传输和实现访问接收器功能的控制指令的装置和方法

专利名称：传输和实现访问接收器功能的控制指令的装置和方法
技术领域：
本发明涉及传输和实现访问接收器功能的控制指令及相应的装置。
因此，这项技术能给一系列的接收器分配可变的权限，然后集中发送消息，特别是通过广播来发送。措辞“广播”指的是向一系列的终端传输相同的数据而不管是特指通过无线电广播，电缆或因特网。然后直接根据接收器的等级对信息分派来的操作进行过滤，从而能够估计出(比如根据订阅的广播节目或视听节目的独有的类型)接收器的类别而免去了在发送信息时对此的担心。
白名单或黑名单的另一个优点是它能降低通过网络危及接收器正确功能的欺骗性动作的风险。实际上，能够仅仅授权访问当前接收器功能所请求的功能而将其它有关功能的访问关在外面。
在下文中为了简单化，措辞“允许名单”表示白名单或黑名单，黑名单中的访问禁止被认为隐含限定允许(补充性授权操作)。
特别地，允许表用来向互动电视分派服务。
然而，即使永久存储器中的允许表能满足接收器，也希望和经常地必须修改这些表。为了避免人员的奔波和手工操作，因此，通常要使之能进行远程更新。一旦接收器有选择性地接收了对应于独特允许的多种类型的服务，这种更新模式实际上已经不可避免。然后通过分配新的允许表来完成修改，并通过消息传输网络有选择性地将之传出(通过局部识别符的形式)。
通过网络分派允许的缺陷是它们暴露在表被盗用的风险之中，同样也暴露在目的在于接收器的不可正常访问功能的远程控制的伪允许表的欺骗性后果之中。而且，每一次更新在接收端和发送端都需要一系列的人力操作，并且在某些环境中都要重复进行这些操作。
而且，关于可能的欺骗性行为，根据本发明的传输装置允许增强此类更新的安全性。
本发明还涉及实现能够修正与本发明的传输装置相配合的接收器内的允许的控制指令的装置。
尤其应用在互动电视领域中的本发明也分别涉及发送器和接收器，其包括本发明的实施装置以及方法，计算机程序和对应的消息。
因此，本发明的主题是访问至少一个接收器的功能的控制指令的传输装置。这种传输装置包括在要传输给接收器的消息中注册允许标识符的装置。
根据本发明，注册装置用来在服务声明消息中注册允许标识符。这些允许标识符包括一些指示器，每一个指示器都有从涉及访问接收器的至少一个功能的授权值和禁止值中选出的值。
措辞“服务声明消息”可以理解为在服务范围内向上游分派的消息，并发出涉及这个服务的一个或多个其它消息的后续分派的信息和指令。这里的其它消息是内容(“内容消息”)或直接触发指令(“触发器”)的载体。服务声明消息包括SAP格式(表示会话声明协议)的报头和SDP格式(表示会话描述协议)的有效负荷。
令人惊讶的是，在实际的服务声明消息中允许并不是以白名单和黑名单这样的形式集中分派的，而是以每个服务所涉及的内容而特别分派。由于它能够特别地，实时地适应每个服务，这个实施例提供了非常灵活的动作。而且，由于避免了分派实质上包含所有访问控制信息的表，所以它增加了可靠性。
在允许的一个有利的配置形式中，每一个服务声明消息包括变长的验证字段，在这个验证字段中注册允许标识符的注册装置。由于允许灵活地使用服务声明消息所提供的字段而没有必要添加特定的字段，所以本实施例通过它的简化而变得有益。
在允许的另一个有利的配置形式中，每一个服务声明包括有效负荷字段，和在这个有效负荷字段中注册允许标识符注册装置。这样在确定允许时能获得更大的灵活性。
如下文所阐明的一样，本发明的装置也允许增加安全性。在下文使用了如下的标志-“鉴别”，涉及在使用包含在消息中的并且在发送消息之前通过密钥所产生的数字签名的基础上，保证消息通过网络时的原始性和完整性的过程，-“加密处理”，用一个不能再像以前那样使用的不可懂的报文替代明文的过程，-“解密处理”，用通过将已加密的报文恢复为其原先格式而得到的明文替代已加密的报文的过程，-“加密”，用来从消息中或从部分的消息中确定密文的过程，该密文不是用来替代明文(加密)就是用来充当签名(鉴别)，- “解密”，至少能从密文中重建部分的明文的过程，不是用来证明包含在报文(鉴别)中的消息的原始性和完整性就是用来用该明文(解密)替代密文，- “安全”，为了鉴别或加密处理的目的而对消息或部分的消息进行加密的过程，-“识别”，使用接收到的消息中的密文通过其原始性和完整性(鉴别)或通过其内容(解密处理)来识别这个消息的过程，就鉴别而言，识别可以包括签名的解密或用于签名的部分消息的解密以与接收到的签名进行比较。
传输装置最好包括用来标记至少每一个所述的消息中包含允许标识符的部分的解密控制装置。
因此，能够鉴别声明消息的原始性和内容，甚至所涉及允许，从而可以减少相当的此类声明消息被截听和其中所包含的允许被篡改的风险。
更可取的是，声明消息的允许标识符不加密，以允许进行快速识别控制信息。这就更加有利于在消息中签署的数字签名中将它们考虑进去。
更可取的是，声明消息是ATVEF(先进电视发展论坛标准)服务和/或系统服务声明消息。
