CN101044758A - 控制接收器终端内部软件的启用的方法和装置 - Google Patents
控制接收器终端内部软件的启用的方法和装置 Download PDFInfo
- Publication number
- CN101044758A CN101044758A CN 200580035662 CN200580035662A CN101044758A CN 101044758 A CN101044758 A CN 101044758A CN 200580035662 CN200580035662 CN 200580035662 CN 200580035662 A CN200580035662 A CN 200580035662A CN 101044758 A CN101044758 A CN 101044758A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- software application
- download
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17309—Transmission or handling of upstream communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/637—Control signals issued by the client directed to the server or network components
- H04N21/6377—Control signals issued by the client directed to the server or network components directed to server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/81—Monomedia components thereof
- H04N21/8166—Monomedia components thereof involving executable data, e.g. software
- H04N21/818—OS software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/81—Monomedia components thereof
- H04N21/8166—Monomedia components thereof involving executable data, e.g. software
- H04N21/8193—Monomedia components thereof involving executable data, e.g. software dedicated tools, e.g. video decoder software or IPMP tool
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17345—Control of the passage of the selected programme
Abstract
本发明涉及对电视机接收器终端(4)的启用的控制,所述电视机接收器终端(4)通过双向链路(81-82)与远程服务器(2)相通信,以及可另外接收一个经编码的多媒体数据流。在本发明中,启用终端的信息存储在服务器及终端处。因此,在该终端通电时,该终端会自动建立与服务器的连接,服务器可至少取回终端所存储的某些启用信息,并验证其与该服务器处所存储的启用信息的匹配性。基于此验证,该服务器可授权或不授权该终端下载用于解码多媒体数据流的软件应用程序。
Description
技术领域
本发明涉及对受控存取多媒体流接收器终端特别是收费电视解扰器/解码器终端中的内部软件的启用的控制。
