KR101121594B1 - Method and system for cas client image verification using variable digital signature block in downloadable conditional access system - Google Patents

Method and system for cas client image verification using variable digital signature block in downloadable conditional access system Download PDF

Info

Publication number
KR101121594B1
KR101121594B1 KR1020100002324A KR20100002324A KR101121594B1 KR 101121594 B1 KR101121594 B1 KR 101121594B1 KR 1020100002324 A KR1020100002324 A KR 1020100002324A KR 20100002324 A KR20100002324 A KR 20100002324A KR 101121594 B1 KR101121594 B1 KR 101121594B1
Authority
KR
South Korea
Prior art keywords
cas client
digital signature
downloadable
image
client image
Prior art date
Application number
KR1020100002324A
Other languages
Korean (ko)
Other versions
KR20110082369A (en
Inventor
이정훈
서동준
강경태
Original Assignee
(주)휴맥스
사단법인한국디지털케이블연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴맥스, 사단법인한국디지털케이블연구원 filed Critical (주)휴맥스
Priority to KR1020100002324A priority Critical patent/KR101121594B1/en
Publication of KR20110082369A publication Critical patent/KR20110082369A/en
Application granted granted Critical
Publication of KR101121594B1 publication Critical patent/KR101121594B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • H04N7/17318Direct or substantially direct transmission and handling of requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

본 발명은 CAS 클라이언트 이미지에 가변 디지털 서명 블록을 추가하여 생성한 후 이를 이용하여 무결성을 검증하도록 한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템에 관한 것으로, 더욱 상세하게는 CAS 클라이언트 이미지에 디지털 서명 블록을 추가하여 최종 이미지를 생성함으로써 해당 이미지가 무결성을 보장하도록 하여 CAS 클라이언트의 보안성을 강화하며, 디지털 서명 블록을 다양한 알고리즘을 적용 가능하도록 가변적으로 생성함으로써 최종 이미지를 이용하여 다양한 검증 알고리즘을 이용하여 검증할 수 있도록 하여 XCAS 시스템의 호환성을 증대시키고, 최종 이미지를 전송받은 XCAS 호스트가 동작 전 해당 이미지의 복제 여부 및 무결성을 검증함으로써 동작하는 CAS 클라이언트 이미지의 안정성을 보장하여 XCAS 시스템의 안정성을 높이는 효과가 있다.The present invention relates to a method and system for verifying a CAS client image using a variable digital signature block in a downloadable CA system that adds and generates a variable digital signature block to the CAS client image and then verifies its integrity. In detail, the digital signature block is added to the CAS client image to generate the final image to ensure the integrity of the image, thereby enhancing the security of the CAS client, and the digital signature block is variably generated to apply various algorithms. CAS that works by increasing the compatibility of the XCAS system by enabling verification using various verification algorithms using the image and verifying whether the image is duplicated and integrity before operation. To ensure the stability of the client's image has an effect to increase the stability of the system XCAS.

Description

다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템{METHOD AND SYSTEM FOR CAS CLIENT IMAGE VERIFICATION USING VARIABLE DIGITAL SIGNATURE BLOCK IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}Method and system for verifying CAS client image using variable digital signature block in downloadable CA system {METHOD AND SYSTEM FOR CAS CLIENT IMAGE VERIFICATION USING VARIABLE DIGITAL SIGNATURE BLOCK IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}

본 발명은 CAS 클라이언트 이미지에 가변 디지털 서명 블록을 추가하여 생성한 후 이를 이용하여 무결성을 검증하도록 한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템에 관한 것으로, 특히 CAS 클라이언트 이미지에 디지털 서명 블록을 추가하여 최종 이미지를 생성하고, 상기 디지털 서명 블록을 다양한 알고리즘을 적용 가능하도록 가변적으로 생성하며, 최종 이미지를 전송받은 XCAS 호스트가 동작 전 해당 이미지의 복제 여부 및 무결성을 검증하도록 한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템을 제공하는 것이다.
The present invention relates to a method and a system for verifying a CAS client image using a variable digital signature block in a downloadable CA system that adds a generated digital signature block to a CAS client image and then verifies its integrity using the same. The final image is created by adding a digital signature block to the CAS client image, and the digital signature block is variably generated so that various algorithms can be applied. A method and system for verifying a CAS client image using a variable digital signature block in a downloadable CA system for verifying are provided.

제한수신 시스템(CAS: Conditional Access System)은 방송 프로그램에 암호를 삽입하여 시청이 허가된 가입자들에 대해서만 유료 방송 프로그램을 시청할 수 있는 권한을 부여해주는 시스템이다. 현재 디지털 케이블 방송에서는 유료 방송 서비스를 제공하기 위해서 PCMCIA 카드 형태의 케이블카드를 이용하고 있다. 그러나, 케이블카드에 보안모듈을 사용하는 경우 제한수신시스템의 결함이 발생하거나 혹은 케이블카드를 재발급하는 과정에서 일정 시간과 추가적인 비용이 소요된다는 문제점이 있었다. Conditional Access System (CAS) is a system that inserts a password into a broadcast program and grants the right to watch a paid broadcast program only to subscribers who are allowed to watch. Digital cable broadcasting is currently using a cable card in the form of a PCMCIA card to provide a pay broadcast service. However, when the security module is used in the cable card, there is a problem in that a problem occurs in the limited reception system or a certain time and additional cost in the process of reissuing the cable card.

이러한 단점을 극복하고자, 최근 양방향 케이블 통신 네트워크를 기반으로 다운로드 가능한 제한수신시스템 (Downloadable Conditional Access System) 기술 개발이 이슈가 되고 있다. 양방향 케이블 통신 네트워크를 기반으로 하는 다운로드 가능한 제한수신 시스템이란 셋톱박스에 제한수신 시스템(CAS) 소프트웨어가 설치될 수 있는 보안모듈을 탑재하여 양방향 케이블 통신 네트워크를 통해 CAS 소프트웨어를 다운로드 하여 수시로 CAS 소프트웨어를 갱신할 수 있는 기술을 말한다. In order to overcome this drawback, the development of downloadable conditional access system technology based on a two-way cable communication network has become an issue. The downloadable CA system based on the bidirectional cable communication network is equipped with a security module that can install CA system software on the set-top box to download CAS software through the bidirectional cable communication network and update the CAS software from time to time. Speak skills you can do

또한, 다운로드 가능한 제한수신시스템(Downloadable Conditional Access System)의 국내 시스템의 고유 명칭으로 XCAS(eXchangeable Conditional Access System)를 사용하도록 하고 있으므로 이하 다운로드 가능한 제한수신 시스템을 간단히 XCAS라 칭하도록 한다.
In addition, since the eXchangeable Conditional Access System (XCAS) is used as a unique name of the domestic system of the downloadable conditional access system, the downloadable conditional access system is hereinafter simply referred to as XCAS.

