-
Die
vorliegende Erfindung bezieht sich allgemein auf den Bereich lokaler
digitaler Netzwerke und insbesondere auf den Bereich digitaler Heimnetzwerke.
-
Solch
ein Netzwerk besteht aus einer bestimmten Anzahl von Vorrichtungen,
die durch einen digitalen Bus verbunden sind, z.B. einem Bus nach dem
IEEE 1394 Standard. Es umfasst zwei Haupttypen von Vorrichtungen:
- – Zugangsvorrichtungen
mit der Fähigkeit
Daten, die von außerhalb
des Netzwerkes kommen zu empfangen, und sie zu einem Punkt des Netzwerkes
zu übertragen,
mit dem die Vorrichtungen verbunden sind, und
- – Präsentationsvorrichtungen,
die darauf eingerichtet sind, die in dem Netzwerk fließenden Daten
zu empfangen, um sie an einem anderen Punkt im Netzwerk mit dem
diese Vorrichtungen verbunden sind zu übergeben. Dieser zweite Vorrichtungstyp
hat keine Verbindung mit Vorrichtungen außerhalb des Netzwerkes. Wenn
man daher das Beispiel eines digitalen Heimnetzwerkes nimmt, das
Audio und/oder Videodaten in verschiedene Räume eines Hauses übertragen
soll, sind die Zugangsvorrichtungen z.B. digitale Dekoder oder Zusatz-Boxen
(set-top), die Programme von außerhalb
des Netzwerkes empfangen, über einen
Satelliten oder über
eine Kabelverbindung oder über
andere Lesegeräte
von optischen Platten, die über
das Netzwerk (Audio und/oder Video) Daten in digitaler Form senden,
die von einer Platte gelesen wurden (in diesem Falle enthält die Platte
Daten, die von außerhalb
des Netzwerkes stammen). Die Präsentationsvorrichtungen
sind z.B. Fernsehempfänger,
die es ermöglichen
Videoprogramme zu betrachten, die vom Netz empfangen wurden oder,
allgemeiner, jeder Gerätetyp,
der in der Lage ist die empfangene digitale Information in ein analoges
Signal so umzuwandeln, wie dieses Signal zu einem Endbenutzer übermittelt
wird.
-
Ein
Heimnetzwerk der Art, wie in dieser Beschreibung bereits erwähnt, umfasst
einen dritten Vorrichtungstyp, der keine Verbindung nach außerhalb
des Netzwerks hat, und der die Funktion hat, die Daten aufzuzeichnen,
die im Netzwerk fließen.
Beispiele für
diesen dritten Gerätetyp
können
besonders digitale Videorekorder oder Geräte zur Aufzeichnung auf optischen
Platten vom Typ DVD (Die Kurzbezeichnung "DVD" steht
für "Digital Versatile
Disk") sein.
-
Es
sollte angemerkt werden, dass ein und derselbe Gerätetyp zu
zwei oder sogar drei verschiedenen Kategorien von Vorrichtungen,
die oben erwähnt
wurden, gehören
kann. Z.B. kann ein Gerät
zur Aufzeichnung auf optischen Platten könnte auch geeignet sein, kommerzielle
bespielte Platten zu lesen und somit gleichzeitig zu der ersten
und zu der dritten oben erwähnten
Kategorien gehören.
-
Wenn
man die Sichtweise der Lieferanten der Inhalte, die die Daten liefern,
die von außerhalb des
lokalen Netzwerkes stammen, in Betracht zieht, besonders Dienstleister,
die Bezahl-Fernsehprogramme liefern oder z.B. andere Herausgeber
optischer Platten, ist es erforderlich, diese gesendeten Daten vor
Kopieren zu schützen,
und davor, dass sie einfach von einem lokalen Netzwerk in das andere fließen können (z.B.
dadurch, dass sie auf eine optische Platte oder jedes andere Aufzeichnungsmedium
kopiert werden).
-
Um
das zu erreichen, ist es bekannte Praxis, die Daten durch ihre Verschlüsselung
in geheimer Form zu übertragen.
Dies geschieht mit Hilfe von Schlüsseln, die geheime Algorithmen
benutzen, die den Vorrichtungen, die zum Empfang dieser Daten autorisiert
sind, vorher bekannt sind, oder durch andere, die entsprechend besonders
sicherer Protokolle zwischen dem Inhaltelieferanten und diesen Vorrichtungen
ausgetauscht werden. Dokument
EP 0 382 296 A1 veröffentlicht in dieser Beziehung
ein System für
Rundfunkübertragung
von Audio- und oder Videoinformation in verschlüsselter Form. Diese verschlüsselte Information
wird von einer oder mehr Empfänger-Unterstationen
empfangen, die in der Lage sind, die empfangene Information zu entschlüsseln, indem
sie Dekodierungsschlüssel,
die von einer oder mehr Dekodierungsunterstationen nach Überprüfung von
einigen Zugangsbedingungen geliefert werden.
