专利名称:一种实现广播网络条件接收的方法和系统的制作方法
技术领域:
本发明涉及广播网络,具体涉及一种实现广播网络条件接收的方法和系统。
背景技术:
电视广播的数字化为对每个用户的管理提供了条件。在对用户的服务的 接入控制上,在国际上通常采用的方法是利用条件接收系统来管理。条件接收系统通常由三级密钥体系来实现,如图l所示。服务的数据流被控制字CW( control word)用通用的加密方式加扰。为了提高系统的安全 性,控制字可以在线更换,新的控制字被对称密钥加密后形成ECM(Entitle Control Message授权控制信息),在码流中随着服务数据一起发送给接收 机。用来加密控制字的密钥被称为服务密钥SK (ServiceKey) 。 SK也可以 在码流中被更新。SK在网络的前端被一对非对称密钥的公钥加密后,加入 到EMM (Entitle Manage Message授权管理信息)中,在网络中广播。在接 收端,只有拥有了这对密钥中私钥的接收机才能解开这个SK,从而得到相 应的服务的CW,解扰相应的服务数据,正常接收服务。所以在前端会针对 每个接收机的授权情况,用这个接收机私钥的公钥加密这个接收机应得的 SK,发送到网络中。由于CW和SK都可以在网络中更新,对于条件接收系 统的攻击一般集中在对接收机的私钥的破译上。在传统的广播网络的条件接收系统中,对终端用户的加密授权通常采用 智能卡授权方式,用智能卡保证SK的传播的安全性。在用户接收端,每个 接收机配有一张接收智能卡。接收控制智能卡中保存着一个私钥。网络头端 将这个接收机可以接收的服务的SK,用这个接收机所匹配的公钥加密,发 送到网络中。在接受端,智能卡利用卡中的私钥解出码流中加密的SK,并 用SK解出CW,将CW送给接收机,由接收机通过CW解扰相应的服务数据。私钥的安全由智能卡的技术来保证。利用智能卡的物理特性和运算功能,使SK和CW的解密运算在卡内运行,保证了秘密不被外界所获悉,从 而安全性得到保证。智能卡中的私钥具有的唯一性和不易复制性,该私钥在 智能卡中应该无法被读出和复制,保证了私钥的安全,使智能卡可以在广播 网中唯一得到从前端发送给这张智能卡的信息。但是现在的一些技术使复制智能卡成为可能。复制后的智能卡可以在克 隆的接收机上使用,盗取服务。而且这种盗用可以通过复制智能卡的传播而 传播。发明内容针对以上不足,本发明提出了 一种实现广播网络条件接收的方法和系 统,能够在不依靠存储介质保存用户私钥的情况下实现条件接收。本发明采用的技术方案是一种实现广播网络的条件接收的方法,其特征在于,包括(a) 每个服务的数据用控制字加扰后发送到网络中;(b) 产生模块1和模块2并发送到网络中; 以上步骤不受顺序限制,以下步骤按顺序进行(c) 将每个服务对应的控制字加密后,形成控制信息,发送到网络中;(d) 接收机在网络中获取并下载模块1;(e) 模块1在接收机上运行,校验所述接收机的合法性;如果所述接 收机被验证为合法的接收机,执行步骤(f);(f) 模块1根据所述接收机的服务授权情况,在网络中为所述接收机 下载相应的模块2;(g) 模块2在接收机上运行,解密网络中的控制信息得到控制字,并将控制字输出给所述接收机;接收机接收服务数据后,利用所述控制字解扰 对应的服务数据。进一步地,所述步骤(b)中,将密钥加密后保存在相应的模块2中; 每个密钥有对应的模块2;所述密钥被散布在模块2的程序中;所迷步骤(c)中,将控制字用所述密钥加密;所述步骤(g)中,模块2运行后先解密出密钥,然后根据该密钥解密 控制信息得到控制字。进一步地,所述步骤(e)中,模块1校验接收机合法性的方法是用 接收机中存贮的证书计算接收机唯一标识符的数字签名,如果计算出的数字 签名与存贮在接收机中的一致,认为该接收机合法。进一步地,所述步骤(d)之前的任一步骤中还包括根据每个接收机 的服务授权情况构造授权信息,发送到网络中;所述步骤(f)中,模块1解析网络中的授权信息,得到所述接收机的 服务授权情况。进一步地,所述步骤(f)中,模块1根据所述接收机的唯一标识符从 所述授权信息中得到该接收机的服务授权情况。本发明还提供了一种实现广播网络的条件接收的系统,其特征在于,包 括服务器l、服务器2、服务器3、复用器、加扰器、网络、接收机。