通过安全模块验证产品接入的方法

专利名称：通过安全模块验证产品接入的方法
技术领域：
本发明涉及数字付费电视领域，其中用户购买根据付费而进行广播的产品的消费权。该付费是从存储在与用户单元或解码器相关的安全模块中的信用记录来借记的。

背景技术：
安全模块的作用是用于控制接入传输由广播服务器使得用户可用的加密的数字数据的流。例如，在付费电视领域，解码器根据与所述解码器相关的安全模块中登记的权利来允许接入和译码广播的加密音频/视频数据流。
通常，安全模块被定义为受保护的电子模块以防止被篡改，例如插入到恰当的读卡器中的可移动的微处理器卡，读卡器连接该模块和解码器。
该安全模块提供有通信接口，从管理中心接收用于管理接入广播的数据的权利的消息。这些消息被称为管理消息EMM(授权管理消息)。
文档WO03/085959描述了包括管理中心的系统，该管理中心发送由包括在控制消息(ECM)中的控制字加密的数据流。该数据流流向连接至由唯一的地址识别的安全模块的至少一个用户单元。该模块包括信用记录，其基于产品的购买和数据流的消耗而减少。为了重新载入信用记录，用户将代表安全模块的唯一地址的标识符和表示重新载入的数量的价值代码传送至管理中心。管理中心在将允许重新载入信用记录的加密的管理消息(EMM)发送至安全模块之前处理和验证该价值代码。
当在安全模块中的信用记录是充足的时候，可以进行两个模式的购买，即 -本地购买用户决定使用部分或全部信用记录来购买产品。因此，在信用记录减少之后，在安全模块中创建新的权利来接收所述产品。
-通过管理中心购买用户呼叫管理中心来购买产品。然后管理中心发送包含对所述产品的接入权利以及从安全模块的信用记录中要被减少的数量的加密的管理消息(EMM)。
在两种情况下，通过处理包含产品的权利以及对应的花费的消息来进行购买。如果可用的信用记录是充足的，安全模块处理该消息，即，减少信用记录并验证权利。在接收时，该权利由此授权对广播的产品的接入。
如果存储在安全模块中的信用记录不是足够的，接收的EMM管理消息被拒绝并且不可能接入要求的产品。当用户单元不可用并且由此不能验证要求的权利时，也可以产生相同的效果。因此，接入控制系统和管理中心没有任何关于信用记录的实际使用的信息，其当不得不建立产品提供商的扣除时是一个缺点。
由于用户单元没有对于接入控制系统的直接的反馈通道，关于发送消息的产品的有效消耗率不能被确定。实际上，发送的消息的数量大于实际本地被处理以释放对产品的接入的消息的数量，管理中心可以支付给提供商一些剩余的权利和/或产品，其既没有被消耗，也没有被用户支付。
在通过管理中心购买的时候，用户发送请求，该请求包含安全模块标识符以及与产品或选择的服务相关的代码。当通过独立于广播的数据的接收通道的反馈通道进行发送时，例如通过电话或通过短消息(SMS)发送请求时，不能进行安全模块标识符与有效用户的对应关系的验证。实际上，可能通过例如适当的软件以安全模块标识符产生一些服务和产品代码，并且将它们发送至管理中心。管理中心分析这些请求，接收那些中心的数据库已知的安全模块标识符的请求，以广播指向与识别的安全模块标识符相关的单元的管理消息EMM。在接收这些EMM消息的时候，对应于识别的模块的标识符的安全模块将它们的信用记录借记(debit)在不知相关的单元的用户的情况下。在输入代表用户的代码中出现的错误也可以导致EMM消息的发送，导致另一个用户单元的信用记录的不适当的借记。这样借记的概率与网络中的服务中的单位数目成比例地增加。