背景技术
在接收多媒体数据特别是收费电视数据的终端内,通常提供一个被集成到该接收器内或与其相连接的安全处理器(诸如芯片卡)。该安全处理器控制存取该接收器所处理的数据,通常是根据该接收器是否符合与这些数据相关的存取标准,来授权或禁止这些数据的解扰或解码。该安全处理器,通常通过执行一种鉴定程序,来进一步使确认该接收器的用于处理的启用成为可能。若该安全处理器已经确认该终端被启用,它将授权执行一些特定的软件应用程序,以解扰/解码该终端所接收的多媒体流。另一方面,若该终端未被启用,该安全处理器便会不允许执行上述软件应用程序。
可以指出,某些终端可以在内部解码功能被激活的条件下,解码多媒体数据(例如,对MPEG格式的音视频数据进行压缩解码)。该解码功能的启动或否决,是由对与该终端的存取权限的有效性或无效性的分别验证来加以限定。此外,多媒体数据例如音视频数据等,可在广播前特意加扰。接着,可以根据对终端的存取权限的有效性或无效性的验证,来启动或否决在终端处的用以解扰数据的功能。下文中,术语″解扰″和/或″解码″,将可互换地指定那些其执行或否决由存取权限的有效性或无效性所限定的功能。
可供用户使用的终端以及它们所包括的安全处理器,并非总是能防止被窜改,而欺诈(特别是恶意用户对验证码的伪造)总是可能的。
此外,内容供应商操作员通常很难控制可供用户使用的终端池(pool),以及安装在终端内的软件应用程序的版本(经过授权的,或反之,盗版的)。
此外,随着交互式多媒体应用的近期发展,特别是在收费电视的背景环境下,目前有许多终端配备有至一个或多个远程服务器的返回路径。更特别地,一种在服务器和终端之间的完全双向的链路,例如,xDSL类型(表示″数字用户线″),在某些最近的应用中已经证实是有优势的。这种双向链路区别于直接的传统返回路径,例如,STN/IP类型。
发明内容
本发明试图利用大部分接收器终端早已配备的与远程服务器的通信手段,来基本上解决现有技术所遇到的和上文所指出的问题。
为实现上述发明目的,本发明首先提出一种用以控制至少一个可接收多媒体数据流的接收器终端的启用的方法,其中,该终端设计用于:
-一方面,通过双向链路来与至少一个远程服务器通信,以及
-另一方面,接收多媒体流并通过执行一些特定的软件应用程序来解扰/解码该数据流。
在本发明中,上文所述的远程服务器,是一种控制将所述软件应用程序下载到终端的服务器。
根据本发明的方法包括下列步骤:
a)将启用终端的信息存储在下载控制服务器和终端处;
b)给终端通电后,终端自动地建立与下载控制服务器的连接;
c)该下载控制服务器取回至少部分存储在所述终端的启用信息,并验证(取回部分)与该服务器所存储的启用信息的匹配性,以及
d)至少作为该下载控制服务器执行的验证的一项功能,该下载控制服务器对下载用于解扰/解码上述多媒体数据流的专用软件应用程序到该终端进行授权或不授权。
因此,可以理解,对解扰/解码软件应用程序的下载的授权是在下载控制服务器的层次完成的,而不是如现有技术中那样,在接收器终端的层次完成。
本发明因而有诸多优点。
其已经提供了一种对启用的控制的升级可能性,因为下载条件是由负责所述服务器的操作员基于终端内的启用信息来决定的。这些条件因而可随时根据该操作员的意愿而升级。如今,在现有技术中,下载条件是在接收器终端内定义的,且不能升级。
因此,对解扰/解码软件应用程序可能的新版本的下载在现有技术中受制于一些仅仅取决于终端(特别是其安全处理器)的安全规则,而这些安全规则就每一终端而言,将可能不再属于内建性,并可通过应用本发明的方法来随时升级。特别地,通过将该启用功能下载给一个被特别地专门用来控制终端的启用的远程下载控制服务器,将允许在这个服务器上直接更新安全规则,而不需要在终端处加以干预。所以,可以理解,上述负责下载控制服务器运行的启用的控制的操作员可在该服务器处的一次干预中更新该软件应用程序和/或安全规则。