所述服务器1产生模块1和模块2并发送给复用器;所述服务器2从加扰器得到控制字,将控制字加密形成控制信息发送给 复用器;所述服务器3从根据每个接收机的服务授权情况构造授权信息并发送 给复用器;所述加扰器利用控制字对服务数据进行加扰后将其发送给复用器;所述复用器将控制信息,授权信息和模块l、模块2插入到加扰后的服 务数据中发送到网络中;所述模块1被下载后对接收机进行合法性验证,并通过解析网络中的授 权信息,为合法的接收机从网络中下栽与其服务授权情况相对应的模块2;所述模块2被下载后解密网络中的控制信息,得到的控制字输出给接收机;所述接收机从网络中获取模块1;并通过网络接收服务数据,根据模块 2输出的控制字解扰服务数据。进一步地,所述服务器1将加密后的密钥保存在模块2中,并将模块2 传递给服务器2;所述密钥被散布在模块2的程序中;所述模块2被下载到接收机后解密出密钥,并根据所述密钥解密网络中 的控制信息;所述服务器2运行服务器1传递来的模块2得到密钥,用该密钥加密控 制字。进一步地,所述接收机中存贮有唯一标识符、证书及该证书对唯一标识 符的数字签名;所述模块1通过用所述证书计算所述唯一标识符的数字签名,对接收机 进行合法性验证如果计算出的数字签名与存贮在接收机中的一致,认为该 才妄收机合法;所述模块1根据所述唯一标识符从授权信息中得到接收机的服务授权情况。进一步地,所述服务器1定时或根据操作者的要求更新所述密钥,生成 相应新的模块2发送给服务器2和复用器;然后通过信令通知接收机重新下 载模块2;所述服务器2根据新的模块2中的新密钥加密控制字,形成新的 控制信息发送给复用器;复用机将新的模块2及新的控制信息发送到网络 中。进一步地,所述服务器1定时或根据操作者的要求更新加密所述密钥的 方法,同时根据新的加密方法加密密钥,并相应生成新的模块2发送给服务 器2和复用器,然后通过信令通知接收机重新下栽模块2;复用机将新的模 块2发送到网络中。本发明的技术方案无须使用智能卡等安全存储介质来保存用户私钥,利 用接收机的唯一标识符就能对用户的授权情况进行验证,从而能够将解扰服务数据用的控制字安全准确地传送给合法的接收机,以实现条件接收;并且 加密所述控制字的密钥的加密解密方法也可以更新,使该密钥在网络中的传 递不易被跟踪和破解。
图l是现有技术中条件接收系统的三级密钥体系示意图;图2是本发明实现广播网络条件接收的方法的具体实施流程图;图3是本发明实现广播网络条件接收的系统的具体实施框图。
具体实施方式
下面将结合附图和具体实施例对本发明进行更详细的阐述。一种实现广播网络条件接收的方法,如图2所示,包括以下步骤a、 每个服务的数据用相同或不同的控制字CW加扰后发送到网络中;b、 产生并发送进网络两段可在接收机中运行的程序称为模块1和模 块2;将解密控制信息用的密钥再加密后保存在模块2中,其中所述密钥散 布在模块2的程序中,或者说隐藏在模块2中。每个密钥有对应的模块2。以上步骤不受顺序限制,以下步骤按顺序进行c、 将每个服务对应的控制字CW用相同或不同的密钥加密后,形成控 制信息,与加扰的服务数据码流一起,发送到网络中。每个服务有对应的控 制字,也就有对应的密钥,因此每个服务有对应的模块2。在进行步骤d前,还要根据每个接收机的服务授权情况构造授权信息, 发送到网络中;构造和发送授权信息只要是在步骤d前完成即可,放在a到 c中任意一个步骤里都行;比如在具体实施时,可以但不限于放在步骤c中。d、 接收机在网络中获取并下载模块1;可以设定由前端网络设备在网 络中发布信令,当接收机开机后,听取网络中的信令,获取并下载模块l。e、 模块1在该接收机上运行以后,利用所述接收机硬件中的UID (唯 一标识符)和数字签名校验其合法性。每个接收机在出厂前存贮了一个认可的合法的证书,和这个证书对这个接收机的UID的数字签名。模块1在被 下载到接收机以后,读出这个接收机的UID,用存贮的证书对这个读出的 UID计算数字签名。如果这个计算出的数字签名与出厂时存贮的签名相同, 这个接收机就被认为是合法的接收机,进行步骤f。f、 模块1解析网络中的授权信息,根据接收机的UID得到该接收机的 服务授权情况一一即该接收机有权接收哪些服务;然后在网路中找到与该接 收机的服务授权情况相对应的模块2——即该接收机有权接收的服务所对应 的模块2,并将模块2下载到该接收机上。