도 1은 일반적인 다운로드 가능한 제한수신 시스템의 구성도로서, 제한수신 클라이언트 이미지를 전송하며, 상기 제한수신 클라이언트 이미지와 관련된 정보들을 외부와 통신하는 XCAS헤드엔드(100), 상기 XCAS헤드엔드(100)로부터 상기 제한수신 클라이언트를 전송받아 설치하는 XCAS호스트(200)를 포함한다.1 is a block diagram of a general downloadable CA system, from an XCAS headend 100 and an XCAS headend 100 which transmits CA information and communicates information related to CA. It includes an XCAS host 200 for receiving and installing the CA.

상기 XCAS헤드엔드(100)는 상기 XCAS호스트(200) 내의 보안모듈(210)과 상호 인증을 수행하여 통신하는 AP(101:Authentication Proxy)서버, XCAS 서비스 운용 및 관리에 필요한 정책정보를 각 서버들에게 전달하는 DPS(102:DCAS Provisioning Server), 전송 메커니즘에 따라 상기 XCAS호스트(200)로 다운로드 될 CAS 클라이언트 이미지를 전송하는 IPS(103:Integrated Personalization Server)를 포함한다. The XCAS headend 100 performs AP (Authentication Proxy) server communicating with the security module 210 in the XCAS host 200 by performing mutual authentication, and each server provides policy information necessary for XCAS service operation and management. DPS (102: DCAS Provisioning Server) for delivering to, and IPS (103: Integrated Personalization Server) for transmitting the CAS client image to be downloaded to the XCAS host 200 according to the transmission mechanism.

상기 DPS(102)는 CAS벤더로부터 CAS소프트웨어(10)를 전송받는다. 또한, 상기 AP(101)는 XCAS호스트(200)와 CAS클라이언트 이미지 관련 정보를 통신하며, 상기 IPS(103)는 상기 XCAS호스트(200)로 CAS클라이언트 이미지를 전송한다.The DPS 102 receives CAS software 10 from a CAS vendor. In addition, the AP 101 communicates CAS client image related information with the XCAS host 200, and the IPS 103 transmits a CAS client image to the XCAS host 200.

상기 XCAS호스트(200, 셋톱박스:STB)는 XCAS를 사용하기 위해 XCAS호스트의 기본적인 기능을 수행하는 호스트(Host) 모듈(201)과 XCAS 기능을 수행하는 SM(Secure Micro) 모듈(210), 그리고 이 두 모듈을 연결하는 XCAS 매니져(Manager) 모듈(202)이 필요하다. 부팅과정에서 SM모듈(201)이 동작을 시작하면 CAS기능을 수행하는 SM클라이언트들(213)이 SM모듈(210) 내에 존재하는지를 확인한다. 상기 SM모듈(210) 내에 SM클라이언트들(213)이 존재하지 않거나 변경이 필요한 경우, 케이블 통신 네트워크를 통해서 필요한 SM클라이언트를 다운로드 받는다. 이때 다운로드 받는 SM 클라이언트(213)는 CAS 클라이언트(214), ASD 클라이언트, 그리고 DRM 클라이언트가 있다. 이 중 CAS 클라이언트(214)는 인증키 관리와 제한 수신 시스템의 제어를 담당하는 중요한 요소이다. 다운로드 가능한 제한 수신 시스템이라는 명칭에서 필요에 따라서 다운로드 가능한 부분은 바로 이 SM클라이언트들(213)을 말하는 것이다. 이렇게 필요한 SM클라이언트(213)를 모두 다운로드 받고 나면 호스트 모듈(201)과 SM모듈(210)은 XCAS 매니저 모듈(202)을 통해서 메시지를 주고 받으면서 제한 수신 시스템을 가동하게 된다.The XCAS host (200, set-top box: STB) is a host module (201) for performing the basic functions of the XCAS host to use the XCAS, and a SM (Secure Micro) module 210 for performing the XCAS function, and You need an XCAS Manager module 202 that connects these two modules. When the SM module 201 starts operation in the booting process, it is checked whether the SM clients 213 performing the CAS function exist in the SM module 210. If the SM clients 213 do not exist or need to be changed in the SM module 210, the necessary SM clients are downloaded through the cable communication network. In this case, the downloaded SM client 213 includes a CAS client 214, an ASD client, and a DRM client. Among them, the CAS client 214 is an important element in charge of managing the authentication key and controlling the restricted receiving system. In the name of the downloadable limited reception system, the downloadable part is referred to these SM clients 213 as needed. After all the necessary SM clients 213 are downloaded, the host module 201 and the SM module 210 operate the limited reception system while sending and receiving messages through the XCAS manager module 202.

위에서 언급한 다운로드 가능한 제한수신 시스템에서는 케이블 통신 네트워크를 통해서 다운로드 받아 SM모듈(210)에 설치되어 사용되는 CAS클라이언트(214)의 보안성과 무결성이 상당히 중요하다. 이 부분이 제대로 동작하지 않는 경우 제한 수신 시스템은 제대로 동작할 수 없기 때문이다. 하지만, 통신 네트워크를 통해서 전달되는 정보들은 해킹등의 불안정한 요소로 인해 송신측의 정보가 완벽하게 수신측에 도달한다는 보장을 할 수 없다. 따라서, XCAS 시스템에 있어 전체적인 동작의 안정성을 확보하기 위해 통신 네트워크를 통해서 전달되는 CAS 클라이언트의 보안성과 무결성을 보장하는 대책을 마련하는 것은 반드시 필요한 요소이다.In the above-mentioned downloadable CA system, the security and integrity of the CAS client 214, which is downloaded through the cable communication network and installed in the SM module 210, is very important. If this part does not work properly, the conditional access system cannot work properly. However, the information transmitted through the communication network cannot guarantee that the information of the sender completely reaches the receiver due to unstable factors such as hacking. Therefore, in order to secure the stability of the overall operation in the XCAS system, it is necessary to prepare a measure to ensure the security and integrity of the CAS client transmitted through the communication network.

이러한 부분을 보완하기 위해 통신 네트워크를 통해 전달되는 CAS 클라이언트 이미지의 안정성과 보안성을 보장하는 CAS 클라이언트 이미지 검증 방법 및 시스템이 필요하다.
In order to compensate for this, there is a need for a method and system for verifying CAS client images that ensures the stability and security of the CAS client images transmitted through the communication network.

전술한 문제점을 개선하기 위한 본 발명 실시 예들의 목적은 CAS 클라이언트 이미지에 디지털 서명 블록을 추가하여 최종 이미지를 생성함으로써 해당 이미지가 무결성을 보장하도록 한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템을 제공하는 것이다.Summary of the Invention An object of the present invention for improving the above-mentioned problem is to add a digital signature block to a CAS client image to generate a final image, thereby ensuring the integrity of the image by using a CAS with a variable digital signature block in a downloadable CA system. To provide a client image verification method and system therefor.

본 발명 실시 예들의 다른 목적은 디지털 서명 블록을 다양한 알고리즘을 적용 가능하도록 가변적으로 생성함으로써 최종 이미지를 이용하여 다양한 검증 알고리즘을 이용하여 검증할 수 있도록 한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템을 제공하는 것이다.Another object of the embodiments of the present invention is to use a variable digital signature block in a downloadable CA system that variably generates a digital signature block to be able to apply various algorithms, thereby verifying using various verification algorithms using a final image. A method and system for verifying a CAS client image are provided.