文档US6810525描述了通过通信网络用于推动服务的购买的方法和系统。服务购买请求是从订购终端发送至接入控制中心的，接入控制中心产生包括服务标识符和相关的权利的加密的消息。该终端接收这个消息以及选择的服务的花费，并且验证可用的信用记录是否是充足的。在验证成功的情况下，通过终端的应用产生安全标志。在接入控制中心处理购买请求之前，将这个标志发送到网络的服务器来确定订购者的权利的状态。这个服务购买系统被应用至双向网络配置，其中订购者终端永久地连接至验证标志的接入控制中心和服务器。由于这个系统使用根据终端优选地使用反馈通道的验证标志的点对点发送，这个系统构成了对从其他用户的不期望的借记的问题的解决方案。然而，在具有独立于仅用于发送请求的终端的反馈通道的广播系统中，不容易自动地执行该方法。手动执行将暗示用户发送两个消息购买请求和终端生成的标志。这个方法对于在线可用的快速冲动购买是不舒服的和苛求的。
文档EP1398966描述了用于由接收机的用户执行的交易而没有反馈通道的系统。该系统包括广播中心(头端)、通信网络和提供有适于通过通信网络接收广播中心发送的数字数据的显示器的接收机。该接收机包括配置以显示识别模块的第一唯一代码的安全模块；这个代码使得能够创建交易标志。也显示识别要被订购的服务或产品的第二代码，这个代码包括在广播的产品的数据中。在购买的时候，用户选择产品，并将其标识代码和价格与安全模块的唯一代码(交易标志)一起发送至广播中心。该发送通过独立于接收机的通道执行，例如语音电话、短消息(SMS)等。广播中心将该标志解码，并在安全模块的数据库中识别从标志提取的标识符之后释放该产品。
这个系统通过发送能够被广播中心识别的并且对应于一些服务中的安全模块的识别代码来致力于来自其他用户的不期望的借记的问题。由于该系统处理以广播模式的数据传输，向网络的所有接收机广播允许看到产品以及在给定的接收机上的信用记录的借记的管理消息。在文档EP1398966中提及的标志的加密可以是这个问题的解决方案。然而，加密密钥和安全模块的标识符可以由恶意第三方确定，其可以由此系统地产生标志以引起在或多或少的数目的接收机中的借记。


发明内容
本发明的目的在于通过允许管理中心通过管理消息来确保提供给用户的权利的改进的控制以防止上述缺点。实际上，仅当存储在用户单元的信用记录是充足的时候，管理中心发送该消息。
另一个目的是提供从发送包含管理中心识别的安全模块的标识符的假请求而导致的信用记录的不恰当的借记的屏蔽。
这个目的通过一种方法实现，该方法用于通过与双向连接至发送指向安全模块的管理消息的接入控制系统的用户单元相关联的安全模块验证对产品的接入，所述消息由接入控制系统在接收请求接入由广播数字数据组成的产品的权利之后生成，所述方法包括以下步骤 -购买由用户单元提出的产品，并且安全模块验证与产品相关的价值数量是否由剩余的信用记录覆盖， -在确定为是的情况下，确定代表购买的产品的代码， -在连接至用户单元的显示装置上显示所述代码， -通过独立于用户单元的通道将至少包括所述代码和代表安全模块的标识符的标识符的请求发送至管理中心， -接入控制系统验证代码和安全模块的标识符的有效性， -发送指向与所述安全模块相关的用户单元的权利确认消息， 本方法的特征在于，在购买产品的过程中，当剩余的信用记录等于或大于与所述产品相关的价值数量时，将临时权利登记到安全模块中，所述的临时权利由从管理中心接收的权利确认消息来被确定权利替换，所述确定权利通过借记与所述产品相关的价值数量来授权对购买的产品的接入。
