专利名称:广播应用的条件访问系统的操作方法
本申请是申请号为00803357.9、申请日为2000年12月18日、发明名称为“广播应用的条件访问系统的操作方法”的发明专利申请的分案申请。
本发明涉及广播应用的条件访问系统的操作方法,所述条件访问系统包括许多用户,每个用户具有包括条件访问模块和存储权利的安全装置的终端,其中利用第一密钥(Cw)对源信号加密,所述第一密钥(Cw)高速变化,所述加密源信号被广播,以便由终端接收,其中权利控制消息(ECM)被发送给安全装置,所述ECM包含利用服务密钥(PT)加密的第一密钥(Cw),其中权利管理消息(EMM)被发送给提供对加密第一密钥(Cw)解密所需的服务密钥(PT)的安全装置,其中通过向不同的终端或终端组发送不同的获得第一密钥所需密钥,并且监视由盗印者提供的密钥信息,跟踪未经许可被使用的被解开(crack)的安全装置。
广播应用的条件访问系统用在,例如收费电视管理中,用户必须预约获得观看频道,服务或活动的权利。鉴于用户数目很多,以及因此在用户之间分配的大量安全装置,安全装置易于受到试图提取安全装置的独特密钥的未被授权用户的攻击。安全装置通过呈智能卡的形式。如果未被授权的用户或盗印者成功地提取了该独特密钥,智能卡被解开,盗印者能够在因特网上分配全局密钥,例如第一密钥或服务密钥,建立盗印者用户网络。
当服务提供者确定条件访问系统已被解开时,必须跟踪被解开的智能卡。一种跟踪被解开的智能卡的已知方法是根据已经发出的智能卡,进行所谓的对分搜索。按照这种已知的方法,向一半的智能卡发布虚假的密钥,向另一半智能卡发布真实的密钥。盗印者将在因特网上发布虚假密钥或真实密钥,根据盗印者发布的密钥,能够把范围缩小到被解开的智能卡所属的哪一半。在下一步骤,再次向确定的这一半智能卡的一半智能卡发布虚假的密钥,并向另一半智能卡发布真实的密钥,同样可根据盗印者发布的密钥,推断出被解开的智能卡位于哪一半中。通过重复这些步骤,可确定被解开的智能卡的位置,并关闭该智能卡。这种对分搜索的缺陷是在进行搜索的时间内,合法用户将不断地看到黑屏屏幕。如果反复地需要这种搜索行动,并且持续较长的时间,则会导致用户不满。
本发明的目的是提供一种上述类型的方法,所述方法尽可能地限制,或者甚至完全避免合法用户处的黑屏屏幕。
为此,本发明的方法的特征在于至少向部分终端发送搜索EMM,所述搜索EMM至少提供服务密钥(PT)和虚假密钥(PD1或PD2),搜索EMM至少包括标识密钥(PT和PD1或PD2)的标识符,其中具有密钥(PT和PD1)的第一搜索EMM被发送给第一部分终端,具有密钥(PT和PD2)的第二搜索EMM被发送给第二部分终端,其中刚好在需要对源信号解密的第一密钥(Cw)之前,把识别用于对加密第一密钥(Cw)解密的服务密钥(PT)的ECM发送给所有安全装置。
按照这种方式,在所有合法用户处,在需要对源信号解密的第一密钥之前,安全装置及时地接收将用于对第一密钥解码的服务密钥的标识。于是,在合法用户处将不存在黑屏屏幕。但是,当盗印者接收将使用的服务密钥的标识时,盗印者没有足够的时间预先发布正确的密钥。要使用的服务密钥的标识的接收和将利用第一密钥对加密源信号解密之间的延迟时间太短,不能通过因特网分配正确的密钥。于是,如果盗印者不发布盗印者可以得到的所有密钥,则根据发布虚假密钥的速率,盗印者用户将反复看到黑屏屏幕。鉴于盗印者可能得到的所有密钥的发布,可应用和现有技术同一类型的对分搜索查找被解开的智能卡的位置。
