专利名称:条件接收系统前端和用户管理系统的制作方法
技术领域:
本实用新型涉及数字电视领域,特别涉及一种条件接收系统前端和用户管理系 统。
背景技术:
条件接收系统(CAS,Conditional Access System)是用来控制用户广播服务或节 目接收的系统,即用户只能收看经过授权的广播服务或节目,其目的是在电视系统中对用 户进行授权控制及授权管理,从而实现数据广播系统的有偿服务。用户管理系统(SMS,Subscriber Management System)是数字电视运营商和用户 之间的桥梁,通过该系统可以实现运营商的用户管理和服务。但是在实现本实用新型的过程中发明人发现现有技术的缺陷在于不能保证条件 接收系统和用户管理系统之间数据传输的安全性,从而不能防止非法者的攻击,也不能防 止域名系统(DNS,Domain Name System)和 IP 欺骗。
实用新型内容本实用新型实施例提供一种条件接收系统前端和用户管理系统,通过在条件接收 系统前端和用户管理系统之间通过认证方式建立基于安全外壳(SSH:SeCUre Shell)协议 的安全通信通道,可对条件接收系统前端和用户管理系统之间所有传输的数据进行加密, 包括对各种密钥进行加密。可提高条件接收系统前端和用户管理系统之间数据传输的安全 性。本实用新型实施例提供一种条件接收系统前端,该条件接收系统前端包括第一通道建立单元,用于与用户管理系统之间建立基于安全外壳SSH协议的通信 通道;第一数据传输单元,用于利用该第一通道建立单元建立的通信通道进行数据传 输。本实用新型实施例提供一种用户管理系统,该用户管理系统包括第二通道建立单元,用于与条件接收系统前端之间建立基于安全外壳SSH协议的 通信通道;第二数据传输单元,用于利用该第二通道建立单元建立的通信通道进行数据传 输。本实用新型实施例的有益效果在于,在条件接收系统前端和用户管理系统之间建 立SSH安全通道,可以把所有传输的数据进行加密,这样不但可以防止非法者的攻击,而且 能够防止DNS和IP欺骗。
此处所说明的附图用来提供对本实用新型的进一步理解,构成本申请的一部分,并不构成对本实用新型的限定。在附图中图1是本实用新型实施例1的条件接收系统前端的构成示意图;图2是本实用新型实施例1的第一通道建立单元的构成示意图;图3是本实用新型实施例2的用户管理系统的构成示意图;图4是本实用新型实施例2的第二通道建立单元的构成示意图;图5是本实用新型实施例3的基于SSH协议的数字电视系统前端的构成示意图;图6是本实用新型实施例3的数字电视系统前端的工作流程图。
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚明白,
以下结合附图对本实用 新型实施例作进一步详细说明。在此,本实用新型的示意性实施例及其说明用于解释本实 用新型,但并不作为对本实用新型的限定。实施例1本实用新型实施例提供一种条件接收系统前端,如图1所示,该条件接收系统前 端包括第一通道建立单元101和第一数据传输单元102 ;其中,该第一通道建立单元101用于与用户管理系统之间建立基于安全外壳SSH 协议的通信通道;该第一数据传输单元102用于利用该第一通道建立单元101建立的通信 通道进行数据传输。在本实施例中,该第一通道建立单元101中可通过运行一个守护进程,响应来自 该用户管理系统的通道建立请求,以此建立SSH安全连接。例如,该第一通道建立单元101 可启动一个守护进程,该守护进程会自动运行起来并在相应的端口进行监听并一直等待该 用户管理系统发送的通道建立请求;当该请求到来的时候,该守护进程可产生一个子进程, 由该子进程进行这次的连接建立处理。在本实施例中,当该条件接收系统前端的该第一通道建立单元101和用户管理系 统之间确定SSH安全通道建立以后,该第一数据传输单元102和用户管理系统可通过该SSH 安全通道传输数据。