-
Wenn
man jetzt die Sichtweise eines Benutzers, der ein digitales Heim-Netzwerk
besitzt, betrachtet, ist es wünschenswert,
dass diese Daten zu allen anderen Vorrichtungen des Netzwerkes übertragen
werden können,
wenn eine der Vorrichtungen autorisiert ist, Daten eines Inhaltlieferanten
zu empfangen. Folglich wird ein Benutzer, der Abonnent eines Bezahlfernsehdienstes
ist und Programme (verschlüsselt übertragen)
auf einer set-top-box
(autorisiert, sie zu entschlüsseln)
in seinem Wohnzimmer empfängt,
wird wünschen,
die Möglichkeit
zu haben, diese Programme z.B. auf einem Fernsehgerät in seinem
Schlafzimmer zu sehen. Darüber
hinaus ist der Benutzer daran interessiert, empfangene Programme
aufzuzeichnen und diese sich später
auf verschiedenen Vorrichtungen des Netzwerkes anzusehen, sogar
dann, wenn er nicht mehr Abonnent des Bezahlfernsehdienstes ist.
-
Um
die Wünsche
der Inhaltlieferanten und auch der Benutzer zu berücksichtigen,
sollte eine Möglichkeit
zur Verfügung
gestellt werden, so dass Daten, die von einem lokalen digitalen
Netzwerk empfangen werden, frei zwischen den verschiedenen Vorrichtungen
des Netzwerkes fließen
können, während ihr
Fluss von einem lokalen Netzwerk in ein anderes unterbunden wird.
-
Dies
kann mit einem lokalen digitalen Netzwerk, im Besonderen einem digitalen
Heimnetzwerk, dadurch erreicht werden, dass es mindestens eine Zugangsvorrichtung
umfasst, die fähig
ist, von außerhalb
des Netzwerkes kommende Daten zu empfangen und sie an einen Punkt
des Netzwerkes zu übertragen;
und mindestens eine Präsentationsvorrichtung,
die darauf eingerichtet ist, im Netzwerk fließende Daten zu empfangen und
dann an einen Punkt des Netzwerkes zu übergeben, in der die Daten
so angepasst werden, dass sie nur in verschlüsselter Form fließen. Alle
die Vorrichtungen des Netzwerkes benutzen für die Ver- und Entschlüsselung
einen einzigen netzwerkspezifischen Schlüssel: den lokalen Schlüssel des
Netzwerkes.
-
Da
jedes lokale Netzwerk seinen eigenen lokalen Schlüssel besitzt,
der sich von dem der anderen lokalen Netzwerke unterscheidet, wird
jede in dieses Netzwerk eingehende Information in gleicher Weise
von allen Vorrichtungen des Netzwerkes lesbar sein, aber wird nicht
kopierbar sein, um in einem anderen lokalen Netzwerk gelesen zu
werden. Genauer gesagt wird die Information in ihrer verschlüsselten
Form kopierbar sein, aber es wird nicht möglich sein, sie in einem lokalen
Netzwerk wiederzugeben, das sich von dem unterscheidet, von dem
sie kopiert wurde. Folglich erfüllt
das hier beschriebene lokale digitale Netzwerk die Wünsche der
Inhaltlieferanten und auch des Benutzers.
-
Die
Erfindung konzentriert sich ganz besonders auf eine Präsentationsvorrichtung,
die darauf angepasst ist, um mit einem solchem lokalen Netzwerk
verbunden zu werden und wie sicherzustellen ist, dass solch eine
Vorrichtung den richtigen Schlüssel
enthält,
um die im Netzwerk verschlüsselten
Daten zu dekodieren.
-
Dazu
schlägt
die Erfindung eine Präsentationsvorrichtung
vor, darauf angepasst, mit einem lokalen digitalen Netzwerk verbunden
zu werden, um Daten die im Netzwerk fließen zu empfangen und diese
Daten in einer Zugangsvorrichtung, die mit dem Netzwerk verbunden
ist, zu verschlüsseln,
wobei diese Präsentationsvorrichtung
einen Statusindikator enthält,
der anzeigt, ob diese Präsentationsvorrichtung
einen netzwerkspezifischen Entschlüsselungsschlüssel enthält, um die
empfangenen Daten zu entschlüsseln
und ob diese Präsentationsvorrichtung autorisiert
ist, den Entschlüsselungsschlüssel zu
jeder neuen Präsentationsvorrichtung
zu übertragen, die
geeignet ist, mit dem Netzwerk verbunden zu werden.