服务的每一个ATVEF声明消息后跟随至少一个HTTP(超文本传输协议方法)内容消息及其后的一个或多个服务触发器。服务的系统声明消息通常是专有的和多点传播的，其后跟随的是与该部分相对应的服务的二进制文件。有利的是后一种声明消息有一种与ATVEF的格式很相似的形式。从申请日期为2000年10月23日申请号为00402921.1的欧洲专利中将会发现一种与不是ATVEF声明消息的服务声明消息的使用的有关的详细描述。
根据允许的第一种形式，至少有一个允许标识符能自动访问调制解调器的功能，以初始化与服务操作者的在线服务器的链接。该服务操作者很有利地与传输装置相连。
根据允许的第二种形式，至少有一个允许标识符适于使用安全链接到在线服务器的功能。
根据允许的第三种形式，至少有一个允许标识符用来自动访问至少一个存储空间，以永久地从该存储空间中读出数据或向该存储空间中写入数据的功能。存储空间或空间最好是硬盘，闪存和/或芯片卡。
根据允许的第四种形式，至少有一个允许标识符用来访问接收器的调谐器的功能，以更改当前台。
允许的各种格式有利地与声明消息组合。
本发明还涉及消息发送器，其特征在于包括根据本发明的任何一个实施例的传输装置。
同样涉及访问接收器的功能的控制指令的实现装置。该实现装置包括从接收到的消息中读取允许标识符的装置。
根据本发明，为服务声明消息中的允许标识符提供读出装置，这些标识符包括一些指示器，每一个指示器都有一个从涉及访问接收器的至少一个功能的授权值和禁止值中选出的值。而且，根据本发明的任何一个实施例，更可取的是提供了用来接收传输控制指令装置传出的控制指令的指令实现装置。
本发明还涉及消息接收器，其特征在于包括根据本发明的实现装置。根据本发明，更可取的是提供了用来接收源自消息发送器的消息的接收器。
此外，本发明的主题是计算机程序产品。根据本发明及其任何一个实施例，后者包括为控制指令而实现传输装置或实现装置的功能。
措辞“计算机程序产品”可以理解为意指一种不仅包括诸如磁盘或磁带之类的包含了程序的存储空间，而且包括诸如电信号或光信号的信号的计算机程序介质。
本发明还涉及要通过网络被分派给至少一个接收器的包括至少一个允许标识符的消息。
根据本发明，这个消息是服务声明消息，允许标识符包括具有从涉及访问接收器的至少一个功能的授权值和禁止值中选出的值的指示器。而且，根据本发明的任何一个实施例更有利的是可以通过传输装置获得该声明消息。
本发明的另一个方面是访问至少一个接收器的功能的传输控制指令的方法。在此方法中，允许标识符注册在打算供接收器使用的消息中。
根据本发明，允许标识符在服务声明消息中注册，这些标识符包括具有从涉及访问接收器的至少一个功能的授权值和禁止值中选出的值的指示器。
而且，根据本发明的任何一个实施例，这个传输控制指令的方法可以通过传输装置来实现。
同样，本发明的另一个方面是为访问接收器功能的实现控制指令的方法。在这个方法中，从接收器收到的消息中读出允许标识符。
根据本发明，从服务声明消息中读出允许标识符，这些允许标识符包括具有从涉及访问接收器的至少一个功能的授权值和禁止值中选出的值的指示器。
而且，根据本发明，这个实现控制指令的方法可以通过实现装置来实现。
-图7更详细地表示了

图1中的接收器的第一种实施例，它被用来验证图2中的发送器分派的ATVEF服务消息或系统服务消息，实现相应的允许和解密那些消息；-图8更详细地表示了图1中的发送器的第二种实施例，它被用来传输带有联合加密处理和鉴别的允许；-图9示出了包含带有允许的鉴别字段和加密处理字段的ATVEF服务声明消息的内容，该内容被图8中的发送器分派；-图10概略地表示了能用密钥字组实现选择密钥的第二种形式的签名库，它被用作图1中的发送器的一个变量；-图11概略地表示了带有密钥字组的与图10中的库相对应的鉴别库，它被用作图1中的发送器的变量；-图12示出了包含带有允许标识符的鉴别字段的ATVEF服务声明消息的变量的内容，它被图2中的发送器所分派。
-图13详细示出了图12中的鉴别字段的内容；应认为附图是形成公开说明的一个完整的部分。
在这些图中，用相同的参考符号来表示一样的或相似的单元。而且，所描述的和所说明的功能性实体不一定要与物理上独特的实体相对应，但是有可能作为示例而包括某个实体的功能和某一个实体的电路或软件的相同部分，或者是相同的组成部分。
在图3到图5，9，12和13中，指示的数字以比特的形式给出了所表示的消息中的字段的分布。而且，后缀A和C用来指定鉴别实体，后缀B用来指定加密实体，而后缀A’用来指定解密处理后的验证实体。
非常概略地，发送器1接收消息M0并且通过添加各种要经过网络5传送的信息条目和要被适当的接收器2读出的MSG消息和可能的后续消息来将之转换为要发送的信息。相对应地，所提供的接收器2从接收来的消息MSG中抽取由消息M0所表示的有意义的内容。消息M0最好是一个特别的类型(服务声明消息)的消息，如下面进一步要详述的一样，发送器1和接收器2并不是用同一种方式来处理所有类型的消息。
发送器1包括要发送这个信息M0的各种特别的(图1)单元，有如下的特别之处-单元14，用于注册允许，该允许被设计成向消息M0中插入允许标识符PERM，该标识符PERM能够向接收器2传输控制指令以访问接收器的不同功能；-信息安全装置3，用来定义至少部分的消息M0的加密(签名或加密)的明智的模型，用来触发加密和向消息M0中插入使用已加密的要发送给接收器2的部分的信息；在所选择的例子中，发送器1中的注册单元14在安全单元3的上游；作为变体，它们的位置是相反的，或者这两个子组件中的至少一个在发送器1的上游；-包括了加密模块17的加密库15，比如像动态连接库或DLL(动态连接库)；根据规程，这个库15分配给发送器1，尽管从严格意义上讲，在实际中它可能是发送器仅仅可以访问的程序。
