专利名称:预付访问控制方法
技术领域:
本发明涉及付费电视领域,特别涉及到条件访问数据的保护。
背景技术:
为了访问商品或条件访问服务,用户配备接收加密形式的流的接收器/解 码器和负责访问控制操作的安全模块。
因此,在数据流中,同样传输包含允许解密该加密流的密钥的安全信息。 这些信息本身通过只有安全模块配备的密钥加密,该安全模块在返还认证该解 码器解密数据的临时密钥(控制字)之前接收这些信息并认证用户的权利。
在文献WO03085959中,服务或商品的访问是通过安全模块中的信用管 理来执行的。每件电视商品具有相应的价格,对应于整件商品或者一个时间单 元。该信用随着数据流行进的处理,即安全信息(ECM)的处理和对解码器 的当前密钥的返还,而减少。
只要该信用是正的,安全模块就接受安全信息的处理并返还相应密钥至解 码器。 一旦该信用耗尽,安全模块拒绝返还安全信息的密钥并因此中断该流的 解密。
因此,如果有第三方成功破译了该信用重载的方法,即使该安全信息的安 全性并没有失效,该第三方将同样能够不受限制地访问全部的商品。
发明内容
因此还存在这样一个未解决的问题,即最小化对连接在付费电视解码器上
的安全模块中的信用重载的攻击的影响。
这个问题的解决方法在于一种预付访问控制方法,用于以数据流广播到连 接于具有信用的安全模块的付费电视解码器的电视商品,该方法包括以下步
骤
-接收包括允许至少一部分数据流的解密的临时密钥(CW)的安全信息 (ECM),
-根据包含在该安全模块中的权利验证对所述数据的访问, -如果该验证是肯定的,验证发送给该解码器的临时密钥的计数器并且判 断计数是否已经达到极限,
-如果尚未达到极限则传送该临时密钥并更新该临时密钥计数器。 按照本发明,用户权利的验证过程通过三个步骤执行。第一,该权利例如 通过安全模块中的信用的存在来验证。可以由两种方式管理该信用,通过电视 商品的购买并将相应;k利保存在安全模块中,或通过^fe照时间(或安全信息号
码)的购买。在第一实施例中,权利信息(EMM)通过安全模块处理,购买 商品能够造成信用减少预定的额度并在安全模块中存储权利的影响。如果安全 信息(ECM)包含作为条件的该权利的存在,全部的安全信息将被认证。在 接收所述信息时,安全模块验证该权利的存在并且不对信用执行任何处理。在 第二实施例中,安全信息直接使信用减少预定的额度,并且该额度例如可以包 含在安全信息自身中。需要注意的是在该第二替换例中,不必对于每条信息都 产生信用借方,借方会激活一段几分钟的时间段,在该时间段内全部的其他信 息将被解密并返还到解码器。
在该第一验证步骤之后,执行第二验证步骤,包括验证临时密钥计数器的 状态,对返还到解码器的临时密钥(或控制字)计数。当每个密钥都返回后, 更新该计数器并将该计数器与一预计划的极限值进行比较。
如果计数器值达到或超过了该极限,安全模块阻止临时密钥的返还,因此 不再可能访问加密数据流了 。
本发明将通过引用展现带有安全模块的付费电视解码器的唯一附图来更 好地理解。
具体实施例方式
按照附图1中公开的实例,STB解码器包括存储介质HD并且本地连接到 以智能卡形式出现的安全模块SC 。
安全操作通常在和数字视频接收机STB相关联的安全模块SC中执行。特 別地这种类型的安全模块可以按照四种不同形式产生。其中的 一种包括微处理 器卡、智能卡,或更常见地包括电子模块(采用密钥形式、标记形式......)。
这种类型的模块通常是可移动的并可连接到数字视频录像机上的。最常用的形
式是具有电接触,但不排除没有接触的连接,例如IS014443型。
第二个已知的形式包括集成电路芯片,通常放置在以被限定并且不能移动 的方式印刷在电路板上的数字视频接收机内。 一个替换方式,由接线到基座上 或例如SIM模块连接器连接的这样的电路组成。
在第三形式中,安全模块被集成到同时具有其他功能的集成电路芯片上, 比如被集成在在解码器的去扰模块上或接收机的微处理器上。因此该安全模块 作为大型硅电路的一部分。
在第四实施例中,安全模块并不是通过硬件实现的,而是仅仅通过软件执 行它的功能。例如模糊化的已知技术可用于隐藏该软件。
虽然安全性等级不同,但在给定的四种情况中,功能是同样的,无论实现 其功能的方式或该模块采用的形式如何,都将被称为安全模块。
