CN100596188C - 机顶盒终端及其验证方法 - Google Patents
机顶盒终端及其验证方法 Download PDFInfo
- Publication number
- CN100596188C CN100596188C CN200710119569A CN200710119569A CN100596188C CN 100596188 C CN100596188 C CN 100596188C CN 200710119569 A CN200710119569 A CN 200710119569A CN 200710119569 A CN200710119569 A CN 200710119569A CN 100596188 C CN100596188 C CN 100596188C
- Authority
- CN
- China
- Prior art keywords
- terminal
- card
- stb
- encrypt data
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000012795 verification Methods 0.000 title claims description 17
- 230000000052 comparative effect Effects 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000011022 operating instruction Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种机顶盒终端及其验证方法,其中,方法包括:终端身份识别卡向所在的STB终端发送密钥序列号及随机数序列;所述STB终端根据密钥序列号查找预存的会话密钥对随机数序列进行加密,生成终端密文数据;所述STB终端将该终端密文数据及该机顶盒终端的终端信息发送给所述终端身份识别卡;所述终端身份识别卡根据所述终端信息查找预存的会话密钥对所述随机数序列进行加密,生成卡密文数据;将所述卡密文数据与所述终端密文数据进行比较,当比较结果为相等时,则通过验证。终端包括:终端身份识别卡和验证单元。通过本发明,能够有效防止恶意攻击,提高了系统的安全性,也有利于DRM等业务的有效开展。
Description
技术领域
本发明涉及一种对机顶盒终端的验证方法及能够实现这种方法的机顶盒终端,属于网络电视技术中的机顶盒终端技术。
背景技术
网络电视(简称:IPTV)是一种利用宽带有线电视网向用户提供包括数字电视等在内的多种交互式服务的技术。现有网络电视的实现方式主要是通过在普通电视机上设置机顶盒(Set Top Box,简称:STB)终端,通过该机顶盒终端使普通电视机能够与宽带有线电视网相连,实现电视节目的点播或传输。在现有的STB终端中设置有终端身份识别卡(简称:IPTV SIM卡),通常由网络运营商发放,用于在接入网络之前对机顶盒终端运行网络鉴权。
现有技术的缺陷在于:在现有的网络电视系统中,在运行网络鉴权之前,IPTV SIM卡并不对机顶盒终端的合法性进行验证,因此,对于一些需要进行加密的业务,如数字版权管理(Digital Right Management,简称:DRM)业务,会影响系统的安全性。其中DRM业务是一种用于加强保护数字化的音视频节目内容版权、对数字权限进行管理的技术。主要原理是对在互联网上传输的节目内容进行加密保护,接收到加密的数字节目的机顶盒终端通过一密钥(key)才能解密该数字节目进行播放收看。由于IPTV SIM卡提供给机顶盒终端的为解密后的明文,因此容易发生模拟针对IPTV SIM卡的恶意攻击,致使密钥被盗取,从而无法实现数字版权管理的目的。
发明内容
本发明要解决的问题是:对机顶盒终端的合法性进行验证,防止恶意攻击,以提高系统的安全性。
为了解决上述问题,本发明的一个实施例是提供了一种机顶盒终端验证方法,包括:
终端身份识别卡向所在的机顶盒终端发送密钥序列号及随机数序列;
所述机顶盒终端根据所述密钥序列号在该机顶盒终端中查找预存的会话密钥对所述随机数序列进行加密,生成终端密文数据;
所述机顶盒终端将该终端密文数据及该机顶盒终端的终端信息发送给所述终端身份识别卡;
所述终端身份识别卡根据所述终端信息在该终端身份识别卡中查找预存的会话密钥对所述随机数序列进行加密,生成卡密文数据;
将所述卡密文数据与所述终端密文数据进行比较,当比较结果为相等时,则通过验证。
为了解决上述问题,本发明的另一个实施例是提供了一种机顶盒终端,包括:终端身份识别卡和验证单元;
所述终端身份识别卡包括:
第一卡模块,用于向所述验证单元发送密钥序列号及随机数序列;
