一种支持移动终端的条件接收系统的制作方法
【专利摘要】一种支持移动终端的条件接收系统属于数字电视条件接收系统。系统包括:用户管理系统,为移动终端生成节目流加密密钥PDK、解密密钥PDK’,在有效期EXP内,将PDK提供给加扰器对节目数据进行加密;认证服务器,提供用户移动终端和机顶盒的认证,并根据授权移动终端的硬件标识向用户管理系统申请解密密钥PDK’,以及向授权的机顶盒提供PDK’;机顶盒,用于与移动终端建立安全会话,并向认证服务器提供移动终端的签名认证信息,同时接收加扰业务流和认证服务器提供的解密密钥PDK’,对加扰业务流进行解扰和解码;移动终端,通过机顶盒实现与认证服务器之间的认证和授权。本发明可使用户不受智能卡的限制,随时随地享受购买的节目服务。
【专利说明】一种支持移动终端的条件接收系统
【技术领域】
[0001]本发明关于数字电视条件接收系统,特别是支持移动终端认证的数字电视条件接收系统。
【背景技术】
[0002]目前我国各级数字电视网络基本上都采用“一机一卡,机卡配对”的运行模式,用户购买的服务是通过数字电视条件接收系统(CAS)来实现的。典型的条件接收系统主要由用户管理系统、节目信息管理系统、加密/解密系统、加扰/解扰系统等构成。在信号的发送端,首先由控制字发生器产生控制字(CW),CW是一伪随机序列,CA系统使用CW采用通用加扰算法(CSA)对TS流进行加扰,同时加密器使用业务密钥(SK)对CW进行加密产生授权控制信息(ECM),ECM中还含有时间、节目价格、节目授权控制等信息。CA系统使用个人分配密钥O3DK)对SK进行加密,产生授权管理信息(EMM),EMM中还含有智能卡号、授权时间、授权等级等用户授权信息。经过加扰的节目流和ECM、EMM等数据经复用后传送到数字电视网络。机顶盒接收到已经加扰的TS流后,过滤出ECM、EMM消息,并按照一定的规则要求将ECM、EMM消息传送给智能卡。智能卡接收到ECM、EMM消息后,根据运营商分配的与PDK对应的密钥(根据EMM加密算法的不同,与PDK可能相同也可能不同),从EMM中解密出SK信息,再使用SK从ECM中解密出CW,并将CW传送给机顶盒。机顶盒接收到CW后,将其传送给解扰器对加扰的节目流进行解扰。
[0003]现有的数字电视条件接收系统存在的问题是,用户购买的服务只能绑定到特定的智能卡上,当用户希望在其他机顶盒上使用自己购买的服务,就必须携带自己的智能卡,这对用户能够在网络中其他地方享受购买的服务带来了极大的不便。
【发明内容】
[0004]为了解决上述中现有数字电视条件接收系统的问题,本发明提出了一种支持移动终端的数字电视条件接收系统,包括:用户管理系统01、认证服务器02、机顶盒03、移动终端04。发明中涉及的节目管理系统、控制字生成器、加扰器为使用国标设备,不在本发明所陈述内容中。
[0005]用户管理系统01,用于提供用户基本信息、用户绑定的移动终端硬件标识和付费信息等管理功能,并能根据认证服务器02的请求,为移动终端生成节目流加密密钥roK、解密密钥I3DK’和有效期EXP,并在有效期EXP内,将PDK提供给加扰器对节目数据进行加密。
[0006]认证服务器02,用于初始化用户移动终端04的加密证书和签名证书,初始化机顶盒03的加密证书和签名证书,提供用户移动终端04和机顶盒03的认证,并根据授权移动终端04的硬件标识向用户管理系统01申请解密密钥ror,以及向授权的机顶盒提供PDK,。
[0007]机顶盒03,用于与移动终端04建立安全会话,并向认证服务器02提供移动终端04的签名认证信息,同时接收加扰业务流和认证服务器02提供的解密密钥ror,对加扰业务流进行解扰和解码。
[0008]移动终端04,用于和机顶盒03建立安全会话,通过机顶盒03实现与认证服务器02之间的认证和授权。
[0009]本发明的系统提出了一种认证服务器、用户智能移动终端应用和机顶盒,并通过有线电视双向网络或其他IP网络,以及相互之间的安全认证协议,实现替代数字电视机顶盒智能卡的数字电视条件接收方案。本发明系统流程如图1所示。
[0010]本发明的系统提出了一种认证服务器、用户智能移动终端应用和机顶盒,并通过有线电视双向网络或其他IP网络,以及相互之间的安全认证协议,实现替代数字电视机顶盒智能卡的数字电视条件接收方案。可以使用户不受智能卡的限制,随时随地享受购买的节目服务。
[0011]本发明提出采用动态周期性变化的用户分配密钥方法,解决了传统数字电视机顶盒使用智能卡容易被通过IC卡接口截获CW的问题,提高了数字电视系统的安全性。
[0012]本发明方案使用个人用户移动终端进行用户收视授权,可以实现一个家庭机顶盒为家庭内不同用户提供不同的节目服务功能,同时方便运营商准确记录用户个人的收视习惯和节目喜好信息。
[0013]本发明方案的用户认证采用移动终端软件实现,因此可以方便的实现系统维护和升级。
【专利附图】
【附图说明】
[0014]图1为本发明一种支持移动终端的条件接收系统示意图。
[0015]图2为本发明系统的用户管理系统功能模型示意图。
[0016]图3为本发明系统的认证服务器功能模型示意图。
[0017]图4为本发明系统的机顶盒结构示意图。
【具体实施方式】