解决方案包括在接入控制系统证明安全模块实际上适于创建用于购买选择的产品的权利。在购买产品的过程中，将与所述产品相关的价值数量和在安全模块中剩余的信用记录相比较。当剩余的信用记录等于或大于与产品相关的价值数量时，在安全模块中存储临时权利。识别特定于这个产品的权利的代码与识别安全模块的唯一数字相关联，并且然后以权利请求的方式被发送至管理中心。在接收到该请求的时候，接入控制系统产生权利确定消息，其包括确定权利和作为接入确定权利的条件的识别代码。安全模块接收这个确认消息，并且仅当识别代码对应于临时权利时，使用消息的确定权利来取代临时权利。由此授权对产品的接入。否则，在不同的确定权利标识符或没有包括在临时权利之中的情况下，管理消息被拒绝，并且由于缺乏有效的权利拒绝对产品的接入。
这个方法的优点在于仅当成功执行安全模块的信用记录的验证时才由接入控制系统产生和发送确认消息。换句话说，如果与产品要求的相比安全模块的初始信用记录是不充足的，不产生向管理中心的请求。
通常，管理中心和接入控制系统是两个分开的实体。第一实体包含与管理权利请求的用户的接口，同时第二实体根据从第一实体接收的请求生成用于用户单元管理消息。在某些配置中，这两个实体可以集合在全局管理系统中。
这个方法解决了由其他用户产生的不期望的借记的问题，因为对购买的产品的确定的接入的权利仅授予安全模块包含对应于选择的产品的临时权利的单元。没有这个权利或对应于不同的安全模块和/或产品的另一个权利的单元将不受到权利确认消息的影响。因此，对于要被确定地借记的信用记录的必要的补充条件是存在对应于产品和给定安全模块的临时权利。



本发明将从参考给出作为非限制例子的附图的详细描述中得到更好理解。
图1表示执行该方法的第一实施例的系统框体，其中指向管理中心的用于接入权利的请求包括特定于购买的产品的购买代码；以及 图2表示执行该方法的第二实施例的系统框体，其中指向管理中心的用于接入权利的请求包括从安全模块和产品的标识符计算的购买代码。

具体实施例方式 在图1表示的方法的第一实施例中，用户从例如电视显示器显示的列表选择产品(P1)。产品的购买使得进行在与用户单元(STB)或解码器相关的安全模块(SM)中存储的信用记录的验证处理。这个信用记录期望等于或大于选择的产品(P1)的花费。在进一步的实施例中，特别是在同时购买若干产品的情况下，对应的花费的数量可以被存储在处理的信用记录的寄存器中，剩余的信用记录被临时借记。这个处理对应于产品的临时购买，这将在以后由接入控制系统(CAS)验证。
当产品(P1)的价值数量对应于低于或等于在模块(SM)中剩余的信用记录的借记时，在安全模块(SM)中登记临时权利(D1t)。特定于购买的产品(P1)的代码(CP1)或者从临时权利(D1t)生成或者从产品(P1)的描述提取。根据配置例子，这个代码可以由安全模块(SM)存储并且当执行借记时与临时权利(D1t)相关联。
在解码器(STB)中安装的应用允许为用户显示代码，例如在电视显示器上或在分离的图形显示器上显示。为了确认购买，用户通过它的安全模块的标识符(IDSM)将这个代码(CP1)发送至管理中心(CG)。
请求信息RQ(IDSM，CP1)通过例如固定或移动电话网、因特网或其他传输通道的通信通道被发送至管理中心(CG)，通信通道通常独立于解码器(STB)。
请求RQ(IDSM，CP1)也可以以短消息SMS、通过语音服务器、通过电子邮件或通过管理中心(CG)同意的其他任意支持发送。
根据实施例，解码器通过蓝牙或红外IrDA(红外数据联盟)无线连接来发送请求至移动电话。然后从接收的数据创建短消息(SMS)，并且通过移动网络将短消息发送至管理中心。
根据另一个例子，解码器提供有与管理中心的临时连接，其仅用于请求的发送而建立。
管理中心(CG)向接入控制系统(CAS)提供请求参数。接入控制系统(CAS)首先验证安全模块的标识符(IDSM)以及产品代码(CP1)的一致性。验证的肯定结果授权产生包含确定权利(D1)的标识符的确认消息(CEMM)。