更精确地，加密库15提供加密密钥K1，K2，…，Kn的索引表16，作为消息安全装置3所给出的指令的一个函数，加密模块17设计成能根据加密密钥Ki中的一个来完成加密。而且消息安全装置3包括-加密控制单元11，能通过传达必要的信息，尤其是涉及将要使用的加密密钥Ki的选择的信息来触发加密模块17；-单元12，用于改变当前密钥，它能够通过向加密控制单元11分派相应的信息来修改当前的密钥Ki；这个单元12依据比如用户的直接干预概率来随机(既考虑所发生的事又考虑所选出的值)修改当前的密钥Ki；-单元13，用来在消息M0中注册一个密钥标识符KeyID，它能为接收器2指出所选出的当前的加密密钥Ki；在所举的例子中，这个注册单元13例行地完成记录消息M0中的所涉及的类型的密钥标识符KeyID；同样，接收器2特别包括-单元24，用于读出接收到的消息MSG中的允许标识符PERM；-装置4，用于识别消息，并定义消息MSG的已加密部分的识别(通过鉴别或解密处理的解密/加密过程)的相关模式和用来触发该识别；-识别库25，包括识别模块27并根据规程分配到接收器2；更精确地，识别库25提供与加密库15中的加密密钥K1，K2，...，Kn一一对应的识别密钥K’1，K’2...K’n的索引表26。作为消息识别装置4所给出的指令的函数，根据识别密钥K’i中的某一个密钥识别模块27进行识别。而且消息识别装置包括-识别控制单元21，能够根据所传达的必要信息，尤其是涉及要使用的识别密钥K’i的选择信息来触发识别模块27；-单元23，从消息MSG中抽取密钥识别符KeyID并根据发送器2的当前加密密钥K’i给出所选择的当前的识别密钥K’i；以上的简洁说明实质上是功能性的，它连同特殊组件专门集中在使信息安全和识别信息的特殊特征。实质上，发送器1可以包括诸如参考标号15之类的多个安全装置，也可能是其组合。比如，消息的安全将加密和签名结合在一起，和/或者对不同类型的消息使用各自独特的装置。同样地，接收器2可以包括多个识别装置。依据下面的特别实施例此类可能性将会非常清楚。
以1A(图2)为参考标号的发送器1的第一个实施例在鉴别中得到应用。在这个实施例中，发送器1A对服务声明消息M0进行保密和注册允许标识符PERM操作，而没有对其它类型的消息(诸如内容消息和触发消息)进行操作。所涉及的服务声明消息是通过ATVEF声明消息和系统声明消息所说明的消息，在所涉及的示例中这两种消息的结构很相似。所产生的用MSG-A来表示的消息MSG通过网络5进行常规播出。
在所阐述的示例中，加密密钥Ki(签名密钥)是私密密钥，而识别密钥K’i(鉴别密钥)是可能包括通过网络5(安全传输)分配给用户的公开密钥。用更加具体的例子来说，每个签名密钥有596个字节，而每个识别密钥是148个字节的解密密钥，这些密钥分别从签名密钥Ki产生，并且被转移以在用户的前提下保留下来。签名密钥和鉴别密钥各自的每个索引表16和26都包括比如10个密钥。
实质上发送器1A包括-以31A为参考标号的服务器驱动系统31包括当前密钥更改单元12，密钥标识符KeyID注册单元13和允许标识符注册单元14；所设计的驱动系统31A能够接收源自信息源10的消息M0并且产生一个包括表示为KeyID[SGN]的鉴别的密钥标识符KeyID和允许标识符PERM但不包括签名的消息M1；-播放服务器32A，特别包括用来控制服务器32A(为了简单，图2中没有表示出连接)的单元组件的操作的控制单元37和所设计的能够收集源自驱动系统31A的消息M1的数据库33；这个播放服务器32A要能将消息M1转变为消息MSG-A；-加密库15，与鉴别库15A的形式相同。
播放服务器32A还包括在消息M1的基础上依次动作的两个模块完成模块35和封装模块36。包括与鉴别控制单元11A的形式一样的加密控制单元11的完成模块35负责消息M1中的补充信息(网址，端口等等)的注册以产生消息M2和负责验证库15A的调用以产生签名SGN并将之与消息M2结合进而产生消息M3。分派给库15的消息M2中的鉴别密钥标识符KeyID[SGN]的存在使得库15能够立即选择出想要的密钥Ki以产生签名SGN。有利的是，可以在库15的存储器中保留当前的加密密钥Ki。
通过播放服务器32A将签名转包给库15A，以及将当前的密钥Ki记录在库15A中而不是服务器32A中，这种转包允许在32A保留普通性质的字符。甚至允许驱动系统31A和库15A一起保留涉及密钥标识符KeyID[SGN]和允许标识符PERM的操作的控制。而且，签名SGN加在整个链路的后端，正好在播放服务器播出之前，这样做非常有益，因为播放服务器32A可以因此被许多的用户反馈而不必复制签名库15A和加密密钥Ki，还因为可以集中修改密钥标识符KeyID[SGN]。另外，万一经过压缩和/或加密之后，签名会被这些操作影响。
