ГОСТ Р 57450-2017/IEC/TS 62224:2013. Национальный стандарт Российской Федерации. Серверные домашние системы мультимедиа. Концептуальная модель цифрового управления правами

6 Требования

 

6.1 Модель лицензионного обслуживания

 

6.1.1 Общие положения

К модели лицензионного обслуживания установлены следующие функциональные требования, представленные на рисунке 1:

a) контент шифруют и распространяют любым способом;

b) информация о лицензионных операциях включает ключи к контенту и условия доступа (AC);

c) единожды созданный держателем прав зашифрованный контент и защищенную лицензию дешифруют только в TREM (устойчивом к вмешательству модуле принудительного применения права);

 

 

AC: Условие доступа (условие использования) Количество промежуточных TREM может быть 0 или более

 

 

 

 

AC: Условие доступа (условие использования) Количество промежуточных TREM может быть 0 или более

 

Рисунок 1 - Модель лицензионного обслуживания

для рассмотрения угроз

 

d) информацию о лицензионных операциях защищают путем шифрования вне TREM, и ее следует передавать среди них в соответствии с условиями доступа;

e) TREM, издающий и передающий лицензию, называют исходным TREM, а TREM, получающий и передающий лицензию, - TREM назначения;

f) TREM обрабатывает запрос пользователя в соответствии с условиями доступа, указанными в лицензии;

g) входной TREM (см. 3.12), находящийся в таком сервере, как сервер "управления/распределения контента", может принимать данные простого контента и информацию о простой лицензии и создавать зашифрованный контент и информацию о защищенной лицензии, действуя в качестве исходного TREM;

h) промежуточный TREM (см. 3.22) в системе промежуточной работы с контентом/лицензией действует и как исходный TREM, и как TREM назначения; и

i) TREM декодера (см. 3.8), например в системе воспроизведения, может получать лицензию от другого TREM и производить дешифровку зашифрованных контентов в соответствии с условиями доступа, включенными в лицензию.

6.1.2 Угрозы и контрмеры

6.1.2.1 Общие положения

В таблице 3 приведены угрозы, существующие в среде лицензионного обслуживания, которые представлены в 6.1, и меры, применяемые в отношении каждой угрозы.

 

Таблица 3

 

Угрозы и контрмеры в модели лицензионного обслуживания

 

Субъект	Угроза (попытка нарушения защиты)		Контрмеры
Пользователь TREM и пользователь сети	Разбор-анализ TREM		a) Изготовление TREM как TRM
	Камуфляж (дезориентация)	Камуфляж TREM назначения. Атака методом записи и повторной передачи блоков шифрованного текста (камуфляж исходного TREM)	b) Шифрование с сеансовым ключом, используемым совместно, после взаимного признания подлинности по сертификатам TREM назначения и исходного TREM
		Камуфляж отключения сеанса транзакции лицензии	c) Сравнение регистрации в каждом TREM
	Утечка скрытного ключа для CA или TREM		d) Выдача CRL	Обновление ключа
Изготовитель TREM	Незаконное изготовление			Прекращение действия взломанного или незаконного TREM
	Утечка информации о ключе

 

6.1.2.2 Изготовление TREM в качестве TRM

Для того чтобы уберечь пользователя контента от взлома TREM и похищения из него секретных ключей, TREM должен быть TRM (модулем, устойчивым к вмешательству).

6.1.2.3 Шифрование с сеансовым ключом

В услуге распространения лицензий персонация (выдача себя за другое лицо) TREM, например атака методом записи и повторной передачи блоков шифрованного текста путем дезориентации TREM отправителя лицензии, вызывает незаконное неограниченное копирование контента. Поэтому, чтобы уберечь кого-либо от разработки модуля, персонирующего исходный TREM (отправитель) или TREM назначения (получатель), платная лицензия должна быть зашифрована с сеансовым ключом, используемым совместно после взаимной аутентификации TREM назначения и исходного TREM с помощью открытых ключей TREM при определении вмешательства в сообщение SLTP.

6.1.2.4 Сравнение регистраций

Необходимо, чтобы журналы транзакций лицензий хранились безопасно в TREM. Когда сеанс по трансферу/передаче лицензии отключается и для отсылки лицензии необходимо вновь восстановить сеанс, журнал TREM назначения должен скрытно быть передан в исходный TREM для сравнения журналов исходного TREM и TREM назначения с целью подтверждения, была ли получена лицензия TREM назначения или нет. В ином случае кто-либо может закамуфлировать несанкционированную копию лицензии с восстановлением сеанса.

Существует много возможностей неожиданных прерываний, которые могут происходить в процессе покупки лицензий через сети связи. Это часто происходит в мобильных беспроводных сетях. Если никаких мер против этого типа вмешательства не существует, дистрибьютор может только повторно выслать лицензии ложному TREM, закамуфлированному под законно отключенный TREM. Так как может происходить не только отключение/прерывание, но может быть так, что нет очевидности получения лицензии, исходный TREM должен, конечно, предоставить лицензию в место назначения в обмен на предоставление отчета/учета ресурсов или уменьшение прав.

6.1.2.5 Выдача CRL

Для прекращения использования незаконных или взломанных ключей и TREM можно использовать CRL (список отозванных/аннулированных сертификатов, указанный в Рекомендации X.509 МСЭ и в ИСО/МЭК 9594-8). Описание CRL приведено в документе RFC 3280.

6.1.3 Критерии оценки

Для реализации защитной среды безопасного контента необходимо определить критерии оценки безопасности для TREM. Критерии безопасности для защиты контента должны соответствовать ИСО/МЭК 15408-1 и включать следующее:

- функции безопасности для защиты контента, указанные в 6.1.2;

- указатели, информирующие о реализации должным образом необходимых алгоритмов криптографической системы/шифросистемы, хэш-функции и функции генерации случайных чисел;

- указатели, относящиеся к устойчивости TRM для TREM, например уровня безопасности TRM в соответствии с документом FIPS 140-2; и

- описание процесса проектирования, разработки и изготовления TREM.