본 발명 실시 예들의 또 다른 목적은 최종 이미지를 전송받은 XCAS 호스트가 동작 전 해당 이미지의 복제 여부 및 무결성을 검증함으로써 동작하는 CAS 클라이언트 이미지의 안정성을 보장한 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템을 제공하는 것이다.
Another object of the embodiments of the present invention is to provide a variable digital signature block in a downloadable CA system that guarantees the stability of the CAS client image operated by the XCAS host receiving the final image and verifying the integrity and integrity of the image before operation. To provide a CAS client image verification method and a system thereof.

상기한 목적을 달성하기 위하여 본 발명에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법은 XCAS호스트가 CAS 클라이언트 이미지를 요청하는 단계, XCAS헤드엔드가 복수의 서명 알고리즘 중 하나를 선택하는 단계, 상기 XCAS헤드엔드가 디지털 서명 블록을 생성하는 단계, 상기 XCAS헤드엔드가 CAS 클라이언트 이미지를 생성하는 단계, 상기 XCAS헤드엔드가 CAS 클라이언트 이미지를 전송하는 단계, 상기 XCAS호스트가 서명 알고리즘을 확인하는 단계, 상기 XCAS호스트가 디지털 서명 블록을 검증하는 단계, 상기 XCAS호스트가 CAS 클라이언트 이미지를 검증하는 단계, 상기 XCAS호스트가 전송 완료 메시지를 상기 XCAS헤드엔드로 전송하는 단계를 포함한다.CAS client image verification method using a variable digital signature block in the downloadable CA system according to the present invention to achieve the above object, the step of requesting the CAS client image from the XCAS host, the XCAS headend is one of a plurality of signature algorithms Selecting a step, the XCAS headend generating a digital signature block, the XCAS headend generating a CAS client image, the XCAS headend transmitting a CAS client image, and the XCAS host signature algorithm Verifying, verifying a digital signature block by the XCAS host, verifying a CAS client image by the XCAS host, and transmitting, by the XCAS host, a transmission completion message to the XCAS headend.

상기 서명 알고리즘 선택단계는 디지털 서명 블록을 생성할 서명 알고리즘을 기 저장하여, 디지털 서명 블록의 생성시 그 중 하나를 선택하여 생성할 수 있게 한다. 상기 디지털 서명 블록 생성단계는 상기 서명 알고리즘 선택 단계에서 선택한 서명 알고리즘을 이용하여 디지털 서명 블록을 생성한다. 상기 CAS 클라이언트 이미지 생성단계는 상기 CAS 클라이언트 마스터 이미지와 상기 생성한 디지털 서명 블록을 조합하여 단일의 CAS 클라이언트 이미지를 생성한다. The signature algorithm selection step may store a signature algorithm for generating a digital signature block, and select one of them when generating the digital signature block. The digital signature block generation step generates a digital signature block by using the signature algorithm selected in the signature algorithm selection step. The CAS client image generation step generates a single CAS client image by combining the CAS client master image and the generated digital signature block.

상기 서명 알고리즘 확인단계는 상기 수신한 CAS 클라이언트 이미지에서 서명 알고리즘의 종류를 추출하여 확인한다. 상기 디지털 서명 블록 검증단계는 상기 확인한 서명 알고리즘을 이용하여 디지털 서명 블록을 검증하여 송신자를 인증한다. 이때, 검증 방법은 상기 서명 알고리즘 확인단계에서 확인한 서명 알고리즘에 따라 달라지므로, 해당 알고리즘에 맞는 적절한 검증 방법을 사용한다. 상기 CAS 클라이언트 이미지 검증단계는 CAS 클라이언트 이미지의 무결성을 검증한다. 예를 들어, 공개키를 이용한 디지털 서명의 경우, 상기 디지털 서명 블록 검증단계에서 송신자의 인증이 확인되면, 송신자가 서명한 해시값과 CAS 클라이언트 이미지의 해시값을 비교하여 상기 CAS 클라이언트 이미지의 무결성을 검증한다.
The signature algorithm checking step extracts and confirms a type of signature algorithm from the received CAS client image. The digital signature block verification step verifies the sender by verifying the digital signature block using the verified signature algorithm. In this case, since the verification method depends on the signature algorithm confirmed in the signature algorithm verification step, an appropriate verification method suitable for the algorithm is used. The CAS client image verification step verifies the integrity of the CAS client image. For example, in the case of a digital signature using a public key, if the sender's certificate is verified in the digital signature block verification step, a hash value signed by the sender is compared with a hash value of the CAS client image to check the integrity of the CAS client image. Verify.

본 발명 실시 예들에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템은 CAS 클라이언트 이미지에 디지털 서명 블록을 추가하여 최종 이미지를 생성함으로써 해당 이미지가 무결성을 보장하도록 하여 CAS 클라이언트의 보안성을 강화하는 효과가 있다.In the downloadable CA system according to the embodiments of the present invention, a method for verifying a CAS client image using a variable digital signature block and the system generate a final image by adding a digital signature block to the CAS client image to ensure the integrity of the image. This has the effect of enhancing the security of the CAS client.

본 발명 실시 예들에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템은 디지털 서명 블록을 다양한 알고리즘을 적용 가능하도록 가변적으로 생성함으로써 최종 이미지를 이용하여 다양한 검증 알고리즘을 이용하여 검증할 수 있도록 하여 XCAS 시스템의 호환성을 증대시키는 효과가 있다.In the downloadable CA system according to the embodiments of the present invention, a CAS client image verification method using a variable digital signature block and the system may generate various verification algorithms using a final image by variably generating digital signature blocks so that various algorithms can be applied. This can increase the compatibility of XCAS system by enabling verification by using.

본 발명 실시 예들에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법 및 그 시스템은 최종 이미지를 전송받은 XCAS 호스트가 동작 전 해당 이미지의 복제 여부 및 무결성을 검증함으로써 동작하는 CAS 클라이언트 이미지의 안정성을 보장하여 XCAS 시스템의 안정성을 높이는 효과가 있다.
CAS client image verification method using a variable digital signature block in the downloadable CA system according to the embodiments of the present invention and the system is a CAS that operates by verifying the copy and integrity of the image before the XCAS host receiving the final image operation It guarantees the stability of the client image, which increases the stability of the XCAS system.

도 1은 일반적인 다운로드 가능한 제한수신 시스템의 구성도.
도 2는 본 발명의 일 실시 예에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 시스템의 흐름 블록도.
도 3은 본 발명의 일 실시 예에 따른 디지털 서명 블록을 추가한 실행 가능한 CAS 클라이언트 이미지의 개념도.
도 4는 본 발명의 일 실시 예에 따른 XCAS 헤드엔드의 구성도.
도 5는 본 발명의 일 실시 예에 따른 XCAS 호스트의 구성도.
도 6은 본 발명의 일 실시 예에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법의 데이터 흐름도.1 is a block diagram of a general downloadable CA system.
2 is a flow block diagram of a CAS client image verification system using a variable digital signature block in a downloadable CA system according to an embodiment of the present invention.
3 is a conceptual diagram of an executable CAS client image with a digital signature block added in accordance with one embodiment of the present invention.
4 is a block diagram of an XCAS headend according to an embodiment of the present invention.
5 is a configuration diagram of an XCAS host according to an embodiment of the present invention.
6 is a data flow diagram of a CAS client image verification method using a variable digital signature block in a downloadable CA system according to an embodiment of the present invention.