g、 模块2在该接收机上运行以后,解密得出密钥。根据该密钥解密网 络中的控制信息,得到CW并输出给接收机;接收机接收服务数据后,利用 所述CW解扰对应的服务数据,从而实现广播网络的条件接收。一种实现广播网络条件接收的系统,不需要额外的硬件介质来保存私 钥,如图3所示,包括服务器l、服务器2、服务器3、复用器、加扰器、 网络、接收机。所述服务器l产生密钥,并将密钥加密后隐藏在模块2中,将模块2传 递给服务器2及复用器;所述服务器1还产生模块1并传递给复用器。所述服务器2从服务器1得到模块2,运行模块2,得到加密密钥;从 加扰器得到CW,将CW用服务器1传递来的密钥加密,形成控制信息并发 送给复用器。所述服务器3得到每个接收机的服务授权情况,即每个接收机目前可以 观看的电视节目;根据该服务授权情况构造授权信息,并发送给复用器,所 述信息的内容包括每个接收机的服务授权的情况。所述加扰器利用CW对服务数据进行加扰后将其发送给复用器。所述复用器将控制信息,授权信息和模块l、模块2插入到加扰后的服 务数据中发送到网络中。所述接收机中存贮有唯一标识符UID、证书及该证书对UID的数字签 名;所述接收机接收到网络中的信令后,从网络中获取模块l;通过网络接收服务数据,并根据模块2输出的CW解扰服务数据。所述模块1被接收机下栽后在接收机上运行,利用接收机的UID、证书 及数字签名对所在的接收机进行合法性验证,并通过解析网络中的授权信 息,为合法的接收机从网络中下载与其服务授权情况相对应的模块2。模块 1是利用接收机中的硬件UID在授权信息中得到相应的服务授权情况,从而 为接收机下载相应的模块2。所述模块2中保存有加密后的密钥,其被下栽带接收机后运行,解密得 到密钥,并将根据所述密钥及网络中的控制信息解密得到的CW输出给接收机。在本发明的系统中,每个服务数据流被cw加扰,多个服务的cw被相 同或不同的密钥加密后插入数据流入网络传播。前端的服务器l,在网络中为每个加密CW的密钥产生相应的模块2,传输到网络中,并定时或按搡作 者一一如服务提供者的要求更新密钥和与之对应的模块2。接收端原来由智能卡完成的功能,在本发明中是由两个功能模块一一模 块i和模块2共同实现的。模块1对接收机进行合法性验证;以及解析网络 中的指令和授权信息,为合法的接收机下载指定的模块2;模块2解密网络 中传送的CW,从而使接收机可以接收到授权的服务。这两个模块都由服务 器1产生并存贮在其中,通过服务器1和复用器发送到网络中,并被下载到 接收机中运行。模块1需要保证为合法的接收机下载指定的模块2,而不能为仿制或克 隆的接收机下载模块2。这是利用UID具有唯一性,无法复制的特点,通过 数字签名的方法来保证的。模块l开始下载之前,需要对接收机的合法性进 行验证。只有通过了合法性验证的接收机上,模块1才开始运行下载部分的 程序。这样就避免了用克隆或仿制的接收机来骗取模块1下载模块2的可能。模块l解析网络中的授权信息,得到当前的接收机的服务授权情况。这 个授权信息的映射是通过UID来实现的。模块1在网络中寻找与接收机被 授权的服务相匹配的模块2,下载到接收机。模块2的运行是由模块1来激活的。通过模块1对接收机的合法性的验证,模块2也只能为合法且获得授权的接收机服务。模块2包括加密后的密钥,模块2的功能是从自身提取出这个密钥,并 使用这个密钥解析出CW。密钥被散布在程序代码中,使模块2即使被截获, 也很难从截获的模块2中提取出密钥。同时可以通过对程序的控制逻辑和时 序的复杂化,或通过操作系统用多线程的方式实现解密程序,使程序本身的 跟踪难度提高。另外,模块2在网络中传递而不是存贮在存储介质中,这使得系统不仅 可以更新加密CW的密钥,也可以更新加密密钥的方法。更新密钥的实现步骤是服务器1产生新的密钥并相应产生新的模块2 发送给服务器2和复用器,然后通过信令通知接收机重新下栽模块2;服务 器2根据新的模块2形成新的控制信息,并发送给复用器;复用机将新的模 块2及新的控制信息发送到网络中;新的模块2中包含有新的密钥,模块2 的功能支持解密密钥和解密CW。