计算签名SGN更适宜在包括报头(它特别包含了标识符KeyID[SGN]和PERM)和有效负荷的整个声明消息M2的基础上进行，这样就能够特别地检测到涉及当前的签名密钥KeyID[SGN](通过用户验证)和允许的数据的外部修改。
封装模块36要能够通过消减和经过网络5传输的层的附加来转换声明消息M3。在所举的例子中，模块36使用UDP(单向数据协议)/IP/SLIP(串行线路IP)层产生IP(网际互连协议)分组。对内容消息来说，模块36预先使用UHTTP(单向超文本传输协议)协议和MIME(多用途网际邮件扩展)格式。
因此，已签名的消息MSG-A允许每个用户验证所提供的服务的鉴别如果用户识别签名SGN为有效，他就打开内容消息和或许是其后的触发器的监听套接字。如果无效，则用户拒绝考虑声明消息MSG-A。要鉴别签名SGN，用户使用允许他立即从相应的识别库25(鉴别库)中选择合适的识别密钥K’i的密钥识别符KeyID[SGN]。因此，他能迅速决定是否打开套接字并避免错过全部或部分的后续的内容分组。例如，当第一个内容分组在声明消息之后播出500ms，在此期间执行所有的签名验证和套接字打开操作就非常重要。
下面示出了发送器1A的一个特定实现。在这个例子中，ATVEF类型的声明消息MSG-A在多点广播IP地址224.0.1.113，端口2670播出，并且系统类型的声明消息在多点广播IP地址235.0.1.113，端口32670播出。每个消息MSG-A(图3)包括SAP格式中以SAP-A来表示的报头和SDP格式中的有效负荷，报头SAP-A包括如下的字段-SAP的版本V(3比特，V＝1)；-ARTEC(5比特)包括5项-地址类型A(0表示IPv4协议，1表示IPv6协议)；-保留字段R(0)；-消息类型T(0表示会话声明分组，1表示会话清除分组)；-加密处理字段E(加密处理0表示未加密的SDP，1表示加密的SDP)；-压缩C(0表示未压缩的有效负荷，1表示压缩的有效负荷)；-以AUTH-A为参考的鉴别字段AUTH的长度L-AUTH(8比特无符号数)，它插在SDP之前并用一系列32比特的字来表示；-散列标识符(因特网中数字签名的保护算法)MSG ID HASH(16比特)，无论何时SDP的字段改变时散列值也要改变；当这个标识符为0时，用户必须解析SDP；-发送器1A的IP地址ORIG(一个字32比特)，也是播送服务器32A的；这个地址可以为散列标识符的零值和没有通过代理时设为0.0.0.0；-长度由参数L-AUTH决定的鉴别字段AUTH-A。
鉴别字段AUTH-A(图4)不仅包括128比特(被选为系统限制的函数的长度)长的签名字段SGN，而且包括表示为ENT-A的占四个字节的特定的鉴别报头，它包括如下的子字段-所用协议的版本V(3比特，V＝1)；-填充指示器P(1比特)，它充当一个表示可能进行填充以使得鉴别字段的总长度为双字(32比特字)的整数倍的信号；在这种情况下，当鉴别字段的总长度为132个字节时，P＝0(无填充)；-所使用的鉴别的类型TYPE(4比特)；在这里，TYPE＝0(PGP格式，表示PGP密码)；-允许标志PERM(8比特)；-为将来的使用保留的字段(8比特)；-密钥标识符KeyID[SGN](8比特)。
报头ENT-A包括两个对用户非常有用的字节字段KeyID[SGN]和PERM的字节，它们分别允许用户迅速确定正确的鉴别密钥K’i和根据服务的后续消息(内容消息和触发器)确认合适的允许。
在所举的例子中，允许标志PERM可用的字节以8个值的模板的形式来使用。与访问如下功能有关的允许标志PERM涉及所谓的接收器2的关键资源(首先以十六进制的形式给出鉴别值)-0x0001访问接收器2的调制解调器以初始化与发送器1相关的服务操作者的在线服务器的一个链接；-0x0002访问接收器2的调制解调器以初始化与任何一个服务操作者的在线服务器的链接；-0x0004与在线服务器之间使用安全链接；-0x0008访问接收器2的硬盘以永久地从其中读出数据或向其中写入数据；-0x00010访问接收器2的闪存以永久地从其中读出数据或向其中写入数据；-0x00020访问接收器2的芯片卡以永久地从其中读出数据或向其中写入数据；
-0x00040访问接收器2的调谐器以更改当前台。
在一个变化实施例中，以带有256个项的表的形式使用允许可用的字节，每个项对应一个独一无二的允许等级。在上面的例子中，获得的8个允许可以相互结合。
允许的数目可以毫无困难地扩展，尤其是通过结合保留在允许字段中的一个字节(切换为16个允许)和/或通过给鉴别字段AUTH-A的报头ENT-A分配两个双字而非一个双字来完成。
在操作时，驱动系统31在服务声明消息M0中添加SAP格式报头，在其中特别地合成这个服务的允许标志PERM和可能的密钥标识符KeyID[SGN](密钥标识符可以通过驱动系统31来配置，但在默认的情况下，它由库15A来决定)。鉴别字段AUTH-A的长度L-AUTH以在其中注册报头ENT-A而没有签名SGN的形式固定为一个双字(L-AUTH＝1)。所获得的消息M1(图5)包括SAP格式(用SAP1表示)报头的鉴别字段AUTH1(缩减为报头ENT1)，而仅仅将允许标志PERM和保留字段初始化为零。播出服务器32A的数据库接收这个消息。