第二卡模块,用于根据来自于第三单元模块的终端信息查找预存的会话密钥;
第三卡模块,用于根据第二卡模块查找到的会话密钥对第一卡模块发送的所述随机数序列进行加密,生成卡密文数据;
第四卡模块,用于将第三卡模块生成的卡密文数据与来自于第三单元模块的所述终端密文数据进行比较,当比较结果为相等时,则通过验证,并将预设的鉴权字段的状态设置为允许网络鉴权;
所述验证单元包括:
第一单元模块,用于根据来自于第一卡模块的密钥序列号查找预存的会话密钥;
第二单元模块,用于根据第一单元模块查找到的会话密钥对来自于第一卡模块的随机数序列进行加密,生成终端密文数据;
第三单元模块,用于将第二单元模块生成的终端密文数据及该机顶盒终端的终端信息发送给所述终端身份识别卡。
通过本发明,由于在开始网络鉴权之前对对STB终端的合法性进行了验证,并且在验证过程中,二者之间传输的主要信息为密文而不是明文,因此能够有效防止恶意攻击,提高了系统的安全性,也有利于DRM等业务的有效开展。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例1所述的STB终端验证方法的流程图;
图2为本发明实施例2所述的另一种STB终端验证方法的流程图;
图3为本发明实施例3所述的STB终端的结构示意图。
具体实施方式
实施例1
本实施例提供了一种STB终端验证方法,如图1所示,包括:
步骤101,IPTV SIM卡向STB终端发送密钥序列号及随机数序列(简称:RND)。
其中,密钥序列号与STB终端中保存的会话密钥相对应,用于从多个会话密钥中选择一个会话密钥。密钥序列号的位数可以根据会话密钥的个数进行确定。
步骤102,STB终端根据接收到的密钥序列号在该STB终端中查找预存的会话密钥对接收到的随机数序列进行加密,生成终端密文数据,并将该终端密文数据与该STB终端的终端信息发送给IPTV SIM卡。
其中,STB终端的终端信息可以包括制造厂商代码、密钥版本号等。
步骤103,IPTV SIM卡根据接收到的STB终端的终端信息在该IPTV SIM卡中查找预存的会话密钥,并根据该会话密钥对在步骤101中发送给STB终端的随机数序列进行加密,生成卡密文数据。
步骤104,IPTV SIM卡将经过加密运算得到的卡密文数据与接收到的来自于STB终端的终端密文数据进行比较,当比较出卡密文数据与终端密文数据相等时,执行步骤105;否则结束本步骤。
步骤105,IPTV SIM卡向STB终端发送指令消息,指示STB终端可以开始发起网络鉴权流程。
具体地,为了对STB终端的网络鉴权进行控制,可以在STB终端中预设鉴权字段,在开始对IPTV SIM卡进行卡片复位(Card Reset)操作时,将鉴权字段的状态置为“假(简称:FALSE)”,即不允许网络鉴权。在执行步骤104时,如果比较结果为相同,则通过验证,将鉴权字段的状态置为“真(简称:TRUE)”,即允许网络鉴权。其中,对上述鉴权字段状态进行的设置可以由卡片操作系统完成。
当IPTV SIM卡接收到来自于STB终端的鉴权运行指令(RUN IP/TVALGORITHM)后,查询鉴权字段的状态;如果鉴权字段的状态为“FALSE”,则不开始运行网络鉴权;如果该状态为“TURE”,则开始运行网络鉴权。
通过本实施例所述方法,由于在开始网络鉴权之前对对STB终端的合法性进行了验证,并且在验证过程中,二者之间传输的主要信息为密文而不是明文,因此能够有效防止恶意攻击,提高了系统的安全性,也有利于DRM等业务的有效开展。
实施例2
本实施例提供了另一种STB终端验证方法,如图2所示,包括:
步骤201、202与实施例1中的步骤101、102相同,此处不再赘述。
步骤203,IPTV SIM卡根据接收到的STB终端的终端信息在该IPTV SIM卡中查找预存的会话密钥,并根据该会话密钥对在步骤201中发送给STB终端的随机数序列进行加密,生成卡密文数据发送给STB终端。
步骤204,STB终端将接收到的来自于IPTV SIM卡的卡密文数据与在步骤202中经过加密运算得到的终端密文数据进行比较,当比较出卡密文数据与终端密文数据相等时,则通过验证,然后可以开始运行网络鉴权。
另外,本实施例也可以采用实施例1所述的预设鉴权字段的方法对STB终端的网络鉴权进行控制,当步骤204中的比较结果为相同时,则通过验证,将鉴权字段的状态置为“真(简称:TRUE)”,即允许网络鉴权。
通过本实施例所述方法,实现了对STB终端的验证,除了具有实施例1所述优点以外,由于对终端密文数据及卡密文数据进行的比较是由STB终端完成的,因此减少了IPTV SIM卡的工作负担,降低了IPTV SIM卡的设计要求,从而减少了运营商的发卡成本;由于STB终端不需要通过来自于IPTV SIM卡的指令消息便可以直接获得比较结果,因此响应速度更快,可靠性更高。