상기한 바와 같은 본 발명을 첨부된 도면들과 실시 예들을 통해 상세히 설명하도록 한다.The present invention as described above will be described in detail with reference to the accompanying drawings and embodiments.

도 2는 본 발명의 일 실시 예에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 시스템의 흐름 블록도로서, 본 실시 예는 제한 수신 시스템이 XCAS호스트(셋톱박스) 내에 소프트웨어의 형태로 존재할 경우에 해당한다.FIG. 2 is a flow block diagram of a CAS client image verification system using a variable digital signature block in a downloadable CA system according to an embodiment of the present invention. In this embodiment, the CA system is a software in a XCAS host (set-top box). Corresponds to the case where it exists in the form of.

XCAS호스트에서 다운로드 가능한 제한수신 시스템의 소프트웨어 요소들을 살펴보면 메인 프로세서 모듈인 호스트(Host) 소프트웨어 모듈, 호스트 소프트웨어와 제한수신(CAS:Conditional Access System) 기능을 수행하는 보안모듈(SM: Secure Micro)간의 인터페이스를 담당하는 XCAS 관리자(202: eXchangeable Conditional Access System Manager) 소프트웨어 모듈이 있다. 또한, SM모듈 내부의 소프트웨어는 XCAS 매니저(202)와의 통신 가능한 인터페이스 모듈, XCAS헤드엔드로부터 SM클라이언트들을 다운로드 하는 SM부트로더(211: Secure Micro Bootloader), 상기 SM부트로더(211)에 의해서 다운로드 되는 SM클라이언트들로 구성된다. Looking at the software components of the CA system, which can be downloaded from the XCAS host, the host software module, which is the main processor module, and the interface between the host software and the Secure Micro Module (SM), which performs the conditional access system (CAS) functions. There is an XCAS Manager (202: eXchangeable Conditional Access System Manager) software module. In addition, the software inside the SM module is an interface module capable of communicating with the XCAS manager 202, a SM boot loader 211 for downloading the SM clients from the XCAS headend, and downloaded by the SM boot loader 211. It consists of SM clients.

상기 SM부트로더(211)로부터 다운로드된 SM 클라이언트의 종류 중 하나인 CAS 클라이언트(214)는 SM부트로더(211)에 의해서 실행이 된 후에 상기 SM부트로더(211)와 통신한다. 즉, 메인 프로세서 내부의 XCAS 매니저 소프트웨어 모듈(202)이 SM부트로더(211: Secure Micro Bootloader) 모듈을 실행시킨 후, 상기 SM부트로더 모듈(211)이 다운로드 완료된 CAS클라이언트 모듈(214: CAS 클라이언트 소프트웨어)을 실행시켜 CAS 관련 데이터를 서로 통신하는 방식이다. The CAS client 214, which is one of the types of SM clients downloaded from the SM boot loader 211, communicates with the SM boot loader 211 after being executed by the SM boot loader 211. That is, after the XCAS manager software module 202 in the main processor executes the SM boot loader 211 module, the SM client loader 211 downloads the CAS client module 214 (CAS client software). ) To communicate CAS related data with each other.

이때, 다운로드 받은 CAS 클라이언트 소프트웨어는 이미지 형태로 다운로드 되는데, 본 발명은 XCAS헤드엔드가 이와 같은 CAS 클라이언트 이미지에 디지털 서명 블록(DSB:Digital Signature Block)을 추가하여 XCAS호스트로 전송하고, 상기 XCAS호스트는 디지털 서명 블록이 추가된 CAS 클라이언트 이미지(215)를 검증하여 실행하도록 하여 상기 CAS 클라이언트의 무결성 및 보안성을 보장하도록 한다.
At this time, the downloaded CAS client software is downloaded in the form of an image. In the present invention, the XCAS headend adds a digital signature block (DSB) to the CAS client image and transmits it to the XCAS host. The digital signature block is verified and executed by the added CAS client image 215 to ensure the integrity and security of the CAS client.

도 3은 본 발명의 일 실시 예에 따른 디지털 서명 블록을 추가한 실행 가능한 CAS 클라이언트 이미지의 개념도로서, 도 2에서 설명한 바와 같이 XCAS헤드엔드가 XCAS호스트로 전송하는 디지털 서명 블록을 추가한 CAS 클라이언트 실행 이미지(52)이다.3 is a conceptual diagram of an executable CAS client image with a digital signature block added according to an embodiment of the present invention. As illustrated in FIG. 2, a CAS client with a digital signature block transmitted from an XCAS headend to an XCAS host is executed. Image 52.

본 실시 예는 디지털 서명 블록(51)을 CAS 클라이언트 데이터(50)의 뒷부분에 추가하여 실행 가능한 최종 CAS 클라이언트 이미지(52)를 생성하는 것을 나타낸 것이다. XCAS호스트 내의 SM부트로더는 상기 최종 CAS 클라이언트 이미지(52)에 포함된 디지털 서명 블록(51)을 이용하여 상기 CAS 클라이언트 이미지(50)의 적합성 및 보안성 여부를 검증할 수 있다. 이때, XCAS헤드엔드가 상기 최종 CAS 클라이언트 이미지(52)에 디지털 서명 블록을 추가하는 과정에서 다양한 서명 알고리즘을 적용 가능하므로, 해당 이미지를 전송받는 XCAS호스트는 그에 대한 검증 알고리즘으로 다양한 알고리즘 적용이 가능하다. 따라서, 이 시스템을 적용하는 서비스 공급자가 고유의 알고리즘을 적용할 수 있어 보안성을 더욱 강화할 수 있다. This embodiment illustrates the addition of the digital signature block 51 to the back of the CAS client data 50 to create an executable final CAS client image 52. The SM boot loader in the XCAS host may verify suitability and security of the CAS client image 50 using the digital signature block 51 included in the final CAS client image 52. At this time, since the XCAS headend can apply various signature algorithms in the process of adding the digital signature block to the final CAS client image 52, the XCAS host receiving the image can be applied to various algorithms as a verification algorithm therefor. . Therefore, a service provider applying the system can apply a unique algorithm, thereby further enhancing security.