-
Eine
Präsentationsvorrichtung
nach dieser Erfindung kann darüber
hinaus ein oder mehr der folgenden Merkmale zeigen:
- – einen
ersten Status der Präsentationsvorrichtung,
der Neustatus (Virgin), der anzeigt, dass die Präsentationsvorrichtung erstmalig
mit einem Netzwerk verbunden wird und keinen netzwerkspezifischen
Entschlüsselungsschlüssel enthält;
- – einen
zweiten Status der Präsentationsvorrichtung,
der Erzeugerstatus (Genitor), der anzeigt, dass die Präsentationsvorrichtung
einen netzwerkspezifischen Entschlüsselungsschlüssel enthält und autorisiert
ist, diesen Schlüssel
zu jeder neuen Präsentationsvorrichtung,
die für
eine Verbindung mit dem Netzwerk geeignet ist, zu übertragen;
- – einen
dritten Status der Präsentationsvorrichtung,
der Sterilstatus (sterile), der anzeigt, dass die Präsentationsvorrichtung
den netzwerkspezifischen Entschlüsselungs-Schlüssel enthält und nicht
autorisiert ist, diesen Schlüssel
zu jeder neuen Präsentationsvorrichtung
die für
einen Anschluss an das Netzwerk geeignet, ist zu übertragen
- – eine
Präsentationsvorrichtung
ist eingerichtet, nur folgende Statusänderungen durchzulassen: von
dem Neustatus in den Genitorstatus; oder von dem Genitorstatus in
den Sterilstatus; oder von dem Neustatus in den Sterilstatus;
- – wenn
diese Vorrichtung in dem Genitorstatus ist, dann ist sie die einzige
mit dem Netzwerk verbundene Präsentationsvorrichtung,
die in dem Genitorstatus ist;
- – der
Statusindikator ist in einer Smartcard (Speicherkarte) enthalten,
die in diese Präsentationsvorrichtung
eingesetzt werden kann.
-
Gemäß einer
besonderen Schaltungsausführung,
in einem besonderen Fall, wird eine einzelne Präsentationsvorrichtung des Netzwerkes
autorisiert, den lokalen vertraulichen Schlüssel zu einer neuen Präsentationsvorrichtung,
die für
den Anschluss an das Netzwerk geeignet ist, zu übertragen: die Präsentationsvorrichtung,
die sich im Genitorstatus befindet. Nachfolgend wird diese Vorrichtung
als der Genitor des Netzwerkes bezeichnet.
-
Wenn
also dieser Genitor aus dem lokalen Netzwerk entfernt wird, besonders
um ein lokales Raub-Netzwerk herzustellen, das denselben lokalen Schlüssel wie
das ursprüngliche
Netzwerk besitzt, kann sich das letztere nicht mehr ändern, da
keine Vorrichtung des ursprünglichen
Netzwerkes weiter in der Lage ist, den lokalen vertraulichen Schlüssel des Netzwerkes
an eine neue, zum Anschluss an das ursprüngliche Netzwerk geeignete
Präsentationsvorrichtung,
zu übertragen.
-
Nach
einem anderen Aspekt der Erfindung kann, in einem gegebenen Augenblick,
eine Präsentationsvorrichtung
sich nur in einem der folgenden Zustände befinden: dem Neustatus,
dem Genitorstatus oder dem Sterilstatus.
-
Nach
einer speziellen Schaltungsausführung,
in einem besonderen Fall, ist der Genitor des Netzwerkes die Präsentationsvorrichtung,
die zuletzt mit dem Netzwerk verbunden wurde. Folglich wird die Bezeichnung "Genitor" des Netzwerkes auf
jedes neue Gerät,
das mit dem Netzwerk verbunden wird, übertragen. Dieses verhindert,
dass ein Raubkopierer in der Lage ist, beginnend von einer einzelnen Präsentationsvorrichtung,
vielfache lokale Netzwerke einzurichten, die alle dieselben lokalen
Schlüssel
haben.
-
Nach
einer besonderen Schaltungsausführung:
- – wenn
die Präsentationsvorrichtung
in dem Neuzustand ist, besitzt sie ihr eigenes Paar von öffentlichen
und privaten Schlüsseln
eines Netzwerkes und ist autorisiert das Paar lokaler Schlüssel eines
Netzwerkes zu empfangen, auf das es zur Verbindung eingestellt ist,
und so an Stelle ihres eigenen Paares von Schlüsseln, die lokalen Schlüssel zu
speichern;
- – wenn
die Präsentationsvorrichtung
in dem Sterilstatus ist, ist sie nicht mehr autorisiert, ein Paar lokaler
Schlüssel
des Netzwerkes zu empfangen, an das sie zur Verbindung angepasst
ist;
- – Andere
Merkmale und Vorteile der Erfindung werden beim Lesen der folgenden
Beschreibung einer besonderen, nicht limitierenden Schaltungsausführung der
Erfindung, erkennbar, und die sich auf die beiliegenden Zeichnungen
bezieht, in denen:
-
1 ein
lokales digitales, der Erfindung entsprechendes, Netzwerk darstellt;
-
2 einen
Ablauf zur Erstellung eines solchen digitalen Netzwerkes nach 1 zeigt;
und
-
3 einen
Ablauf für
den Anschluss einer neuen Präsentationsvorrichtung
an ein lokales digitales Netzwerk zeigt, das z.B. entsprechend dem
Ablauf der 2 erstellt wurde.