此处还需要特别指出的是,根据具体情况的需要,还可以将实施例1中的步骤104与实施例2中的步骤204的技术方案结合,即:由IPTV S IM卡及STB终端均对卡密文数据及终端密文数据进行比较,只有当两次比较结果均为相同时,才允许开始运行网络鉴权。这样可以使STB装置与IPTV SIM卡双方进行互认,可以进一步提高系统的安全性。
实施例3
本实施例提供了一种STB终端,如图3所示,STB终端1包括:终端身份识别卡10和验证单元20,其中,终端身份识别卡10包括:第一卡模块11、第二卡模块12、第三卡模块13及第四卡模块14;验证单元20包括:第一单元模块21、第二单元模块22及第三单元模块23。其工作原理为:
终端身份识别卡10的第一卡模块11向验证单元20发送密钥序列号及随机数序列;验证单元20的第一单元模块21来自于第一卡模块11的密钥序列号查找预存的会话密钥;第二单元模块22根据第一单元模块21查找到的会话密钥对来自于第一卡模块11的随机数序列进行加密,生成终端密文数据;第三单元模块23将第二单元模块22生成的终端密文数据及该机顶盒终端1的终端信息发送给终端身份识别卡10。
终端身份识别卡10的第二卡模块12根据来自于验证单元20的第三单元模块23的终端信息查找预存的会话密钥;第三卡模块13根据第二卡模块12查找到的会话密钥对第一卡模块11发送的所述随机数序列进行加密,生成卡密文数据;第四卡模块14将第三卡模块13生成的卡密文数据与来自于验证单元20的第三单元模块23的终端密文数据进行比较,当比较结果为相等时,则通过验证,并将预设的鉴权字段的状态设置为允许网络鉴权。
另外,通过验证后可以开始运行网络鉴权,具体地,在终端身份识别卡10中还可以包括:第五卡模块15,用于当检测到第四卡模块14通过验证后,查询预设的鉴权字段的状态,当该状态为允许网络鉴权时,则开始运行网络鉴权;否则,不开始运行网络鉴权。
通过本实施例所述装置,由于在开始网络鉴权之前对对STB终端的合法性进行了验证,并且在验证过程中,二者之间传输的主要信息为密文而不是明文,因此能够有效防止恶意攻击,提高了系统的安全性,也有利于DRM等业务的有效开展。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1、一种机顶盒终端验证方法,其特征在于包括:
终端身份识别卡向所在的机顶盒终端发送密钥序列号及随机数序列;
所述机顶盒终端根据所述密钥序列号在该机顶盒终端中查找预存的会话密钥对所述随机数序列进行加密,生成终端密文数据;
所述机顶盒终端将该终端密文数据及该机顶盒终端的终端信息发送给所述终端身份识别卡;
所述终端身份识别卡根据所述终端信息在该终端身份识别卡中查找预存的会话密钥对所述随机数序列进行加密,生成卡密文数据;
将所述卡密文数据与所述终端密文数据进行比较,当比较结果为相等时,则通过验证。
2、根据权利要求1所述的机顶盒终端验证方法,其特征在于将所述卡密文数据与所述终端密文数据进行比较包括:
由所述终端身份识别卡将经过加密运算得到的所述卡密文数据与接收到的来自于机顶盒终端的所述终端密文数据进行比较。
3、根据权利要求2所述的机顶盒终端验证方法,其特征在于所述通过验证之后还包括:
所述终端身份识别卡向所述机顶盒终端发送指令消息;
所述机顶盒终端接收到该指令消息后开始运行网络鉴权。
4、根据权利要求1所述的机顶盒终端验证方法,其特征在于所述终端身份识别卡生成所述卡密文数据之后还包括:
将所述卡密文数据发送给所述机顶盒终端。
5、根据权利要求4所述的机顶盒终端验证方法,其特征在于将所述卡密文数据与所述终端密文数据进行比较包括:
所述机顶盒终端将经过加密运算得到的终端密文数据与接收到的来自于终端身份识别卡的卡密文数据进行比较。
6、根据权利要求5所述的机顶盒终端验证方法,其特征在于所述通过验证之后还包括:
所述机顶盒终端开始运行网络鉴权。
7、根据权利要求6所述的机顶盒终端验证方法,其特征在于所述终端身份识别卡发送所述密钥序列号及随机数序列之前还包括:
在机顶盒终端中预设鉴权字段,当所述机顶盒终端开始进行卡片复位操作时,将鉴权字段的状态置为不允许网络鉴权。
8、根据权利要求7所述的机顶盒终端验证方法,其特征在于所述通过验证之后,所述机顶盒终端开始运行网络鉴权之前还包括:
将所述鉴权字段的状态设置为允许网络鉴权。
9、根据权利要求7或8所述的机顶盒终端验证方法,其特征在于所述机顶盒终端开始运行网络鉴权包括:
所述机顶盒终端向所述终端身份识别卡发送鉴权运行指令;
所述终端身份识别卡接收到该鉴权运行指令后查询鉴权字段的状态;
当该鉴权字段的状态为允许网络鉴权时,则开始运行网络鉴权;否则,不开始运行网络鉴权。
10、一种机顶盒终端,其特征在于包括:终端身份识别卡和验证单元;