这样,为条件接收系统前端和用户管理系统的网络通信提供了“加密隧 道”的安全通信机制,不但可以对通信内容进行极为安全的加密保护,同时也强化了对用户 管理系统身份验证的安全机制。在本实施例中,如图2所示,该第一通道建立单元101包括请求接收单元201、认 证单元202、第一加密单元203、第一发送单元204、第一信息接收单元205、第一解密单元 206和第一通道确定单元207 ;其中,请求接收单元201,用于接收用户管理系统发送的包括用户管理系统公钥的 通道建立请求;认证单元202,与该请求接收单元201连接,用于确定接收到的该用户管理系统公 钥与预存的用户管理系统公钥是否一致;其中,条件接收系统前端可接收用户管理系统发 送的用户管理系统公钥并储存该用户管理系统公钥;第一加密单元203,与该认证单元202连接,用于在该认证单元202确定接收到的 用户管理系统公钥与预存的用户管理系统公钥一致时,利用该用户管理系统公钥对包括条 件接收系统前端公钥的身份确认信息进行加密;[0030]其中,该身份确认信息除了包括条件接收系统公钥外,还包括用来协商会话密钥 的数据,与现有技术类似,此处不再赘述。第一发送单元204,与该第一加密单元203连接,用于将该第一加密单元203加密 的身份确认信息向该用户管理系统发送;第一信息接收单元205,用于接收用户管理系统根据加密的身份确认信息返回的 信息,返回的信息是该用户管理系统利用从加密的身份确认信息获得的条件接收系统前端 公钥加密的信息;第一解密单元206,与该第一信息接收单元205连接,用于利用条件接收系统前端 私钥对该第一信息接收单元205接收的信息进行解密;第一通道确定单元207,与该第一解密单元206连接,用于在该第一解密单元206 解密成功时,确定该条件接收系统前端和该用户管理系统之间建立了基于SSH协议的通信 通道。如图1所示,该条件接收系统前端还包括第一密钥生成单元103、密钥接收单元 104和第一存储单元105 ;其中,第一密钥生成单元103,用于生成条件接收系统前端公钥和条件接收系统私 钥;密钥接收单元104,用于接收该用户管理系统发送的该用户管理系统生成的用户管理 系统公钥;第一存储单元105,与该第一密钥生成单元103和密钥接收单元104连接,用于 储存该第一密钥生成单元103生成的条件接收系统前端公钥和条件接收系统私钥;以及该 密钥接收单元104接收的用户管理系统公钥。由上述实施例可知,通过在条件接收系统前端和用户管理系统之间通过认证方式 建立基于SSH协议的安全通信通道,可对条件接收系统前端和用户管理系统之间所有传输 的数据进行加密,包括对各种密钥进行加密。这样不但可以防止非法攻击,而且能够防止 DNS和IP欺骗。实施例2本实用新型实施例提供一种用户管理系统,如图3所示,该用户管理系统包括第 二通道建立单元301和第二数据传输单元302 ;其中,第二通道建立单元301用于与条件接收系统前端之间建立基于安全外壳 SSH协议的通信通道;第二数据传输单元302用于利用该第二通道建立单元301建立的通 信通道进行数据传输。在本实施例中,当该用户管理系统的该第二通道建立单元301和条件接收系统前 端之间确定SSH安全通道建立以后,该第二数据传输单元302和条件接收系统前端可通过 该SSH安全通道传输数据。这样,为条件接收系统前端和用户管理系统的网络通信提供了 “加密隧道”的安全通信机制,不但可以对通信内容进行极为安全的加密保护,同时也强化 了对用户管理系统身份验证的安全机制。