-
In
den FIGs sind nur die Elemente dargestellt worden, die für das Verständnis der
Erfindung sehr wichtig sind, und der besonderen Schaltungsausführung, die
beschrieben wird.
-
In 1 dargestellt
ist ein digitales Heimnetzwerk, das eine Zugangsvorrichtung 1,
zwei Präsentationsvorrichtungen 2 und 3 als
auch einen digitalen Videorekorder 4, allgemein als DVCR
bezeichnet (die Abkürzung
DVCR bedeutet "Digital
Video Cassette Recorder"),
umfasst. Die Zusammenstellung der Geräte 1, 2, 3 und 4 wird
mit einem im Hause befindlichen digitalen Bus B verbunden, der z.B.
ein Bus nach IEEE 1394 ist.
-
Die
Zugangsvorrichtung 1 umfasst einen digitalen Dekoder 10,
der mit einem Smartcard Lesegerät
ausgerüstet
und mit einer Smartcard 11 ausgestattet ist. Der digitale
Dekoder wird entweder mit einer Satellitenantenne oder mit einem
Kabelnetzwerk verbunden, um damit Videoprogramme eines Dienstleisters
zu empfangen. Diese Programme werden in einem Datenstrom F z.B.
im MPEG-2 Format empfangen. In bekannter Weise werden sie in verschlüsselter
Form übertragen,
indem der Inhalt durch Kontrollworte CW (control words) verschlüsselt wird.
Die Kontrollworte selbst werden im Datenstrom F in verschlüsselter
Form übertragen
und benutzen einen Schlüssel
K, der einem gegebenen Verschlüsselungs-Algorithmus in einer
Weise entspricht, dass sie während
der Übertragung
geheim bleiben.
-
Also
werden nur die von dem Dienstleister autorisierten Benutzer in die
Lage versetzt, die übertragenen
Daten zu entschlüsseln
(z.B. gegen Bezahlung eines Abonnements). Um das zu tun, liefert
der Dienstleister den autorisierten Benutzern den Schlüssel K,
der dazu dient die Kontrollwörter
CW zu entschlüsseln.
Sehr oft ist die Autorisierung, Programme zu empfangen, zeitlich
begrenzt so lange wie der Benutzer sein Abonnement bezahlt. Dafür wird der
Schlüssel
K regelmäßig durch
den Dienstleister verändert.
-
Durch
die Vorteile der Erfindung, was weiter unten zu erkennen sein wird,
wird der Benutzer nichtsdestoweniger in der Lage sein, die gesendeten Programme,
während
er Abonnent ist, aufzuzeichnen, und sie so oft er wünscht in
seinem eigenen Netzwerk abzuspielen sogar dann, wenn er kein Abonnent
mehr ist. Anderseits wird es nur möglich sein, die in verschlüsselter
Form aufgezeichneten Daten in dem Netzwerk des Benutzers abzuspielen, der
sie aufgezeichnet hat.
-
In 1 wird
das Netzwerk in dem Status dargestellt, den es einnimmt, wenn alle
die Geräte
in Übereinstimmung
mit den nachfolgend in Verbindung mit den 2 und 3 beschriebenen
Abläufen angeschlossen
wurden.
-
Wir
müssen
jetzt beschreiben, wie die in dem Strom F übertragenen und vom Dekoder 10 empfangenen
Daten verarbeitet werden. Wie dem Fachmann bekannt ist, enthält der Datenstrom
im Fall der Datenübertragung
in dem MPEG-2 Format eine Folge von Videodaten-Paketen, von Audiodaten-Paketen
und Verwaltungsdaten-Paketen. Die Verwaltungsdaten-Pakete umfassen
insbesondere ECM (die Abkürzung "ECM" steht für "Entitlement Control Message"/Berechtigungssteuer-Information)genannte
Steuerinformationen, in denen in unter Benutzung des Schlüssels K
verschlüsselter
Form die Kontrollwörter
CW übertragen
werden, die zur Verschlüsselung
der Daten in den Video- und Audiodaten-Paketen dienten.