然后，完成模块35验证报头SAP1是否出现(若没有，则添加没有签名的报头)，在M1中注册所需的补充信息(所谓的带有内容信息和触发器的地址和端口的SDP插入码)，并通过传递作为参数的包含消息M1的缓存和缓冲区的大小来调用库15A。
库15A完成如下操作-验证允许标志PERM是否出现；如果出现，进行正常操作；如果没有出现，则向播出服务器返回错误码；在提高版中，若没有出现允许标志PERM，则分配默认的模板；-验证服务声明消息M1是否已经签名；若已经签名，返回播出服务器32A；
-若没有签名，将长度L-AUTH更新为132个字节(0x21个双字)，添加并更新鉴别字段AUTH-A的报头ENT-A，计算(用L-AUTH＝1)并向缓冲区中添加签名SGN，然后更新缓冲区的大小；签名SGN从作为一个整体的报头SAP1(不包括签名字段SGN，因为L-AUTH＝1)中和消息M1的有效负荷中定出；使用RSA(韦斯特-沙米尔-阿德莱曼算法)算法通过计算整个散列表MD5就能恢复当前签名密钥Ki并能够用这个密钥Ki计算散列表中的RSA签名；在变化实施例中，对签名来说(L-AUTH＝0而非双字)，鉴别字段AUTH-A被全部忽略；-返回播出服务器32A。
接着，在通过网络5进行常规播出之前，封装模块36封装已得到的消息M3。
用这种技术，每一次服务仅计算一次签名(根据声明消息来计算)，而不管这次服务是进行轮流分派还是作为偶然事件来分派。
例如，要修改密钥标识符KeyID[SGN]，通过应用编程接口或API(应用和编程接口)向播出服务器32A分派消息，然后服务器32A仅向库15A通知该标识符的新值—比如每月例行执行一次修改。
在下面的这个播出服务器32A的输入(M1)和输出(MSG-A)的服务声明的示例中，报头SAP1由方括号中的粗体字表示，鉴别字段(AUTH1，AUTH-A)的报头(ENT1，ENT-A)用下划线表示，而用普通的字符(以十六进制)表示有效负荷。
L-AUTH＝0x01，PERM＝0x27而三个保留字节都为0x00的消息M1表示如下00000000[2001 0000 53AA 0B8D 2700 0000]763D 300A ...S...′...v＝0.00000010 6F3D 2D20 3935 3530 3035 3931 3320 3935 o＝-955005913 9500000020 3530 3035 3931 3320 494E 2049 5034 2031 5005913 IN IP4 100000030 3732 2E33 302E 3930 2E31 3630 0A73 3D63 72.30.90.160.s＝c00000040 6D6F 6E63 686F 6978 0A65 3D64 7570 6F6E monchoix.e＝dupon00000050 7440 7468 6D75 6C74 692E 636F 6D0A 703D t@thmulti.com.p＝00000060 2B31 2D36 3537 2D34 3733 2D34 3833 300A +1-657-473-4830.00000070 613D 6C61 6E67 3A65 6E0A 613D 7476 652D a＝langen.a＝tve-00000080 656E 6473 3A33 3030 0A61 3D74 7665 2D74 ends300.a＝tve-t00000090 7970 653A 7072 696D 6172 790A 613D 7476 ypeprimary.a＝tv000000A0 652D 6964 3A64 3631 3633 6164 612D 3766 e-idd6163ada-7f000000B0 6164 2033 6235 342D 6262 3839 2D66 3166 ad-3b54-bb89-f1f000000C0 6161 3430 3736 6637 620A 613D 7476 652D aa4076f7b.a＝tve-000000D0 7072 6F66 696C 653A 310A 743D 3020 300A profile1.t＝0 0.000000E0 6D3D 6461 7461 2032 3238 3530 2074 7665 m＝data 22850 tve000000F0 2D74 7269 6767 6572 0A63 3D49 4E20 4950 -trigger.c＝IN IP00000100 3420 3232 372E 3337 2E33 322E 3433 0A6D 4 227.37.32.43.m00000110 3D64 6174 6120 3232 3835 3120 7476 652D ＝data 22851 tve-00000120 6669 6C65 0A63 3D49 4E20 4950 3420 3232 file.c＝IN IP4 220000013 0342E 3337 2E33 322E 3434 0A 4.37.32.44.