根据本发明的方法的另一实施例,一组搜索EMM被发送给多个终端,每个搜索EMM提供两个密钥(PT和PD1,PT和PD2,...PT和PDn)。按照这种方式,根据该组搜索EMM的大小,可显著减少对分搜索中重复步骤的数目。
作为一个备选实施例,一组搜索EMM被至少发送给一部分终端,该组搜索EMM中的每个搜索EMM包括一个不同的虚假密钥(PD),每个EMM被发送给不同部分的终端。
按照这种方式,可用几个步骤或者甚至只用一个步骤就可查出盗印者使用的被解开的智能卡的位置,从而尽管合法用户仍然会看到黑屏屏幕,但是这不会导致用户不满。
在本发明的方法的另一备选实施例中,加密源信号包括一串数据包,其中利用连续的第一密钥(Cw1,Cw2,...,Cwi,...,Cwn)对至少包括一个数据包的连续组加密,每个数据包具有指出用于对该数据包解密的第一密钥(Cwi)的标记,其中取代识别服务密钥(PT)的ECM,刚好在需要对源信号解密的第一密钥(Cwi)之前,把识别将用于对下一个加密第一密钥(Cwi)解密的虚假密钥(PD1或PD2)的ECM分别发送给第一部分终端和第二部分终端的安全装置,同时却利用前一个第一密钥(Cwi-1)对数据包加密。
按照这种方式,盗印者不得不通过向盗印解码器传输利用虚假密钥解密的第一密钥,响应该ECM。借助盗印者发布的该虚假密钥,可跟踪被解开的智能卡。服务提供者实际上使用前一个第一密钥对下一个数据包加密编码,从而所有用户可利用通常仍然存在于解码器中的前一个第一密钥,译解该数据包。
下面将参考附图进一步说明本发明,在附图中,表示了广播应用的条件访问系统的一个实施例,在该条件访问系统中,实现了本发明的方法的一个实施例。
图1示意地表示了广播应用的条件访问系统,在该系统中实现了本发明的方法的一个实施例;图2示意地表示了供图1的条件访问系统使用的密钥分级结构的一个例子。
在如图所示的广播应用中,三个广播装置1-3与多路复用器4耦接,多路复用器4包含对广播装置1-3提供的广播信号进行扰频,编码和压缩的装置。这样得到的数字数据流按照,例如MPEG-2标准被多路复用成数字传送流。在所示的实施例中,在传输之前,该数字传送流由调制器5调制。包括多路复用器4和调制器5的设备的操作者负责把信号传输给公众的接收设备,以举例的方式表示了电视机6。信号的传输可由包括卫星链路7,地面链路8或者有线系统9的一个或多个远程通信信道进行。广播装置1-3中的一个或多个可以是按照收费电视(它暗示着预约)的原理工作的专用广播装置。这意味着希望观看由特定广播装置广播的节目的人们必须预订这样的广播,并支付适当的费用。
获取由广播装置1-3提供的任意广播信号需要终端10,对于预约要求服务来说,终端10包括条件访问模块11和安全装置12,安全装置12通常呈可与条件访问模块11相连的智能卡的形式。终端10的其它部分已知,不必详细描述。
在图1的广播应用中,广播装置1可以是使用具有许多用户的条件访问系统的收费电视控制器,每个用户具有一个终端10,终端10具有条件访问模块11和智能卡12。这种条件访问系统可使用密钥分级结构,图2中示意地表示了密钥分级结构的一个例子。广播装置方表示在图2的左侧,而用户方表示在图2的右侧。如图所示,广播装置借助扰频器13对源信号扰频,其中利用第一密钥或控制字Cw对源信号扰频。按照这种方式,得到加密源信号,该加密源信号被多路复用器4多路复用。在用户一侧,在伪随机序列译码器14中,利用第一密钥Cw对加密源信号进行译码,以便得到明文源信号。出于安全的原因,通常以较高的速率改变密钥Cw,例如,每10秒钟改变一次。