所述终端身份识别卡包括:
第一卡模块,用于向所述验证单元发送密钥序列号及随机数序列;
第二卡模块,用于根据来自于第三单元模块的终端信息查找预存的会话密钥;
第三卡模块,用于根据第二卡模块查找到的会话密钥对第一卡模块发送的所述随机数序列进行加密,生成卡密文数据;
第四卡模块,用于将第三卡模块生成的卡密文数据与来自于第三单元模块的所述终端密文数据进行比较,当比较结果为相等时,则通过验证,并将预设的鉴权字段的状态设置为允许网络鉴权;
所述验证单元包括:
第一单元模块,用于根据来自于第一卡模块的密钥序列号查找预存的会话密钥;
第二单元模块,用于根据第一单元模块查找到的会话密钥对来自于第一卡模块的随机数序列进行加密,生成终端密文数据;
第三单元模块,用于将第二单元模块生成的终端密文数据及该机顶盒终端的终端信息发送给所述终端身份识别卡。
11、根据权利要求10所述的机顶盒终端,其特征在于所述终端身份识别卡还包括:
第五卡模块,用于当检测到第四卡模块通过验证后,查询预设的鉴权字段的状态,当该状态为允许网络鉴权时,则开始运行网络鉴权;否则,不开始运行网络鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710119569A CN100596188C (zh) | 2007-07-26 | 2007-07-26 | 机顶盒终端及其验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710119569A CN100596188C (zh) | 2007-07-26 | 2007-07-26 | 机顶盒终端及其验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102464A CN101102464A (zh) | 2008-01-09 |
| CN100596188C true CN100596188C (zh) | 2010-03-24 |
Family
ID=39036518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710119569A Active CN100596188C (zh) | 2007-07-26 | 2007-07-26 | 机顶盒终端及其验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100596188C (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330387B (zh) * | 2008-07-24 | 2010-12-08 | 华为终端有限公司 | 一种机卡认证的方法、通讯设备和认证系统 |
| CN101521735B (zh) * | 2009-03-31 | 2011-05-25 | 深圳创维数字技术股份有限公司 | 一种机顶盒软件的加密保护方法、系统 |
| CN101945104A (zh) * | 2010-08-31 | 2011-01-12 | 百视通网络电视技术发展有限责任公司 | 一种终端防伪装置、验证装置及其防伪和验证方法 |
| CN102075323A (zh) * | 2010-12-10 | 2011-05-25 | 惠州市德赛视听科技有限公司 | 蓝光dvd播放器数字权限密钥生产管理方法 |
| CN102892040B (zh) * | 2012-09-17 | 2016-12-21 | 深圳创维数字技术有限公司 | 控制播放电视节目的方法及数字电视终端 |
| CN103581751B (zh) * | 2013-02-08 | 2016-12-28 | 山东泰信电子股份有限公司 | 一种数字电视信号接收系统及接收方法 |
| CN106028100B (zh) * | 2016-05-13 | 2018-12-21 | 深圳智英电子有限公司 | 基于北斗卫星通讯、嵌有身份识别加密卡的数字机顶盒 |
| CN106303755A (zh) * | 2016-09-27 | 2017-01-04 | 天脉聚源(北京)传媒科技有限公司 | 一种接口加密方法、装置和机顶盒登录系统 |
| CN106547243A (zh) * | 2017-01-10 | 2017-03-29 | 湖北巴东博宇工贸有限公司 | 交流充电桩控制板控制系统 |
-
2007