安全模块(SM)通过解码器(STB)接收消息(CEMM)，并且如果临时权利(D1t)实际上存储在安全模块(SM)中，以确定权利(D1)取代临时权利(D1t)。由此，以前进行的原来的购买由授权对产品(P1)的接入而得到验证。
为了验证的目的，确认消息进一步包括产品代码(CP1’)，仅当产品代码(CP1’)对应于原来购买的产品(P1)时，用确定权利(D1)来取代临时权利(D1t)。在安全模块存储产品代码(CP1)的实施例中，由确认消息(CEMM)返回的代码(CP1’)必须与存储的代码(CP1)相同。
这个方法的第一实施例的安全性可以是以伴随有效产品代码(CP1)的有效安全模块(SM)标识符(IDSM)来攻击存包含请求RQ(IDSM，CP1)的重复发送的系统的目标。这些请求由于发送不会被验证的确认消息(CEMM)而可以使接入控制系统过载。此外，对于提供商的消耗的产品的统计和扣除将被严重影响。实际上，接入控制系统(CAS)发送大量不必要的消息(CEMM)而不必然授权对产品(P1)的接入。虽然有效的安全模块标识符(IDSM)，确定权利(D1)可以是无效的，因为其不对应于任何临时权利(D1t)，由此引起确认信息(CEMM)被接收确定权利(D1)的单元(STB)拒绝。
对于这种攻击的屏蔽包含，一方面，安全模块(SM)从购买的产品(P1)和安全模块的标识符(IDP1)计算临时权利的标识符(IDD1t)，另一方面，通过用户单元(STB)的个人密钥(Kp)加密临时权利的标识符(IDD1t)。这样获得的密码形成了购买代码(CAP1)。
对管理中心(CG)的权利请求RQ(IDSM，CAP1，IDP1)包括安全模块的标识符(IDSM)、购买代码(CAP1)以及购买产品的标识符(IDP1)。接收到请求RQ(IDSM，CAP1，IDP1)，接入控制系统(CAS)知道用户单元的个人密钥(Kp)、产品的识别码(IDPI)和安全模块的标识符(IDSM)来重新计算购买代码(CAP1)。以这种方式可以在响应于请求准备确认信息(CEMM)之前确定接收的购买代码(CAP1)是否是有效的。在比较成功的情况下，接入控制系统(CAS)仅向由安全模块的标识符(IDSM)识别的单元(STB)发送包含授权接入产品(P1)的确定权利(D1)的条件消息(CEMM)。
该方法的这个实施例具有使得上述系统攻击更困难的优点，因为购买代码(CAP1)依赖于安全模块的标识符(IDSM)和产品的标识符(IDP1)，而不再如第一实施例中那样依赖于产品的标识符(IDP1)。此外，以安全模块(SM)的秘密个人密钥(Kp)加密购买代码(CAP1)。
图2所示的第二实施例允许通过增强的购买代码(CAP1)获得处理的更高的安全性，增强的购买代码(CAP1)不仅仅依赖于购买的产品(P1)，还依赖于安全模块(SM)。实际上，后者从产品的标识符(IDP1)以及从安全模块的标识符(IDSM)通过以用户单元(STB)的个人密钥(Kp)将它们加密来计算这个代码(CAP1)。为了通过通信通道被发送至管理中心(CG)，密码Kp(IDP1，IDSM)或获得的购买代码(CAP1)被显示在可用的显示装置上。应该注意的是个人密钥既可以是对称类型也可以是非对称类型。
管理中心(CG)将请求RQ(IDSM，CAP1，IDP1)引导至接入控制系统(CAS)用以验证安全模块的标识符(IDSM)和产品的标识符(IDP1)的一致性以及购买代码(CAP1)。购买代码由接入控制系统(CAS)重新计算并且与请求中包含的一个相比较。