此外,下载应用程序的步骤可以拓展至获取终端上的信息,例如它们的配置和使用方面的统计值。特别地,可以理解,通过根据本发明的方法的实现,该操作员可控制下载,特别是同一个终端的下载数目,执行例如访客流量统计,以及可评估安全处理器(例如,以芯片卡的形式)向终端池等的迁移。
因此,在一个优选的实施例中,服务器包括一个数据库,用于存储一个用以启用若干终端的信息和一些专属于这些终端的软件应用程序,与终端的各自的至少某些标识相一致,以便于管理可供用户使用的接收器终端池。
为确保定期更新终端的解扰/解码软件应用程序,在步骤d)中,该服务器最好传输给该终端,该终端最适用的(tailored)的新版软件应用程序。例如,该最适用的版本,可以是一种在该服务器处可获得的,且根据上述终端的现代性而言是最新的版本。
在一个特定的实施例中,该软件应用程序包括至少一个用于终端的计算机资源的操作系统。
有利的是,所述的软件应用程序包括可解扰/解码该多媒体数据流的应用程序。
在第一个实施例中,该终端在步骤d)中,可在该终端每次启动时,通常是在通电时,将从服务器处下载的软件应用程序,存储到一个易失性存储器中。在一种特别有利的方法中,这些应用程序均不常驻在终端内。因此,终端所用的所有解扰/解码软件应用程序,是在一种实际上零诈欺的风险下,受到远程下载控制服务器的控制。
在第二个实施例中,该终端可将接收自下载控制服务器的软件应用程序,存储到一个永久性存储器中,通常是在闪存或E2PROM存储器内。因而,可以理解,在此实施例中,下载软件应用程序不是系统性的,但在应用程序更新时优选地执行。
有利地,在第二实施例中,下载控制服务器可以进一步验证上述存储在终端的永久性存储器中的软件应用程序的版本与该终端的一致性。基于此目的,该服务器通常可以在存储终端启用信息的数据库中,获得应该被安装在不同终端的(软件应用程序的)版本。优选地,在终端首次交付使用时,终端连接到下载控制服务器,因此可以将其存储器中的版本,表示给该服务器。该下载控制服务器接着会获得该终端记录的版本的参考数据,优选地,在一个适当的数据库中。其后,在后继连接中,下载控制服务器读取实际安装的版本,并与其数据库内备份的(版本)相比较。
因此,可以理解,该控制服务器,有利地可另外验证该终端的永久性存储器中所存储的软件应用程序的版本的一致性。特别地,如果所安装的版本不同于获得的版本,该下载控制服务器便可将封锁该终端的命令传输给该终端,或者,适当的话,更新所述安装的版本。特别地,若有更适当的版本,可以替代终端存储器存储的版本,有利地,下载控制服务器可将此新版本的软件应用程序传输给终端。
在一个优选的实施例中,所述启用信息包括认证数据。在本实施例中,在步骤c)中,该下载控制服务器,是通过一方面实现该终端所提供的公钥,及另一方面实现自该服务器存储的数据中搜集所对应的私钥的程序,来认证该终端。
优选地,该方法可以通过经由双向性链路实现终端和服务器的公钥及搜集自终端和服务器存储的数据的相应私钥的程序,来为下载控制服务器和终端的相互认证事先做好安排。
为此目的,该终端有利地包括安全处理器,其中最初存储有可认证与下载控制服务器相对的终端的数据。通常是可提供一个芯片卡,作为安全组件安装在终端处,以此提高下载的安全性。有利地,现有已使用安全处理器的接收器终端的传统物理结构(硬件)因而基本上被保留下来。优选地,在下载控制服务器处,也提供一个大体上一致的安全处理器,以确保对于启用的控制。
有利的是,该方法进一步提供一种过程,通过优选地在验证该软件应用程序数据的发送者的可靠性后,验证上述传送给该终端的软件应用程序数据的完整性。
有利的是,各自的计算机程序,最初一方面存储在终端处,另一方面在下载控制服务器处存储于永久性存储器内。这些程序基本上可使得:
-首先,建立下载控制服务器与终端之间的通信,
-在控制服务器侧验证该终端的启用,以及
-在终端侧,可能的话,下载所述软件应用程序。
因此,对于终端,优选地提供下列的初始步骤:
a1)为该终端配备用于读取启动例程的计算机资源,
a2)提供至少包括一个将终端连接到服务器上的指令的启动例程,以及
