой при помощи виртуальной камеры.

Изобретение относится к способам и средствам криптографического преобразования информации в электронных вычислительных комплексах и ЭВМ. Повышение скрытности и оперативности преобразования достигается тем, что в способе, основанном на разбивке исходного 32-разрядного входного вектора на восемь последовательно идущих 4-разрядных входных векторов, каждый из которых соответствующим ему узлом замены преобразуется в 4-разрядный выходной вектор, которые последовательно объединяются в 32-разрядный выходной вектор, причем предварительно в каждом узле замены размещают таблицы преобразования из шестнадцати строк каждая, содержащих по четыре бита заполнения в строке, являющихся соответствующими 4-разрядными выходными векторами, используют четыре узла замены по одному для каждой пары 4-разрядных входных векторов, причем в каждом узле замены используют регистр центрального процессора, в который размещают по две таблицы преобразования, а преобразование пар 4-разрядных входных векторов в пары 4-разрядных выходных векторов в соответствующем узле замены осуществляют коммутацией предварительно размещенных строк таблиц преобразования в регистр центрального процессора соответствующего узла замены путем использования пар 4-разрядных входных векторов в виде адресов коммутации.

Изобретение относится к области защиты информации, а именно к обеспечению информационной безопасности сетевого взаимодействия информационных служб и клиентов. Предлагаемый способ позволяет обеспечить удаленный мониторинг и управление информационной безопасностью сетевого взаимодействия на основе использования системы доменных имен, вне зависимости от топологии сети и расположения точки мониторинга (межсетевого экрана) и клиентов, осуществлять управление и мониторинг сетевого трафика как на этапе установления сеанса соединения, так и на этапе информационного обмена клиента и информационных служб, осуществлять фильтрацию трафика с учетом любых значимых полей сетевых пакетов, управление доступом клиентов к информационным службам после установления сеанса соединения, фильтрацию трафика на наличие сведений конфиденциального характера и сведений, составляющих государственную тайну.

Изобретение относится к средствам обеспечения возможности прямого доступа и совместного использования оценки безопасности. Технический результат заключается в повышении защищенности сети предприятия.

Изобретение относится к коммуникационным технологиям, а именно к системам и способам для обнаружения и исправления ошибок шифрования. Техническим результатом является решение проблемы обнаружения и исправления ошибок шифрования в сети, не предназначенной для поддержки процедуры исправления ошибки шифрования.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности данных.

Изобретение относится к управлению цифровыми правами, а именно к управлению доступом к зашифрованным элементам данных. Техническим результатом является повышение защищенности данных. Способ шифрования элемента данных, содержащий: шифрование (103), используя ключ (102) симметричного шифрования, элемента (100) данных для получения зашифрованного элемента (104) данных, и шифрование (105), согласно основанной на идентификационной информации схеме шифрования с идентификатором (101) элемента (100) данных и главным открытым ключом, упомянутого ключа (102) симметричного шифрования для получения зашифрованного ключа (106) шифрования, предоставление запрашивающему дешифровального ключа (201) для дешифрования зашифрованного ключа (106) шифрования, где дешифровальный ключ предоставляется в ответ на запрос на разрешение, включающее дешифровальный ключ (201), которое должно быть выдано запрашивающему, запись в журнал предоставленного дешифровального ключа (201), и выполнение регулярной проверки. 3 н. и 1 з.п. ф-лы, 3 ил.

Способ шифрования с использованием ключа K шифрования с длиной k ключа по меньшей мере одного сообщения M, содержащего однородно распределенные символы, причем k битов шифруют (830) из сообщений длиной по меньшей мере k битов, в то время как более короткие сообщения удлиняются (840), например, посредством заполнения незначащей информацией или последовательного соединения для получения удлиненного сообщения длиной по меньшей мере k битов перед шифрованием. Таким образом оптимизируется эффективность шифрования при сохранении криптографической защиты. В частности, способ шифрования подходит для содержащих сообщение M пакетов, кодированных алгоритмом JPEG2000. Также предусмотрены устройство (710) шифрования, способ дешифрования и устройство (910) дешифрования. 4 н. и 2 з.п. ф-лы, 9 ил.