在如附图标记15所示的利用服务密钥PT扰频的所谓的权利控制消息(ECM)中,把控制字或密钥Cw发送给用户。如附图标记16所示,在用户一侧,利用相同的服务密钥PT,对这些扰频后的ECM解密。在更高层的分级结构中,在如附图标记17所示,利用组密钥G扰频的所谓的权利管理消息(EMM)中,发送服务密钥PT,并如附图标记18所示,通过利用相同的组密钥G,在用户一侧对这些扰频后的EMM解密。最后,可利用单独的智能卡密钥和/或智能卡地址,把组密钥分配给用户。要理解的是密钥分级结构的这一例子只是对本发明的举例说明,而不是对本发明的限制。
当在广播装置1的用户间分配大量的智能卡12时,这些智能卡容易受到未授权人员的攻击,或者容易被盗版,从智能卡中抽取安全专用密钥。如果盗印者成功地抽取了专用密钥,则盗印者能够无障碍地获得条件访问系统中使用的任意密钥,并且可以通过因特网,向他的私人网络的用户分配密钥。
如果广播装置1注意到它的一个或多个智能卡12已被解开(crack),则它可按照下述方式启动关于解开的智能卡的搜索。
取代通常的EMM分配服务密钥PT,特殊的搜索EMM被发送给终端10,其中搜索EMM向一半用户提供真实的服务密钥PT和虚假的密钥PD1,并向另一半用户提供真实的服务密钥PT和第二个虚假的密钥PD2。通常,EMM包含服务密钥的标识符,按照相同的方式,搜索EMM也包含密钥PT和PD1或PD2的标识符。当然,这些搜索EMM将被合法用户和盗印者接收。在服务密钥PT将被用于对控制字Cw解密之前很短的时间,发布包括指示将用于对控制字Cw解密的密钥,即真实的服务密钥PT的标识符的ECM。
包含服务密钥PT的标识符的ECM提供的预警刚好足以在需要控制字对加密的源信号进行解密之前,解开控制字Cw。这意味着尽管盗印者也收到真实的服务密钥PT的标识符,但是在发布ECM的时候,盗印者没有足够的时间在因特网上预先发布正确的密钥PT。如果盗印者不采取任何进一步的动作,则盗印者用户的屏幕将每隔几分钟,甚至每隔几秒钟消隐图象。这意味着盗印者不得不在ECM被传输之前,发布对ECM解密所需的密钥。通过发布虚假密钥PD1或PD2,可借助如上所述的连续重复步骤,查出盗印者的位置。
所述方法的优点在于由于合法用户的智能卡12具有使用正确的服务密钥对控制字Cw解码的足够时间,因此不会使合法用户的屏幕变黑。
为了限制重复步骤的数目,可使用一组搜索EMM,其中该组搜索EMM中的每个搜索EMM提供两个密钥,即,真实的服务密钥PT和虚假的密钥PT1或PD2或...PDn。该组搜索EMM中的每个搜索EMM被发送给一组不同的智能卡,从而马上公布的虚假密钥PDi指出被解开的智能卡属于哪组智能卡。
为了进一步增大盗印者的困难,可采用下述方法,其中使用了加密源信号的一些特征。通常,加密数据流包括数据包,其中利用下一个第一密钥Cwi对每个下一数据包或数据包组加密编码。数据包或数据包组的报头标记指示用于加密编码的第一密钥的序列号i,从而终端10知道为了对接收的数据包或数据包组解码,必须使用提供的第一密钥中的哪一个密钥。根据本发明,指出下一密钥将是虚假密钥PD1或PD2之一的ECM被传输。但是,利用前一个第一密钥Cwi-1对下一数据包或数据包组加密编码。由于盗印者不能区别不同的密钥,并且不能预测关于使用特定密钥的指示的真假,因此盗印者将不得不发布利用虚假的密钥译解的密钥。通过发布该译解密钥,借助如上所述的连续重复步骤,可查找盗印者的位置。在用户处,数据包的报头标记将导致控制字Cwi-1的使用,从而获得终端的正常操作。在盗印者具有快速响应系统的情况下,可优先使用这种方法,快速响应系统使盗印者能够只发布解密的第一密钥,而不发布虚假的密钥。