또한, XCAS호스트의 개별 특성 또는 디지털 서명 블록을 포함하기 전의 CAS 클라이언트 이미지(50)의 특성에 따라 가변적으로 서명 알고리즘을 적용 가능하도록 구성할 수 있어 그 안전성을 높일 수 있다. 도시하지는 않았지만, 상기 디지털 서명 블록(51)의 위치를 가변적으로 변화시켜 적용 가능하며, 이때 해당 서명 블록(51)의 위치정보를 상기 CAS 클라이언트 이미지(52)의 특정 부분에 삽입하고 상기 SM부트로더가 상기 이미지의 특정 부분을 읽어 서명 블록(51)의 위치정보를 알아낸 후 서명 블록을 검증하도록 구성할 수도 있다. In addition, the signature algorithm can be variably applied according to the individual characteristics of the XCAS host or the characteristics of the CAS client image 50 before including the digital signature block, thereby increasing the safety thereof. Although not shown, the position of the digital signature block 51 may be variably applied, and the position information of the signature block 51 may be inserted into a specific portion of the CAS client image 52 and the SM boot loader may be used. Reads a specific portion of the image to determine the location information of the signature block 51 and may verify the signature block.

이처럼, CAS클라이언트 소프트웨어 모듈 이미지에 디지털 서명 블록을 추가함으로써 이미지 자체 검증이 가능하며, 보안 측면에 있어서도 다양한 디지털 서명 블록 알고리즘을 도입할 수 있기 때문에 필요한 경우 언제나 알고리즘을 변경할 수 있어 외부로부터의 해킹이 곤란하므로 보안성을 한층 강화할 수 있다.
As such, by adding a digital signature block to the CAS client software module image, self-verification of the image is possible, and in terms of security, various digital signature block algorithms can be introduced so that the algorithm can be changed whenever necessary, making it difficult to hack from the outside. Therefore, security can be further enhanced.

도 4는 본 발명의 일 실시 예에 따른 XCAS헤드엔드의 구성도로서, XCAS호스트(200)와 통신하는 통신부(160), 외부로부터 CAS클라이언트 마스터 이미지(10)를 전송받아 저장하는 CAS클라이언트 저장부(110), 디지털 서명 블록에 필요한 서명 알고리즘을 선택하는 서명 알고리즘 선택부(130), 디지털 서명 블록을 생성하는 디지털 서명 블록 생성부(120), 상기 CAS클라이언트 마스터 이미지(10)와 상기 디지털 서명 블록을 조합하여 CAS클라이언트 이미지를 생성하는 CAS 클라이언트 이미지 생성부(150), 상기 각 부를 제어하는 제어부(140)를 포함한다.4 is a configuration diagram of an XCAS headend according to an embodiment of the present invention, the communication unit 160 for communicating with the XCAS host 200, the CAS client storage unit for receiving and storing the CAS client master image 10 from the outside 110, a signature algorithm selection unit 130 for selecting a signature algorithm required for the digital signature block, a digital signature block generation unit 120 for generating a digital signature block, the CAS client master image 10 and the digital signature block And a CAS client image generation unit 150 for generating a CAS client image by combining the control unit 140 for controlling each unit.

상기 통신부(160)는 XCAS헤드엔드(100)가 관리하는 XCAS호스트(200)와 통신하며, 상기 XCAS호스트(200)가 CAS클라이언트 이미지를 요청(20)하면, 상기 XCAS호스트(200)에 해당하는 CAS 클라이언트 이미지를 전송(30)한다.The communication unit 160 communicates with the XCAS host 200 managed by the XCAS headend 100, and when the XCAS host 200 requests 20 a CAS client image, it corresponds to the XCAS host 200. Send a CAS client image (30).

상기 CAS클라이언트 저장부(110)는 CAS벤더사 등으로부터 CAS 클라이언트 마스터 이미지(10)를 전송받아 저장한다. 상기 CAS 클라이언트 마스터 이미지(10)는 디지털 서명 블록이 포함되지 않은 CAS 클라이언트 원본 이미지를 의미한다.The CAS client storage unit 110 receives and stores the CAS client master image 10 from a CAS vendor. The CAS client master image 10 means a CAS client original image that does not include a digital signature block.

상기 서명 알고리즘 선택부(130)는 디지털 서명 블록을 생성할 서명 알고리즘을 기 저장하여, 디지털 서명 블록의 생성시 그 중 하나를 선택하여 생성할 수 있게 한다. 디지털 서명의 유형으로는 크게 대칭적 암호화 알고리즘과 비대칭적 암호화 알고리즘으로 나눌 수 있다. 따라서, 상기 분류 방법에 따라 상기 디지털 서명 블록을 생성하기 위한 서명 알고리즘의 예로는, 대칭적 암호화 알고리즘인 DES, 또는 비대칭적 암호화 알고리즘인 DSA(Digital Signature Algorithm) 또는 RSA(Rivest-Shamir-Adleman)를 사용할 수 있다. 혹은, 디지털 서명의 정의를 벗어나지 않는 범위에서 다양한 알고리즘을 선택할 수 있는 것은 자명하다.The signature algorithm selection unit 130 stores a signature algorithm for generating a digital signature block, and selects one of them when generating the digital signature block. Digital signatures can be classified into symmetric and asymmetric encryption algorithms. Accordingly, examples of the signature algorithm for generating the digital signature block according to the classification method include DES, which is a symmetric encryption algorithm, or Digital Signature Algorithm (DSA), or Rivest-Shamir-Adleman (RSA), which is an asymmetric encryption algorithm. Can be used. Or, it is obvious that various algorithms can be selected without departing from the definition of the digital signature.

상기 서명 알고리즘 선택부(130)는 디지털 서명 블록을 다양한 알고리즘을 적용 가능하도록 가변적으로 생성할 수 있어 최종 이미지를 이용하여 다양한 검증 알고리즘을 이용하여 검증할 수 있도록 하여 XCAS 시스템의 호환성을 높일 수 있다.The signature algorithm selector 130 may variably generate a digital signature block to be able to apply various algorithms, thereby increasing the compatibility of the XCAS system by enabling verification using various verification algorithms using the final image.

상기 디지털 서명 블록 생성부(120)는 상기 서명 알고리즘 선택부(130)에서 선택한 서명 알고리즘을 이용하여 디지털 서명 블록을 생성한다. 이때, CAS 클라이언트 이미지의 사이즈가 클 경우 단방향 해시함수를 이용하여 해시값을 구한 후, 해당 해시값에 서명하는 방법을 사용할 수 있다. 또는, 전송받는 XCAS호스트(200)의 기종 혹은 보안모듈의 고유 번호를 이용하여 디지털 서명 블록을 생성하여 특정 기종 혹은 특정 단말이 아닐 경우 전송받은 CAS 클라이언트 이미지를 사용하지 못하도록 구성할 수도 있다.The digital signature block generation unit 120 generates a digital signature block by using the signature algorithm selected by the signature algorithm selection unit 130. In this case, when the size of the CAS client image is large, a hash value may be obtained using a one-way hash function, and then a method of signing the hash value may be used. Alternatively, the digital signature block may be generated by using a unique number of a model or a security module of the received XCAS host 200, and may be configured not to use the received CAS client image when the specific model or the specific terminal is not.