- 2007-07-26 CN CN200710119569A patent/CN100596188C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101102464A (zh) | 2008-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596188C (zh) | 机顶盒终端及其验证方法 | |
| JP4240297B2 (ja) | 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| CN101977190B (zh) | 数字内容加密传送方法以及服务器端 | |
| US20090006852A1 (en) | Method and Apparatus for Securing Unlock Password Generation and Distribution | |
| CN101877702A (zh) | 一种交互式网络电视客户端激活认证的方法和系统 | |
| US11424919B2 (en) | Protecting usage of key store content | |
| CN101908113B (zh) | 一种认证方法及认证系统 | |
| CN103138939A (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| US11159329B2 (en) | Collaborative operating system | |
| US9819486B2 (en) | S-box in cryptographic implementation | |
| WO2008053279A1 (en) | Logging on a user device to a server | |
| US7979628B2 (en) | Re-flash protection for flash memory | |
| CN113676478B (zh) | 一种数据处理方法及相关设备 | |
| CN113726733B (zh) | 一种基于可信执行环境的加密智能合约隐私保护方法 | |
| JP4840575B2 (ja) | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| US8755521B2 (en) | Security method and system for media playback devices | |
| KR20130100032A (ko) | 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법 | |
| JP7176802B2 (ja) | マルチキャストグループ内のデバイス | |
| CN113938878A (zh) | 一种设备标识符防伪造方法、装置和电子设备 | |
| CN104580161A (zh) | 一种基于安全标识文件的软件实名认证方法和装置 | |
| JP2005176231A (ja) | 認証システムおよび方法、ならびに、証明装置および検証装置 | |
| US20230195925A1 (en) | Cloud-based whitebox node locking | |
| KR20110113427A (ko) | 이동장치 실시간 인증/관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA LINKED NETWORK COMMUNICATION GROUP CO.,LTD. Free format text: FORMER OWNER: CHINA NETWORK COMMUNICATIONS GROUP CORPORATION Effective date: 20090522 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090522 Address after: Number 21, Finance Street, Beijing, Xicheng District: 100032 Applicant after: China United Network Telecommunication Group Co., Ltd. Address before: Number 21, Finance Street, Beijing, Xicheng District: 100032 Applicant before: China Network Communications Group Corporation |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |