用于处理数字广播传输流的方法和多媒体单元的制作方法

用于处理数字广播传输流的方法和多媒体单元的制作方法
【专利摘要】本发明涉及一种用于管理由通过个人标识符识别的多媒体单元(30)通过网络(50)从广播设备(20)接收的数字广播传输流(10)的处理的方法。该多媒体单元可连接到与多媒体单元相关联的安全模块(38)。该多媒体单元还可通过具有返回路径(43)的IP连接(45)连接到服务器(40)。传输流(10)包括加扰的内容包(15)和解扰内容包所需的、加扰的条件访问消息(12)。该方法包括以下步骤：取决于选择命令，将条件访问消息(12)从多媒体单元(30)通过返回路径(43)发送到服务器(40)或者从多媒体单元(30)发送到安全模块(38)以进行处理，验证多媒体单元(30)的认证和/或分配给多媒体单元(30)的访问权限的有效性；如果认证失败或者如果分配的权限无效，则阻止条件访问消息(12)的任何进一步的处理，在多媒体单元(30)处安全地获得对应于条件访问消息(12)的控制数据(13)，在多媒体单元(30)处借助控制数据(13)解扰音频/视频/数据内容包(15)。
【专利说明】用于处理数字广播传输流的方法和多媒体单元
【技术领域】
[0001]本发明涉及例如付费TV系统的加密TV事件的多媒体数据的接收。更具体地，本发明涉及一种用于解扰通过卫星、地面、手持或者有线网络从广播设备接收的数字传输流的方法和混合多媒体单元，例如机顶盒或者便携式设备。这一多媒体单元的混合特性意味着其一方面可以通过具有返回路径的IP连接连接到服务器，从而接收通过互联网手段(例如，IPTV)广播的事件，并且，另一方面，接收通过至少一个其他的有线或者无线网络，例如通过卫星(SAT)、有线(CATV)、地面(DTT)或者例如智能电话或者平板电脑的手持设备广播的事件。
【背景技术】
[0002]数字传输流典型地包括加扰音频/视频/数据内容包和需要被处理以提取控制数据(CW)的加扰条件访问消息(ECM、EMM);对于多媒体单元解扰与事件(例如，广播的节目或者一组节目)相关的内容包来说，后者是必要的。条件访问消息包括两种信息，也就是授权控制信息(ECM)和授权管理信息(EMM)。ECM是关于内容包的信息，而EMM是专用于个体终端用户(订户)或者一组终端用户的信息。ECM包括与控制字(CW) —起用于解扰当前广播事件的、这一事件的访问条件。该控制字(CW)是用于解密在数据流中广播的打包的事件的内容包的密钥。因此，每一个ECM对于每一个事件(例如，TV节目)是特有的。EMM是典型地被安全模块用来设置、重置或者改变产品访问授权、信用等等的消息。因此，EMM指的是订户访问内容(事件)的权利(访问数据)。
[0003]现有技术已知的机顶盒有两种主要类型。第一类型包括能够一般地接收广播的未加密事件并且其因此不需要任何访问控制的机顶盒。由于互联网访问在用户家庭中普及，这种机顶盒越来越多地设置有IP连接，其允许终端用户使用他的机顶盒与他的电视屏幕一起作为互联网设施的终端。
[0004]第二类型指的是均设置有安全模块的机顶盒。这些机顶盒通常被付费TV系统用来处理对由条件访问系统(CAS)管理的基于每个订户的广播服务的选择性访问。这种安全模块通常是指智能卡(芯片卡)，其能够插入到条件访问读取器的插槽中。这一读卡器能够连接到多媒体单元或者直接植入到这一单元中。因此，安全模块成为解密数字传输流的加扰内容包的必要设备。为此，包括在传输流中的条件访问消息被路由到安全模块，该安全模块具有用于解密ECM以便提取控制字(CW)的密钥，该控制字(CW随后将被解扰模块(在多媒体单元内)用来解扰内容包。这一处理仅当条件访问权限(由EMM提供)是有效的并且被安全模块核对无误时才被实现。
[0005]采用第一类型的机顶盒的问题在于，它们通常不适合处理在付费TV环境内解扰音频/视频内容包所需的条件访问消息。即使它们设有IP连接，也是如此。因此，想要订阅能访问付费TV节目的订阅的用户不得不将他的机顶盒换为支持条件访问处理的另一个机顶盒。
[0006]另一方面，设有安全模块的第二类型的机顶盒依赖于这一模块来解扰传输流的内容包。这意味着需要机顶盒的安全模块以用于解扰目的。如果这一安全模块变为不可用(例如由于所需的智能卡需要更换以更新或者因为任何其他原因)，这一机顶盒变为至少暂时不可用于接收付费TV节目。