Изобретение относится к вычислительной технике, в частности к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в повышении надежности устройства хранения данных и обеспечении более высокой степени безопасности хранения информации. Устройство хранения данных содержит блок управления, первая группа входов-выходов которого соединена с группой входов-выходов блока памяти, причем дополнительно введены блок коммутации ключевых цепей и блок защиты ключевых цепей, группа входов которого является группой входов устройства хранения данных, а группа выходов соединена с группой входов блока коммутации ключевых цепей, первая группа входов-выходов которого является группой входов-выходов устройства хранения данных, а вторая группа входов-выходов соединена со второй группой входов-выходов блока управления. 2 н. и 3 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности проверки подлинности. Способ верификации динамического пароля, в котором создают мобильным устройством исходный код с помощью программного обеспечения токена и передают этот код через веб-страницу серверу верификации; после верификации исходного кода мобильное устройство с помощью алгоритма Диффи-Хеллмана создает ключ Диффи-Хеллмана согласно своему закрытому ключу Диффи-Хеллмана; и с помощью алгоритма хэширования создает начальное значения токена согласно своему ключу Диффи-Хеллмана; и создает текущий динамический пароль путем выполнения заранее заданного алгоритма обработки начального значения токена и текущего времени и передает этот пароль через веб-страницу серверу верификации; создают сервером верификации динамический пароль сервера верификации в соответствии с полученным исходным кодом с помощью того же алгоритма Диффи-Хеллмана, который был использован мобильным устройством; сервер верификации сравнивает динамический пароль сервера верификации с динамическим паролем, созданным мобильным устройством, и проверяют правильность динамического пароля, созданного мобильным устройством. 2 н. и 11 з.п. ф-лы, 6 ил., 1 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении защиты от распространения неизвестного вредоносного ПО. Способ аппаратного обнаружения и лечения неизвестного вредоносного ПО, установленного на ПК содержит этапы, на которых: подготавливают и осуществляют серию экспериментов, при этом экспериментом является осуществление имитации подключения к проверяемому ПК внешнего устройства или другого ПК, заполненного какой-либо информацией; производят анализ изменений в информации на имитируемых внешних устройствах или других ПК, полученных в ходе всех экспериментов; определяют в рамках анализа наличие неизвестного вредоносного ПО на проверяемом ПК, которое нарушает целостность информации на имитируемых внешних устройствах или других ПК, и определяют, возможно ли механизмом лечения удалить обнаруженное неизвестное вредоносное ПО, при этом: если обнаружено неизвестное вредоносное ПО на проверяемом ПК, для которого существует возможность удаления с помощью механизма лечения, то формируют механизм лечения и применяют его к проверяемому ПК. 2 н. и 26 з.п. ф-лы, 4 ил.

В заявке описаны способы и устройство для аутентификации абонентов с использованием инфраструктуры открытых ключей (PKI) в среде IP-телефонии, такой как сеть IMS. Для аутентификации пользователя абонентского устройства при попытке получения доступа к сети IP-телефонии получают один или несколько индивидуальных ключей абонента из защищенной памяти, связанной с абонентским устройством; генерируют ключ целостности и ключ шифрования; шифруют ключ целостности и ключ шифрования с использованием сеансового ключа; шифруют сеансовый ключ открытым ключом сети IP-телефонии; и предоставляют зашифрованный сеансовый ключ, зашифрованный ключ целостности и зашифрованный ключ шифрования сети IP-телефонии для аутентификации. Также описан осуществляемый в сети способ аутентификации абонента в сети IP-телефонии. 3 н. и 4 з.п. ф-лы, 4 ил.

Изобретение относится к средствам управления лицензиями. Технический результат заключается в уменьшении вероятности несанкционированного доступа к группе прикладных программ. Модуль генератора идентификатора лицензии формирует идентификатор лицензии и информацию о лицензии, соответствующие группе прикладных программ, при этом идентификатор лицензии связан с идентификатором группы собственно группы и информацией о лицензии группы. Модуль хранения информации о группе хранит идентификатор группы с идентификатором продукта каждой прикладной программы. Модуль хранения информации о лицензии записывает идентификатор лицензии, соответствующий идентификатору группы с идентификатором продукта прикладной программы. Модуль определения определяет по приему идентификатора лицензии, связанного с прикладной программой, записан ли в модуле хранения информации о лицензии принятый идентификатор лицензии. Модуль отправки отправляет по сети, если принятый идентификатор лицензии записан в модуле хранения информации о лицензии, файл лицензии, соответствующий записанному идентификатору лицензии, чтобы предоставить разрешение на использование прикладной программы группы. 3 н. и 10 з.п. ф-лы, 53 ил.

