专利名称:加扰内容的存取的控制方法
技术领域:
本发明涉及内容分配的领域,更准确地说,涉及对由操作者向一 个接收终端提供的加扰内容进行存取的控制方法,该接收终端和一个 存取管理单元相关联,至少配备一个存取控制模块,该方法包含下述步骤-将存取条件与所述内容相关联,其包含对所述内容进行解扰所需 的多种信息,-将所述内容和所述存取条件一起发送给所述终端。本发明还涉及一套包括发射装置的存取控制系统,发射装置包含 加扰内容服务器,与所述装置相关联的存取管理单元,接收终端,接 收终端拥有至少一个控制模块用来存取由所述服务器提供的加扰内 容,与所述内容在一起的还有存取条件,包含为了对所述内容进行解 扰所需的多种信息。本发明还涉及计算机程序,其包含储存在存取管理单元里的第一 个处理模块,该模块配合储存在终端中的第二个处理模块进行操作, 所述程序用来实施符合本发明的存取控制方法。当加扰的数字内容分配给所安装的一组接收终端时,其中包含主 终端和多个从属于所述主终端的从属终端,所述主终端执行存取管理 单元的功能,本发明也同样适用这种情况。
背景技术:
在多点传送广播的环境中,对于某些形式的侵权很难有效地作出 反应,例如伪造存取内容所需的权利或密钥,或者试图阻止接收系统 运用由操作者发出的防范措施信息。于是,这种情况意味着操作者必须针对所有用户修改接收系统, 改变信号,使信号不再被侵权装置使用。因此,修改是必然的,但进 行修改则是一项困难、昂贵的操作。这些缺点特别是与已知的存取控制系统的结构中通常没有返回通 道这一事实有关。在这种类型的结构中,终端操作与网络上端无关。因此, 一旦内容提供给用户以后,操作者就不再对实际面向的用户的 授权有任何进行控制的手段,因为所有的存取控制都在接收终端完成。使用数字内容的欺诈方式之一是几个终端共同使用同 一个安全处 理器,典型的是使用一张有效的智能卡,从而处理几个ECM通道。在 这种情况下,同一张卡实际有多人使用,而操作者只知道一个用户。这种欺诈方式使有关的几个解码器可以存取大量不同程序,其数 量相当于这张共用卡中有效权限的数量,可达到控制字更新期间这张 卡能够处理的ECM的数量。这种通过几个解码器对用户卡的欺诈使用, 是在操作者没有任何控制的情况下进行的,操作者无法阻止,甚至不 能对其进行限制。当一个用户具有多个数据接收终端和/或加扰服务终端时,又出现 了另一个问题。实际上同一用户的终端除非都被认为是与这个用户所 有的相应数的"副本"有关的独立终端,则操作者没有任何简单方法, 能够对相互依赖的存取权或用户不同终端的共用权的分配进行控制。本发明的目的是克服这些缺点。更准确地说,本发明的目的是在系统的输入端和输出端之间对存 取控制的操作进行分配,换句话说,首先是安装在操作者一方的设备, 即为了进行操作者直接控制的操作而安装的设备,其次是通常用来对 用户使用存取控制模块进行检查的接收终端,在这两种设备之间对存 取控制的操作进行分配。这种分配能够在存取控制处理期间,限制乃 至消除操作者对终端的独立操作。本发明的另一个目的是考虑到接收终端具有低处理功率的构造形 式。移动终端用作接收终端(移动电话、PDA、便携式计算机等等)时 可能就属于这种情况,在处理能力和处理效率方面,具有的独立性受 到限制。本发明的另一个目的是给操作者提供一种简单方法,对相互依赖 的存取权和属于同一个用户的不同终端的共用存取权,进行控制分配。本发明可应用于常规情况,其中终端装备有一个存取控制模块的 实物,典型的是智能卡;但如果存取控制模块不是一个模块实物,而 最好是安全地储存在终端的存储器中的软件模块,在这种情况下,应 用本发明也是有利的。发明内容本发明推荐一种对操作者向接收终端提供的加扰内容进行存取的 控制方法,接收终端和存取管理单元相关联,所述终端至少配备存取 控制模块。该方法包括以下步骤a -将存取条件与提供的内容相关联,其包含对所述内容进行解 扰所需的多种信息,b -将附有存取条件的内容发送给终端, 按照本发明,该方法还包括以下步骤 在终端接到存取条件后,c -通过点对点链路,系统地或偶尔地将至少一项关于所述存取 条件的信息,从终端发送到存取管理单元,d -由存取管理单元处理所述信息,根据所述处理的结果,容许 或阻止接收终端使用该项内容。因此,当接收终端通过点对点链路与存取管理单元建立通信时, 该点对点链路对所述终端是否对所请求的内容拥有存取权进行控制, 根据这项检查的结果,容许或阻止终端使用该项内容。在本方法的一 项优选实施方案中,对于存取管理单元所接收的信息的处理,包括 第一步骤,检查该信息与终端中储存的存取数据是否一致,第二步骤, 根据第一步骤的结果,将至少一个控制参数传送给终端,使其能使用 或阻止其使用该项内容。有了本发明的方法,存取控制不再只是在接收终端完成,这加强 了对内容的保护。最好在终端接收到存取条件时,存取控制模块使用预先储存在所 述接收终端中的存取数据,检验是否能满足所收到的存取条件。在一个变化的实施方案中,只有当收到的存取条件得不到满足时, 终端向存取管理单元发送部分或全部关于存取条件的信息。在另一个变型方案中,终端系统地发送所述信息,不受存取控制 模块所作检查结果的影响。当存取控制基本上由操作者进行管理时, 这第二个变型方案特别有利,可以改进内容保护系统的安全,而不增加终端中安全机构的数量,甚至可以减少安全机构的数量。在本发明的优选实施方案中,对存取管理单元所获信息进行处理的第一步骤,以及接收终端对存取条件的检查,按照操作者规定的时间阶段,系统地或偶尔地,彼此互无关联地分别进行。因此,操作者能够在操作者和接收终端之间,很好地调整存取控制的空间和时间分配。由操作者规定的时间阶段,最好不要在接收终端预先宣告。 在该方法的一个最初的应用方案中,存取条件在一条ECM信息中传送给终端,其中包含至少一个存取判据CA、 一个由密钥Ke,加密的加密控制字码CW的密码O^Ke。在这一应用方案中,存储在终端的存取数据包含对内容的存取权和至少一个解码密钥。如果存取控制模块不具备对所述密码CW,Ke^进行解码的密钥Kecm,则本方法的步骤C)包含从终端向存取管理单元发送至少一个密码CW * Kecm。而由存取管理单元向终端发送的参数是用密钥Ke加解码、并用特别为终端所知的密钥Kt^再编码的控制字码CW。在第二项应用方案中,本方法用来控制内容的再次使用权。在这 种情况下,由存取管理单元向终端发送的参数是将和内容一起储存在终端中的ECMk信息,并且包括将用来检查所述内容的重复阅读的存取 判据。在第三项应用方案中,本方法还能用来控制由DRM许可证保护的 内容的存取。在这种情况下,终端发送给存取管理单元的信息是DRM许可证。 按照本发明的系统,其特征在于接收终端通过一个点对点链路连 接到所述存取管理单元,所述存取控制模块,通过链路系统地或偶尔 地向所述存取管理单元返回至少一项关于所述存取条件的信息,以便 使存取管理单元能够对所述信息进行处理,根据存取管理单元完成的 处理结果,容许或阻止接收终端使用内容。本系统中的存取管理单元包含检查从存取控制模块收到的信息是 否与储存在终端中的存取数据一致的装置,并包含产生并向终端发送 至少一个控制参数的装置,从而根据所述检验结果,容许或阻止终端 使用内容。本发明还涉及一个加扰内容的接收终端,接收的是由一个与存取 管理单元相关联的内容分配装置所分配的加扰内容。该终端包括至少一个存取控制模块,存取控制模块通过点对点链路与所述存取控制管理单元建立通信联系。本发明还涉及一项计算机程序,用来执行存取控制方法,以控制 由操作者提供的加扰内容进行的存取活动,在接收终端操作者的加扰 内容与一个存取管理单元相关联,接收终端包含一个存取控制模块。这项程序包括储存在终端中的第一个模块,包含系统地或不时地 通过点对点链路从终端向存取管理单元转发至少一项所述存取条件的 信息的指令,所述第一个模块与存储在存取控制管理单元中的所述第 二个模块合作,所述第二个模块包含处理所述信息的指令,以及根据 所述处理结果决定接收终端能否使用内容的指令。按照本发明的方法还适用于一种存取控制系统,该存取控制系统 包含一个含有内容服务器的发射装置、 一个主终端、 一个从属于所述 主终端的从属终端,所述内容服务器包含分配加扰数据内容的装置, 一项存取条件与加扰内容一起与所述终端相关联,存取条件包含对所 述内容解扰所需的多种信息。