在本实施例中,如图4所示,该第二通道建立单元301包括请求发送单元401、第 二信息接收单元402、第二解密单元403、第二加密单元404和第二发送单元405 ;其中,请求发送单元401,用于向用户管理系统前端发送包括用户管理系统公钥的 通道建立请求;第二信息接收单元402,用于接收条件接收系统前端根据该通道建立请求返回的信息,其中,根据该通道建立请求返回的信息是该条件接收系统前端利用从通道建立请求 中获得的用户管理系统公钥对包括条件接收系统前端公钥的身份确认信息加密而获得的 fn息;第二解密单元403,与该第二信息接收单元402连接,用于利用预存的用户管理 系统私钥对该第二信息接收单元402接收到的信息进行解密,以获得条件接收系统前端公 钥;第二加密单元404,与该第二解密单元403连接,用于利用该第二解密单元403获 得的条件接收系统公钥对返回信息进行加密;第二发送单元405与该第二加密单元404连接,用于将该第二加密单元404加密 的信息向条件接收系统前端发送。如图3所示,该用户管理系统还包括第二密钥生成单元303、第二存储单元304 和密钥发送单元305 ;其中,第二密钥生成单元303,用于生成用户管理系统私钥与用户管理系统公钥; 第二存储单元304,用于存储该第二密钥生成单元303生成的该用户管理系统私钥与该用 户管理系统公钥;此外,该第二存储单元304还可储存第二解密单元403获得的条件接收系统前端 公钥;密钥发送单元305,用于将该第二密钥生成单元303生成的用户管理系统公钥向 条件接收系统前端发送。由上述实施例可知,通过在条件接收系统前端和用户管理系统之间通过认证方式 建立基于SSH协议的安全通信通道,可对条件接收系统前端和用户管理系统之间所有传输 的数据进行加密,包括对各种密钥进行加密,这样不但可以防止非法攻击,而且能够防止 DNS和IP欺骗。实施例3本实用新型实施例提供一种数字电视系统前端,如图5所示,该数字电视系统前 端包括条件接收系统前端501和用户管理系统502 ;其中,该条件接收系统前端501可为如实施例1所述的条件接收系统前端,该用户 管理系统502可为如实施例2所述的用户管理系统,此处不再赘述。以下结合图6,通过实例对数字电视系统中条件接收系统前端501与用户管理系 统502之间建立基于SSH协议的通信通道过程进行详细说明。如图6所示,建立基于SSH协议的通信通道的步骤包括步骤601,指定用户管理系统502的IP地址与端口作为条件接收系统前端501可 信任的IP地址与端口 ;在本实施例中,条件接收系统前端501为了提高远程管理的安全性,可特别进行 一个IP地址与端口的过滤,用来作为条件接收系统前端501可信任的IP地址与端口。通 过这种方式,则只有被信任的用户管理系统502的IP地址和端口才可以利用SSH安全连接 访问该条件接收系统前端501 ;而未经授权的用户管理系统502无权进行访问。步骤602,用户管理系统502和条件接收系统前端501分别生成密钥对;在本实施例中,该用户管理系统502可在启动时自动生成一对密钥,包括用户管理系统私钥和用户管理系统公钥,可将该密钥对保存在本地指定的文件中;同时,该用户管 理系统502将该用户管理系统公钥发送到该条件接收系统前端501 ;该条件接收系统前端 501接收到该用户管理系统公钥后进行存储。在本实施例中,该条件接收系统前端501也可在启动时自动生成一对密钥,包括 条件接收系统前端私钥和条件接收系统前端公钥,可将该密钥对保存在本地指定的文件 中。但不限于此,该条件接收系统前端501还可在接收到通道建立请求时生成该密钥对,可 根据实际情况确定。步骤603,用户管理系统502向条件接收系统前端501发出通道建立请求,该通道 建立请求中包括该用户管理系统502生成的用户管理系统公钥。步骤604,条件接收系统前端501确定接收到的用户管理系统公钥与预存的用户 管理系统公钥是否一致,若一致,则执行步骤605 ;否则,执行步骤610 ;在本实施例中,条件接收系统前端501可从本地存储单元查找预存的用户管理系 统公钥,然后将该预存的用户管理系统公钥和接收到的用户管理系统公钥进行比对,以确 定预存的用户管理系统公钥和接收到的用户管理系统公钥是否一致。步骤605,条件接收系统前端501在步骤604确定一致后,利用该用户管理系统公 钥加密包含条件接收系统前端公钥的身份确认信息,然后将该加密后的身份确认信息发送 给用户管理系统502。