由播出服务器32A处理后的消息M0而得到的消息MSG-A并且L-AUTH＝0x21，PERM＝0x27，KeyID＝0x07表示如下00000000[2021 0000 53AA 0B8D 2027 0007 6797 BE9E ！..S...′..g...00000010 7169 8F8D FDF1 B330 38FF 957C D0A2 B515 qi.....08..|....00000020 1F98 DABC CB04 9F03 0EB8 3D27 E5AA 047A ..........＝′...z00000030 35AF F2FF DC65 4F04 28E3 CA3F 948D 1D8A 5....eO.(..？....00000040 4540 D763 DB68 3ADD CAEF 5EB1 4116 F939 E@.c.h...^.A..900000050 7C29 862F E7B8 75C1 081C 3830 5A55 AEC2 |)./..u...80ZU..00000060 1031 62C0 E52D AC19 1CCF 7471 D28E 8997 .1b..-....tq....00000070 7F46 9473 4F2A B5EF 8047 2DE9 87EF A49E .F.sO*...G-.....00000080 4E90 5DB7 0981 C001 DB17 F07F]763D 300A N.].........v＝0.00000090 6F3D 2D20 3935 3530 3035 3931 3320 3935 o＝-955005913 95000000A0 3530 3035 3931 3320 494E 2049 5034 2031 5005913 IN IP4 1000000B0 3732 2E33 302E 3930 2E31 3630 0A73 3D63 72.30.90.160.s＝c000000C0 6D6F 6E63 686F 6978 0A65 3D64 7570 6F6E monchoix.e＝dupon000000D0 7440 7468 6D75 6C74 692E 636F 6D0A 703D t@thmulti.com.p＝000000E0 2B31 2D36 3537 2D34 3733 2D34 3833 300A +1-657-473-4830.000000F0 613D 6C61 6E67 3A65 6E0A 613D 7476 652D a＝langen.a＝tve-00000100 656E 6473 3A33 3030 0A61 3D74 7665 2D74 ends300.a＝tve-t00000110 7970 653A 7072 696D 6172 790A 613D 7476 ypeprimary.a＝tv00000120 652D 6964 3A64 3631 3633 6164 612D 3766 e-idd6163ada-7f00000130 6164 2D33 6235 342D 6262 3839 2D66 3166 ad-3b54-bb89-f1f00000140 6161 3430 3736 6637 620A 613D 7476 652D aa4076f7b.a＝tve-00000150 7072 6F66 696C 653A 310A 743D 3020 300A profile1.t＝0 0.00000160 6D3D 6461 7461 2032 3238 3530 2074 7665 m＝data 22850 tve00000170 2D74 7269 6767 6572 0A63 3D49 4E20 4950 -trigger.c＝IN IP00000180 3420 3232 372E 3337 2E33 322E 3433 0A6D 4 227.37.32.43.m00000190 3D64 6174 6120 3232 3835 3120 7476 652D ＝data 22851 tve-000001A0 6669 6C65 0A63 3D49 4E20 4950 3420 3232 file.c＝IN IP4 22000001B0 342E 3337 2E33 322E 3434 0A 4.37.32.44.
在发送器1A(图6)的一个特别配置中，包括中央服务器45的服务操作者的一个中央驱动系统40通过租用的线路46与播出设备41，42和43相连。
每个播放设备41-43都包括上述详细描述的32A型的播出服务器32，它还包括播出音频视频节目的装置47和以48为参考标号的负责源自服务器32和装置47的消息的编码以及负责将其播送到天线49的VBI编码器。在操作期间，中央服务器40从不同的信息源(播放设备，广告商，内容提供商，等等)获得关于要播出的服务的信息，编制播出节目并且最终使播送服务器在播送之前得到它们。通过向播送服务器41到43分别传送数字证书51，52和53就能保证公共密钥的鉴别。这个中央服务器40还能满足下面描述的驱动系统31的功能，以致于播送设备41到43播送的服务声明消息MSG能选择性地得到允许的警告并且由不同的密钥来签名而不会在接收时产生鉴别的反向延迟。
特别地每个接收器2包括(图7)-以61为参考标号的VBI驱动，设计成能从发送器1A(诸如播送设备41到43)接收到的信息中抽取有效负荷并包括字段WST(文字电视广播世界标准)，以计算差错控制码FEC(前向差错校正)和控制有效负荷的SLIP帧的解码；-网络5上的用于传输的去封装层模块62，能够从驱动61接收解码后的SLIP帧并且能够在解码后以服务声明消息MSG的SAP格式报头和SDP格式的有效负荷的形式从其中抽取UDP/IP帧的内容；-那些上面描述的类型的浏览器63包括识别装置4和允许读出单元24(分别用4N和24N来参考)，-那些上面描述的类型的加载器67包括识别装置4和选择允许读出单元24(分别用4C和24C来参考)，-上面描述的以25为参考的那种类型的鉴别库；密钥的索引表26以库25的编码形式存储在接收器2的永久存储器比如闪存中。