상기 CAS 클라이언트 이미지 생성부(150)는 상기 CAS 클라이언트 마스터 이미지(10)와 상기 생성한 디지털 서명 블록을 조합하여 단일의 CAS 클라이언트 이미지를 생성한다. 이때, 상기 디지털 서명 블록의 위치를 가변적으로 변화시켜 적용할 수 있으며, 해당 서명 블록의 위치정보를 상기 CAS 클라이언트 이미지의 특정 부분에 삽입하여 XCAS호스트(200)의 SM부트로더가 상기 이미지의 특정 부분을 읽어 서명 블록의 위치정보를 알아낸 후 서명 블록을 검증하도록 구성할 수도 있다.
The CAS client image generator 150 generates a single CAS client image by combining the CAS client master image 10 and the generated digital signature block. In this case, the position of the digital signature block may be variably applied, and the position information of the signature block may be inserted into a specific portion of the CAS client image so that the SM boot loader of the XCAS host 200 identifies the specific portion of the image. It can also be configured to verify the signature block after reading the location information of the signature block.

도 5는 본 발명의 일 실시 예에 따른 XCAS호스트의 구성도로서, XCAS헤드엔드(100)와 통신하는 통신부(210), 전송받은 CAS 클라이언트 이미지의 서명 알고리즘을 확인하는 서명 알고리즘 확인부(220), 상기 확인한 서명 알고리즘을 이용하여 디지털 서명 블록을 검증하는 디지털 서명 블록 검증부(230), 상기 CAS 클라이언트 이미지를 검증하는 CAS 클라이언트 이미지 검증부(250), 상기 각 부를 제어하는 제어부(240)를 포함한다.5 is a configuration diagram of an XCAS host according to an embodiment of the present invention, the communication unit 210 communicating with the XCAS headend 100, the signature algorithm confirmation unit 220 for confirming the signature algorithm of the received CAS client image And a digital signature block verification unit 230 for verifying a digital signature block using the verified signature algorithm, a CAS client image verification unit 250 for verifying the CAS client image, and a controller 240 for controlling each unit. do.

상기 통신부(210)는 XCAS호스트(200)가 자신을 관리하는 XCAS헤드엔드(100)와 통신하며, 상기 XCAS호스트(200)가 상기 XCAS헤드엔드(100)로 CAS클라이언트 이미지를 요청하고, 상기 XCAS헤드엔드(100)가 전송하는 CAS 클라이언트 이미지를 수신한다.The communication unit 210 communicates with the XCAS headend 100 in which the XCAS host 200 manages itself, the XCAS host 200 requests a CAS client image to the XCAS headend 100, the XCAS Receive the CAS client image transmitted by the headend 100.

상기 XCAS헤드엔드(100)는 다양한 서명 알고리즘 중 특정 서명 알고리즘을 선택하여 상기 CAS클라이언트 이미지를 생성할 수 있으므로, 상기 서명 알고리즘 확인부(220)는 상기 수신한 CAS 클라이언트 이미지에서 서명 알고리즘의 종류를 추출하여 확인한다. Since the XCAS headend 100 can generate the CAS client image by selecting a specific signature algorithm among various signature algorithms, the signature algorithm verification unit 220 extracts a type of signature algorithm from the received CAS client image. Check it.

상기 디지털 서명 블록 검증부(230)는 상기 확인한 서명 알고리즘을 이용하여 디지털 서명 블록을 검증하여 송신자를 인증한다. 이때, 검증 방법은 상기 서명 알고리즘 확인부(220)에서 확인한 서명 알고리즘에 따라 달라지므로, 해당 알고리즘에 맞는 적절한 검증 방법을 사용한다. 자세한 디지털 서명 및 검증 방법은 본 발명의 범위를 벗어나므로 생략하기로 한다. 또한, XCAS호스트의 기종 혹은 보안모듈의 고유 번호를 이용하여 디지털 서명 블록을 생성한 경우는 그에 맞는 적절한 검증 방법을 사용한다.The digital signature block verification unit 230 verifies the digital signature block by using the verified signature algorithm to authenticate the sender. In this case, since the verification method varies depending on the signature algorithm confirmed by the signature algorithm verification unit 220, an appropriate verification method suitable for the corresponding algorithm is used. Detailed digital signature and verification methods are beyond the scope of the present invention and will be omitted. In addition, when a digital signature block is generated using a model of XCAS host or a unique number of a security module, an appropriate verification method is used.

상기 CAS 클라이언트 이미지 검증부(250)는 CAS 클라이언트 이미지의 무결성을 검증한다. 예를 들어, 공개키를 이용한 디지털 서명의 경우, 상기 디지털 서명 블록 검증부(230)에서 송신자의 인증이 확인되면, 송신자가 서명한 해시값과 CAS 클라이언트 이미지의 해시값을 비교하여 상기 CAS 클라이언트 이미지의 무결성을 검증한다.The CAS client image verifier 250 verifies the integrity of the CAS client image. For example, in the case of a digital signature using a public key, when the sender's authentication is confirmed by the digital signature block verification unit 230, the hash value signed by the sender is compared with the hash value of the CAS client image to compare the CAS client image. Verify the integrity of

상기 CAS 클라이언트 이미지 검증부(250)는 전송받은 CAS 클라이언트 이미지의 동작 전에 해당 이미지의 복제 여부 및 무결성을 검증하여 동작하는 CAS 클라이언트 이미지의 안정성을 보장하므로 XCAS 시스템의 안정성을 높일 수 있다.
The CAS client image verification unit 250 may ensure stability of the CAS client image by verifying whether the corresponding image is copied and integrity before operating the received CAS client image, thereby increasing the stability of the XCAS system.

도 6은 본 발명의 일 실시 예에 따른 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법의 데이터 흐름도로서, XCAS호스트(200)가 CAS 클라이언트 이미지를 요청하는 단계(S610), XCAS헤드엔드(100)가 서명 알고리즘을 선택하는 단계(S620), 상기 XCAS헤드엔드(100)가 디지털 서명 블록을 생성하는 단계(S630), 상기 XCAS헤드엔드(100)가 CAS 클라이언트 이미지를 생성하는 단계(S640), 상기 XCAS헤드엔드(100)가 CAS 클라이언트 이미지를 전송하는 단계(S650), 상기 XCAS호스트(200)가 서명 알고리즘을 확인하는 단계(S660), 상기 XCAS호스트(200)가 디지털 서명 블록을 검증하는 단계(S670), 상기 XCAS호스트(200)가 CAS 클라이언트 이미지를 검증하는 단계(S680), 상기 XCAS호스트(200)가 전송 완료 메시지를 상기 XCAS헤드엔드로 전송하는 단계(S690)를 포함한다.6 is a data flow diagram of a method for verifying a CAS client image using a variable digital signature block in a downloadable CA system according to an embodiment of the present invention, wherein the XCAS host 200 requests a CAS client image (S610), The step XCAS headend 100 selects a signature algorithm (S620), the step XCAS headend 100 generates a digital signature block (S630), the XCAS headend 100 generates a CAS client image Step S640, the XCAS headend 100 transmitting a CAS client image at S650, the XCAS host 200 confirming a signature algorithm at step S660, and the XCAS host 200 is digitally signed. Verifying a block (S670), verifying a CAS client image by the XCAS host 200 (S680), and transmitting, by the XCAS host 200, a transmission completion message to the XCAS headend (S). 690).