本系统的特点是从属终端能够通过一个点对点链路连接到主终 端,从属终端通过点对点链路向所述终端返回从收到的存取条件中获 取的至少一项信息,使所述主终端能够处理所述信息,从而决定从属 终端能否使用内容。为了做到这一点,主终端包括- 验证装置,用来验证从从属终端收到的信息是否符合预先分配 给从属终端的存取权,-产生并向所述从属终端发送至少一个控制参数的装置,根据所 述验证结果,决定内容能否被使用。主终端可以集成在发射装置中,或者集成在一个集合接收天线中。在所有情况下,主终端包括能够处理从属终端所发信息的软件, 决定内容能否被这台终端使用。在这种结构中,本方法包括以下初级步骤-将存取条件与所述内容联系在一起,其包含对所分配的内容进 行解扰所需的多种信息,- 将一个共用的会话密钥Ks分配给所述主终端和所述从属终端, -将一个数据流传送给终端,包含加扰的数字内容和存取条件,-收到数据流后,从属终端从收到的数据流中提取存取条件,通过和主终端间建立的点对点链路,系统地或偶尔地向主终端返回至少一 项关于所述存取条件的信息,-收到从属终端转发的信息后,主终端验证这条信息与预先分配给 所述从属终端的存取权是否一致,并向所述从属终端返回至少一个指 令参数,用会话密钥Ks加密,如果所述信息与所述存取权一致,则授 权使用内容,如果所述信息与所述存取权不一致,则阻止使用内容。因此,本发明使操作者能够通过会话密钥Ks对主终端和相关从属 终端之间的分配加以控制,来控制主终端和从属终端之间的联系。从 而操作者能够用主终端来控制从属终端对内容的存取。将授权控制功能由从属终端转移到主终端,就有可能在多个辅助 终端上使用数字内容,这些辅助终端没有安全处理器,并且制造者不 让在其上使用读卡器。这使与主终端相关联安装的辅助终端的成本减 到最少。在需要安装很多终端时(旅馆或医院等),这个优点特别重 要。在一个变化的实施方案中,主终端没有智能卡,只是简单地完成 所设从属终端以及与操作者相关联的存取管理单元之间的网关的功 能。在这种情况下,主终端系统地呼叫与操作者相关联的存取管理单 元,处理来自从属终端的存取请求。在另一个变化的实施方案中,主终端装备了一个智能卡,但是只 是偶尔使用。在这种情况下,当不使用智能卡时,主终端为了处理来自从属终 端的存取请求,可以访问管理单元。在前一种情况下,如果主终端不采用所述智能卡进行处理操作, 它所做的就是充当所设从属终端以及与操作者相关联的存取管理单元 之间的网关。当该方法用于有条件的存取系统(CAS: Conditional Access System)时,存取条件在一条ECM信息中传送,其包含至少一个存取 判据CA和一个用于对内容编码的控制字CW的密码CW * Kecm。收到存取条件后,从属终端至少要将密码CTA^Ke^返回给主终端,典型的就是返回存取判据CA。在验证了从属终端的授权之后,如果从属终端被准许使用内容, 则主终端将使用密钥Kecm解密、并用会话密钥Ks再加密的控制字CW,传送给从属终端。在另一个变化的实施方案中,主终端传送给从属终端的参数是一 条ECMr信息,这条信息将和内容储存在一起,信息中还包括将用于控制所述内容的再使用的存取判据。如果所分配的内容得到DRM许可证的保护,则由从属终端返回到 主终端的信息就是DRM许可证。在两种应用方式(CAS和DRM)中,按照本发明的方法都由一项 计算机程序操作使用,这一计算机程序包含存储在从属终端中的第一 个模块,其包含从收到的数据流中提取存取条件的指令,以及通过与 主终端建立的点对点链路、向主终端返回至少一项关于所述存取条件 的信息的指令,所述第一个模块与储存在主终端中的笫二个模块协同 操作,笫二个模块包含处理所述信息的指令,以及根据所述处理结果、 使所述从属终端能否使用内容的指令。
通过以下参照附图所作的非限制性实例的说明,将使本发明的其他特征及优点更加明确,其中-图l表示按照本发明的存取控制系统的总体示意图;-图2用示意图表示图1中系统的第一个实例;-图3是说明本发明方法的一个具体应用的方块图;-图4~ 6表示说明本发明方法的划分时间阶段的时间矢量图;-图7是表示本发明方法的一个实施方案步骤的流程图;-图8用示意图表示本发明方法的第二个应用方案,其中存取控制由与多个从属终端相关联的一个主终端进行管理;-图9用示意图表示用于对从属终端使用数字内容进行授权的控制程序。
具体实施方式
现在通过对程序存取的控制或对具有存取权的用户播送多媒体内 容控制的方法的一个具体应用方案来说明本发明。在下面的说明中,在不同的图中用相同的参考符号表示完成相同 或等效功能的元件。注意,本方法可以用在具有充分高速反向信道的任何连通网络中,例如DSL型(数字用户线路)有线网络,或者Wi-Fi 或Wi-Max (或ASFI-无线因特网接入)无线网络,或者3G移动型网 络。图1举例说明内容分配系统的总体示意图,在该系统中能够采用 本发明的方法。此系统包括与一个存取管理单元4相关联的一个发射装置2和一 个接收终端6。发射装置2包括一个内容服务器8,通过传输网络7,例如有线网 络或无线电广播网络,或通过DSL线路,将加扰内容分配给终端6; 终端6包括一个存取控制模块10,可以是智能卡或者最好是具备控制 功能的软件模块。终端6通过两个定向的点对点链路12连接到存取控制单元4。根据用示意图表示图1中系统的具体实例的图2,接收终端6是 一个安装在用户处的数字译码器,操作者和用户之间通过DSL线路进 行链接,通过一个包含DSLAM(数字用户线路存取多路复用器)15的 中间设备14,与存取管理单元4 (UGA)建立通信联系。这个UGA设 置在设备14的内部。需要指出的是,存取管理单元4可以安装在受委托的第三方,在 操作者的监管下,受委托的第三方可以在不超出本发明范围的情况下, 对用户授权进行控制。发射装置2包括一个ECM-G (即权利控制信息发生器)模块16, 用来计算并播送操作信息ECM; —个SAS模块18 (用户授权系统), 用来计算并播送为向用户发送授权及密钥等几种用途所需的EMM(权 利管理信息)信息; 一个MUX多路复用器20,构成来自操作者所提供 的程序和/或服务的一组内容。例如,终端6可以包括多媒体内容译码器/解扰器,在现有技术中 ;故称为机顶盒(STB: Set Top Box)。它配备有安全处理器10,特 别用来处理对内容的存取控制、授权及密码加密(密钥)的管理。这 种安全处理器的一个众所周知的例子是连接到终端的智能卡。设置在 终端内的专用软件功能可以作为安全处理器10的另一个例子。现在参照图3~ 7说明本发明的方法。所提供的内容是经过控制字CW处理的加扰形式的多媒体程序播送内容。终端6装备有操作者访问的各终端共用的密钥KDiff、专用于该终端的密钥KTer、和授权D。per 。这些密钥和这一授权典型地通过一条EMM信息,预先加载在安全处理器中。此外,如果用户进行非法操作,安全处理器包含欺诈所得确认授权DFraud。存取管理单元4已经具有密钥K0per、每个终端的密钥KTer,并且 了解每个终端拥有什么授权D0per。参照图3,存取条件在利用发射装置2的ECM-G16所产生的ECM 信息中传送给终端(箭头22 )。这条ECM信息包括一个存取判据CA。per和用密钥Ke加加密的控制字CW的密码CW* Kecm,密钥Ke^或者是仅 为操作者所知的密钥K。per,或者是操作者的所有终端都知道的密钥 KDiff。因此,只要终端具有至少一个可以满足存取判据CAoper和用来 获得用密码CW 解密的控制字CW的授权D。per,就可以存取与ECM信息相联系的程序,如果密钥Kecm是密钥KDiff,就属于本实例中的 情况。在收到程序后,终端6将所收到的ECM返回给存取管理单元4(箭 头24)。在本方法的第一个实施变型方案中,操作者想要利用终端,系统地对内容解扰进行控制,密钥Ke,是不传送给终端6的密钥K0per。在这种情况下,终端系统地将ECM返回给存取管理单元4。在另一个实施变型方案中,其中对内容的解扰的控制在终端和操作者之间均分,在模块IO对存取判据进行预先检查之后,终端有时偶尔向存取管理单元4发送ECM。在这个变型方案中,举例来说,如果用户没有可以使其存取判据通过验证的授权D。per,或者如果终端没有密码CW,Ke^的解密密钥Kecm,则终端退回ECM。另一方面,如果终端确有可以满足存取判据的授权,并且如果密码CW,Ke^能够用密钥K。iff解密,则终端像现有技术中一样,可以存取有关程序。当存取管理单元4从终端6收到ECM时,核对终端6是否具有存 取收到的程序所必需的授权。在第一个实施方案中,存取管理单元有一个数据库,其中储存了 操作者发送给用户终端的授权的说明。存取管理单元从而对照用户法定具有的授权,检查存取判据。这种模式使得用户可能在其终端中欺 诈性下栽的非法授权,无法通过对存取判据的任何检查。在第二个实施方案中,存取管理单元远距离读取终端的安全处理器的内容,并就终端内实际存在的授权,检查存取判据。这种模式排 除了存取管理单元对于所有用户授权数据库的需要,并且通过对检查 总体情况的检查或另一种相似的方法,也可以使对安全处理器内容的 检查成为可能。如果存取管理单元对终端的授权所进行的检查取得成功时,存取 管理单元给终端返回一个控制参数,使之能存取内容。否则,存取管理单元不给终端返回这个参数,从而阻止存取内容。如果存取管理单元4实际上满足了存取判据,存取管理单元就会 用密钥Kecm对密码CW * Kecm进行解密,用专门为终端所知的密钥Kter 对控制字CW进行再加密,并且将这样再加密过的控制字的密码CW*Kter返回给终端(箭头26)。密钥KTM根据由存取管理单元对终端所作的识别来确定,而点对点链路12可以采用本项技术现有水平的、本方法之外的任何方法来建立。在本方法的一个特别的实施变型方案中,终端仅仅把从ECM中提取的密码CW-Ke发送(24)给存取管理单元。在这种情况下,存取管理单元4认为存取判据不言而喻,总是可以满足的,因而仅仅进行 控制字CW的解密/再加密。从而,操作者继续通过使用专用密钥KTer, 由终端控制内容的解扰。按照本方法的一个有利的特征,由接收终端6的存取控制模块10 所进行的对存取判据的检验,以及由存取管理单元4进行的对ECM的 处理都是在操作者规定的时间阶段中互无关联地分开进行。这个时间阶段将在下面参照图4~6进行说明。如上所述,终端6典型地具有-密钥K。iff,是Ke,的一个请求,在ECM传送密码CW* KDiff时,使其能够获得CW。这个密钥为一组终端所共有。-专用于这一终端6的密钥KTer,用来获得由存取管理单元4发送给终端的、利用密码CW,KTM的控制字CW 。-正式从存取管理单元4收到的存取判据D。per,存取管理单元4知道终端6中存在这一判据。-终端使用者欺诈性获得的存取判据Dp^ud。因此,存取管理单元 4没有察觉到终端内有这个存取判据。 存取管理单元4典型地具有國密钥Koper,是Ke加的另一个实例,在ECM传送密码CW * KOper时,使之能获得CW。只有存取管理单元4知道这一密钥。-密钥KTer,专用于所考虑的终端6,用来以密码CW"^KTer的形式, 向这个终端6提供控制字CW 。-存取管理单元4正式发送给终端6的存取判据D。per。为了说明不同情形,规定了存取条件CA的三个特殊值-CA。per:这一条件由合法持有授权D。per的终端来满足,- CAFraud:这一条件由欺诈性地持有授权DFraud的终端来满足,-CAAutre:这一条件是未持有任何相应授权的终端所不能满足的。 阶段A、 B、 C表明按照存取程序终端对存取判据进行检查的划分时间阶段的影响。在A阶段ECM信息被终端6发送给存取管理单元4,或者是由 于终端不检查ECM,或者是由于它发现了一项可以满足存取条件的授权,但是控制字被它所不具备的密钥K。per加密了。在这一时期中,由于存取管理单元4证实存取条件已被满足,因此可以进行存取程序。 于是存取管理单元把用终端的密钥加了密的控制字的密码07* KTer发 送给终端。在B阶段由于终端6并不控制ECM,或者由于它发现满足存取 条件的非法授权,而它没有密钥K。per,因此ECM被退回到存取管理单 元4。在这一时期中,由于存取管理单元4注意到终端6的正式授权 不能满足存取条件,因此阻止存取有关程序。不发送控制字CW的密码。在C阶段由于终端仅有用来对密码CW,Ke^进行解密的密钥 KDiff,因此ECM没有被发送给存取管理单元4。如果终端处于必须控 制存取判据(Cl)的时间阶段,由于终端中存在的授权不能满足存取判据CAAutre,因此不进行程序的存取。如果由于划分时间阶段,终端不控制存取判据(C2),则程序只能通过控制字的解密进行存取。显 然,当采用本方法时,必须避免后一种情况C2,例如,只要密码CW承Kecm可以由终端解密,就能强行对与划分时间阶段无关的存取判据进 行控制。阶段D和E说明由存取管理单元4针对存取判据的检查的时间阶 段划分对存取程序的影响。在D阶段由于存取管理单元4不检查存取条件,按照设定,认 为条件已经得到满足,或者由于存取管理单元4检查了存取条件并发 现条件已经得到满足,因此可以存取有关程序。在E阶段由于存取管理单元4不验证存取条件,按照设定,认 为条件已经得到满足,而终端6使用一项非法授权,因此可以存取有 关程序。阶段K P说明由终端和存取管理单元4检查存取条件的时间段划分对存取程序的影响。在K阶段由于存取条件已表明被终端6和/或存取管理单元4所 满足,并且可能按照设定,预计这两种模式中只有一种满足了存取条 件,因此程序的存取被批准。在L阶段由于观察到按照设定,存取条件已经被终端6和存取 管理单元4所满足,因此,容许进行有关程序的存取。这两种结果都 符合存取条件/正式授权的结合。在M阶段由于实际观察到终端6满足了存取条件,并且观察到 按照设定,存取管理单元4也满足了存取条件,因此程序的存取被批 准。在这种情况下,存取管理单元4没有发现终端6采用了一项非法 授权。在N阶段由于观察到存取管理单元4不能满足存取条件,该存 取管理单元4不知道终端6在使用非法授权,因此没有程序的存取。在这一情况的第一部分,如果说终端6向存取管理单元表示它具 有一项有效授权,但存取管理单元4察觉终端6具有的是非法授权。在O阶段由于按照设定,认为存取条件已经被终端6和存取管 理单元4所满足,因此对程序的存取得到批准。在P阶段由于终端只有用来估算控制字CW的密钥KDiff,因此 不将ECM发送给存取管理单元4。由存取管理单元进行的控制是无效 的。这个阶段和上述C阶段相似,在终端不受控制时,它一定得益于 同样的特殊操作,以阻止对程序的存取。现在参照图7说明本发明方法的步骤。在图7中,左边部分所表示的步骤和终端6进行的处理活动相对应,右边部分所表示的步骤和存取管理单元4进行的处理活动相对应。 用户打算存取程序时,终端6获得包含视频、音频、程序的其他 成分和ECM信息在内的数字数据流。对于收到的每个ECM信息(步骤30),终端要验证其是否处于需 要控制存取条件的时期(步骤32)。步骤32进行的测试,确定了本 方法在终端6的时间阶段划分。如果终端要进行这项检查(箭头34 ), ECM中包含的存取条件可以和终端中的授权进行比较(步骤36)。如果没有授权可以满足存取条件(箭头38),对ECM进行的处理 即告结束,不能存取程序,终端6再等待下一条ECM信息(步骤30)。 如果终端中的授权可以满足存取条件(箭头40),终端6就要验证(步 骤42)它是否具有可以对控制字CW进行解密的密钥Kecm。这个步骤由操作者实现本方法的启动。如果终端6具有密钥Kecm (箭头44 ),就可以对控制字CW进行解密(步骤46),并且能够通过解扰来存取程序(步骤48)。 否则,就将ECM信息发送给存取管理单元4 (步骤52)。 如果终端6并非处于需要控制存取条件的时期(箭头54),可能有两种情况-验证(步骤42 )在不使用存取管理单元4的情况下,它本身是 否能够获得控制字CW,-或者系统地将ECM返回(步骤52)给存取管理单元4。在第一种情况下,如上所述,如果验证是肯定的,则将控制字CW 解密(步骤46)。然后终端6进行存取控制处理。在第二种情况下,终端6必须系统地使用存取管理单元4。在这种 情况下,如果存取管理单元4不检查存取条件,就不能存取程序。当终端发送(步骤52 ) —条ECM信息给存取管理单元4时,存取 管理单元检查(步骤60 )它是否处于必须检查ECM的存取条件的时期。步骤60确定本方法在存取管理单元4的时间阶段划分。如果存取管理单元4必须检查存取条件(步骤62 ),则将这一存 取条件与终端6的授权进行比较(步骤64 )。如上所述,存取管理单元4利用它自己的用户终端授权数据库进 行这项比较,而非直接给终端6发送一条查询。在此处理过程中,是 同意还是拒绝存取程序,只需要考虑法定授权。