其中,该身份确认信息除了包括条件接收系统公钥外,还包括用来协商会话密钥 的数据,与现有技术类似,此处不再赘述。步骤606,用户管理系统502收到条件接收系统前端501发送的加密后的身份确认 信息后,利用预存的用户管理系统私钥对该加密后的身份确认信息进行解密;在本实施例中,该加密后的身份确认信息是该条件接收系统前端501利用从通道 建立请求中获得的用户管理系统公钥对包括条件接收系统前端公钥的身份确认信息加密 而获得的信息。该用户管理系统502用预存的用户管理系统私钥对该加密后的身份确认信 息进行解密后,可获得包括该条件接收系统前端公钥在内的信息。步骤607,用户管理系统502利用步骤606中获得的条件接收系统前端公钥加密相 关信息,并将该加密后的返回信息发送给条件接收系统前端501。其中,该相关信息可包括有关会话密钥协商的一些数据,与现有技术类似,此处不 再赘述。步骤608,条件接收系统前端501接收到用户管理系统502发送的加密后的返回信 息,用预存的条件接收系统前端私钥进行解密,若解密成功,则确认双方可以正确建立基于 SSH协议的通信通道,执行步骤609;若解密不成功,则确认双方不能建立基于SSH协议的通 信通道,执行步骤610。步骤609,条件接收系统前端501和用户管理系统502利用该通信通道进行数据的
安全传送。步骤610,通道建立过程结束。由上述实施例可知,通过在条件接收系统前端和用户管理系统之间通过认证方式 建立基于SSH协议的安全通信通道,可对条件接收系统前端和用户管理系统之间所有传输 的数据进行加密,包括对各种密钥进行加密。这样不但可以防止非法攻击,而且能够防止DNS和IP欺骗;此外,通过该通信通道传输的数据是经过压缩的,可以加快数据传输的速度。专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元 及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和 软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些 功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业 技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应 认为超出本实用新型的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的 软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器 (ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域 内所公知的任意其它形式的存储介质中。以上所述的具体实施方式
,对本实用新型的目的、技术方案和有益效果进行了进 一步详细说明,所应理解的是,以上所述仅为本实用新型的具体实施方式
而已,并不用于 限定本实用新型的保护范围,凡在本实用新型的精神和原则之内,所做的任何修改、等同替 换、改进等,均应包含在本实用新型的保护范围之内。
权利要求一种条件接收系统前端,其特征在于,所述条件接收系统前端包括第一通道建立单元,用于与用户管理系统之间建立基于安全外壳SSH协议的通信通道;第一数据传输单元,用于利用所述第一通道建立单元建立的通信通道进行数据传输。
2.根据权利要求1所述的条件接收系统前端,其特征在于,所述第一通道建立单元包括请求接收单元,用于接收所述用户管理系统发送的包括用户管理系统公钥的通道建立 请求;认证单元,与所述请求接收单元连接,用于确定接收到的所述用户管理系统公钥与预 存的用户管理系统公钥是否一致;第一加密单元,与所述认证单元连接,用于在所述认证单元确定接收到的用户管理系 统公钥与预存的用户管理系统公钥一致时,利用所述用户管理系统公钥对包括所述条件接 收系统前端公钥的身份确认信息进行加密;第一发送单元,与所述第一加密单元连接,用于将所述第一加密单元加密的身份确认 信息向所述用户管理系统发送;第一信息接收单元,用于接收所述用户管理系统根据加密的身份确认信息返回的信 息,返回的信息是所述用户管理系统利用从加密的身份确认信息获得的条件接收系统前端 公钥加密的信息;第一解密单元,与所述第一信息接收单元连接,用于利用所述条件接收系统前端私钥 对所述第一信息接收单元接收的信息进行解密;第一通道确定单元,与所述第一解密单元连接,用于在所述第一解密单元解密成功时, 确定所述条件接收系统前端和所述用户管理系统之间建立基于SSH协议的通信通道。
3.根据权利要求2所述的条件接收系统前端,其特征在于,所述条件接收系统前端还 包括第一密钥生成单元,用于生成所述条件接收系统前端公钥和所述条件接收系统私钥; 密钥接收单元,用于接收所述用户管理系统发送的所述用户管理系统生成的用户管理 系统公钥;第一存储单元,与所述第一密钥生成单元和密钥接收单元连接,用于储存所述第一密 钥生成单元生成的所述条件接收系统前端公钥和所述条件接收系统私钥;以及所述密钥接 收单元接收的用户管理系统公钥。
4.一种用户管理系统,其特征在于,所述用户管理系统包括第二通道建立单元,用于与条件接收系统前端之间建立基于安全外壳SSH协议的通信 通道;第二数据传输单元,用于利用所述第二通道建立单元建立的通信通道进行数据传输。
5.根据权利要求4所述的用户管理系统,其特征在于,所述第二通道建立单元包括 请求发送单元,用于向条件接收系统前端发送包括用户管理系统公钥的通道建立请求;第二信息接收单元,用于接收所述条件接收系统前端根据所述通道建立请求返回的信 息,其中,根据所述通道建立请求返回的信息是所述条件接收系统前端利用从通道建立请求中获得的用户管理系统公钥对包括条件接收系统前端公钥的身份确认信息加密而获得 的信息;第二解密单元,与所述第二信息接收单元连接,用于利用预存的用户管理系统私钥对 所述第二信息接收单元接收到的信息进行解密,以获得所述条件接收系统前端公钥;第二加密单元,与所述第二解密单元连接,用于利用所述第二解密单元获得的条件接 收系统公钥对相关信息进行加密;第二发送单元,与所述第二加密单元连接,用于将所述第二加密单元加密的信息向所 述条件接收系统前端发送。
6.根据权利要求5所述的用户管理系统,其特征在于,所述用户管理系统还包括 第二密钥生成单元,用于生成所述用户管理系统私钥与所述用户管理系统公钥;第二存储单元,用于存储所述第二密钥生成单元生成的所述用户管理系统私钥与所述 用户管理系统公钥,以及存储所述第二解密单元获得的所述条件接收系统前端公钥;密钥发送单元,用于将所述第二密钥生成单元生成的所述用户管理系统公钥向所述条 件接收系统前端发送。
7.一种数字电视系统前端,其特征在于,所述数字电视系统前端包括条件接收系统前 端,所述条件接收系统前端包括权利要求1至3的任一项权利要求所述的条件接收系统前 端。
8.根据权利要求7所述的数字电视系统前端,其特征在于,所述数字电视系统前端还 包括用户管理系统,所述用户管理系统包括权利要求4至6的任一项权利要求所述的用户管理系统。
专利摘要本实用新型实施例提供一种条件接收系统前端和用户管理系统,该条件接收系统前端包括第一通道建立单元,用于与用户管理系统之间建立基于安全外壳SSH协议的通信通道;第一数据传输单元,用于利用该第一通道建立单元建立的通信通道进行数据传输。通过本实用新型实施例,可在条件接收系统前端和用户管理系统之间建立SSH安全通道,可以把所有传输的数据进行加密,这样不但可以防止非法者的攻击,而且能够防止DNS和IP欺骗。
文档编号H04N7/16GK201663659SQ200920277479
公开日2010年12月1日 申请日期2009年11月27日 优先权日2009年11月27日
发明者李 东, 李伟东, 王天星, 王宇, 王文军, 韩坚 申请人:北京视博数字电视科技有限公司