更新加密密钥的方法的实现步骤是 一艮据新的加密方法加密密钥,并相 应产生新的模块2发送给复用机,然后通过信令通知接收机重新下栽模块2; 复用机将新的模块2发送到网络中;新的模块2中包含有用新密钥加密后的 密钥,模块2的功能支持用新的方法解密密钥和解密CW。接收机接收到信令后,先下载模块l,然后通过模块1下载新的模块2。下面用一个应用实例来进一步说明本发明的技术方案。本实例应用在HFC (Hybrid Fiber - Coaxial光纤/同轴电缆混合)网络 中。实现广播网络的条件接收的系统是通过HFC前端系统和包含有接收端 模块的机顶盒共同组成的。这个系统中,与节目流条件接收系统相关的有两 个数据流控制信息和授权信息。由服务密钥加密处理后的CW在控制信息 中传送。授权信息中包含对每个机顶盒的用户授权信息。服务器1为机顶盒 产生的模块1及模块2也以数据流的形式在网络中传播。如图3所示,该系统包括服务器2、服务器3 、复用器、加扰器、QAM (正交振幅调制器)、HFC网络、服务器l。
所迷服务器l产生服务密钥,并为每个服务密钥产生对应的模块2;服务器1加密服务密钥,将加密后的服务密钥散布在模块2的程序代码中并将 模块2传递给服务器2和复用器;模块2的功能包括解密服务密钥和解密 CW;所述服务器1还产生模块1并发送给复用器。服务器1会定时或按操 作者的要求更新服务密钥和与之对应的模块2;更新的实现步骤是服务器 l产生新的服务密钥,并根据新的加密方法加密该新的密钥,产生新的模块 2保存加密后的新密钥,支持新解密方法,将新的模块2发送给服务器2和 复用器,然后通过信令通知机顶盒重新下载模块2;服务器2根据新的服务 密钥加密CW形成新的控制信息,并发送给复用器。
所述模块1被下载后在机顶盒中运行,对所在的机顶盒进行合法性验 证,并通过解析网络中的授权信息,为合法的机顶盒在HFC网络中下载与 其服务授权情况相对应的模块2。模块1是利用机顶盒中的硬件UID、证书 和数字签名,对机顶盒进行合法性验证;并利用UID寻找相应的4莫块2。
所述模块2保存有加密后的服务密钥,功能支持解密服务密钥及CW的 方法,其被下载后在机顶盒中运行,解密得到服务密钥,并根据服务密钥及 HFC网络中的控制信息解密得到CW,然后将CW输出给机顶盒。
所述服务器2从加扰器得到CW,将CW用服务器1传递来的模块2中 解析出来的服务密钥加密,形成控制信息并发送给复用器。
所述服务器3从用户管理数据库得到每个机顶盒的服务授权情况,即用 户通过机顶盒目前可以观看的电视节目;根据该服务授权情况构造授权信息 并发送给复用器,所述信息的内容包括每个机顶盒的服务授权的情况。
所述加扰器利用CW对服务数据进行加扰后将其发送给复用器。
所述复用器将控制信息、授权信息和模块l、模块2插入到加扰后的服 务数据中,然后将该服务数据通过QAM调制后发送到HFC网络中。
所述机顶盒中存贮有唯一标识符UID、证书及该证书对UID的数字签 名;所述机顶盒接收到HFC网络中的信令后,从HFC网络中下载模块1;然后通过HFC网络接收服务数据,并才艮据才莫块2输出的CW解扰服务数据。 比如当用户取得了对某些节目的授权后,在授权信息中,该用户所使用
的机顶盒的UID所对应的授权信息中就会包含有这些节目;模块1通过解 析授权信息,得知机顶盒有权观看哪些节目,然后将对应于这些节目的模块 2下载到机顶盒中,使机顶盒可以解扰取得授权的电视节目。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的 形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1. 一种实现广播网络的条件接收的方法,其特征在于,包括(a)每个服务的数据用控制字加扰后发送到网络中;(b)产生模块1和模块2并发送到网络中;以上步骤不受顺序限制,以下步骤按顺序进行(c)将每个服务对应的控制字加密后,形成控制信息,发送到网络中;(d)接收机在网络中获取并下载模块1;(e)模块1在接收机上运行,校验所述接收机的合法性;如果所述接收机被验证为合法的接收机,执行步骤(f);(f)模块1根据所述接收机的服务授权情况,在网络中为所述接收机下载相应的模块2;(g)模块2在接收机上运行,解密网络中的控制信息得到控制字,并将控制字输出给所述接收机;接收机接收服务数据后,利用所述控制字解扰对应的服务数据。