作为一种变型,也可以通过远程查询终端的安全处理器,来进行这一比较。在这种情况下, 例如通过这个处理器中观察到的授权的总体检查,可能发现非法授权 的存在。如果存取条件得到满足(箭头66 ),或者如果存取管理单元4不 需要检查存取条件(箭头68 ),存取管理单元4对ECM的控制字CW 进行解密(步骤70 ),将获得的控制字CW用专用于终端6的密钥Kter 进行加密(步骤72 ),并将获得的密码发送(步骤74 )给终端6。这 一终端用其专用密钥将控制字CW解密(步骤76),并且对程序进行 解扰(48)。如果存取管理单元4认为,并未按照终端6的授权满足存取条件 (箭头78),则它将不向终端6提供对程序进行解扰所需的控制字CW。在用虚线表示的本方法的一个变化的实施方案中(箭头80),其 中终端6曾明确表示,通过ECM以及在步骤52中,具有满足存取条 件的授权,则存取管理单元4结合这条信息和自己的结论(步骤84 ), 能够发现(箭头86)终端6企图非法存取内容,并对这样一种企图欺 诈的行为启动(步骤88)适当的处理。用的情况,例如读取或再分配所存储的内容。在这种情况下,由存取管理单元4发送给终端6的参数是一条要 和内容一起储存在终端内的ECMk信息,这一信息包含用来对所述内容 的再使用,例如读取或再分配,进行检查的存取判据。当读取或再使 用内容时,ECMk信息将根据其組成,按照本方法进行处理,呼叫存取 管理单元4,或者按照现有技术,通过单个终端进行处理。本方法也可以用于DRM系统中加强对存取的控制。在这种情况下,通常需要用一个单独的密钥对全部内容进行解扰。 这个密钥独立于内容之外,压缩在一个目标接收系统专用的许可证中。在这种背景下,所建议的方法在应用时要建立一个专用于上游系 统的许可证,使接收系统在使用许可证时非采用上游系统不可,上游 系统于是可以对接收系统存取内容的授权进行验证,这时,如有必要, 可以再建立一个专用于这一接收系统的许可证。图8用图解法表示对下文中指定为《内容》的内容和/或服务进行 分配的体系结构,其中一个操作者100提供加扰内容给一个包含几个终端的单一实体中的一组终端(102, 104, 106, 108 ),例如一个 单独的家庭户,使一个用户能够随操作者分配给这个用户的不同授权, 而在几个视听接收器上显示不同的内容。在图8所说明的实例中,主终端102和从属终端都装备有适合于 它们所连接的分配网络的解调装置(DVB-S、 DVB-C、 DVB-T解调器, IP调制解调器等)。此外,在这个实例中,主终端102装备有一个安 全处理器,例如智能卡109,从属终端(104, 106, 108 )没有智能 卡,但是在连接到主终端102的同时就可以存取操作者的内容,通过 主终端,从属终端就能存取所述内容。注意,用户可以利用主终端102,以常规方式存取内容。 主终端102和从属终端104直接从操作者100接收(箭头105 ) 加扰内容,从属终端106通过主终端102接收(箭头107)—项内容, 从属终端108接收(箭头110 )储存在主终端102的本地存储器111 中的一项内容,或储存在从属终端106的本地存储器中的一项内容(箭 头112 )。但是,注意从属终端(104, 106, 108 )可以装备智能卡,从而 对内容的存取控制部分由从属终端进行,部分由主终端进行,至于时间阶段划分则如上所述,由操作者进行控制。图8中说明的体系结构也适用于其他实体,例如内部网关或集体 天线,都没有超出本发明的范围。在这所有的情况中,从属终端104、 106、 108,每个都有一个和 主终端102的点对点链路(箭头115),并且通过这个点对点链路, 将从与内容相关的存取条件中所获信息返回给所述主终端102,使主 终端102能够管理对这项内容的存取控制。这种体系结构也可以扩展到层叠型的终端结构。 一个从属终端可以是与它连接的其它几个从属终端的主终端。这种容量扩展提供了建立终端的特殊功能布局的手段。由多层终端引起的反应时间,限制了 这样一种体系结构的扩展。在本发明的一个优选实施方案中,从属终端装备有一个安全电子 芯片,用这个芯片,可以对主终端提供的控制字的密码进行解密。在这种情况下,通过共同使用插在主终端内的单个智能卡以及插 在每个从属终端104、 106、 108内的电子芯片,可以加强由从属终端104、 106、 108中的任一终端存取内容的安全性。在另一个实施方案 中,由从属终端的一个专用安全软件模块担负这一解密功能。这种方法同样适用于直接播送的内容,并且适用于预先储存在主 终端102内或另一个从属终端106内的内容。操作者可以由上游系统规定要被授权的主终端进行管理的从属终 端,从而引入了区域的概念。因此,未被授权的从属终端不能对主终 端输出的内容进行解密。在一个优选实施方案中,如下文所要说明的那样,操作者通过对 会话密钥分配的控制,来控制被授权的和主终端共同操作的从属终端。作为一个变型方案,操作者还可以开出一份清单,包含被授权的 或被禁止的终端的标识符,从而限制能够访问某一主终端的从属终端 的数量。在这种情况下,对一个从属终端的控制,取决于是否被授权 使用与主终端建立的点对点链路。操作者这样就能选择清单中被授权 终端的数量。在所有情况下,只有经过授权的从属终端可以收到适用于与之相 关联的主终端的会话密钥。是否在被授权终端清单中删除一个从属终端,也由操作者控制决 定,典型做法是,向从属终端清单发送一个新的会话密钥,就从清单 中删除了这个终端。由《主要》终端对内容进行接收和记录由主终端访问内容,使用、记录或阅读这些内容,这一操作按照 上述图l的方法进行控制,如果终端有一个智能卡,可以使用智能卡, 和/或使用操作者的存取管理单元4。当收到存取条件时,主终端102 将至少一项关于所述存取条件的信息,通过点对点链路12返回给存取 管理单元4。这一存取管理单元对所述信息进行处理,容许或阻止由主 终端102使用内容。由主终端对内容的这一处理,不能因为从属终端 可能在别处提出请求而进行修改。另一方面,由于其主要地位,主终端102有一个附加功能,通过 这个功能,从属终端104、 106、 108可以向它提出请求,就它们对内 容的存取进行检查。它也可以具有传输能力,向从属终端传送它接收 的内容(终端106)或它所储存的内容(终端108)。操作者可以通 过在主终端102中对数据流/服务进行编程,来控制这一操作,主终端102可以重新定向到一个(或全部)从属终端104、 106、 108。 由从属终端使用 一项内容从属终端通过上游的来源直接(终端104)接收内容/服务,举例 来说,通过卫星通路或通过(终端106)主终端来接收内容/服务,或 者在它们被储存(终端108)在另一个主终端或从属终端以后再行接 收。收到内容和相关的存取条件(ECM)之后,从属终端104、 106或 108通过信道115连接到主终端102,并将ECM信息传送给主终端102 进行处理。由于从从属终端104、 106、 108发送给主终端102的数 据是加密的,信道115不必加以保护。如果满足了存取条件,则主终端102将ECM提交给对控制字CW 进行解密的智能卡109,并用会话密钥Ks对其进行局部再加密。主终端102从而将局部再加密的控制字CW发送给从属终端104、 106或108。收到这样再加密的控制字CW后,从属终端104、 106或108将 CW的密码提交给安全电子芯片,安全电子芯片用会话密码Ks进行解 密,并将已解密的控制字CW用于解扰器。需要注意的是,操作者可以对一个从属终端是否有会话密钥Ks进 行监察,从而检查从属终端104、 106或108是否和主终端102相关 联。所以,只有具有授权会话密钥Ks的从属终端能够获得控制字CW, 并因此能对主终端102重新分配的内容或直接收到的内容进行解密。还应注意,安全电子芯片的功能可以由一个安全处理器完成,例 如智能卡或软件模块,而并不超出本发明的范围。如果从属终端106将内容记录在本地存储器120中,而不直接使 用(典型方式是进行显示),本发明的方法也是适用的。在这种情况 下,如果满足了存取条件,主终端102就向从属终端106提供要和数 据流一起保存的ECM信息。读取所保存的内容时,从属终端106或108请求主终端102对存 取条件进行处理,和接收内容时所进行的处理一样。