所设计的浏览器63在接收的每个服务声明消息MSG-A的基础上能够完成如下的功能-通过监听套接字64恢复消息MSG-A的报头和有效负荷；
-调用库25中的签名验证函数并将它作为一个指针传给消息MSG-A；-如果鉴别成功，通过使用消息MSG-A的允许标志PERM所指出的允许分别打开内容消息和后续触发器的的监听套接字，以确定访问要在广播应用中使用的浏览器63的功能。
库25的签名验证函数精确地执行如下的操作-在作为一个整体的SAP-A报头和有效负荷上计算散列表MD5，通过将指示器L-AUTH置为1来给出鉴别字段AUTH-A的长度；在一个与签名计算所指出的相对应的变化中，忽略了关于鉴别的鉴别字段AUTH-A，而指示器L-AUTH置为0；-恢复报头SAP-A的鉴别字段中的密钥标识符KeyID[SGN]并选择合适的鉴别密钥K’i；-通过所选择的密钥K’i重新计算签名的散列表就可以验证鉴别字段AUTH-A的签名SGN；如果签名无效，则返回值0；-如果签名SGN有效，返回允许标志PERM。
因此，除了鉴别成功之外都要忽略消息MSG-A的有效负荷。与此相反的情况下，不为服务已声明的后续消息打开套接字并且用户仍然不能听到到来的数据。
关于系统声明消息，加载器67的操作很相似，通过监听套接字68接收如果消息已鉴别，则通过调用库25为后续的内容消息打开套接字69。
以1B(图8)为参考的发送器1的第二个实施例应用在加密处理和鉴别的结合体之中。这个实施例与前一个本质上的区别在于发送器1B中出现了加密处理单元，补充信息单元并且它们被设计在前端。加密处理单元和签名单元分别依靠从两个密钥索引表中选择两个当前的加密密钥，并且分别调用上面以普通形式描述的加密库15类型的加密处理库15B和签名库15A’。接收器2包括与加密处理密钥的索引表相对应的加密索引表，这些加密密钥最好是私密密钥。每个加密索引表和加密处理索引表包括比如10个密钥。
因此，以31B为参考标号的驱动系统31包括加密处理的当前密钥更改单元12和信息安全装置13(分别以12B和13B为参考)以及加密处理之后签名的当前密钥更改单元12和信息安全装置13(分别以12A’和13A’为参考)。
而且，以32B为参考的播出服务器32包括在其中包含有加密处理单元11B的完成和加密处理模块34以及其后的包含有签名控制单元11A’的签名模块38，控制模块11B和11A’与控制加密单元11的类型一致。这个服务器32B用和第一个实施例相似的形式将以AUTH-B为参考的鉴别字段AUTH综合到SAP格式报头中。
完成和加密处理模块34像在前一个实施例中一样负责添加消息M1所需的补充信息，并且负责调用加密处理库15B以对所获得的消息M4进行加密以及传出加密密钥标识符KeyID[CRYPT]。然后库15B(图1)的加密模块17执行有效负荷的加密而不是报头或鉴别字段AUTH-B的初始数据的加密。密钥标识符KeyID[CRYPT]可以随机产生。
所设计的签名模块38能接收来自加密处理库15B中的作为加密处理结果的消息M5并且该消息M5特别包括一个鉴别密钥标识符KeyID[SGN]，还要调用签名库15A’以获得已签名的消息M6。库15A’(图1)的加密模块17像在前一个实施例中通过密钥标识符KeyID[SGN]给出的当前密钥一样决定关于消息M5的签名并将之作为一个整体附在消息M5之后。
封装模块36充当与在前一个实施例中一样的角色并能获得用MSG-B来表示的要播出的消息MSG。
通过示例(图9)，消息MSG-B包括除有效负荷外的以SAP-B为参考的SAP格式报头，SAP-B的格式如下-与第一个实施例中相似的字段V，ARTEC，L-AUTH，MSG IDHASH和AUTH-B；-加密处理密钥标识符KeyID[CRYPT](一个双字)；-超时指示器TIMEOUT(一个双字)，当有效负荷已经过加密处理和当发送与代理有关的声明消息时该指示器才有用；-填充指示器P(1比特)，在加密处理之前用来指示填充；已解密的有效负荷的最后字节给出所添加的填充字节数目；-随机字段(31比特)，包括一个真正的随机数并且要在解密之后被丢弃。
已加密字段的CRYPT包括指示器P、随机字段和有效负荷，而标识符KeyID[CRYPT]和字段TIMEOUT形成一个未加密的加密处理报头ENT-CRYPT。
在应用于相关的加密库和识别库(图10和11)中的任何一个库的变化实施例中，加密库75包括加密密钥的数据块B1，B2，...，Bn的索引表76而非密钥表。每个数据块Bi本身包括多个密钥Ki，1，Ki，2，...Ki，1i，它的数目可能根据所涉及的数据块的不同而变化。同样，识别库85包括识别密钥的数据块B’1，B’2，...B’n的索引表86，每个数据块B’i包括多个分别于加密库75的数据块的密钥Ki，1，Ki，2，...Ki，1i，对应的密钥K’i，1，K’i，2...K’i，1i。
知道密钥标识符KeyID并不能因此而确知通过加密模块77为加密所选择的一一对应的密钥Ki，j，并且也不能确知要被库85的识别模块87使用的识别密钥K’i，j，但只能确知那些密钥分别所属的数据块Bi和B’i。因此，必须连续试验所有识别数据块B’i的密钥直到加密成功。
根据标识符的变化配置形式，鉴别密钥标识符KeyID[SGN]和/或允许标识符PERM可以在消息MSG报头中的鉴别字段AUTH之外。因此，当包括了那些签名计算SGN中的标识符而不包含鉴别字段AUTH(L-AUTH＝0)时对鉴别消息进行加密。