[0018]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0019]参见图1,本发明提出了一种支持移动终端的数字电视条件接收系统,实施示例如下:
[0020]系统初始化:认证服务器02生成签名证书(ASC)和加密认证证书(AC)。认证服务器02建立证书数据库,用于存放机顶盒03加密证书、移动终端04加密证书等信息。认证服务器02通过机顶盒03的硬件标识(SID)为每个可信的机顶盒03生成机顶盒03的签名证书(SSC)和加密认证证书(SC),其中机顶盒03中安装SSC,认证服务器02中建立机顶盒03的SID和SC对应信息,并存放到证书数据库中。
[0021]注册:用户在服务提供商进行注册时,由用户提供用户移动终端04的硬件标识(MID),认证服务器02根据MID生成移动终端04的签名证书(MSC)和加密认证证书(MC),并将MID和MC的对应信息存放到证书数据库中。移动终端04安装认证软件(MA)和MSC,并设立密钥保护口令(MCP),在用户管理系统01建立用户缴费信息、所购节目服务、用户基本信息、MID对应信息,并存放到用户管理系统的用户信息数据库中。
[0022]机顶盒初始化:机顶盒03开机初始化过程中与认证服务器02建立连接,认证服务器02向机顶盒发送AC,机顶盒用签名证书对SID进行签名并使用AC加密得到(SID,SIDssc)Ac发送给认证服务器,认证服务器收到后使用ASC进行解密得到SID和SIDss。,并根据SID从证书数据库中获取对应的SC,并使用SC对SIDsse进行签名校验。
[0023]认证:用户使用移动终端04打开认证软件(MA),通过网络寻找可用的机顶盒03,机顶盒响应并向移动终端04发送认证服务器加密证书AC,机顶盒03同时向认证服务器发送用户请求,认证服务器产生随机数R,并使用签名证书ASC对R进行签名。得到Ras。发送给机顶盒03,机顶盒03收到Ras。后用AC解密得到R,并将Ras。发送给移动终端04,移动终端04收到Ras。后用AC解密得到R,再通过MA向用户质询MCP,用户提供MCP,MA校验后,用MSC对R和MID进行签名并使用AC加密得到((R,MID) BC) Ac并发送给机顶盒03,机顶盒03收到后,使用SSC对R和SID进行签名并使用AC加密得到((R,SID)ssc)ac并连同((R, MID)!sc) Ac 一起发送给认证服务器02,认证服务器02收到((R,SID) ssc) AC和((R,MID) BC) A。后,使用ASC进行解密得到(R,SID) ssc和(R,MID) MS。,然后依次使用SC和MC进行签名校验,并得到R、MID和SID信息,如果校验失败,认证服务器02返回错误信息,如果校验成功则完成认证。[0024]解扰:如果认证成功,认证服务器02向用户管理系统01发送MID和用户密钥请求信息,用户管理系统01根据MID检查用户的缴费情况和所购买节目服务,并生成用户业务密钥对H)K、ror和有效期EXP,并在exp有效期间将pdk发送给加扰器进行加扰,同时将ror和EXP发送给认证服务器02,认证服务器02收到ror和EXP后,连同R —起使用ASC进行签名,再使用机顶盒03的加密证书SC进行加密并签名得到((R,ror,EXP)Ase)s。,并发送给机顶盒03,机顶盒03收到加密的((R,ror,EXP)I)S。后,用SSC解密并使用AC进行签名验证并获得ror和EXP,并在EXP规定时间内使用ror对接收到加扰节目流中的ecm和EMM进行解密获得CW,再使用CW对加扰节目流进行解扰得到未加扰节目流,再解码后得到音视频信号提供给显示器。
[0025]再认证:在有效期EXP过期之前,机顶盒和移动终端需要向认证服务器重复进行认证过程以获得新的ror和exp。
[0026]结束服务:当移动终端04离开网络或主动与机顶盒断开连接后,用户管理系统01在EXP到期后,停止向加扰器提供TOK,机顶盒无法再完成解密过程,服务中断。
【权利要求】
1.一种支持移动终端的数字电视条件接收系统,其特征在于包括:用户管理系统、认证服务器、机顶盒、移动终端; 用户管理系统,用于提供包括用户基本信息、用户绑定的移动终端硬件标识和付费信息,并能根据认证服务器的请求,为移动终端生成节目流加密密钥TOK、解密密钥ror和有效期EXP,并在有效期EXP内,将PDK提供给加扰器对节目数据进行加密; 认证服务器,用于初始化用户移动终端的加密证书和签名证书,初始化机顶盒的加密证书和签名证书,提供用户移动终端和机顶盒的认证,并根据授权移动终端的硬件标识向用户管理系统申请解密密钥ror,以及向授权的机顶盒提供ror ; 机顶盒,用于与移动终端建立安全会话,并向认证服务器提供移动终端的签名认证信息,同时接收加扰业务流和认证服务器提供的解密密钥ror,对加扰业务流进行解扰和解码; 移动终端,用于和机顶盒建立安全会话,通过机顶盒实现与认证服务器之间的认证和授权。
【文档编号】H04N21/266GK103747300SQ201310637100
【公开日】2014年4月23日 申请日期:2013年12月2日 优先权日:2013年12月2日
【发明者】郭晓, 李鉴增 申请人:中国传媒大学