2. 如权利要求l所述的方法,其特征在于,所述步骤(b)中,将密钥 加密后保存在相应的模块2中;每个密钥有对应的模块2;所述密钥被散布 在模块2的程序中;所述步骤(c)中,将控制字用所述密钥加密;所述步骤(g)中,模块2运行后先解密出密钥,然后根据该密钥解密 控制信息得到控制字。
3. 如权利要求l所述的方法,其特征在于,所述步骤(e)中,模块l 校验接收机合法性的方法是用接收机中存贮的证书计算接收机唯一标识符 的数字签名,如果计算出的数字签名与存贮在接收机中的一致,认为该接收 机合法。
4. 如权利要求1到3中任一项所述的方法,其特征在于,所述步骤(d) 之前的任一步骤中还包括根据每个接收机的服务授权情况构造授权信息, 发送到网络中;所述步骤(f)中,4莫块1解析网络中的授权信息,得到所述接收机的 服务授权情况。
5、 如权利要求4所迷的方法,其特征在于,所述步骤(f)中,模块l 根据所述接收机的唯一标识符从所迷授权信息中得到该接收机的服务授权 情况。
6、 一种实现广播网络的条件接收的系统,其特征在于,包括服务器l、 服务器2、服务器3、复用器、加扰器、网络、接收机。所述服务器1产生模块1和模块2并发送给复用器;所述服务器2从加扰器得到控制字,将控制字加密形成控制信息发送给 复用器;所述服务器3从根据每个接收机的服务授权情况构造授权信息并发送 给复用器;所述加扰器利用控制字对服务数据进行加扰后将其发送给复用器;所迷复用器将控制信息,授权信息和模块l、模块2插入到加扰后的服 务数据中发送到网络中;所述模块1被下载后对接收机进行合法性验证,并通过解析网络中的授 权信息,为合法的接收机从网络中下栽与其服务授权情况相对应的模块2;所述模块2被下载后解密网络中的控制信息,得到的控制字输出给接收机;所述接收机从网络中获取模块1;并通过网络接收服务数据,根据模块 2输出的控制字解扰服务数据。
7、 如权利要求6所述的系统,其特征在于,所述服务器l将加密后的 密钥保存在模块2中,并将模块2传递给服务器2;所述密钥被散布在模块 2的程序中;所述模块2被下载到接收机后解密出密钥,并根据所述密钥解密网络中 的控制信息;所述服务器2运行服务器l传递来的模块2得到密钥,用该密钥加密控制字。
8、 如权利要求6所述的系统,其特征在于所述接收机中存贮有唯一 标识符、证书及该证书对唯一标识符的数字签名;所述冲莫块1通过用所述证书计算所述唯一标识符的数字签名,对接收机 进行合法性验证如果计算出的数字签名与存贮在接收机中的一致,认为该 接收机合法;所述模块1根据所述唯一标识符从授权信息中得到接收机的服务授权情况。
9、 如权利要求7所述的系统,其特征在于,所述服务器1定时或根据 搡作者的要求更新所述密钥,生成相应新的模块2发送给服务器2和复用器; 然后通过信令通知接收机重新下载模块2;所述服务器2根据新的模块2中 的新密钥加密控制字,形成新的控制信息发送给复用器;复用机将新的模块 2及新的控制信息发送到网络中。
10、 如权利要求7所述的系统,其特征在于,所述服务器l定时或根据 操作者的要求更新加密所述密钥的方法,同时根据新的加密方法加密密钥, 并相应生成新的模块2发送给服务器2和复用器,然后通过信令通知接收机 重新下载模块2;复用机将新的模块2发送到网络中。
全文摘要
本发明公开了一种实现广播网络的条件接收的方法和系统,系统包括服务器1、服务器2、服务器3、复用器、加扰器、网络、接收机。方法包括加扰服务数据并加密控制字;产生模块1和模块2;接收机下载模块1;模块1在接收机上运行,校验所述接收机的合法性,并为合法接收机下载相应的模块2;模块2解密控制字;接收机接收服务数据后,利用所述控制字解扰对应的服务数据。采用了本发明的技术方案后,无须使用额外的硬件安全介质来保存用户私钥,也能对用户的授权情况进行验证,实现条件接收;并且密钥在网络中的传递不易被跟踪和破解。
文档编号H04N7/16GK101227586SQ20071006272
公开日2008年7月23日 申请日期2007年1月15日 优先权日2007年1月15日
发明者杜聚龙, 波 范, 鲍海兵 申请人:北京邦天科技有限公司