在所述方法的一个备选实施例中,可通过利用一种类型的加密技术跟踪解开的安全装置,其中能够产生一组密钥,每个密钥能够对同一密码解密。作为这种密码技术的一个例子,可使用RSA多密钥加密算法或者秘密分享(secret-sharing)算法。由于加密技术本身不是本发明的一部分,因此这种类型的加密技术的进一步说明,请参考BruceSchneier的著作Applied Cryptography,尤其是第23章。例如,利用具有能够对EMM解密的一组密钥Pi的多密钥算法,对EMM加密。根据该组密钥的密钥数目,以及终端的数目,每个终端或每组终端被提供一个不同的密钥Pi,从而如果盗印者广播该密钥,则源头,即被解开的安全装置就可被跟踪。另外还能够把这种特殊类型的加密技术应用于源信号,从而取代一个控制字Cw,一组控制字Ci能够对加密的源信号解密。
利用秘密分享算法可获得同样的结果,其中为了得到获得控制字所需的密钥,需要一个或多个共享。通过把不同的共享分配给不同的终端或者终端组,可跟踪被解开的安全装置。
要指出的是密钥或共享的数目不必很大。通过改变分组结构,即,关于不同组的终端分配,通过监视盗印者重播的密钥或共享序列,能够跟踪被解开的安全装置。在所有上面描述的本发明的实施例中,都可应用改变分组结构的相同方法。
如果认为在搜索被解开的智能卡的过程中,合法用户具有非常有限的黑屏屏幕是可接受的,则可使用下述方法。把一组特殊的搜索EMM分配给所有智能卡,其中每组用户接收一个虚假的服务密钥PF。盗印者将分配识别被解开的智能卡所属组的虚假服务密钥。在下一步骤中,通过在该组内分配另一组虚假密钥,可在该组内,查出被解开的智能卡的位置。
在上面描述的实施例中,条件访问模块11和安全装置12被表示为物理分离的装置。不过条件访问模块和/或安全装置也可以是终端10的一部分,或者通过适当的编程,实现于终端10中。于是,说明书和权利要求中使用的术语“条件访问模块11”和“安全装置12”并不局限于物理分离的部件。
本发明并不局限于上面描述的实施例,在权利要求的范围内,可以多种方式改变上述实施例。
权利要求
1.广播应用的条件访问系统的操作方法,所述条件访问系统包括多个用户,每个用户具有包括条件访问模块和存储权利的安全装置的终端,其中利用第一密钥对源信号加密,所述第一密钥高速变化,所述加密源信号被广播,以便由终端接收,其中权利控制消息被发送给安全装置,所述权利控制消息包含利用服务密钥加密的第一密钥,其中权利管理消息被发送给提供对加密第一密钥解密所需的服务密钥的安全装置,其中通过向不同的终端或终端组发送不同的获得第一密钥所需的密钥,并且监视由盗印者提供的密钥信息,跟踪未经许可被使用的被解密的安全装置,其中通过利用多密钥或秘密共享加密算法,对源信号或权利控制消息加密,所述多密钥或秘密共享加密算法具有对加密源信号或权利控制消息解密所需的多个不同的解密密钥或共享,其中所述多个不同的解密密钥或共享至少被发送给一部分终端,从而不同的终端或者终端组按照预定的分配,接收不同的密钥或共享。
2.按照权利要求1所述的方法,其中在成组的终端中,终端的分配被改变,以便跟踪被解开的安全装置。
全文摘要
在广播应用的条件访问系统的一种操作方法中,利用第一密钥(C
文档编号H04N7/16GK1984312SQ200610159270
公开日2007年6月20日 申请日期2000年12月18日 优先权日1999年12月22日
发明者安德鲁·A.·瓦杰斯, 罗伯特·弗朗斯顿克 申请人:耶德托存取公司