Предлагаются способ и устройство, обеспечивающие программирование электронной идентификационной информации беспроводного устройства. В одном варианте осуществления ранее приобретенное или развернутое беспроводное устройство активируется посредством сотовой сети. Беспроводное устройство подключается к сотовой сети с использованием модуля доступа для загрузки компонентов операционной системы и/или компонентов клиента управления доступом. Описанные способ и устройство обеспечивают обновления, добавления и замену различных компонентов, включая данные модуля идентификации абонента (eSIM) и компоненты операционной системы. В одной примерной реализации изобретения для обеспечения безопасности используется обмен доверенным ключом между устройством и сотовой сетью. 4 н. и 15 з.п. ф-лы, 5 ил.

Способ синхронизации служебного ключа мобильного мультимедийного вещания включает: генерирование каждой региональной системой мобильного условного доступа (M-CAS) соответствующего регионального служебного ключа и синхронизацию регионального служебного ключа с центральной M-CAS через интерфейс региональной платформы; генерирование центральной M-CAS центрального служебного ключа и синхронизацию центрального служебного ключа и регионального служебного ключа с рядом региональных M-CAS через интерфейс центральной платформы; и аутентификацию мобильного терминала каждой региональной M-CAS путем использования частной информации соответствующего приписанного мобильного терминала. Настоящее изобретение также предусматривает сеть для синхронизации служебного ключа мобильного мультимедийного вещания с региональной M-CAS. Настоящее изобретение уменьшает количество данных для синхронизации M-CAS и производительность и надежность системы M-CAS. 3 н. и 12 з.п. ф-лы, 8 табл., 4 ил.

Изобретение относится к радиотехнике и передаче информации и может найти применение в системах связи для помехоустойчивой передачи цифровой информации, в том числе с высокой степенью конфиденциальности. Задачей настоящего изобретения является усовершенствование способа скрытой передачи информации с целью улучшения стабильности его работы и повышения качества передачи информации. Способ скрытой передачи информации, содержащей полезный цифровой сигнал, заключается в том, что полезный сигнал кодируют в двоичный код, формируют посредством первого генератора исходный детерминированный хаотический сигнал путем модуляции параметров хаотического сигнала полезным цифровым сигналом и передают полученный сигнал по каналу связи принимающей стороне, где его делят на два идентичных сигнала, которыми воздействуют на второй и третий генераторы. Второй и третий генераторы являются периодическими, идентичны друг другу по управляющим параметрам и выбраны с возможностью обеспечения режима обобщенной синхронизации с первым генератором. Снятые с выходов указанных второго и третьего генераторов периодические сигналы подают на вычитающее устройство и при наблюдении или отсутствии колебаний определяют наличие полезного цифрового сигнала, представленного в виде двоичного кода. Сформированный первым генератором детерминированный хаотический сигнал перед передачей по каналу связи суммируют с шумовым сигналом, производимым генератором шума. Характеристики генератора шума модулируются цифровым или аналоговым сигналом, содержащим ложное, несущественное или открытое информационное сообщение. 2 з.п. ф-лы, 2 ил.

Изобретение относится к системам технических средств защиты авторских прав. Технический результат заключается в уменьшении вероятности несанкционированного доступа к обновлениям программ. Определяют период времени, в который действительно разрешение доступа к сервису, в соответствии с сообщением о разрешении доступа с зависящей от сервиса идентификацией пользователя. Деактивируют разрешение. Разрешают доступ к сервису с использованием прежней зависящей от сервиса идентификации пользователя для продления или реактивации, когда с момента последнего временного интервала, в течение которого был открыт доступ к сервису при помощи разрешения доступа к сервису, уже прошел заданный промежуток времени, в котором осуществляется отсчет истекшего времени и запрет продления или возобновления доступа с применением уже задействовавшегося идентификатора пользователя, относящегося к определенному сервису, при достижении или превышении использованным временем заданного предела действия авторизации. 6 н. и 26 з.п. ф-лы, 11 ил.

Наверх