技術領域

本發明涉及跟蹤安全模塊的未授權使用，特別地，盡管不是必需地，涉及用來產生跟蹤數據以便跟蹤一群安全模塊中的欺詐(rogue)安全模塊的方法和系統，涉及一種基于跟蹤數據來跟蹤一群安全模塊中的欺詐安全模塊的方法，涉及一種事件產生器、一種有條件訪問數據發送器、一種事件檢測器、一種事件分析器以及一種安全模塊，它們用在使用這種方法的這種系統和計算機產品程序中，并且/或者與這種系統和計算機產品程序一起使用。

背景技術

用于數字視頻廣播(DVB)傳輸的有條件訪問系統是熟知的，并且廣泛地與付費電視服務結合使用。這樣的系統提供廣播流的安全傳輸，該廣播流包括對于數字接收器的一項或多項服務，該數字接收器例如包含在支持廣播服務的機頂盒或移動終端中。為了保護廣播服務不被未授權觀看，數據包在發送器側用隨機產生的加密密鑰進行加擾(加密)，該加密密鑰通常稱作控制字。可以通過定期改變控制字從而使控制字僅在一定時段(所謂的保密時段)內有效而提供進一步的安全性。在這種情況下，對于每個保密時段，應該向接收器側提供新的控制字。典型地，這些控制字使用所謂的權限控制消息(ECM)按加密形式傳輸到接收器。為了從ECM中檢索控制字，接收器設有安全模塊，例如智能卡或安全軟件模塊，該安全模塊包括用來解密ECM的安全密鑰。

盡管努力保護服務不被未授權觀看，但敵手可能能夠對安全模塊、接收器進行逆向工程或者監視通信接口以提取用于未授權控制字分發的信息。在這種情況下，運營商可以使用跟蹤方案來定位智能卡群中的受危害智能卡。跟蹤方法是已知的。例如，US?7,155,611描述了一種基于二叉搜索的跟蹤方法，其中，通過將不同密鑰發送到智能卡群中的不同組并監視由敵手產生的密鑰信息，可以反復地跟蹤未授權智能卡。

與現有技術相關的一個問題是：它依賴于在控制字的未授權再分發中使用單個欺詐智能卡的前提。然而，在實際中，敵手常常使用多個欺詐智能卡，以便將控制字提供給其訂閱者。例如，使用連接到多個欺詐智能卡的服務器可以重新分發控制字。這種重新分發服務器可以使用特定算法在不同的卡之間切換，從而基于二叉方案的已知跟蹤方法可能不再適用。解決這個問題的一種途徑可以是一種跟蹤方案，其中，基于加水印控制字可以識別智能卡，如在US?2000/0323949中描述的那樣。

然而，這樣的解決方案會要求對源于敵手的控制字流的檢查。典型地，這樣的控制字流是被保護的，從而在分析控制字之前可能需要逆向工程。此外，對這樣的控制字加水印可被容易地被敵手檢測到并且被避開。

WO2008/023023描述了另一種跟蹤方案，其中，控制字用標記進行標記，該標記與卡標識符直接有關。然而標記控制字將在服務的處理期間不利地影響合法訂閱者，并且將容易被敵手檢測到。所以，有在技術方面對于改進方法和系統的需要，這些方法和系統允許對參與未授權使用系統的安全模塊(如智能卡)的跟蹤和識別，而不會不利地影響合法訂閱者。

發明內容

本發明的一個目的是減少或消除與已知跟蹤方法相關的至少一個或多個缺陷。在第一方面，本發明可以涉及一種用來產生跟蹤數據(優選地為包括跟蹤數據的事件數據庫)來跟蹤一群安全模塊中的欺詐安全模塊的方法，其中所述欺詐安全模塊可被構造成將控制字未授權地提供給控制字共享網絡，其中所述方法可以包括：對于所選擇的群執行預定數量的跟蹤試驗，其中每個所述跟蹤試驗可以包括：將至少一個跟蹤事件消息發送到所選擇的群中的每個安全模塊，其中所述跟蹤事件消息中的事件信息被用來選擇所述群中的至少一部分所述安全模塊以產生跟蹤事件；響應于接收到所述至少一個跟蹤事件消息，跟蹤事件檢測器監視所述控制字共享網絡中的至少一個跟蹤事件的存在達到預定時間；以及將跟蹤數據存儲在事件數據庫中，所述跟蹤數據包括所述事件信息和指示是否檢測到跟蹤事件的事件觸發信息。

該方法允許基于在智能卡群的一部分中產生跟蹤事件，檢測這樣的跟蹤事件，以及隨后存儲與跟蹤事件相關的數據，來執行預定數量的跟蹤試驗。與已知跟蹤方案相比，該方法允許在智能卡群中識別多個欺詐智能卡，而不需要將特殊固件安裝在智能卡中。而且，該方法允許批處理。附費電視運營商可以在本地產生跟蹤數據，并且隨后將用于分析的這些跟蹤數據發送到另一方。

在一個實施例中，每個安全模塊可以與唯一標識符相關，優選地與隨機化唯一標識符相關。隨機性可以提供如下優點：標識符中的信息在智能卡群上被均等地分布。