상기 서명 알고리즘 선택단계(S620)는 디지털 서명 블록을 생성할 서명 알고리즘을 기 저장하여, 디지털 서명 블록의 생성시 그 중 하나를 선택하여 생성할 수 있게 한다. The signature algorithm selection step S620 may store a signature algorithm for generating a digital signature block, and select one of them when generating the digital signature block.

상기 디지털 서명 블록 생성단계(S630)는 상기 서명 알고리즘 선택 단계(S620)에서 선택한 서명 알고리즘을 이용하여 디지털 서명 블록을 생성한다. The digital signature block generation step (S630) generates a digital signature block using the signature algorithm selected in the signature algorithm selection step (S620).

상기 CAS 클라이언트 이미지 생성단계(S640)는 상기 CAS 클라이언트 마스터 이미지와 상기 생성한 디지털 서명 블록을 조합하여 단일의 CAS 클라이언트 이미지를 생성한다. 상기 CAS클라이언트 이미지 생성단계(S640)는 CAS 클라이언트 이미지에 디지털 서명 블록을 추가하여 최종 이미지를 생성하여 해당 이미지가 무결성을 보장하도록 하므로 CAS 클라이언트의 보안성을 강화할 수 있다.The CAS client image generation step (S640) generates a single CAS client image by combining the CAS client master image and the generated digital signature block. In the CAS client image generation step (S640), a digital signature block is added to the CAS client image to generate a final image to ensure the integrity of the CAS client image, thereby enhancing the security of the CAS client.

상기 서명 알고리즘 확인단계(S650)는 상기 수신한 CAS 클라이언트 이미지에서 서명 알고리즘의 종류를 추출하여 확인한다. The signature algorithm verification step S650 extracts and confirms a signature algorithm type from the received CAS client image.

상기 디지털 서명 블록 검증단계(S660)는 상기 확인한 서명 알고리즘을 이용하여 디지털 서명 블록을 검증하여 송신자를 인증한다. 이때, 검증 방법은 상기 서명 알고리즘 확인단계(S650)에서 확인한 서명 알고리즘에 따라 달라지므로, 해당 알고리즘에 맞는 적절한 검증 방법을 사용한다. The digital signature block verification step (S660) verifies the digital signature block by using the verified signature algorithm to authenticate the sender. At this time, since the verification method depends on the signature algorithm confirmed in the signature algorithm verification step (S650), an appropriate verification method suitable for the corresponding algorithm is used.

상기 CAS 클라이언트 이미지 검증단계(S670)는 CAS 클라이언트 이미지의 무결성을 검증한다. 예를 들어, 공개키를 이용한 디지털 서명의 경우, 상기 디지털 서명 블록 검증단계(S660)에서 송신자의 인증이 확인되면, 송신자가 서명한 해시값과 CAS 클라이언트 이미지의 해시값을 비교하여 상기 CAS 클라이언트 이미지의 무결성을 검증한다.The CAS client image verification step S670 verifies the integrity of the CAS client image. For example, in the case of a digital signature using a public key, if the sender's certificate is verified in the digital signature block verification step (S660), the hash value signed by the sender is compared with the hash value of the CAS client image to compare the CAS client image. Verify the integrity of

상기 CAS 클라이언트 이미지 검증단계(S670)는 전송받은 CAS 클라이언트 이미지의 동작 전에 해당 이미지의 복제 여부 및 무결성을 검증하여 동작하는 CAS 클라이언트 이미지의 안정성을 보장하므로 XCAS 시스템의 안정성을 높일 수 있다.
The CAS client image verifying step (S670) can increase the stability of the XCAS system because it ensures the stability of the CAS client image to operate by verifying the copying and integrity of the corresponding image before operation of the transmitted CAS client image.

이상에서는 본 발명에 따른 바람직한 실시 예들에 대하여 도시하고 또한 설명하였다. 그러나 본 발명은 상술한 실시 예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다.
The foregoing embodiments and advantages are merely exemplary and are not to be construed as limiting the present invention. However, the present invention is not limited to the above-described embodiments, and various changes and modifications may be made by those skilled in the art without departing from the scope of the present invention. .

***도면의 주요 부분에 대한 부호의 설명***
100: XCAS 헤드엔드 120: 디지털 서명 블록 생성부
130: 서명 알고리즘 선택부 150: CAS 클라이언트 이미지 생성부
200: XCAS 호스트 220: 서명 알고리즘 확인부
230: 디지털 서명 블록 검증부 250: CAS 클라이언트 이미지 검증부*** Description of the symbols for the main parts of the drawings ***
100: XCAS headend 120: digital signature block generation unit
130: signature algorithm selection unit 150: CAS client image generation unit
200: XCAS host 220: signature algorithm check unit
230: digital signature block verification unit 250: CAS client image verification unit

Claims (10)