[0007]因此，存在改进处理和多媒体单元(例如机顶盒)，从而例如通过取决于网络的可用性以及充裕度和/或取决于终端用户的材料配置而使该处理适应于不同环境，来优化用于解扰传输流的内容包的控制数据的处理。

【发明内容】

[0008]为了解决这一问题，本发明提出了通过允许根据多个可能情形来重定向条件访问消息的选择处理，来管理数字广播传输流的处理。
[0009]通过一种用于管理由多媒体单元通过有线或者无线网络从广播设备接收的数字广播传输流的处理的方法来实现这一目的。该多媒体单元通过个人标识符来识别并且可以连接到与该多媒体单元相关联的安全模块(通常通过本地安全连接)。该多媒体单元还可以通过IP连接而连接到服务器。这一 IP连接不仅设置有下载路径还设置有返回路径(上传路径)。该传输流包括加扰的音频/视频/数据内容包以及加扰的条件访问消息。这些条件访问消息必须被处理以获得解扰内容包所需的控制数据。该方法包括以下步骤:
[0010]-取决于选择命令，将条件访问消息从多媒体单元通过所述返回路径发送到服务器或者从多媒体单元发送到安全模块，以进行处理，
[0011]-验证多媒体单元的认证和/或分配给多媒体单元的访问权限的有效性；如果认证失败或者如果这些分配的权限是无效的，则阻止所述条件访问消息的任何进一步的处理，
[0012]-在多媒体单元安全地获得对应于这些条件访问消息的所需控制数据，
[0013]-借助控制数据来解扰音频/视频/数据内容包；这一操作在多媒体单元处执行。
[0014]本发明的目的还通过一种多媒体单元来实现，其包括以下装置:
[0015]-接收单元，用于接收上述数字广播传输流；
[0016]-接口，用于提供具有返回路径的IP连接以用于将多媒体单元与服务器连接；
[0017]-安全模块，能够被用于处理条件访问消息并且提取其控制数据(控制字)；
[0018]-保护装置，用于在多媒体单元和服务器之间安全地传送数据；
[0019]-发送单元，用于将条件访问消息发送到处理单元；该处理单元是服务器或者安全模块；
[0020]-切换单元，用于根据选择命令来选择合适的处理单元；
[0021]-接收单元，用于通过所述IP连接从服务器安全地接收控制数据；
[0022]-解扰单元，用于处理所述控制数据以解扰所述内容包。
【专利附图】

【附图说明】
[0023]由于附图，本发明将会变得更为易于理解，在附图中:
[0024]图1示出了用于广播多媒体传输流的装置以及用于通过不同类型的可能网络接收该传输流的多媒体单元的示意性概览。
[0025]图2a、图2b以及图2c涉及图1的一部分并且示出了在多媒体单元和服务器之间的数据交换。
[0026]图3是根据本发明的多媒体设备的示意性表示。
【具体实施方式】
[0027]参考图1，其示出了本发明的一般环境，其中通过至少一个广播设备20(也表示为首端)广播多媒体数据(主要是音频/视频数据)的至少一个传输流10。该传输流10被指定为通过图中的多媒体单元30接收，从而在连接至该多媒体单元的合适的装置(例如，TV或手持显示器和/或音频装置)上播放和/或显示。该多媒体单元可以作为机顶盒(数字视频接收器)或手持设备(例如，移动电话或任何其他便携式设备)。通过个人标识符来识别它。
[0028]本发明的特征之一在于，该多媒体单元一方面可以通过设置有返回路径43的IP连接45连接到服务器40，另一方面可连接到至少一个其他类型的网络50。因此，该多媒体单元潜在地能够通过不同方式接收传输流10的数据。该特征允许将多媒体单元30定义为混和多媒体单元。此外，可以通过一个传输流或者通过来自于一个或者多个首端的传输流来提供数据。
[0029]在可以是有线或者无线网络的网络50之中，图1示意性示出了卫星网络、地面网络、有线网络和手持网络，每个网络通过一个调制器55来实现，其参考数字视频广播标准被分别表示为DVB-S、DVB-T、DVB-C、DVB-H。每个调制器55被用于将输入的传输流10转换为适合于向接收器传输的调制流。名称DVB-1P是指含有互联网协议的数字视频广播标准，并且名称DVB-H是指用于包括移动TV接收器的蜂窝电话的移动宽带互联网接入。
[0030]在付费TV或者任何其他付费服务的上下文中，传输流10以加扰的形式被广播，使得只有授权的终端用户(也就是订户)被允许解扰该流从而取回其原始内容(音频/视频/数据事件)。加扰的传输流10包括多个音频/视频/数据内容包15以及条件访问消息12。传输流通常包括多个事件，典型地为多个不同频道的TV节目。每个内容包15通过特定的头附加到某事件。每个条件访问消息12可包括ECM(授权控制消息)、EMM(授权管理消息)或者其他包括至少特定指令或者特定信息的消息。
[0031]根据本发明，多媒体单元30与能够负责处理访问条件消息12的安全模块38相关联。为了处理安全操作，可以以不同形式实现该安全模块。
[0032]第一种形式的安全模块包括微处理器卡、智能卡、或更为一般性的电子模块(采用密钥、徽章等的形式)。该类型的模块通常可移除并且可连接到数字视频记录器。多数使用形式是具有电触点的形式，但是不排除无触点的连接，例如IS014443类型。
[0033]第二种已知形式包括集成电路芯片，通常以不可更改且不可移除的方式置于数字视频接收器印刷电路板中。一个替代选择包括在基板上布线或者连接到例如SIM模块连接器的电路。
[0034]在第三种形式中，安全模块被集成到还具有其他功能的集成电路芯片中，例如，集成在接收器的微处理器或解码器的解扰模块中。安全模块因此是较大硅电路的一部分。
[0035]在第四实施例中，安全模块没有以硬件形式实现，但是其功能仅以软件形式实现。该软件可以混合在接收器的主软件内。
[0036]考虑到在四种情况中功能都是一样的，尽管安全等级不同，我们指的是其中无论哪一种适于实现其功能的方式或者能采用该模块的形式的安全模块。在上述四种设计中，安全模块具有执行存储在其存储器中的程序的装置(CPU)。该程序允许执行安全操作、验证权限、执行解密或者激活解密模块等等。
[0037]条件访问消息允许通过处理EMM来验证订户的权限以及在从ECM中提取出控制字CW后解扰内容包15。在本发明中，根据选择命令，由服务器40或者由安全模块38来实现该处理。
[0038]根据本发明的优选实施例，该方法的第一步涉及，一由多媒体单元接收到条件访问消息12就处理它们。为此，将这些条件访问消息从多媒体单元30发送到处理单元，以进行处理。优选地，这些条件访问消息与相关多媒体单元的个人标识符一起发送，使得接收方能够识别发送方。该处理单元可以是服务器40或者是安全模块38。在多媒体单元把条件访问消息发送给服务器40的情况下，返回路径43被用作将这些消息路由到服务器的通信手段。由于这些条件访问消息已经被广播设备加扰，因此没有特别需要再加密它们。有利地，多媒体单元30可以仅将它们通过共同返回路径43转发给服务器。另一方面，在多媒体单元把条件访问消息12发送给安全模块的情况下，考虑到安全模块已经与多媒体单元以安全方式相关联(无论什么形式的安全模块)，这种操作无需特别特征。因此，在多媒体单元和安全模块之间的数据传输被认为是完全安全的通信(也就是，防篡改通信)。
[0039]在服务器40和安全模块38之间的用于发送条件访问消息的选择(即，选择)可以由多媒体单元自身，由广播设备20或者服务器40，或者甚至由例如安全模块的其他设备来承担。该选择取决于通过前述设备(多媒体单元、广播设备、服务器、安全模块)中的一个产生的选择命令并且该指令基于至少一个标准来定义，将在后面描述。
[0040]本方法的另一个步骤涉及验证多媒体单元的认证和/或分配给该多媒体单元30的访问权限的有效性。该步骤的目的是检查多媒体单元是否被识别为(例如，通过其个人标识符)真实单元和/或确保分配给终端用户的所有需要的权限(例如经由发送给多媒体单元的EMM)仍然是有效的。如果该认证失败或者如果分配的权限无效，则可以采取适当的措施以阻止条件访问消息12的任何进一步处理。
[0041]尽管该步骤是根据本发明执行的第二步骤，其也可以作为第一步骤执行或者甚至与从多媒体单元发送条件访问消息同时执行。
[0042]为了通过服务器40执行多媒体单元30的认证，后者可以使用多媒体单元的个人标识符号(ID)。该标识符可以由多媒体单元在认证步骤期间例如以规则的间隔发送给服务器。优选地，当条件访问消息必须被服务器处理时，该标识符可以与条件访问消息一起发送。随后，服务器能够检查指派给多媒体单元的个人标识符被登记为授权标识符，例如通过查询存储所有授权的或者撤销的多媒体单元的个人标识符的数据库。如同后面将会建议的，可以由服务器执行执行多媒体单元的认证的其他方式。该步骤的目的是防止任何未授权的多媒体单元访问服务器的服务(以从条件访问消息中提取控制字)。如果该认证失败，则未授权的多媒体单元30为了处理条件访问消息12而对服务器进行的任何访问都会被拒绝。
[0043]一旦被识别为授权的多媒体单元，该多媒体单元被授权安全地获得从对应的条件访问消息12中提取的控制数据13。典型地，这些控制数据13是控制字，每个控制字用作在多媒体单元内的解扰操作的密钥。当多媒体单元接收到这些控制数据后，该单元最终能够在最后步骤中解扰传输流的内容包15。
[0044]根据一个实施例，确定选择命令并且通过服务器40和/或广播设备20发送到多媒体单元。为了传输给多媒体单元，选择命令可以包括在条件访问消息12中，附于这些消息，或者其可以是例如独立(即，与条件访问消息分离)的包内的另一特定消息的一部分。
[0045]根据另一个实施例，可以使用特定加密密钥加密选择命令并且随后发送给一个特定多媒体单元(或者包括有限数量的特定多媒体单元的一个组)，其能够例如根据对称或者非对称的加密方案对加密的选择命令进进解密。一旦被解密，选择命令可以被多媒体单元直接使用或者存储在该单元的存储器中以便以后使用。
[0046]该选择命令可以对应于服务器或者广播设备的当前或者将来的操作状态。例如，对应于值I的选择命令可以意味着发送方(也就是，服务器或者广播设备)是全面工作的，而带有零的选择命令意味着发送方发生故障或者不可用。该可用性还涉及网路50，特别是调制器55。因此，选择命令也可以代表调制器55中的一个的可用性。因此，在调制器55中的一个不可用的情况下，取决于在广播设备和多媒体单元之间的可用连接，可以经由服务器40或者经由网络50的其他信道中的一个，通过这样的选择命令将该信息传送给多媒体单元。
[0047]该选择命令还可取决于安全模块的当前操作装置。例如，条件访问消息12可以在被多媒体单元接收后发送到安全模块38。在该安全模块不可用或者不能够处理这些消息12以提取控制数据13(控制字)的情况下，该安全模块可以产生新的选择命令或者可修改当前的选择命令(即，当前选的择命令中包括的值或者其他信息)，并且将条件访问消息发送回多媒体单元。因此，多媒体单元(例如切换单元)能够重发条件访问消息12给服务器，以替代将它们发送给安全模块38。
[0048]在任何情况下，该选择命令不被限制为二进制信息，而是可以进一步包括其他附加数据。例如，该选择命令还可包括发送方的标识符(例如广播设备的ID或者服务器的ID)、涉及调制器55的信息(例如用于识别这个选择命令涉及到哪个通信网络55)、关于激活绝限的信息(时间间隔或者涉及日期和时间的数据)，例如用于向多媒体单元指示何时必须使用该选择命令进行切换目的(也就是，用于在安全模块和服务器之间切换)。
[0049]根据另一个实施例，选择命令可由多媒体单元自身例如基于用来将传输流10传送给多媒体单元的通信信道是否可用，或者基于与多媒体单元相关联的安全模块的可用性来确定。
[0050]选择命令(更具体地，包括在该命令中的值或者信息)还可取决于用于接收传输流10的网络50的充裕度，特别是在任意调制器55和多媒体单元30之间的传输的充裕度。网络的充裕度不限于通信的可使用性，而是还可涉及通过该网络的传输的质量。例如，根据本发明的多媒体单元30可以通过卫星信道(DVB-S)以及通过IP连接(DVB-1P)连接到广播设备。有时，由于恶劣的天气条件，通过卫星的接收可能不是最优的(或者可能甚至较差)并且接收器处的图像质量(在TV广播的情况下)可能相对受到影响。因此，用户在这种条件下观看TV节目时会受到妨碍，并且当用户需要为观看TV付费时，该情况尤为惹人不快。由于本发明，多媒体单元可以接收选择命令，该选择命令将从无线卫星信道接收传输流切换到从无线IP连接接收，以提高了图像质量。根据另一种情况，例如当IP连接过载时，可以命令切换以使计算机资源优化或者调节通过IP网络传输的数据。[0051 ] 在服务器40变为不可用的情况下，为了维护的目的或者出于其他原因，选择命令可以命令多媒体单元切换输入的条件接收消息12的路由，使得可以通过安全模块38执行它们的处理。
[0052]根据另一个实施例，多媒体单元可以存储设置有一个或者多个记录的表，每个记录涉及广播设备20 (通过任意调制器55)广播的多媒体节目频道。这些记录中的每一个包括频道标识符(例如多媒体节目的频道编号)，其涉及可以被多媒体单元接收的广播节目。该记录还包括相关的选择命令，也就是与该记录的频道标识符相关联的选择命令。因此，当用户选择特定的节目频道时(例如TV频道)，多媒体单元首先查询该表以在相关记录中(通过频道标识符)寻找与选择的TV频道相关联的选择命令。换句话说，当多媒体单元接收涉及特定广播节目的条件访问消息12时，它查询该表以寻找包括对应于所述广播节目的频道标识符的记录，并且如果找到，则其使用存储在该记录中的对应的选择命令作为要考虑的新的选择命令。该选择命令随后被多媒体单元(具体地是通过在多媒体单元内的切换单元)处理，从而将该条件访问消息12路由到合适的处理单元，也就是服务器40或者安全模块38。
[0053]该表可以是每个多媒体单元特有的，或者对于一组多媒体单元(例如，多个共享相同权限或者位于特定地理区域内的多媒体单元)可以是相同的。这样的表可以被更新并且借助多媒体单元(例如从广播设备或从服务器)接收的后续特定消息来填写。
[0054]现在参考图2a至2c，这些图示出了一方面为了接收传输流的内容包15，另一方面为了处理条件访问消息12，而在多媒体单元30和服务器40之间执行的数据交换。
[0055]图2a提供的第一个图例涉及图1的连接多媒体单元30和服务器40的IP连接45。后者将音频/视频/数据内容包15与条件访问消息12通过安全的IP连接的下载路径一起发送到多媒体单元30。
[0056]根据本发明的一个实施例，多媒体单元保持通过任意其他信道(图1)从服务器(图2a)或者从广播设备接收的音频/视频/数据内容包15，并且它使用返回路径43将条件访问消息12从多媒体单元发送回服务器，从而由后者对它们进行处理。这由图2b示出，图2b示出了将条件访问消息12发送(回)服务器而在之前不通过多媒体单元30对其进行处理，也就是不从这些消息(特别是从ECM)中提取控制字CW。
[0057]在验证了包括在EMM中的订户权限的有效性后，通过服务器40实现控制数据的提取。该验证借助于由多媒体单元通过返回路径43发送(回)的消息在服务器侧执行。
[0058]如图2c所示，服务器40通过安全信道45将提取的控制数据13发送给多媒体单元30。这些控制数据包括由多媒体单元的解扰器用来对加扰的内容包15进行解扰的控制字CW。随后，这些包15被MPEG解码器(在多媒体单元内)一般地处理，然后，输出信号(明文的和解压缩的)能够被播放或者显示在终端用户的适当装置上。
[0059]通过经由选择命令选择服务器，应当注意到，在多媒体单元的区域内的安全模块通常执行的所有操作现在都被有利地转移到服务器侧。由于服务器40能够处理来自许多多媒体单元的条件访问消息的事实以及考虑到控制字不是取决于多媒体单元而是与加扰流链接，因此，相同的控制字可以被多个多媒体单元同时使用。为了提高服务器处的条件访问消息的处理速度，后者可以将控制字存储在内部安全存储器中，以便被其他多媒体单元检索和用来解扰相同的内容包15。因此，根据本发明的一个实施例并且在由服务器处理条件访问消息的情况下，每个控制数据13首先通过从存储装置(在先前处理同样的条件访问消息12期间被服务器40记载在该存储装置中)检索来获得，随后通过所述IP连接45 (经由其下载路径)安全地传输检索的控制数据13给多媒体单元30。
[0060]假设该服务器是安全的可信服务器，它能够存储用于解密内容包(例如，诸如视频电影的事件)的多个流的多个控制字流，以便能够容易地将它们恢复给其他多媒体单元。有利地，从服务器处的存储装置检索控制数据13 —方面允许节省服务器的计算资源，另一方面加速条件访问消息的处理，尤其是从ECM中提取控制字。
[0061]当条件访问消息12仍由服务器40处理时，多媒体单元30的认证可以替代地通过使这些消息的数字签名和属于所述多媒体单元的数字证书加入到发送给服务器的条件访问消息来执行。可以首先通过借助哈希函数产生消息的摘要，并且随后通过借助属于该多媒体单元的私钥来加密该摘要，来获得该消息的数字签名。该数字签名被与对应的条件访问消息一起发送给能够借助多媒体单元的公钥解密该摘要的服务器。由于可信的认证机构，该服务器能够验证该数字证书的真伪并且因此能够检查多媒体单元的公钥的真伪。该服务器能够使用该公钥来解密数字签名并且因此获得摘要。为了检查该消息的完整性，月艮务器可以使用相同的哈希函数从自多媒体单元接收的消息中确定第二摘要。如果这两个摘要的比较显示出它们是相同的，则服务器确定条件访问消息12来自于正确的多媒体单元并且它没有被(例如被黑客)修改。
[0062]此外，该服务器还能够检查从多媒体单元接收的数字证书是否没有包括在存储被撤销的数字证书的数据库中。这样的数据库可以位于服务器处或者在该服务器之外(例如在认证机构处)。
[0063]替代地并且如先前建议的，对多媒体单元30的认证进行验证可以通过检查多媒体单元的个人标识符是否在服务器处被登记为授权的或者未授权的标识符来执行。在该个人标识符在服务器处被登记为有效的情况下，后者可以通过借助相关多媒体单元的公钥对(多媒体单元解扰内容包15所需的)控制数据13进行加密，然后将加密的控制数据发送给这个多媒体单元。随后，该单元能够使用其私钥来解密加密的控制数据从而获得需要的控制字。根据该方案，服务器能够在其数据库中为每个授权的多媒体单元存储一个记录。该记录包括多媒体单元的个人标识符和它的公钥。这些数据可以例如在登记步骤中获得。
[0064]登记属于多媒体单元的个人标识符(例如唯一编号)能够通过在登记阶段期间将该标识符存储在服务器的数据库中(例如利用上述记录)来完成。为此，在所述登记阶段期间，个人标识符可以通过可连接到服务器的通信设备从多媒体单元30传输到服务器40。该通信设备可以是个人计算机、智能电话、平板计算机或者任何其他能够通过任意方式连接到服务器的设备(优选地还可连接到多媒体单元)。
[0065]根据一个实施例，多媒体单元通过显示设备将个人标识符提供给服务器，并且随后通过前述通信设备将其手动地传输给该服务器。因此，多媒体单元能够读取其自己的个人标识符从而将其显示在例如TV屏幕上或者任何其他连接到该多媒体设备上的固定的或者便携的显示装置(例如，智能电话显示器、遥控器显示器、平板计算机显示器等)上。随后，例如借助在登记阶段期间通过互联网连接到服务器的个人计算机，该个人标识符能被传输给服务器。或者，该个人标识符能够通过返回路径43被自动地从多媒体单元传输给服务器(在该登记阶段期间)。在这种情况下，在屏幕上显示该标识符是可选的。[0066]根据另一个实施例，服务器产生个人标识符并且在登记阶段期间通过IP连接45传输给多媒体单元。在这种情况下，个人标识符或者任何类似的用于在服务器处识别多媒体单元的标识符通过服务器被指派给多媒体单元。
[0067]无论在登记阶段期间选择了哪个实施例以及是否使用不对称方案将控制数据从服务器安全传输到多媒体单元，属于多媒体单元的公钥能够与其个人标识符一起发送，以便被记录在服务器的数据库中。
[0068]在另一个实施例中，上述登记阶段可以经受服务器传送的授权。
[0069]获得安全连接以用于安全地传输或者安全地接收数据能够通过几种方式来实现，例如通过加密密钥(会话密钥、共享密钥、私钥/公钥的对，取决于加密方案)，通过建立安全会话或者安全信道。
[0070]为了实现本发明的方法，图3公开了一种多媒体单元30，包括:
[0071]-接收单元31，用于通过有线或者无线网络接收由广播设备20(首端)发送的数字广播传输流10，数字广播传输流10包括加扰的音频/视频/数据内容包括15以及加扰的条件访问消息12 ;该接收单元是指能够通过IP连接以及至少卫星、地面、有线或者手持通信装置接收数据流的任何接收装置，
[0072]-接口32，用于提供具有返回路径43的IP连接45以将多媒体单元30与服务器40连接，
[0073]-安全模块38，能够处理条件访问消息12以提取其控制数据13，
[0074]-保护装置，诸如保护单元34的保护工具，用于在多媒体单元30和服务器40之间安全传输数据，
[0075]-发送装置，诸如发送单元35，用于将条件访问消息12(例如ECM、EMM)发送到处理单元，该处理单元是服务器40或者安全模块38，
[0076]-切换装置，诸如切换单元39，用于根据选择命令选择处理单元(40或38)，
[0077]-接收装置，诸如接收单元36，用于经由IP连接45(以及通过接口32)从服务器40安全接收控制数据13 (通常为控制字CW)，以及
[0078]-处理装置，诸如解扰单元37，用于处理控制数据13以解扰内容包15。
[0079]根据另一个实施例，多媒体单元还包括:认证装置33，诸如认证单元，用于准备要发送给服务器40的认证信息(诸如数字证书、签名、个人标识符等)。
[0080]例如在图3中示意性示出的，诸如数据库和其他存储装置的其他部件可以显而易见地容纳在多媒体单元中。此外，多媒体单元30不限于机顶盒，而可以是能够处理数字传输流的任何合适设备，例如口袋或者平板PC、个人助理、游戏控制台、或者例如智能电话。
[0081]尽管在附图中服务器40被示出为与广播设备20分离的独立实体，但是该服务器可以位于广播设备(首端)中或者可以被后者替代。
[0082]此外，尽管在服务器和多媒体单元之间交换的条件接收消息12被优选地通过安全的IP连接发送回服务器，但是考虑到它们已经被加密，通过不安全信道发送它们也是可以的(由于在这种情况中安全模块没有提取控制数据13)。相反，将通过安全方式来实现控制数据13的发送，例如通过安全信道以加密的方式发送。
[0083]或者，还能够通过使用调制解调器和电话网络或者有线返回来实现返回路径43。
[0084]通过在服务器处而不是在安全模块内(也就是在终端用户处)处理条件访问消息，可以容易地检查各个多媒体单元播放或者显示哪个节目(事件)。这允许引入观众评分，来跟踪订户的行为以及防止任何未授权的控制字共享。攻击者通过使用具有包探测器(通信分析器)的禁止多媒体单元来抓取控制字并通过互联网将它们再分发给未授权的多媒体单元来实现这种控制字共享。
[0085]本发明允许从混合接收受益，并且根据通常独立于用户行为的标准来自动管理不同接收方式。本发明还避免了为了受益于混合接收而需要两个并行的多媒体单元，即，一个单元设置有通常的安全模块来处理经由卫星、地面或者有线网络的传输流，第二个多媒体单元没有所述模块，但是专用于连接到互联网。
【权利要求】
1.一种用于管理由通过个人标识符识别的多媒体单元(30)通过有线或者无线网络(50)从广播设备(20)接收的数字广播传输流(10)的处理的方法，所述多媒体单元(30)通过本地安全连接可连接到与多媒体单元(30)相关联的安全模块(38)，所述多媒体单元通过设置有返回路径(43)的IP连接(45)可连接到服务器(40)，所述传输流(10)包括加扰的音频/视频/数据内容包(15)和加扰的条件访问消息(12)，所述条件访问消息(12)需要被处理以获得解扰所述内容包(15)所需的控制数据(13)，该方法包括以下步骤: -取决于选择命令，将所述条件访问消息(12)从所述多媒体单元(30)通过所述返回路径(43)发送到所述服务器(40)或者从所述多媒体单元(30)发送到所述安全模块(38)，以进行处理， -验证多媒体单元(30)的认证和/或分配给所述多媒体单元(30)的访问权限的有效性；如果所述认证失败或者如果所述分配的权限无效，则阻止所述条件访问消息(12)的任何进一步的处理， -在多媒体单元(30)处安全地获得对应于所述条件访问消息(12)的所述控制数据(13)， -在所述多媒体单元(30)处借助所述控制数据(13)解扰所述音频/视频/数据内容包(15)。
2.根据权利要求1的方法，其中所述选择命令由服务器(40)和/或由广播设备(20)确定并且发送给多媒体单元(30)。
3.根据权利要求2的方法，其中所述选择命令包括在条件访问消息(12)中，附加到所述条件访问消息(12)， 或者是另一特定消息的一部分。
4.根据前述任一权利要求的方法，其中所述选择命令在被发送到多媒体单元(30)之前被加密并且被多媒体单元解密。
5.根据权利要求4的方法，其中所述选择命令能够被单个多媒体单元解密或者被一组有限数量的多媒体单元解密。