当确认密码Kp(IDP1，IDSM)的内容的有效性的时候，接入控制系统(CAS)产生包含条件确认消息(CEMM)，包含确定权利(D1)以及临时权利(D1t)的标识符作为消息的接收条件。
消息(CEMM)优选地由所述安全模块(SM)的个人密钥加密。如在第一实施例中，当临时的标识符是正确的时候，确认消息(CEMM)的权利(D1)取代临时权利(D1t)。确定权利(D1)允许对购买的产品(P1)的接入。
当消息(CEMM)没有由用户单元(STB)接收或不是由管理中心发送的时候，在创建这个权利(D1t)之后没有接收到消息的预定周期结束之后时、或者在广播已经创建了这个权利(D1t)的产品(P1)的时候，临时权利(D1t)终止。在这个实施例中，在购买时登记的产品的代码包含关于广播日期和小时的信息。在临时权利(D1t)终止的时候，安全模块的剩余信用记录的数量被复位到购买产品(P1)之前的初始值，由此允许安全模块对于产品进行新的接入验证。
当验证没有成功时，接入控制系统(CAS)不产生任何消息(CEMM)。如果密码Kp(IDP1，IDSM)不是正确的，不发送消息(CEMM)并且临时权利(D1t)将持续到其终止。在两种情况下，由于在安全模块(SM)中缺少确定权利(D1)，对于“预购”产品(P1)的接入维持禁止。
这两个实施例允许接入控制系统(CAS)将安全模块(SM)和购买的产品(P1)的标识符(IDSM，IDP1)分别存储在数据库(DB)中。优选地当购买代码(CAP1)的各自的产品代码(CP1)被成功验证时发生这个记录。这允许为了报偿产品提供商而建立用户单元购买的产品的历史、扣除和统计。
简化的方法包含向管理中心发生表示信用记录的信息。在购买之前，用户让用户单元生成购买代码。这个代码由剩余的信用记录和安全模块的标识符形成。其也可以由例如日期的时间值完成。
这个代码被用户与它的安全模式的标识符以及期望的产品的标识符一起发送。接入控制系统或管理中心基于接收的安全模块标识符来从代码中提取信用记录的值。如果信用记录相对于产品的价格是足够的，包含权利和产品的价值数量的对应的购买消息被发送至安全模块。安全模块在存储权利和由此允许接入产品之前验证信用记录实际上对于期望的产品是否是足够的。
应该注意的是这个简化的方法并不比图1的第一实施例更安全，其同样地易受到包含在如上所述的接入控制系统中的攻击。
权利要求
1.一种方法，用于通过与双向连接至发送指向安全模块(SM)的管理消息的接入控制系统的用户单元(STB)相关联的安全模块(SM)验证对产品(P1)的接入，所述消息由接入控制系统(CAS)在接收请求接入由广播数字数据组成的产品的权利之后生成，所述方法包括以下步骤
-购买由用户单元提出的产品，并且安全模块(SM)验证与产品(P1)相关的价值数量是否由剩余的信用记录覆盖，
-在确定为是的情况下，确定代表购买的产品(P1)的代码(CP1)，
-在连接至用户单元(STB)的显示装置上显示所述代码(CP1)，
-通过独立于用户单元(STB)的通道将至少包括所述代码(CP1)和代表安全模块(SM)的标识符(IDSM)的标识符(ID’SM)的请求(RQ)发送至管理中心(CG)，
-接入控制系统(CAS)验证代码(CP1)和安全模块的标识符(IDSM)的有效性，
-发送指向与所述安全模块(SM)相关的用户单元(STB)的权利确认消息(CEMM)，
本方法的特征在于，在购买产品(P1)的过程中，当剩余的信用记录等于或大于与所述产品(P1)相关的价值数量时，将临时权利(D1t)登记到安全模块(SM)中，所述的临时权利(D1t)由从管理中心(CG)接收的权利确认消息(CEMM)来被确定权利(D1)替换，所述确定权利(D1)通过借记与所述产品(P1)相关的价值数量来授权对购买的产品(P1)的接入。