다운로드 가능한 제한수신 시스템에서 CAS 클라이언트 이미지 검증 방법에 있어서,
a) 다운로더블 제한수신 헤드엔드가 내부에 저장한 복수의 서명 알고리즘 중 하나를 선택하여 디지털 서명 블록을 생성하는 단계;
b) 상기 다운로더블 제한수신 헤드엔드가 CAS 클라이언트 마스터 이미지에 상기 디지털 서명 블록을 조합하여 최종 CAS 클라이언트 이미지를 생성한 후 전송하는 단계;
c) 다운로더블 제한수신 호스트가 상기 최종 CAS 클라이언트 이미지를 전송받아 서명 알고리즘을 확인하는 단계;
d) 상기 다운로더블 제한수신 호스트가 상기 확인한 서명 알고리즘을 이용하여 상기 최종 CAS 클라이언트 이미지의 디지털 서명 블록을 검증하는 단계를 포함하되,
상기 다운로더블 제한수신 헤드엔드가 상기 최종 CAS 클라이언트 이미지의 디지털 서명 블록의 위치를 가변적으로 설정하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
In the CAS client image verification method in a downloadable CA system,
a) generating a digital signature block by selecting one of a plurality of signature algorithms stored therein by the downloadable CA;
b) the downloadable CA headend combines the digital signature block with a CAS client master image to generate and transmit a final CAS client image;
c) receiving a final CAS client image by a downloadable CA and confirming a signature algorithm;
d) verifying the digital signature block of the final CAS client image using the signature algorithm verified by the downloadable CA.
Verifying the CAS client image using the variable digital signature block in the downloadable CA system, characterized in that the downloadable CA further variably sets the position of the digital signature block of the final CAS client image. Way.
삭제delete 제 1항에 있어서, 상기 a)단계는
상기 다운로더블 제한수신 헤드엔드가 상기 다운로더블 제한수신 호스트의 단말 특성 또는 보안 모듈의 고유번호를 이용하여 상기 디지털 서명 블록을 생성하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
The method of claim 1, wherein step a)
In the downloadable CA system, the downloadable CA system generates the digital signature block by using a terminal characteristic of the downloadable CA host or a unique number of a security module. CAS client image verification method.
제 1항에 있어서, 상기 b)단계는
상기 다운로더블 제한수신 헤드엔드가 상기 디지털 서명 블록의 위치정보를 상기 최종 CAS 클라이언트 이미지의 특정 부분에 삽입하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
The method of claim 1, wherein b)
And the downloadable CA control headend inserts the location information of the digital signature block into a specific part of the final CAS client image. Client image verification method.
제 1항에 있어서,
상기 다운로더블 제한수신 호스트가 상기 디지털 서명 블록의 정보를 이용하여 최종 CAS 클라이언트 이미지의 무결성을 검증하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
The method of claim 1,
Verifying the integrity of the final CAS client image by using the information of the digital signature block by the downloadable CA. The CAS client image using the variable digital signature block in the downloadable CA system. Verification method.
제 1항에 있어서,
상기 다운로더블 제한수신 호스트가 상기 다운로더블 제한수신 헤드엔드로 CAS 클라이언트 이미지를 요청하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
The method of claim 1,
And requesting the CAS client image from the downloadable CA by the downloadable CA. 10. The method of claim 1, further comprising: requesting a CAS client image to the downloadable CA.
제 1항에 있어서,
상기 다운로더블 제한수신 호스트가 상기 다운로더블 제한수신 헤드엔드로 상기 최종 CAS 클라이언트 이미지의 전송 완료 메시지를 송신하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 방법.
The method of claim 1,
And transmitting, by the downloadable CA, a transmission completion message of the final CAS client image to the downloadable CA. How to verify CAS client images.
다운로드 가능한 제한수신 시스템의 CAS 클라이언트 이미지 검증 시스템에 있어서,
내부에 저장한 복수의 서명 알고리즘 중 하나를 선택하여 디지털 서명 블록을 생성하는 디지털 서명부;
CAS 클라이언트 마스터 이미지에 상기 디지털 서명 블록을 조합하여 최종 CAS 클라이언트 이미지를 생성한 후 전송하는 CAS 클라이언트 생성부를 포함하는 다운로더블 제한수신 헤드엔드;
상기 최종 CAS 클라이언트 이미지를 전송받아 서명 알고리즘을 확인하는 서명 알고리즘 확인부;
상기 확인한 서명 알고리즘을 이용하여 상기 최종 CAS 클라이언트 이미지의 디지털 서명 블록을 검증하는 디지털 서명 블록 검증부를 포함하는 다운로더블 제한수신 호스트를 포함하되,
상기 CAS 클라이언트 생성부는 상기 최종 CAS 클라이언트 이미지의 디지털 서명 블록의 위치를 가변적으로 설정하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 시스템.
In the CAS client image verification system of the downloadable CA system,
A digital signature unit for selecting one of a plurality of signature algorithms stored therein and generating a digital signature block;
A downloadable CA receiving headend including a CAS client generator for generating a final CAS client image by combining the digital signature block with a CAS client master image;
A signature algorithm confirmation unit receiving the final CAS client image to confirm a signature algorithm;
And a downloadable CA which includes a digital signature block verification unit for verifying a digital signature block of the final CAS client image using the verified signature algorithm.
And the CAS client generation unit variably sets the position of the digital signature block of the final CAS client image. 10. The CAS client image verification system using a variable digital signature block in the downloadable CA system.
삭제delete 제 8항에 있어서, 상기 다운로더블 제한수신 호스트는
상기 디지털 서명 블록의 정보를 이용하여 최종 CAS 클라이언트 이미지의 무결성을 검증하는 CAS 클라이언트 검증부를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신 시스템에서 가변 디지털 서명 블록을 이용한 CAS 클라이언트 이미지 검증 시스템.
10. The system of claim 8, wherein the downloadable CA is
And a CAS client verification unit which verifies the integrity of the final CAS client image by using the information of the digital signature block. 10. The CAS client image verification system using a variable digital signature block in the downloadable CA system.
KR1020100002324A 2010-01-11 2010-01-11 Method and system for cas client image verification using variable digital signature block in downloadable conditional access system KR101121594B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100002324A KR101121594B1 (en) 2010-01-11 2010-01-11 Method and system for cas client image verification using variable digital signature block in downloadable conditional access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100002324A KR101121594B1 (en) 2010-01-11 2010-01-11 Method and system for cas client image verification using variable digital signature block in downloadable conditional access system

Publications (2)

Publication Number Publication Date
KR20110082369A KR20110082369A (en) 2011-07-19
KR101121594B1 true KR101121594B1 (en) 2012-03-09

Family

ID=44920410

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100002324A KR101121594B1 (en) 2010-01-11 2010-01-11 Method and system for cas client image verification using variable digital signature block in downloadable conditional access system

Country Status (1)

Country Link
KR (1) KR101121594B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100886901B1 (en) 2008-08-26 2009-03-20 주식회사 디지캡 A method of personalization of cas client with conditional access system of download base

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100886901B1 (en) 2008-08-26 2009-03-20 주식회사 디지캡 A method of personalization of cas client with conditional access system of download base

Also Published As

Publication number Publication date
KR20110082369A (en) 2011-07-19

Similar Documents

Publication Publication Date Title
KR100945650B1 (en) Digital cable system and method for protection of secure micro program
KR101261674B1 (en) Method and apparatus for mutual authentication in downloadable conditional access system
EP1712992A1 (en) Updating of data instructions
US20200285457A1 (en) Asset update service
US10498540B2 (en) Efficient encrypted software distribution mechanism
MX2012009025A (en) Software feature authorization through delegated agents.
US10282549B2 (en) Modifying service operating system of baseboard management controller
CN110688648B (en) Security chip firmware updating method and device
CN105872848B (en) A kind of credible mutual authentication method suitable for asymmetric resource environment
RU2685975C2 (en) Providing communication security with extended multimedia platforms
US9959394B2 (en) Device for decrypting and providing content of a provider and method for operating the device
US8646070B1 (en) Verifying authenticity in data storage management systems
US9722992B2 (en) Secure installation of software in a device for accessing protected content
KR20100055859A (en) Downloadable conditional access system, channel setting method and message structure for 2-way communication between terminal and authentication server in the downloadable conditional access system
CN113868604A (en) Software authorization method, system, device and computer readable storage medium
KR101141428B1 (en) Method for preventing illegal watching using peculiar information of secure micro
KR101121594B1 (en) Method and system for cas client image verification using variable digital signature block in downloadable conditional access system
US11218329B2 (en) Certificate generation with fallback certificates
CN114128207A (en) Data distribution system, data processing device, and program
US9729333B2 (en) Revocation of a root certificate stored in a device
CN113543123B (en) Method and device for dynamically setting authority of wireless network
CN117270903A (en) Vehicle-mounted application updating method, device, equipment and computer readable storage medium
KR101099056B1 (en) Cas client download and verification method in downloadable conditional access system
KR101110679B1 (en) Certificate distribution method on dcas system and system thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150217

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160219

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170221

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180221

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190221

Year of fee payment: 8