6.根据前述任一权利要求的方法，其中如果安全模块接收到条件访问消息(12)却不能够处理它们，则所述选择命令被安全模块(38)修改并且将条件访问消息(12)从安全模块(38)返回给多媒体单元(30)。
7.根据权利要求1的方法，其中所述选择命令由多媒体单元(30)自身确定。
8.根据前述任一权利要求的方法，其中所述选择命令取决于服务器(40)的可用性或者多媒体单元(30)用来接收传输流(10)的网络(50)的充裕度。
9.根据前述任一权利要求的方法，其中所述选择命令存储在由多媒体单元(30)记忆且包括多个记录的表中的一个记录内，所述记录还包括涉及广播节目的频道标识符并且当多媒体单元接收到涉及特定广播节目的条件访问消息(12)时，多媒体单元查询该表以寻找包括对应于所述广播节目的频道标识符的记录并且如果找到，则使用存储在这一记录中的对应的选择命令作为要考虑的新的选择命令。
10.根据权利要求1的方法，其中在由服务器(40)处理条件访问消息(12)的情况下，通过从一存储装置检索控制数据(13)，然后通过所述IP连接(45)将所述控制数据(13)安全地传输到多媒体单元(30)，而获得各控制数据(13)，其中在对相同条件访问消息(12)的先前处理期间服务器(40)已将控制数据(13)记录在所述存储装置中。
11.根据权利要求1的方法，其中在由服务器(40)处理条件访问消息(12)的情况下，通过将多媒体单元(30)的个人标识符传输给所服务器(40)，随后通过查询存储所有授权的或被撤销的多媒体单元(30)的个人标识符的数据库来检查所述个人标识符在服务器(40)处是否被登记为授权标识符，来执行验证多媒体单元(30)的认证。
12.根据权利要求11的方法，其中多媒体单元(30)的个人标识符在登记阶段期间被存储在所述数据库中。
13.根据权利要求12的方法，其中在所述登记阶段期间，所述个人标识符借助可连接到所述服务器(40)的通信设备从多媒体单元(30)传输到服务器(40)。
14.根据权利要求13的方法，其中所述个人标识符由多媒体单元(30)通过显示设备提供，并且随后借助所述通信设备被手动地传输给服务器(40)。
15.根据权利要求12的方法，其中在所述登记阶段期间，所述个人标识符被自动通过所述返回路径(43)从多媒体单元(30)传输到服务器(40)。
16.根据权利要求12的方 法，其中在所述登记阶段期间，所述个人标识符由服务器(40)产生并且通过所述IP连接(45)传输给多媒体单元(30)。
17.根据权利要求12到16中任一项的方法，其中所述登记阶段经受由服务器(40)提供的授权。
18.根据权利要求1的方法，其中在条件访问消息(12)由服务器(40)处理的情况下，通过将这些消息(12)的数字签名和属于所述多媒体单元(30)的数字证书加入到发送给服务器(40)的条件访问消息(12)，来执行对多媒体单元(30)的认证的验证。
19.一种多媒体单元(30)，包括: -接收单元(31)，用于通过有线或者无线网络接收由广播设备(20)发送的数字广播传输流(10)，该数字广播传输流(10)包括加扰的音频/视频/数据内容包(15)以及加扰的条件访问消息(12)，所述条件访问消息(12)包括解扰所述内容包(15)所需的控制数据(13)， -接口(32)，用于提供具有返回路径(43)的IP连接以将所述多媒体单元(30)与服务器(40)连接， -安全模块(38)，能够处理所述条件访问消息(12)以从其提取所述控制数据(13)， -保护单元(34)，用于在所述多媒体单元(30)和所述服务器(40)之间安全地传送数据， -发送单元(35)，用于将所述条件访问消息(12)发送到处理单元，所述处理单元是服务器(40)或者安全模块(38)， -切换单元(39)，用于根据选择命令选择所述处理单元(40，38)， -接收单元(36)，用于通过所述IP连接(45)从服务器(40)安全地接收所述控制数据(13)， -解扰单元(37)，用于处理所述控制数据(13)以解扰所述内容包(15)。
【文档编号】H04N21/258GK103975604SQ201280053994
【公开日】2014年8月6日 申请日期:2012年10月5日 优先权日:2011年10月31日
【发明者】B·温德林 申请人:纳格拉影像股份有限公司