在另外的实施例中(图12和13)，有效负荷字段中除去了允许标志PERM。根据所举的例子，所产生的以MSG-C为参考的服务声明消息MSG包括以SAP-C为参考标号的不带有允许而带有鉴别字段AUTH-C的报头ENT-C的两个字节的保留字段的SAP格式报头。用SDP-C来表示的SDP格式中的有效负荷包括两个字节的允许标志PERM，比如在字段的起始部分。由于此时需要以文本格式而不是二进制格式来写，允许字段所需要的有效负荷空间比报头空间更大，并且也需要一个允许字段识别标号。
权利要求
1.一种用于访问至少一个接收器(2)功能的控制指令的传输装置，所述的传输装置包括在所述的接收器(2)所需的消息(MSG)中注册允许标识符(PERM)的装置(14)，其特征在于注册装置(14)，用于在服务声明消息(MSG)中注册允许标识符(PERM)，所述的允许标识符包括具有从涉及访问至少一个所述的功能的授权值和禁止值中选出的值的指示器。
2.根据权利要求1所述的传输装置，其特征在于每一个所述的声明消息(MSG-A，MSG-B)包括变长度的鉴别字段(AUTH-A，AUTH-B)，注册装置(14)，用于在所述的鉴别字段中注册允许标识符(PERM)。
3.根据权利要求1或2所述的传输装置，其特征在于每一个所述的声明消息(MSG-C)包括有效负荷字段(SDP-C)，注册装置(14)，用于在所述的有效负荷字段中注册允许标识符(PERM)。
4.根据前面任何一项权利要求所述的传输装置，其特征在于它还包括用来签署至少一部分的每个所述的消息(MSG)的加密控制装置(11-A，11-A’)，所述的部分包括允许标识符(PERM)。
5.根据前面任何一项权利要求所述的传输装置，其特征在于所述的声明消息(MSG)从ATVEF服务和系统服务声明消息中选出。
6.根据前面任何一项权利要求中所述的传输装置，其特征在于至少一个所述的允许标识符(PERM)自动地访问调制解调器的功能，以初始化到服务操作者的在线服务器间的连接。
7.根据权利要求6中所述的传输装置，其特征在于所述的服务操作者与所述的传输装置相连。
8.根据前面任何一项权利要求中所述的传输装置，其特征在于至少一个所述的允许标识符(PERM)使用和在线服务器之间的安全连接的功能。
9.根据前面任何一项权利要求中所述的传输装置，其特征在于至少一个所述的允许标识符(PERM)与自动地访问至少一个存储空间，以永久地从所述的存储空间中读出数据或向该存储空间写入数据的功能相关。
10.根据权利要求9中所述的传输装置，其特征在于所述的存储空间属于包括硬盘，闪存和芯片卡的表。
11.根据前面任何一项权利要求中所述的传输装置，其特征在于至少一个所述的允许标识符(PERM)适于访问所述的接收器(2)的调谐器以修改当前台。
12.根据权利要求1到11中的任何一项权利要求中所述的消息(MSG)的发送器(1)，其特征在于它包括传输装置。
13.一种用于访问接收器(2)的功能的控制指令的实现装置，所述的实现装置包括用所述的接收器(2)读取消息(MSG)中的允许标识符(PERM)的装置(24)，其特征在于读取装置(24)，用于读取服务声明消息(MSG)中的允许标识符(PERM)，所述的允许标识符包括每个具有从涉及访问至少一个所述的功能的授权值和禁止值中选出的值的指示器，根据权利要求1到11中的任何一项权利要求中所述的指令实现装置被提供用来接收传输控制指令的装置传出的控制指令。
14.根据权利要求13中所述的消息(MSG)接收器(2)，其特征在于它包括实现装置，根据权利要求12中所述的接收器被提供用来接收源自消息的发送器(1)的所述的消息(MSG)。
15.一种计算机程序产品，其特征在于它包括根据权利要求1到11之一中用来传输控制指令的装置或根据权利要求13中控制指令的实现装置的所述装置(14，24)的实现功能。
16.一种要通过网络被分派到至少一个接收器(2)的消息(MSG)，所述的消息包括至少一个允许标识符(PERM)，其特征在于所述的消息(MSG)是服务声明消息，所述的允许标识符(PERM)包括具有从涉及访问至少一个所述接收器(2)的功能的授权值和禁止值中选出的值的指示器，所述的消息(MSG)通过根据权利要求1到11中的任何一项中的传输装置被获得。
17.一种访问至少一个接收器(2)的功能的控制指令传输方法，根据该方法允许标识符(PERM)在接收器(2)想要的消息(MSG)中注册，其特征在于允许标识符(PERM)在服务声明消息(MSG)中注册，所述的允许标识符包括每个具有从涉及访问至少一个所述功能的授权值和禁止值中选出的值的指示器，根据权利要求1到11中所述的控制指令传输方法通过传输装置来实现。
18.一种访问接收器(2)的功能的实现控制指令的方法，根据该装置允许标识符(PERM)被所述的接收器(2)从消息(MSG)中读出，其特征在于允许标识符(PERM)从服务声明消息(MSG)中读出，所述的允许标识符包括每个具有从涉及访问至少一个所述的功能的授权值和禁止值中选出的值的指示器，根据权利要求13中所述的控制指令实现方法通过实现装置来实现。
全文摘要
本发明涉及访问接收器(2)的功能的控制指令的传输装置和方法,也涉及相应的控制指令的实现装置和方法。传输装置包括在接收器想要的服务声明消息(MSG)中注册允许标识符(PERM)的装置(14),最好是ATVEF服务或系统服务声明消息。包括每个具有从涉及访问至少一个接收器功能的授权值和禁止值中选出的值的指示器的允许标识符被有利地注册在消息的变长鉴别字段中。实现装置包括从所接收到的服务声明消息中读取允许标识符的装置(24)。
文档编号H04N7/167GK1388685SQ0212032
公开日2003年1月1日 申请日期2002年5月22日 优先权日2001年5月23日
发明者洛朗－勒塞内, 弗雷德里克·帕基耶 申请人:汤姆森许可贸易公司