a3)将该启动例程存储在该终端的永久性存储器中。
就此点而言,本发明是针对一种计算机程序产品,意在存储在接收器终端的永久性存储器中,以及因此包括该终端的启动例程,以实现根据本发明的方法的所有或部分步骤。
对于服务器,优选地提供下列初始步骤:
a′1)为该服务器配备用于读取用来将软件应用程序下载到终端的例程的计算机资源,
a′2)提供包括至少一个可验证该终端的启用的指令的下载例程,以及
a′3)将该下载例程存储在该服务器的永久性存储器中。
在这点上,本发明亦针对一种计算机程序产品,存储在一个服务器的永久性存储器中,用于控制解扰/解码多媒体数据流的软件应用程序的下载,以及因而包括可控制软件应用程序的下载的例程,以实现根据本发明的方法的所有或某些步骤。
本发明可有利地被用来将多媒体内容特别是收费电视内容,分配到一条宽带双向网络上,使得传送内容超越在单方向性网络(或″广播网络″)上的电视信号的直接广播。
通过非限制性的范例,所述的多媒体内容分配,可在″点对点″(″point-to-point″)或(″端对端″)(″peer-to-peer″)模式中执行。
关于此点,本发明也针对本方法在本发明的意义中的应用。
本发明也针对一种可控制对软件应用程序,特别是用以解扰/解码一个多媒体数据流,例如电视视听数据流的软件应用程序的下载的启用的系统,至少包括:
-一个用于控制软件应用程序的下载的服务器,和
-一个接收器终端,一方面可通过双向链路连接到下载控制服务器来下载软件应用程序,另一方面可被设计来接收多媒体数据流,并通过执行所述执行软件应用程序来解扰/解码所述数据流。
本发明意义中的所述系统的终端,包括计算机资源,用来:
-存储用于启用终端的第一信息,
-存储以及读取启动计算机程序,所述启动计算机程序包括至少一个在该终端通电时自动连接服务器的指令。
上述在本发明意义中的系统的下载控制服务器的一侧,包括计算机资源,用来:
-存储用于启用终端的第二信息,
-存储及读取用来下载软件应用程序的计算机程序,其至少包括:
○一种用来读取第一和第二启用信息的指令,
○一种用来验证第一与第二启用信息的一致性的测试,和
○一种用来下载软件应用程序的指令,其至少可被该测试限制。。
在进行终端认证的优选实施例中,第一和第二启用信息分别包括第一和第二认证数据。该终端的启动程序包括至少一种通过搜集所述第一数据来形成公钥并将其传递给服务器的指令,以及该服务器下载程序至少包括一个通过搜集所述第二数据来实现私钥来验证终端的认证数据的指令,该测试包括一个可验证所述公钥与所述私钥之间一致性的指令。所述的测试另可包括一种指令,用来以一个加密法中的传统认证程序的方式下,确认公钥与私钥之间的一致性。根据完全非限制性范例,将涉及到一种认证程序,使用所谓″RSA″加密算法(代表″Rivest Shamir Adleman″)。
在终端和服务器相互认证的架构中,终端启动和服务器下载程序,有利的是包括一些类似的认证指令,用来通过实现经由双向性链路传输的公钥,及实现搜集自第一和第二认证数据的与(公钥)对应的私钥来交换及验证所获得的验证数据的一致性。
除上述在本发明意义中的方法的有利的特点,特别地,对于在上文中描述的,有利地在本发明的意义中的系统中再次出现的接收器终端和下载控制服务器,终端与下载控制服务器之间的双向链路优选地属于xDSL类型(代表″数字用户线″)。然而,可以理解的是,本发明可以适应任何其它的双向性网络技术。
本发明也针对在本发明意义中的系统的接收器终端。
其也针对在本发明的意义中可控制下载及可控制系统启用的服务器。
附图说明
通过阅读以下结合附图对非限定性实施例所作描述,本发明的其它特征和优点将变得更为明确,其中:
-图1表示本发明意义中的系统的范例性架构;
-图2a示意性地示出了本发明意义中可控制下载及可控制启用的服务器的组件;
-图2b示意性地示出了一种在本发明意义中的接收器终端的结构;
-图3示意性地示出了一种根据本发明一个特定实施例的终端的闪存的结构;而
-图4示出了一种在本发明意义中的方法所进行的各种步骤的优选实施例。