2.根据权利要求1所述的方法，其特征在于，确认消息(CEMM)包括产品代码(CP1’)，其中当确认消息(CEMM)的产品代码(CP1’)对应于原来购买的产品(P1)时，确认消息(CEMM)的确定权利(D1)取代安全模块(SM)中存储的临时权利(D1t)。
3.根据权利要求2所述的方法，其特征在于，产品代码(CP1’)对应于在指向管理中心的请求中发送的代码(CP1)。
4.根据权利要求1所述的方法，其特征在于，代码(CP1)包含在与广播的产品(P1)或与要被广播的产品相关的通用管理消息中。
5.根据权利要求1所述的方法，其特征在于，由电话以短消息的形式或者通过语音服务器、通过电子邮件或任何其他管理中心支持的通道发送请求(RQ)至管理中心(CG)。
6.根据权利要求1所述的方法，其特征在于，代码包含有购买的产品(P1)的标识符(IDP1)和以用户单元(STB)的个人密钥(Kp)加密的安全模块(SM)的标识符(IDSM)形成的密码Kp(IDSM，IDP1)。
7.根据权利要求6所述的方法，其特征在于，请求(RQ)进一步包括购买的产品(P1)的标识符(IDP1)。
8.根据权利要求7所述的方法，其特征在于，接入控制系统(CAS)验证代码(CP1)或密码Kp(IDSM，IDP1)的一致性以及安全模块(SM)的标识符的一致性，并且仅当验证是肯定的时候，授权发送确认消息(CEMM)至所述安全模块(SM)。
9.根据权利要求8所述的方法，其特征在于，接入控制系统(CAS)在接收到请求(RQ)时从安全模块和产品的标识符(IDSM，IDP1)重新计算密码Kp(IDSM，IDP1)，并且将其与包含在请求(RQ)中的密码比较，当比较的结果是肯定的时候，接入控制系统(CAS)发送包括肯定的权利(D1)以及临时权利(D1t)的标识符的确认消息(CEMM)作为所述消息的接收条件。
全文摘要
本发明涉及一种方法，用于通过与双向连接至发送指向安全模块(SM)的管理消息的接入控制系统的用户单元(STB)相关联的安全模块(SM)验证对产品(P1)的接入，该接入控制系统发送指向安全模块(SM)的管理消息，所述消息由接入控制系统(CAS)在接收请求接入由广播数字数据组成的产品的权利之后生成。所述方法包括以下步骤购买由用户单元提出的产品，并且安全模块(SM)验证与产品(P1)相关的价值数量是否由剩余的信用记录覆盖，在肯定响应的情况下，确定代表购买的产品(P1)的代码(CP1)；所述代码(CP1)显示在与用户单元(STB)相关的可视化元件上；至少包括所述代码(CP1)和代表安全模块(SM)的标识符(IDSM)的标识符(ID’SM)的请求(RQ)被通过通道发送到管理中心(CG)，其独立于用户单元(STB)；接入控制系统(CAS)检查代码(CP1)和安全模块的标识符(IDSM)的有效性，并且发送指向与安全模块(SM)相关的用户单元(STB)的权利确认消息(CEMM)。本发明的特征在于在购买产品(P1)的过程中，当剩余的信用记录等于或大于与所述产品(P1)相关的价值数量时，将临时权利(D1t)写入到安全模块(SM)中，所述的临时权利(D1t)由从管理中心(CG)接收的权利确认消息(CEMM)来被确定权利(D1)替换，确定权利(D1)通过借记与所述产品(P1)相关的价值数量来授权对购买的产品(P1)的接入。
文档编号H04N7/173GK101401425SQ200780008816
公开日2009年4月1日 申请日期2007年3月13日 优先权日2006年3月13日
发明者洛朗斯·帕里佐 申请人:耐瑞唯信有限公司