安全信息ECM和权利信息EMM通过安全^^块SC处理,并且为了发送 到安全模块,安全信息ECM和权利信息EMM被STB解码器从输入流中提取 出来。为了执行保护,该权利、信用和计数器保存在安全模块SC中。权利验 证机制同时包括计算从安全模块SC返还的全部临时密钥的新功能。
该计数器因此起到监视器的作用。
按照第一替换例,计数器不能被重新初始化,因此安全模块的使用期限是 预先确定的。由于计数器仅仅在制造时被初始化,它按照习惯标准起到保险丝 那样的作用。
按照第二替换例,计数器可以依据特别的安全操作不重新初始化。权利信 息EMM可包含重新初始化计数器或将其重载为预定值的命令。可选地,使用 与权利信息不同的特别类型的并因此由不同密钥被加密的信息是有可能的。所 以,这样的临时密钥计数器的重新初始化将响应很少见的高安全性标准。
按照一个特别的实施例,重新初始化是按照用户的请求而执行的。当计数 器达到接近最大值的值时,在解码器的显示单元显示一条信息来请求重新初始 化。随着此信息,安全模块预先产生了校验数,其也必须传送到管理中心。该 校验数可以是一个随机数或表示其内部数据签名的数。
用户呼叫管理中心以发送用户的安全模块识别数和安全模块产生的校验
数。该数可包括一个随机部分和一个表示安全模块数签名的部分。
管理中心验证接收的数据,即如果安全模块数与带有校验数传送的安全模 块数正确地对应,并且在确认后,就传送重新初始化信息至连接到所述安全模 块的解码器。
为了加强安全性,校验数可被包括在重新初始化信息中并因此能在安全模 块中被验证。重新初始化信息中的数据可以是代替校验数本身的校验数(无用 信息)的签名。信息中包含的校验数将包括如上所述的两个定义。
仅仅当校验数与初始传送到解码器的校验数相同时,才进行计数器的重新 初始化。重新初始化应当被理解为将所述计数器复位到零或加载到一个预置的 值。该预置值也可在重新初始化信息中传送。鉴于以上描述了计数到最大值的 实例,该处理还可以是相反的,以便计数减少到可为零的最小值。
对重新初始化信息的加密可以通过对权利信息(EMM)通用或者对这种 类型的操作是特别和唯一的密钥来执行。
本发明也可以应用到临时密钥的部分计数器,也就是说,例如以2对密钥 计数(偶密钥或奇密钥)。
权利要求
1. 一种预付访问控制方法,用于以数据流广播到连接于具有信用的安全模块的付费电视解码器的电视商品,该方法包括以下步骤:-接收安全信息,其包括允许至少一部分数据流的解密的临时密钥,-根据包含在该安全模块中的权利验证对所述数据的访问,-如果该验证是肯定的,验证发送给该解码器的临时密钥的计数器并且判断计数是否已经达到极限,-如果尚未达到极限则传送该临时密钥并更新该临时密钥计数器。
2. 根据权利要求1所述的预付访问控制方法,其中对于所述数据的访问 验证是基于当前信用的验证的。
3. 根据权利要求1所述的预付访问控制方法,其中对于所述数据的访问 验证是基于存储在安全模块中的权利的验证的。
4. 根据权利要求1所述的预付访问控制方法,其中临时密钥计数器通过 接收由所述安全模块的私人密钥加密的权利信息被重新初始化。
5. 根据权利要求1所述的预付访问控制方法,其中临时密钥计数器按照 以下步骤被重新初始化-安全模块产生关于所述安全模块的校验数, -在解码器的可3见装置上显示该数,-用户向管理中心传送安全模块的标识符和校验数的标识符, -管理中心为所述安全模块准备重新初始化信息,包括校验数的标识符, -安全模块验证产生的校验数和接收的校验数的标识符之间是否匹配, -如果验证是肯定的,重新初始化临时密钥计数器。
6. 根据权利要求5所述的预付访问控制方法,其中重新初始化通过将包 含在重新初始化信息中的值加载到临时密钥计数器来执-f亍。
全文摘要
本发明的目的在于最小化对连接在付费电视解码器上的安全模块中的信用重载的攻击的影响。这个问题的解决方案在于一种预付访问控制方法,用于以数据流广播到连接于具有信用的安全模块的付费电视解码器的电视商品,该方法包括以下步骤接收安全信息(ECM),其包括允许至少一部分数据流的解密的临时密钥(CW);根据包含在该安全模块中的权利验证对所述数据的访问,如果该验证是肯定的,验证发送给该解码器的临时密钥的计数器并且判断计数是否已经达到极限;如果尚未达到极限则传送该临时密钥并更新该临时密钥计数器。
文档编号H04N5/00GK101379819SQ200780004719
公开日2009年3月4日 申请日期2007年2月5日 优先权日2006年2月10日
发明者安德烈·库德斯基 申请人:纳格瑞卡公司