具体实施方式
首先参考图1,来说明本发明意义中在范例中所表示的数字电视网络的架构中的系统。此系统包括一个双向网络3,可连接接收器终端4和服务器2用以控制终端的下载及启用。终端4和服务器2是由一条双向性链路81-82连接的。
在一般的方式中,本发明提供了一种开启数字电视接收器终端4的控制,以及该终端4处安全的并且特别为解扰/解码软件应用程序的版本适用的下载。优选地,在每次启动时,上述连接到网络3的终端,执行到下载控制服务器2的连接。借助本说明范例中的安全处理器5和6,在两个实体4和2的相互验证后,控制服务器2可取回终端4和安全处理器6处所存在的数据。控制服务器2分析此数据,并可授权或不授权该启动程序的继续。有利地,上述使得界定一个接收器终端是否被授权继续上述启动序列的标准可由控制服务器2处修正,因此允许有最大的灵活性。
特别地,该服务器2可能会或可能不会授权将一个版本的软件应用程序下载给该接收器终端。有利的是,该服务器2存储全部信息,以此实现对该网络3上所存在的接收器终端的统计。该终端的完全开启,将使其随后可访问电视节目广播,如,由另一个带有图1中附图标记1的服务器播放的,就此部分而言,将可确保例如用视听电视节目的广播来分配该多媒体内容。
参照图1,此多媒体分配服务器1通过范例中所示的网络3,来广播该电视节目程序(箭头7)。服务器1是由广播该节目的广播员来管理。
多媒体分配服务器1,在本发明的意义中,可能与下载控制服务器2相异或相同。
首先将被接受的是,控制服务器2可完成对接收器终端4的控制,更明确地说,可完成特别是对解扰/解码的软件应用程序的下载的控制。该设备2因而在下文中,被称作″下载控制服务器″。服务器2是是由上述存取控制的操作员和/或提供者来管理。
虽然图1仅示出了一个终端,应指出得是,本发明意义中的系统可包括多个终端4,用于接收多媒体流7包括以及例如要被解扰/解码的数字电视数据。类似地,对于订购数个数字电视服务的用户使用的同一终端,可预先提供数个下载控制服务器2,以及数个用以广播节目的服务器1。
可以回忆,图1中的所有设备是通过网络3优选地通过一条高速双向链路连接的,例如,类似xDSL链路的有线链路。
参照图2a,下载控制服务器2包括:
-一个或多个安全处理器5,用于确保连接的安全性和终端下载的安全性,
-数据库21,可用于特别存储启用多个接收器终端4的数据,并与各自标识相对应,因此有利地管理用户可用的整个终端池,
-处理装置,例如一个处理器22,可用于实现下文将详细说明的计算机程序指令,和
-存储器23(永久性,例如ROM型、和/或工作存储器,例如RAM型),来存储及执行程序指令。
在此仅仅是指明,该下载控制服务器2,包括计算机资源,以便:
-执行可实现签名算法的程序,以确保软件应用程序(在此实例中为控制服务器2)的发送者的可靠性,和所签名及传输的软件应用程序的数据的完整性,
-优选地,进一步执行一种可实现CHECKSUM(核对和)计算算法的程序,使可能并使其可如下文所见,进一步保证所传输的软件应用程序的数据的完整性,
-另外执行一种可实现认证算法的程序,例如优选地使用一种例如可实现公钥和私钥的加密算法,在控制服务器2和接收器终端4之间的相互认证,
-存储上述可供可能下载用及可就各种终端或各种类型的终端4最适用的版本的软件应用程序,
-例如,在数据库21中,存储未经授权的安全处理器(例如,对应于被窃取或盗用的芯片卡)的唯一标识的黑名单,以及
-例如,在数据库21中,存储未经授权的终端(例如,被窃取或盗用的芯片卡)的唯一标识的黑名单。
有利的是,下载控制服务器2,接着可实现下列动作:
-准备要下载版本的软件应用程序,伴随对于应用程序的计算CHECKSUM(核对和),签名的计算,等等。
-接受与终端的连接,
-验证终端的配置(例如,根据其配置,禁止一个或多个终端的运行)
-可能的话,将一新软件版本,下载到终端,
-将所有连接和从每一终端接收的所有数据,存储到数据库21内。