会话密钥的管理用来对主终端102发送给从属终端104、 106或108的控制字CW 进行加密的会话密钥,只有同一组所安装设备中包括的主终端102和从属终端104、 106、 108才知道。在进行终端初始化的步骤中,这一会话密钥被存入成组安装设备 的终端102、 104、 106、 108中。在一个优选实施方案中,操作者用 管理信息(EMM)将这一密钥存入主终端102的智能卡。操作者还将 它发送给从属终端104、 106或108,例如用一条EMM信息,储存在 安全电子芯片内。由EMM进行的这些加栽操作,可以应用于会话密钥 本身或应用于一个数据,典型的是应用于秘密数据,被会话双方用来 计算会话密钥。图9用图解法说明了有关从属终端要使用数字内容进行授权检查 的过程。在图9所示的实例中,对每个所设终端分配一个地址gi。终端102 和104其地址分别为@0和@1,具有由操作者加载的同一个会话密钥 Kl,而地址为@2的终端106具有另一个会话密钥K2。从属终端104 可以和主终端102进行配合,因为它可以用密钥Kl对密码CW傘!a进 行解密,从而获得控制字CW。另一方面,具有会话密钥K2的从属终端106不能对主终端102 用会话密钥Kl发送给它的密码CW * K1进行解密。其结果是,通过对主终端102和从属终端(104, 106 )共用的 会话密钥的检查,操作者对终端之间卡的共用情况可以完全进行控制。对终端的正常使用的检查按照本发明的方法可以由一个单独的主终端用来处理一个或多个 ECM。终端可以访问存取管理单元4 (图1),处理将用来存取内容的 ECM信道。它也可以访问这个存取管理单元4,同时处理多项内容,其 结果就增加了相应数量的需要处理的ECM信道。通过一个单独的主终端102同时处理多项内容可能是正常的。这 就是一个程序由多个成分组成的情况,举例来说,例如一个存取条件 用于图像和原文声道,另一个存取条件用于一种不同的语言,还有一 个存取条件用于耳聋人士的字幕。这也可以是终端为网关终端时的情 况,换句话说,设备作为进入一个单独实体(例如一个单独的家庭) 的入口点,并且使几个终端联合起来,存取所分配的内容。另一方面,由一个单独的主终端102对多项内容同时进行存取, 这样可以转移正式存取并且增加了未授权内容存取。检测这种欺诈性用途的一种可能的方法包括在一个特定的时期中,由一个单独的主终端102对存取管理单元4提出的请求数量和类 型进行观察,并且根据情况判断这个终端是否被欺诈性使用。特别是,对请求的类型进行观察可以确定主终端102是提出处理 一个ECM信道还是处理多个ECM信道,如果是处理多个信道,则确定 ECM信道是相互关联的(换句话说,涉及相同的程序)还是相互独立 的(换句话说,涉及不同的程序)。如果主终端重复对一项内容提出 存取请求,而正常情况下对这个终端并没有存取权,对这种情况也应 该进行观察。根据其类型,可以将这样储存的请求的数量与一个阈值进行比较, 超过了这一阈值,存取管理单元4可以判断其为侵权企图,因此它可 以采取措施,例如停止向这个终端传送使之能够存取内容的数据。接受请求、考虑请求的类型、确定观察周期、调整阈值等等,都 可以根据所赋予这项检查的容许程度或严厉程度而加以改变。主终端也可以使用相同的程序,来检查正在正常使用的从属终端。在上述实施方案中, 一旦终端不能对一条ECM进行处理,从中提 取控制字,它就将这条ECM发送给管理单元4或主终端102,使之掌 握这些控制字,以便能对内容进行解密。如上所述,这种传送/处理 ECM的方式只会偶尔进行,或者在每个密码周期进行。从接收终端看来,由管理单元4或由主终端102所进行的ECM传 送/处理的全程持续时间,必须小于一个密码周期的持续时间,以便终 端能够及时获得控制字,可对内容进行解扰。对于传送/处理的全程持续时间的这个条件使整个系统能够在一 次《单一的》存取内容期间正确操作,换句话说,在一个正常速度通 常大约为IO秒钟的密码周期正确操作。但是,出现了其它的使用情况,其中全程传送/处理的这个条件在 技术上不能得到满足,从而引起了解扰的间断或者甚至无法进行解扰。在笫一个实例中,诸如读取储存在终端(PVR)或网络(nPVR) 中的内容之类的功能,或者诸如VOD (视频点播)之类的服务,可以 使使用者用比正常速度更快的速度向前或者向后(《技巧模式》)接 收内容。在快速向前或向后存取内容时,内容中ECM的视在频率增加 而视在密码周期持续时间缩短。其结果是,由接收终端向管理单元或主终端提交的两个ECM之间的时间间隔减小。超过了对内容的某一存 取速度,两个ECM提交之间的持续时间,可能比全程ECM传送/处理 持续时间短。系统分离,不再继续运行。在另一个实例中,操作者可以缩短密码周期的长度,以加速控制 字的更新,从而增加对控制字密码或加扰内容强行攻击的难度,使对 内容的保护得到增强。缩短密码周期如果超过一个具体的量,两个ECM 提交之间的持续时间就小于全程ECM传送/处理时间。象上面的实例一 样,系统分离,不再继续运行。快进或快退存取方法的使用克服在特殊使用情况下系统的分离和失误缺点的一个方法是减 小接收终端向管理单元4或主终端102提交ECM的频率,同时部分保 留由管理单元4或主终端102进行的存取控制。这使用了本方法的特 征,按照这个特征,接收终端只是偶尔向管理单元或主终端发送ECM。这种解决方案的原则在于将内容的持续时间分解为几个时间段, 在每个时间段中,接收终端不用访问管理单元或主终端就能处理ECM。 但是,从一个时间段变化到另一个时间段时,接收终端必须访问管理 单元或主终端以获得信息,典型的是对控制字解密所必需的密钥,或 者为了满足内容存取判据的存取证明,使之能在新的时间段中处理 ECM。最好为获得下一个时间段所需要的控制字的解密密钥,终端应请 求访问管理单元或主终端,这可以实现它总是能满足存取条件,或者 同时具有必需的存取判据,或者不必检查这个条件。这个解决方案适用于上面提到的各种用途,下面就连接到管理单 元(4)的一个接收终端快进和快退存取内容的情况加以说明。为了达到这个目的,当一个与存取管理单元4相配合的操作者向 接收终端6提供内容时,该方法包括一个由操作者对内容设置条件的 阶段和一个由接收终端使用所述内容的阶段。设置内容条件的阶段包括以下步骤a) 所述内容的持续时间被分解为N个时间段,每个时间段与一个 标识符Sj、 一个密钥Kj、以及与这个密钥相关的数据Dj相联系,每个 时间段Sj包含一个整数Mj的密码周期CPi, i= l~Mj,b) 用控制字CWi j对内容加扰,i = l~Mj, j = 1~N,c) 用密钥Kj对每个控制字CWi,j加密,d) 然后,在每个时间段Sj期间,在每个密码周期CPi,内容加扰 后被传送到终端,同时传送的有一条ECM信息,ECM信息至少包含用 当前密钥Kj加密的控制字CWi,,还包含与当前密钥Kj相关的数据Dj,与上一个密钥Kj-;l相关的数据Dj-i,与下一个密钥Kj"相关的数据Dj+i。《当前段》表示终端当前正在接收的段Sj,相关的密钥Kj就称为 《当前密钥》。当然,向前存取内容时,终端按照...Sj, Sj+1, Sj+2 ... 各段的顺序逐个接收,段Sj+i是内容中的段Sj之后的《下一段》,用 《下一个密钥》Kj"表示;而向后存取内容时,终端按照...Sj, Sj-" Sj_2 ...各段的顺序逐个接收,段Sj-:l是内容中的段Sj之前的《上一段》, 用《上一个密钥》Kj4表示。内容的使用阶段采用三个成对的组合,配置终端时已经预先储存 了这些成对纟且合。这些成对纟且合(Kc, Dc) 、 (Kp, Dp) 、 (Ks, Ds) 分别由当前密钥Kc和与这个密钥相关的数据Dc、上一个密钥Kp和相 关数据Dp、下一个密钥Ks和相关数据Ds组成。在接收每条ECM信息之后,使用阶段包括以下步骤e) 终端对ECM信息中包含的数据Dj进行分析,估计它与各对组 合中可适用的数据的对应关系。f) 如果ECM信息中包含的数据Dj和预先储存在终端里的数据 Dc相对应,则终端用相应的成对组合中与这个数据Dc相关的密钥Kc 对控制字CWi,j进行解密。在这种情况下,终端不需要管理单元对ECM 进行任何补充处理。g) 如果ECM信息中的数据Dj和预先储存在终端里的数据Dp相 对应,则终端利用相应的成对组合中与这个数据Dp相关的密钥Kp对控 制字CWi,j进行解密。在向后读取内容的情况下当行进到上一段时就会 出现这种情况。同样,如果ECM信息中的数据Dj和数据Ds相对应, 则终端用密钥Ks对控制字CW"j进行解密。在向前读取内容的情况下, 当行进到下一段时出现这种情况。h) 最后,如果ECM信息中的数据Dj和预先储存在终端里的数据 Dc不对应,终端将收到的ECM信息发送给存取管理单元(4),存取 管理单元(4)从数据Dj确定当前密钥Kj,从数据Dj^确定上一个密钥Kj-i,从数据Dj+i确定下一个密钥Kj+1,将这些密钥以及与之相关 的数据发送给终端,终端将它们的相应数值,作为密钥K。 Kp、 Ks和 与这些密钥相关的数据De、 Dp、 Ds的新的数值储存起来。当在同一个 内容中从一段变化为另一段时,无论是正向读取还是反向读取,当从 一个内容变化到另 一个内容,当终端刚刚初始化而三个成对组合还没 有更新时,每次都会发生这种情况。根据出现的问题,步骤f)、 g) 、 h)的组合用来对与密码周期相 比的过度全程传送/处理时间进行补偿,同时保持管理单元对存取内容 的控制。终端里有了当前密钥Kc,使终端能够对控制字进行解密,不 用请求管理单元。但是,这个密钥只在当前段(步骤f,使用当前密钥) 持续期间有效。在这一段的末尾,终端必须使用另一个解密密钥。终 端已经有了这个新的密钥(步骤g,使用上一个密钥或下一个密钥), 从而能毫不间断地对内容进行解扰。但是,为了保证终端能够在这个 新段的末尾继续不间断地解扰,它必须请求管理单元处理ECM,以便 它能更新密钥系统(步骤h)。在这次更新后接收ECM时,用新的当 前密钥使自己重新回到中心位置(回到步骤f)。因此,即使由管理单 元提供密钥的持续时间比密码周期长,解扰也可以继续进行,并且管 理单元保持对存取内容的控制,因为在每个时间段期间,终端必须访 问管理单元。因此,应该理解,终端必须满足存取条件,或者由于它具有存取 判据,或者由于它不知道这个条件,因为,否则它要为每个ECM去访 问管理单元,这会引起如上所述的系统分离。还应注意,当管理单元 接收一条ECM来确定终端的密钥时,它可以检验终端实际具有满足存 取判据的存取证明,而不是象在基本方法中的那种非法证明。按照本发明的一个特征,终端通过一个点对点链路,将所述收到 的ECM信息返回给存取管理单元4。终端在其取决于解决方案的成对组合中必须具有的当前密钥Kj、 上一个密钥Kj-;l、下一个密钥Kj+i,由ECM中的与这些密钥相关的数 据来确定。在笫一个实施方案中,与ECM中传送的密钥相关的数据至少包括 和所述密钥Kj、 Kj4、 Kju相对应的密码,所述密钥Kj、 Kj-;l、 Kj+1 可以用只有管理单元4知道的管理密钥解密。在第二个实施方案中,与ECM中传送的密钥相关的数据至少包括 相应的段标识符Sj、 Sj-p Sj+1。相关数据如果不包括所述密钥的密码, 管理单元4就根据这些段的标识符来确定密钥Kj、 Kj-;l、 Kj+1。在这个实施方案的第一个执行过程中,存取管理单元4在预先规定的数据库中进行搜索,根据各个段标识符,确定新的密钥Kj、 Kj-;l、Kj+i-在另一个实施方案中,存取管理单元4通过一个来自段标识符的 根密钥的变化,来确定新的密钥Kj、 Kj-p Kj+1。在步骤e) h)期间,终端要估量所收到的相关数据Dj和在其成 对组合中可以得到的数据Dc、 Dp、 Ds之间的对应关系。这种对应关系 的基础最好是相同的段标识符。如果不利用段标识符,寻求对应关系就在于对密钥密码进行比较。在第三个实施方案中,在ECM信息中只有与当前密钥Kj相关的数据Dj,存取管理单元4用这个数据推导出与上一个密钥Kj-;l及下一个 密钥Kj+i相关的其它两个数据Dj-;L和Dj+;L。在第一个实例中,与密钥相关的数据是具有连续数值...X-2、 X-l、 X、 X+l、 X+2 ....的段标识 符。在另一个实例中,与密钥相关的数据是这些密钥的密码,管理单 元有这些密码的预列清单,其序列和段的序列相同。当密钥Kj的密码 列入这个清单时,先于它的密码就是密钥Kj4的密码,在它之后的密 码是密钥Kj+i的密码。作为一种变型,如果不对内容进行反向读取,与上一个密钥Kj-:l 相关的数据D j4不在ECM信息中使用,则可以删除对应于上一段的成 对组合(Kp, Dp),而不超出本发明的范围。作为一种变型,和上一段相对应的成对组合(Kp, Dp),可以用 与前面的np个连续段相关的几个成对组合代替,和下一段相对应的成 对组合(Ks, Ds),可以用与后续的ns个连续段相关的几个成对组合 代替,而不超出本发明的范围。成对组合的这种扩展,表示即使其存 取内容的速度可能使ECM的全程传送/处理时间变得大于一个或几个 连续段的视在持续时间,该解决方案也是可以应用的。前面的成对组 合或后续的成对组合的数量,取决于所需要的存取内容的最大速度。当加扰内容分配给所安装的一组接收终端时,也可以使用上述解 决方案, 一组接收终端包含一个主终端(102)和至少一个从属于所述主终端(102)的从属终端(104, 106, 108 )。在这一情况下,接 收终端用从属终端代替,并且正如由从属终端所看到的,主终端代替 了管理单元。在一个实施方案中,由从属终端发送给主终端的ECM处理,可获 得(Kc, Dc) 、 (Kp, Dp) 、 (Ks, Ds)成对组合的新值,这是由主 终端本身完成的,主终端配备了与管理单元中所用装置相似的装置功 能,举例来说,例如根密钥变化功能,采用管理密钥的解密功能,密 码数据库等,根据其实施情况而定。在另一个实施方案中,主终端(102)通过把所收到的ECM信息 发送给管理单元(4)或另一个它所依赖的主终端,确定要发送给从属 终端的成对组合(Kc, Dc) 、 (Kp, Dp) 、 (Ks, Ds)的新值,在处 理操作中,它对所依赖的主终端,就像自己是一个从属终端。上述优选解决方案,在于对每个段配合一个不同的密钥,存取条 件总是可以得到满足,或不为终端所知。这一解决方案明显地也可以 应用于每个段都具有不同存取条件的情况,解密密钥是不变的并且可 以在终端中得到。在这种情况下,数据Dj和授权有关,管理单元给终 端提供存取当前段、下一段和上一段所必需的授权,以代替密钥。
权利要求
1.对由操作者向接收终端(6)提供的加扰内容进行存取控制的方法,接收终端(6)和存取管理单元(4)相关联,所述终端(6)配备至少一个存取控制模块(10),该方法包括以下步骤a-将存取条件与所述内容相关联,其包含对所述内容进行解扰所需的多种信息,b-将附有所述存取条件的所述内容传送给所述终端(6),该方法的特征还在于以下步骤一旦终端(6)收到存取条件,则c-通过点对点链路(12),系统地或偶尔地将至少一项关于所述存取条件的信息,从终端(6)发送到存取管理单元(4),d-由存取管理单元(4)处理所述信息,根据所述处理的结果,容许或阻止接收终端(6)使用该项内容。
2. 根据权利要求l的方法,其中对于存取管理单元(4)所 接收的信息的处理包括第一步骤和第二步骤,其中该第一步骤包括检 查该信息与预先分配给终端(6)的存取数据是否一致,该笫二步骤 包括根据第一步骤的结果,将至少一个控制参数传送给终端(6), 容许或阻止其使用该项内容。
3. 根据权利要求2的方法,其中在终端(6)收到存取条件 时,存取控制模块(10)利用预先储存在所述接收终端(6)中的存 取数据检验是否满足存取条件。
4 . 根据权利要求3的方法,其中只有当收到的存取条件得不 到满足时,终端(6)才向存取管理单元(4)返回部分或全部关于存 取条件的所述信息。
5. 根据权利要求3的方法,其中即使收到的存取条件得到满 足,终端(6 )也向存取管理单元(4 )返回部分或全部关于存取条件 的信息。
6 . 根据权利要求3的方法,其中所述第 一步骤也用来发现终 端(6)对内容的非法存取企图。
7. 根据权利要求6的方法,其中存取管理单元(4)储存对 内容的非法存取企图,以便将欺诈性终端列入清单,并安排适当的制 裁。
8. 根据权利要求3的方法,其中对从存取管理单元(4)所 获信息进行处理的第一步骤,以及接收终端(6)对存取条件的检查, 按照操作者规定的时间阶段,系统地或偶尔地彼此互无关联地分别进 行。
9. 根据权利要求8的方法,其中所述时间阶段不能在接收终 端(6)预先宣告。
10. 根据权利要求l的方法,其中存取条件在ECM信息中传 送到终端(6),该ECM信息包含至少一个存取判据CA、由密钥Ke加 加密的加密控制字CW的密码CW承Ke加;而且储存在终端(6)中的存 取数据包括对内容的存取权和至少一个解码密钥。
11. 根据权利要求4和10的方法,其中如果存取控制模块(10 )不具备对所述密码CW * Kecm进行解码的密钥Kecm,则终端(6 )要发出至少一个密码CW傘
12. 根据权利要求2和10的方法,其中由存取管理单元(4) 向终端(6)发送的参数是用密钥Ke③解码并用特别为终端(6)所知 的密钥KtM再加密的控制字CW和/或将和内容一起储存的ECMK信息, 该ECMK信息包括将用来检查所述内容的重复使用的存取判据。
13. 根据权利要求l的方法,其中提供给终端(6)的内容用 DRM许可证进行保护。
14. 根据权利要求13的方法,其中终端(6)发送给存取管 理单元(4)的信息是DPM许可证。
15. 存取控制系统,该存取控制系统包含具有内容服务器(8) 的发射装置(2)、与所述装置(2)相关联的存取管理单元(4)、 配备了至少一个存取控制模块(10)的接收终端(6),所述存取控 制模块(10)对所述服务器(8)提供的加扰内容的存取进行控制, 并且对所述内容进行解扰所需的多个信息的存取条件与之相关联,该 存取控制系统的特征在于所述接收终端(6)通过点对点链路(12)连接到所述存取管理单元 (4),所述存取控制模块(10)通过点对点链路(12)系统地或偶尔地将至少一项关于所述存取条件的信息返回给所述存取管理单元 (4),从而使存取管理单元(4)处理所述信息,根据由存取管理单元(4)进行的处理结果,容许或阻止接收终端(6)使用内容。
16. 根据权利要求15的系统,其中所述存取管理单元(4)包括-验证装置,用来验证从存取控制模块(10)收到的信息是否 符合预先储存在终端(6)中的存取数据,-产生并向终端发送至少一个控制参数的装置,根据所述验证 结果,容许或阻止使用内容。
17. 根据权利要求16的系统,其中所述存取管理单元(4) 与发射装置(2)是分开的。
18. 根据权利要求16的系统,其中所述存取管理单元(4) 集成在发射装置(2)中。
19. 分配装置(2),其用于将所传送的加扰内容,和包含对 所述内容进行解扰所必需的多项信息的存取条件一起,分配给配备了 存取控制模块(IO)的至少一个接收终端(6),该装置的特征在于 与一个存取管理单元(4 )相关联,存取管理单元(4 )可以通过一个 点对点链路(12)与接收终端(6)的存取控制模块(10)进行通信 联系。
20. 接收终端(6),用于接收利用与存取管理单元(4)相关 联的内容分配装置(2)所分配的加扰内容,其特征在于 包含至少一个可以通过点对点链路(12)与所述存取管理单元(4) 通信联系的存取控制模块(10)。
21. 用来执行存取控制方法以控制对操作者提供的加扰内容 的存取的计算机程序,具有与操作者相关联的存取管理单元(4), 接收终端(6),其包含存取控制模块(10),该程序包含储存在终 端(6)里的第一个模块,其包含有系统地或偶尔地将所述存取条件 的至少一项信息通过点对点链路(12)从终端(6)转发到存取管理 单元(4)的指令,所述笫一个模块和储存在存取管理单元(4)里的 第二个模块相配合,第二个模块包含对所述信息进行处理的指令,以 及根据所述处理的结果,容许或阻止接收终端(6)使用内容。
22. 用于对分配给所安装的一组接收终端的加扰内容进行存 取控制的方法,所安装的一组接收终端包含主终端(102)和至少一 个隶属于所述主终端(102)的从属终端(104, 106, 108 ),该方 法包含以下步骤-将存取条件与所述内容联系在一起,包含对所分配的内容进 行解扰所必需的多种信息,-将共用的会话密钥Ks分配给所述主终端和从属终端,-将数据流传送(105, 107, 110)给所述终端组中的各终端 (102, 104, 106, 108 ),包含加扰的数字内容和存取条件, 该方法的特征还在于以下步骤-收到所述数据流后,从属终端(104, 106, 108 )从收到的 数据流中提出存取条件,通过和主终端间建立的点对点链路(115), 系统地或偶尔地向主终端(102)返回至少一项关于所述存取条件的 信息,-收到从属终端(104, 106, 108 )转发的信息后,主终端(102) 验证这条信息与预先分配给所述从属终端(104, 106, 108 )的存 取权是否一致,并向这个从属终端(104, 106, 108 )返回至少一 个指令参数,用会话密钥Ks加密,如果所述信息与所述存取权一致, 则授权使用内容,如果所述信息与所述存取权不一致,则阻止使用内 容。
23. 根据权利要求22的方法,其中存取条件在ECM信息中传 送,包含至少一个存取判据CA和用于对内容编码的控制字CW的密码CW * Kecm。
24. 根据权利要求23的方法,其中从属终端(104, 106, 108 ) 向主终端(102)至少返回密码CW
25. 根据权利要求24的方法,其中由主终端(102)传送给从属终端(104,106,108)的参数是用密钥Kecm解密、并用会话密钥Ks再加密的控制字CW。
26. 根据权利要求22的方法,其中由主终端(102)传送给 从属终端(104, 106, 108)的参数是一条ECMr信息,这条信息将 和内容储存在一起,并且包含将用于控制所述内容的再使用的存取判 据。
27. 根据权利要求22的方法,其中分配的内容用DRM许可证保护。
28. 根据权利要求27的方法,其中由从属终端(104, 106, 108)返回给主终端(102)的信息是DRM许可证。
29. 存取控制系统,该存取控制系统包含具有内容服务器(8) 的发射装置(2 ),主终端(4, 102 ),从属于所述主终端(4, 102 ) 的至少一个从属终端(6, 104, 106, 108),所述内容服务器(8) 包含向f斤述终端(4, 6, 102, 104, 106, 108 )分酉己加扰数字内 容的装置,和所述内容相关联的有包含对内容进行解扰所必需的多项 信息的存取条件,其特征在于从属终端(6, 104, 106, 108)可以通过,泉对,泉链路(12, 115) 与主终端(4, 102)连接,通过这个链路,所述从属终端(6,104, 106, 108 )系统地或偶尔地将从所述存取条件提取的至少一项信息 返回给主终端(4, 102),使所述主终端(4, 102)能够处理所述 信息,容许或阻止从属终端(6, 104, 106, 108 )使用内容。
30. 根据权利要求29的系统,其中所述主终端(4, 102)包括-验证装置,用来验证从从属终端(6, 104, 106, 108)收 到的信息是否符合以前分酉己给戶斤述从属终端(6, 104, 106, 108 )的存取权,-产生并向所述从属终端(6, 104, 106, 108 )发送至少一 个控制参数的装置,根据所述验证结果,容许或阻止使用内容。
31. 根据权利要求29的系统,其中所述主终端(4, 102)集 成在发射装置(2)中。
32. 根据权利要求29的系统,其中所述主终端集成在一个集 合接收天线中。
33. 根据权利要求29的系统,其中所述主终端在内容服务器 (8)和所安装的一组从属终端(6, 104, 106, 108 )之间,起网关的作用。
34. 在分配加扰内容的系统中与至少一个从属接收终端(6, 104, 106, 108 )相关联的主接收终端(4, 102),其特征在于 所述主接收终端(4,102)包括一个软件,能够处理由从属终端(6, 104, 106, 108)传送的信息,以容许或阻止所述从属终端(6, 104, 106, 108 )使用内容。
35. 计算机程序,用来执行一种存取控制方法,以控制对分配给所安装的一组接收终端的加扰内容的存取,所安装的一组接收终端包含一个主终端(4, 102 )和至少一个从属终端(6, 104, 106, 108 ), 对所述内容的存取,受包含至少一个存取判据和对所述内容进行解扰 所需的多项信息的存取条件支配,该程序的特征在于,它包括储存在 从属终端(6, 104, 106, 108 )里的第一个模块,包含从所接收的 数据流中提取存取条件的指令,以及系统地或偶尔地将所述存取条件 的至少一项信息通过和主终端建立点对点链路(12, 115)转发给主 终端(4, 102)的指令,所述第一个模块和储存在主终端(4, 102) 中的第二个模块相配合,第二个模块包含对所述信息进行处理的指令,以及根据所述处理的结果,容许或阻止所述接收终端(6, 104, 106, 108)使用内容的指令。
36.对操作者向接收终端(6)提供的内容进行存取控制的方 法,接收终端(6 )和存取管理单元(4 )相关联,所述方法包含由操 作者对内容设置条件的阶段和由终端使用所述内容的阶段,该方法的特征在于-终端被设置为储存分别由当前密钥Kc和与这个密钥相关的 数据Dc、前一个密钥Kp和相关数据Dp、下一个密钥Ks和相关数据 Ds组成的三个成对组合(Kc, Dc) 、(Kp, Dp) 、(Ks, Ds)-所述设置条件的阶段包括以下步骤a) 所述内容的持续时间被分解为N个时间段,每个时间段与 一个标识符Sj、 一个密钥Kj、以及与这个密钥相关的一项数据Dj相 联系,每个时间段Sj包含一个整数Mj的密码周期CPi, i= l~Mj, j = 1 ~N,b) 用控制字CWi,j的序列对所述内容加扰,c) 用密钥Kj对每个控制字CWi,j加密,d) 为了在给定的时间段Sj期间对内容进行解密,在每个密 码周期CPi期间,将加扰内容和一条ECM信息传送给终端(6) , ECM 信息至少包含加密的控制字CW"j、与当前密钥Kj相关的数据Dj、与上一个密钥Kj-i相关的数据Dj-;L、与下一个密钥Kj+i相关的数据Dj+i;-在接收所述ECM信息之后,所述使用阶段包括以下步骤e) 终端(6)对所述信息中包含的数据Dj进行分析,f) 如果ECM信息中包含的数据Dj和预先储存在终端(6 )里的数据Dc相对应,则所述终端(6)用与这个数据Dc相关的所述密钥 Kc对所述控制字CWi,j进行解密,g) 如果ECM信息中包含的数据Dj和预先储存在终端(6 )里 的数据Dp相对应,则所述终端用所述密钥Kp对所述控制字CWi,j进 行解密,如果数据Dj和数据Ds相对应,则所述终端用所述密钥Ks对 所述控制字CWi,j进行解密,h) 如果ECM信息中包含的数据Dj和预先储存在终端(6)里 的数据Dc不对应,所述终端将收到的ECM信息发送给存取管理单元(4),存取 管理单元(4)从数据Dj确定当前密钥Kj,从数据Dj-:l确定上一个密 钥Kj4,从数据Dj+i确定下一个密钥Kj+1,将这些密钥以及与之相关 的数据发送给终端,终端将它们的相应数值,作为密钥Kc、 Kp、 Ks 和与这些密钥相关的数据Dc、 Dp、 Ds的新的数值储存起来。
37. 根据权利要求36的方法,其特征在于终端(6)将收到的所述ECM信息通过一个点对点链路,返回给存取 管理单元U)。
38. 根据权利要求36的方法,其特征在于 在ECM中传送的所述数据Dj、 Dj-p Dj+1,至少包括分别对应于所述 密钥Kj、 Kj-;l、 Kja的密码,所述密钥Kj、 Kj-i、 Kju可以用只有管 理单元(4)知道的管理密钥解密。
39. 根据权利要求36的方法,其特征在于在ECM中传送的所述数据Dj、Dj-;L、Dj+i,至少包括段标识符Sj、 Sj-;l、
40. 根据权利要求39的方法,其特征在于密钥Kj、 Kj-;l、 Kju的值由管理单元(4)分别根据段标识符Sj、 Sj-:l、 Sj"确定。
41. 根据权利要求40的方法,其特征在于 所述存取管理单元(4)在预先规定的数据库中进行搜索,根据各个段标识符Sj、 Sj-;l、 Sj + 1,确定密钥Kj、 Kj-;l、 Kj + i的值。
42. 根据权利要求40的方法,其特征在于 所述存取管理单元(4)通过一个来自段标识符Sj、 Sj-:l、 Sj+1的根 密钥的变化,来确定密钥Kj、 Kj-p Kju的值。
43.对操作者分配给所安装的一组接收终端的加扰内容进行 存取控制的方法,所安装的一组接收终端包含主终端(102)和从属 于所述主终端(102)的至少一个从属终端(104, 106, 108 ),所 述方法包含由操作者对内容设置条件的阶段和由从属终端(104)使 用所述内容的阶段,其特征在于-从属终端(104)被设置为储存分别由当前密钥Kc和与这个 密钥相关的数据Dc、上一个密钥Kp和相关数据Dp、下一个密钥Ks和 相关数据Ds组成的三个成对组合(Kc,Dc) 、 (Kp,Dp)、 (Ks,Ds), 所述设置条件的阶段包括以下步骤a) 所述内容的持续时间被分解为N个时间段,每个时间段与 标识符Sj、密钥Kj、以及与这个密钥相关的数据Dj相联系,每个时 间段Sj包含整数Mj的密码周期CPi, i= l~Mj, j = 1~N,b) 用控制字CWi,j序列对所述内容加扰,c) 用密钥Kj对每个控制字CWi,j加密,d) 在给定的时间段Sj期间,为了对内容进行解密,在每个 密码周期CPi期间,将加扰内容和一条ECM信息传送给从属终端(6), ECM信息至少包含控制字CWi,j、与当前密钥Kj相关的数据Dj、与上一个密钥Kj-;L相关的数据Dj4、与下一个密钥Kj"相关的数据Dj + "-在接收所述ECM信息之后,所述使用阶段包括以下步骤e) 从属终端对所述信息中包含的数据Dj进行分析,f) 如果ECM信息中包含的数据Dj和预先储存在从属终端里 的数据Dc相对应,则从属终端用与这个数据Dc相关的密钥Kc对控制 字CWi,j进行解密,g) 如果ECM信息中包含的从属数据Dj和预先储存在从属终 端里的数据Dp相对应,则从属终端用与数据Dp相关的所述密钥Kp对 所述控制字CWi,j进行解密,如果从属数据Dj和数据Ds相对应,则 所述终端用与数据Ds相关的所述密钥Ks对所述控制字CWi,j进行解 密,h) 如果ECM信息中包含的从属数据Dj和预先储存在从属终 端里的数据Dc不对应,从属终端将收到的ECM信息发送给主终端(102 ),主终端(102 )从数据Dj确定当前密钥Kj,从数据Dj-i 确定上一个密钥Kj-i,从数据Dj"确定下一个密钥Kj+1,将这些密钥以及与之相关的数据发送给从属终端,从属终端将它们的相应数值, 作为密钥Kc、 Kp、 Ks和与这些密钥相关的数据Dc、 Dp、 Ds的新的数 值储存起来。
44. 根据权利要求43的方法,其特征在于从属终端(104)将所收到的ECM信息通过一个点对点链路,返回给 主终端(102)。
45. 根据权利要求43的方法,其特征在于 在ECM中传送的数据Dj、 Djd、 Dj+1,至少包括对应于所述密钥Kj、 Kj-" Kj"的密码,所述密钥Kj、 Kj-;l、 Kj"可以用从属终端(102) 不知道的管理密钥解密。
46. 根据权利要求43的方法,其特征在于 在ECM中传送的数据Dj、 Dj-:l、 Dj+1,至少包括段标识符Sj、 Sj^、
47. 根据权利要求46的方法,其特征在于由主终端(102)发送给从属终端的密钥Kj、 Kj^、 &+1的值是分别根据段标识符Sj、 Sj-;l、 Sj^确定的。
48. 根据权利要求47的方法,其特征在于由主终端(102)发送给从属终端的密钥Kj、 Kj-:l、 Kju的值是通过 在预先规定的数据库中进行搜索,根据各个段标识符确定的。
49. 根据权利要求47的方法,其特征在于由主终端(102)发送给从属终端的密钥Kj、 Kj^、 &+1的值是通过一个分别来自段标识符Sj、 Sj-;l、 Sj + i的根密钥的变化来确定的。
50. 根据权利要求36或43的方法,其特征在于 只有与当前密钥Kj相关的数据Dj在ECM中传送,而且在于数据 和Dju可以由这个数据Dj确定。
51. 根据权利要求43的方法,其特征在于主终端(102 )通过由管理单元(4 )或一个它所从属的主终端来处理 ECM信息,以确定密钥Kj、 Kj-:l、 Kju和数据Dj、 Dj-;l、 Dj+i的值。
全文摘要
本发明涉及对分配给一组接收终端的加扰数字内容进行存取的控制方法,一组接收终端包含主终端和从属于所述主终端的至少一个从属终端,在所述方法中,从属终端正常地或偶尔地将与内容相关的存取条件的至少一项信息,通过点对点链路返回给主终端,使所述主终端能够控制所述从属终端对内容的存取。
文档编号H04N7/16GK101331767SQ200680046794
公开日2008年12月24日 申请日期2006年8月18日 优先权日2005年12月13日
发明者A·彻瓦利尔, E·马吉斯, S·兰夫兰奇 申请人:维亚赛斯公司