-
Dieser
Datenstrom F wird zu der Smartcard 11 übertragen, um darin verarbeitet
zu werden. Er wird von einem Demultiplexerkreis (DEMUX) 12 empfangen,
der einerseits die ECMs an einen Zugangssteuerschaltkreis (CA=access
control circuit) 13 überträgt, und
der andererseits die mit DE bezeichneten Pakete der verschlüsselten
Video- und Audiodaten an einen Multiplexerkreis (MUX) 15 überträgt. Die
Schaltung CA enthält
den Schlüssel
K und kann also die Kontrollwörter
CW entschlüsseln,
die in den ECMs enthalten sind. Die Schaltung CA überträgt diese
Kontrollwörter
CW an einen Umsetzerschaltkreis 14, der gemäß der Erfindung,
den lokalen öffentlichen
Schlüssel
KPUB.LOC enthält. Der Umsetzer 14 benutzt
den Schlüssel
KPUB.LOC, um die Kontrollwörter CW
zu verschlüsseln
und überträgt diese
Kontrollwörter,
die unter Verwendung des lokalen öffentlichen Schlüssels verschlüsselt wurden,
an den Multiplexerkreis 15 in Steuerinformationen, die
LECM bezeichnet werden. Diese Informationen LECM haben dieselbe Funktion
wie die Informationen ECM des anfänglichen Datenstroms F, nämlich die Übertragung
der Kontrollwörter
CW, jedoch sind in den LECM Informationen die Kontrollwörter unter
Verwendung des lokalen öffentlichen
Schlüssels
KPUB.LOC verschlüsselt, an Stelle einer Verschlüsselung,
die den Schlüssel
des Dienstleisters verwendet.
-
Der
Multiplexerkreis 15 überträgt dann
die Datenpakete DE und die umgesetzten Steuerinformationen LECM
in einen Datenstrom F',
der von dem Dekoder 10 empfangen wird. Es ist dieser Datenstrom
F', der dann im
Heim-Bus B herum fließt,
um so entweder von einer der Übergabevorrichtungen 2 oder 3 empfangen
zu werden, oder durch den digitalen Videorekorder, um aufgezeichnet
zu werden. Gemäß der Erfindung
fließen
daher die Daten in dem Bus B immer in verschlüsselter Form, und nur die Geräte, die
den privaten lokalen Schlüssel
KPRI.LOC enthalten, sind in der Lage die
Kontrollwörter
CW und dann die Daten DE zu entschlüsseln. Daher verhindert dieses
das Weitersenden jeder in dem Heimnetzwerk der 1 gemachten
Kopie zu anderen lokalen Netzwerken.
-
Im
Beispiel von 1 sind die Schaltkreise 12 bis 15 in
die Smartcard 11 integriert, aber in einer Aufbauvariante
ist es möglich,
die Schaltkreise DEMUX und MUX in dem Dekoder 10 zu platzieren,
und nur die Schaltungen 13 und 14 in die Smartcard
integriert zu lassen. Besonders, weil die Schaltung CA 13 und
der Umsetzer 14 die Ver- und Entschlüsselungsschlüssel enthalten,
müssen
sie in einem sicheren Medium, wie eine Smartcard, integriert werden.
-
Die
Präsentationsvorrichtung 2 umfasst
einen digitalen Fernsehempfänger
(DTV1) 20, der mit einem Smartcard Lesegerät ausgerüstet ist,
das mit einer Smartcard 21 bestückt ist. Der Empfänger 20 empfängt über den
Bus B den Datenstrom F',
der entweder von dem Dekoder 10 oder dem digitalen Videorekorder 4 kommt.
Der Datenstrom F' wird
zu der Smartcard 21 gesendet. Er wird durch einen Demultiplexerkreis
(DEMUX) 22 empfangen, der einerseits verschlüsselte Video-
und Audiodaten-Pakete DE zu einer Entschlüsselungsschaltung (DES.) 24 und
andererseits die umgesetzten Steuerinformationen LECM an einen Terminalbaustein 23 überträgt. Der Terminalbaustein 23 enthält das Paar öffentlicher (KPUB.LOC) und privater (KPRI.LOC)
Schlüssel
des Netzwerkes. Da die Steuerinformationen LECM die unter Verwendung
des lokalen öffentlichen
Schlüssels KPUB.LOC des Netzwerkes verschlüsselten
Kontrollwörter
CW enthalten, kann der Terminalbaustein unter Verwendung des lokalen
privaten Schlüssels
KPRI.LOC diese Kontrollwörter entschlüsseln, und
sie in Klarschrift erhalten. Diese Kontrollwörter CW werden dann an den
Descrambler-Schaltkreis 24 weitergeleitet, der sie zu der
Entschlüsselung
der Datenpakete DE benutzt und um an den Fernsehempfänger 20 unverschlüsselte Datenpakete
DC auszugeben.
-
Um
zum Schluss die Übergabe
der Klar-Daten DC zwischen Smartcard 21 und den Schaltkreisen
für den
Bildschirm des Fernsehempfängers 20 zu sichern,
wird das Zwischenglied I zwischen der Smartcard und dessen Lesegerät des Empfängers 20 z.B.
nach der Amerikanischen Norm NRSS (NRSS ist Akronym für "National Renewable
Security Standard")sicher
gemacht.
-
Die
zweite Präsentationsvorrichtung 3,
die einen digitalen Fernsehempfänger
(DTV2) umfasst, der mit einem Smartcard Lesegerät ausgerüstet ist, das mit einer Smartcard 31 ausgerüstet ist,
arbeitet in genau derselben Weise wie die Präsentationsvorrichtung 2 und
wird nicht weiter beschrieben.
-
Dank
der Eigenschaften des gerade beschriebenen Netzwerkes wird der von
dem Inhaltlieferanten herkommende Datenstrom F durch die Zugangsvorrichtung,
die die Daten empfängt,
auf Grund des vorteilhaften lokalen öffentlichen Schlüssels KPUB.LOC des Netzwerkes in einen Datenstrom
F' umgewandelt.
Dieser Datenstrom F' enthält so ein
lokales netzwerkspezifisches Format, dessen Daten von anderen als
den Präsentationsvorrichtungen
des lokalen Netzwerkes, die alle den lokalen privaten Schlüssel enthalten,
nicht entschlüsselt
werden können.
-
Wir
müssen
jetzt beschreiben, wie das lokale digitale Netzwerk der 1 eingerichtet
wird und wie die Verbindung neuer Geräte mit dem Netzwerk gehandhabt
wird, um zu garantieren, dass alle die Geräte des Netzwerkes an dem einzigen
lokalen Paar von Schlüsseln
teilhaben.
-
In 2 wird
der Ablauf zur Einrichtung des in 1 dargestellten
Netzwerkes in einem Schaubild gezeigt.
-
Um
ein digitales Netzwerk gemäß der Erfindung
einzurichten, ist es erforderlich, eine Zugangsvorrichtung und eine
Präsentationsvorrichtung
miteinander zu verbinden.
-
In 2 wird
angenommen, dass am Anfang das Netzwerk durch Verbindung der Zugangsvorrichtung 1 mit
der Präsentationsvorrichtung
durch den digitalen Bus B erstellt wird. Die verschiedenen Ablaufschritte
der Netzwerkerstellung sind entlang einer doppelten Zeitachse t
dargestellt, um die Austauschvorgänge zwischen den beiden Vorrichtungen
zu verdeutlichen.
-
Im
ersten Schritt 100 des Ablaufes, in dem die zwei Vorrichtungen
miteinander verbunden werden, enthält die Präsentationsvorrichtung ein Paar von öffentlichem
KPUB.LOC und privatem KPRI.LOC Schlüssel und
befindet gemäß Erfindung
im Neuzustand.
-
Vorzugsweise
wird der Status einer Vorrichtung durch einen Statusanzeiger IE
gespeichert, der ein 2-bit-Register ist, das sich in dem Terminalmodul 23 (1)
der Präsentationsvorrichtung
befindet. Üblicherweise
wird angenommen, dass, wenn die Vorrichtung im Neuzustand ist, der
Statusanzeiger IE gleich 00 ist; wenn die Vorrichtung in dem Genitorstatus
ist, ist IE = 01, und wenn die Vorrichtung in dem Sterilstatus ist,
ist IE = 10. Der Statusanzeiger IE ist in einem IC in einer Smartcard
enthalten, um Sicherheit gegen Manipulationen zu garantieren.
-
Wenn
eine Präsentationsvorrichtung
von einem Hersteller verkauft wird, muss sie geeignet sein, um an
jedes bestehende lokale digitale Netzwerk vom Typ dieser Erfindung
angeschlossen werden zu können.
Sie muss auch geeignet sein, um mit einer Zugangseinheit zur Erstellung
eines neuen Netzwerkes verbunden zu werden. Das ist der Grund, warum jede
Präsentatiosvorrichtung,
die gemäß der Erfindung
hergestellt wird, standardmäßig ein
Paar aus öffentlichen
und privaten Schlüsseln
enthält,
und dieses Schlüssel-Paar
einzig und unterschiedlich von einer Vorrichtung zu einer anderen
ist, um den Tatbestand zu garantieren, dass jedes lokale Netzwerk, das
gemäß dieser
Erfindung erzeugt wird, auch ein einzigartiges Paar von Schlüsseln besitzt.
Darüber hinaus
werden, um die Sicherheit des Austauschs zu gewährleisten, alle die benutzten
Paare von privaten/öffentlichen
Schlüsseln
zertifiziert, entsprechend einem Verfahren, das den einschlägigen Fachleuten bekannt
ist.
-
Anderseits
werden die Zugangsvorrichtungen hergestellt und verkauft, ohne dass
sie irgendeinen Ver- oder Entschlüsselungs-Schlüssel enthalten. Nichtsdestoweniger
enthalten sie bevorzugt einen Umsetzerschaltkreis (in einer Smartcard
enthalten) in Übereinstimmung
mit der Erfindung und wie vorher in Verbindung mit 1 beschrieben
wurde, der in der Lage ist, einen lokalen Schlüssel eines Netzwerkes zu speichern,
an das sie zum Anschluss geeignet sind.
-
Unter
Bezug wieder auf 2 besteht Schritt 101 des
Ablaufs für
die Präsentationsvorrichtung 2 aus
der Verteilung deren öffentlichen
Schlüssels KPUB2 über
den Bus B, der für
alle die Zugangsvorrichtungen bestimmt ist, die für die Verbindung
mit dem Bus B geeignet sind, in diesem Falle die Zugangsvorrichtung 1.
-
Schritt 102 besteht
für die
Zugangsvorrichtung 1 aus dem Empfang des öffentlichen
Schlüssels KPUB2 und dem Speichern dieses Schlüssels als
der neue öffentliche
Schlüssel
des Netzwerkes (KPUB.LOC = KPUB2).
-
In
Schritt 103 verteilt die Zugangsvorrichtung eine Änderung
des Statussignals, das für
die Präsentationsvorrichtung 2 bestimmt
ist, über
den Bus B. Dieser Schritt hat das Ziel, der Präsentationsvorrichtung anzuzeigen,
dass sie die erste ist, die mit dem Netzwerk verbunden wird, und
dass sie deshalb der Genitor des Netzwerkes werden muss, und das
bedeutet die einzige Präsentationsvorrichtung
des Netzwerkes, die autorisiert ist, ihren privaten Schlüssel KPRI.2 (der der lokale private Schlüssel KPRI.LOC wird) an jede neue Präsentationsvorrichtung,
die zur Verbindung mit Netzwerk geeignet ist, zu übertragen.
-
Daher
besteht Schritt 104 für
die Präsentationsvorrichtung 2 aus
dem Empfang des Wechsels des Statussignals und der Änderung
ihres Statusanzeigers in den Genitorstatus (IE = 01).
-
Am
Ende des Ablaufs hat man deshalb ein lokales digitales Netzwerk,
das in Übereinstimmung mit
der Erfindung einen einzigen lokalen Schlüssel KPUB.LOC (gleich
mit dem anfänglichen öffentlichen Schlüssel KPUB2 der Präsentationsvorrichtung 2)
hat, der beiden Vorrichtungen des Netzwerkes bekannt ist, und einen
einzigen lokalen privaten Schlüssel KPRI.LOC hat, der nur der Präsentationsvorrichtung 2 bekannt
ist. Das Netzwerk umfasst in Übereinstimmung
mit der Erfindung auch eine Genitor-Präsentationsvorrichtung, die
in der Lage ist, den Schlüssel durch
Zulassung der Verbindung von neuen Präsentationsvorrichtungen zu ändern.
-
Der
Ablauf zum Anschluss einer neuen Präsentationsvorrichtung, in diesem
Falle der Präsentationsvorrichtung 3,
an das Netzwerk, das in Übereinstimmung
mit dem Ablauf der 2 erstellt wurde, wird jetzt
in Verbindung mit 3 beschrieben.
-
In
dem ersten Schritt 200, 200', 200'' des
Ablaufs, der aus der Verbindung der Präsentationsvorrichtung 3 mit
dem vorhandenen lokalen Netzwerk durch den digitalen Bus B besteht,
enthält
die Präsentationsvorrichtung 3 ihr
eigenes Paar öffentlicher KPUB3 und privater KPRI3 Schlüssel und
befindet sich in dem Neustatus (IE = 00). Die Zugangsvorrichtung 1 und
die Präsentationsvorrichtung 2 befinden
sich beziehungsweise in demselben Status wie am Ende des Ablaufs
der 2., das heißt
die Zugangsvorrichtung 1 enthält den öffentlichen Schlüssel des Netzwerkes
KPUB.LOC und die Präsentationsvorrichtung ist der
Genitor des Netzwerkes (IE = 01) und enthält das Paar lokaler Schlüssel (KPUB.LOC, KPRI.LOC) des
Netzwerkes.
-
Der
zweite Schritt 201 besteht für die Präsentationsvorrichtung 3 aus
der Verteilung seines öffentlichen
Schlüssels
KPUB3 über
den Bus B an alle die für
die Verbindung zum Bus B geeigneten Zugangsvorrichtungen, in diesem
Falle die Zugangsvorrichtung 1. Dieser Schritt ist derselbe
wie Schritt 101 (2) des Erstellungsablaufs.
-
Schritt 202 besteht
für die
Zugangsvorrichtung darin, den öffentlichen
Schlüssel
KPUB3 zu empfangen und zu prüfen ob sie
schon einen öffentlichen Schlüssel enthält oder
nicht (VERIF. PRESENCE KPUB.LOC)
-
Im
Falle einer positiven Prüfung,
die hier der Fall ist, besteht der nächste Schritt 3 für die Zugangsvorrichtung 1 aus
der Verteilung des lokalen Schlüssels
KPUB.LOC an die neue Präsentationsvorrichtung 3 über den
Bus B.
-
In
Schritt 204 empfängt
die Vorrichtung 3 den lokalen Schlüssel KPUB.LOC und
speichert ihn vorzugsweise in ihrem Terminalbaustein.
-
Der
nächste
Schritt 205 besteht für
die Präsentationsvorrichtung 3 aus
der Verteilung eines an alle Präsentationsvorrichtungen
des Netzwerkes gerichteten Signals über den Bus B in der Form einer Nachricht
(Genitor?), die die Genitorvorrichtung des Netzwerkes auffordert,
ihr zu antworten.
-
Im
Schritt 206 empfängt
die Genitorvorrichtung, in diesem Fall die Präsentationsvorrichtung 2, diese
Nachricht und ändert
ihren Status in den Sterilstatus (IE = 10), sobald eine zuverlässige Verbindung zwischen
den Präsentationsvorrichtungen 2 und 3 aufgebaut
worden ist.
-
Schritt 207 besteht
dann für
die Präsentationsvorrichtung 2 aus
der Verteilung des lokalen privaten Schlüssels (E (KPRI.LOC))
des Netzwerkes in verschlüsselter
Form, der von der Präsentationsvorrichtung 3 entschlüsselt werden
kann. Besonders kann diese gesicherte Übertragung des lokalen privaten Schlüssels zwischen
den Präsentationsvorrichtungen 2 und 3 unter
Verwendung des anfänglichen öffentlichen
Schlüssels
KPUB3 der Präsentationsvorrichtung 3 ausgeführt werden,
um den lokalen privaten Schlüssel
zu verschlüsseln,
da die Präsentationsvorrichtung 3 in
der Lage ist, diese Nachricht unter Verwendung ihres privaten Schlüssels KPRI3 zu dekodieren. Der Schlüssel KPUB3 wird z.B. während des Schrittes 205 an
die Präsentationsvorrichtung 2 übertragen.
-
In
Schritt 208 empfängt
und entschlüsselt
die Präsentationsvorrichtung 3 den
lokalen privaten Schlüssel
und speichert ihn vorzugsweise in ihrem Terminalmodul, der in die
Smartcard 31 (1) integriert ist.
-
Schritt 209 besteht
für die
Präsentationsvorrichtung 3 aus
der Verteilung eines Empfangsbestätigungssignals des lokalen
privaten Schlüssels
(Acknowledge-Receipt (KPRI.LOC)) an die
Präsentationsvorrichtung 2 über den
Bus B.
-
In
Schritt 210 empfängt
die Präsentationsvorrichtung 2 dieses
Empfangsbestätigungssignal und
verteilt als Antwort ein Signal zur Änderung des Status an die neue
Präsentationsvorrichtung 3,
und in Schritt 211 empfängt
sie dieses Signal und ändert ihren
Status (IE = 01), sodass sie der neue Genitor des Netzwerkes wird.
-
Da
die Präsentationsvorrichtung 2 von
da an sich in dem Sterilstatus befindet, ist sie nicht mehr autorisiert,
den lokalen öffentlichen
Schlüssel
des Netzwerkes an eine andere Präsentationsvorrichtung zu übertragen.
Dieses ermöglicht
es, diese Vorrichtung 2 vor der Entfernung aus dem Netzwerk
zu schützen,
um ein anderes lokales Raubnetzwerk zu erstellen, das dasselbe Paar
lokaler Schlüssel
wie das gerade beschriebene Netzwerk besitzt.
-
Am
Ende des Ablaufs gibt es daher zwei Präsentationsvorrichtungen 2 und 3 und
eine Zugangsvorrichtung, die mit dem lokalen Netzwerk verbunden sind.
Sie alle haben gemeinsam das lokale Schlüsselpaar des Netzwerkes KPUB.LOC, KPRI.LOC.
Es gibt immer einen einzigen Genitor des Netzwerkes, welches die
zuletzt an das Netzwerk angeschlossene Präsentationsvorrichtung ist.
-
Der
Anschluss einer neuen Zugangsvorrichtung an das lokale Netzwerk
ist für
diese viel einfacher, da jede dieser Erfindung entsprechende Zugangsvorrichtung,
ohne Schlüssel
verkauft wird. Es ist im Besonderen möglich sich vorzustellen, dass wenn
eine neue Zugangsvorrichtung an das Netzwerk angeschlossen wird,
sie eine Nachricht über den
Bus B austeilt, die den Empfang eines öffentlichen Schlüssels des
Netzwerkes anfordert. Es ist dann möglich, dafür zu sorgen, dass entweder
die erste Netzwerkvorrichtung, die diese Nachricht erhält oder
nur der Genitor als Antwort auf die Anforderung den lokalen öffentlichen
Schlüssel
an die neue Zugangsvorrichtung austeilt.