可以回忆,上述对于应用程序的CHECKSUM(核对和)的计算,是一种确保完整性的例程,包括例如计算构成该应用程序的字节总和(亦称作″核对″和),特别是验证一个对应于此应用程序或在其中使用的档案或数据块的完整性。
现在参照图2b,一种在本发明意义中的数字电视接收器终端4的一般架构,包括:
-处理装置,例如处理器14,由一条总线13连接至存储器15到18(可由处理器14直接寻址),
-非易失性和非可再程序规划式只读存储器,可能是ROM型,在图2b中标有附图标记15,通常意在用来存储终端的启动程序,
-易失性随机存取存储器,例如可以是RAM类型,在图2b中标有参考数字16,意在特别预计以工作存储器的形式来执行程序及操控数据,
-非易失性和可再程序规划式永久性存储器,例如可以是闪存型17和/或E2PROM型18,包括该终端的配置和/或安全参数。
如上文所述,从控制服务器2下载的软件应用程序,如下文可见,可在第一实施例中,存储在随机存取存储器16内,或者在第二实施例中,存储在永久性存储器17或18内。
在此仅仅是指明,在第一实施例中,该解扰/解码软件应用程序的下载在该终端每次启动(或通电)时执行。该终端接着便会从易失性存储器16上执行解扰/解码应用程序。
在第二实施例中,下载在上述解扰/解码软件应用程序每次适当新版本可用时执行。该终端接着便会执行在永久性存储器17或18-例如基于闪存17的应用程序。图3中所示的是闪存17的结构,根据此第二实施例,可提供进入永久性存储器的下载。闪存17包括不可重写部分171(″OTP″存储器),可存储终端启动程序的所有或部分指令。其第二部分172是一种可重写性区域,通常被预期用以存储上述服务器2所下载的软件应用程序(APPL)
在一个优选的实施例中指明,可被下载的软件应用程序包括一种操作系统(或″OS″),负责以应用程序来管理终端的资源的使用。因此,该接收器终端的软件应用程序的版本的更新的重要性将可以理解。因此,再次参照图3的范例,上述操作系统的最新版本(UPD),优选地存储在该闪存17的可写性区域172内。
此外,启动程序可存储在该ROM存储器15和/或永久性存储器17或18内。启动程序(或″BOOT″)(系统环境建置)确保:
-该终端4的初始化,
-以及,选择性地下载解扰/解码软件应用程序的新版本。
启动程序有利的包括:
-最少的驱动器,使其可能恰好用来控制连接所需的硬件组件(处理器、存储器、和具有安全处理器的接口等)用来控制启用和下载,
-一种连接配置(被客户化为一些可接到下载控制服务器2的主参数的函数,加上一旦与该服务器2的连接失败时允许接到其它控制服务器的连接备用系统参数),
-一种程序,可使用终端的私钥和适合的该服务器的公钥,来实现例如加密算法,以此促成服务器对于终端的认证,或者实施终端和服务器之间的相互认证,
-一种非对称性算法,可实现一私钥,以此在此处验证下载软件应用程序的版本的签名,以及所下载数据的完整性,和所述数据发送者的可靠性,和
-一种验证算法(CHECKSUM)(核对和),进一步控制下载的应用程序的完整性。
终端的只读存储器,亦可存储该终端的唯一的标识,例如当接收器终端是一种可解扰/解码一个″STB″型(代表″视频解码器,机顶盒″)视听数据流的终端的情况中,所述标识称作″STB-id″。然而,指明就一个变化形式而言,该接收器终端可由一个分配有唯一的对应标识的家用电脑或笔记本电脑来组成。
该终端4另外包括:
-一种与网络3之间的接口10(例如,xDSL调制解调器接口),可特别允许与服务器1和2交换数据,
-一种解多复用器/解扰器11,用于确保数据分离功能(音频、视频、交互作用数据、私人数据、等等),
-一种音频、视频数字/模拟解码转换器12,和
-一种安全处理器6例如芯片卡,用于确保与服务器2的连接的安全性和应用程序下载的安全性。
该安全处理器6通过一个输入/输出模块19连接至终端4。
可以进一步指出的是,该终端的用户,可通过连接到所述模块19的人机界面20,作用于终端的功能。该界面20例如,包括一个遥控器和一个可在电视屏幕上显示数据的显示器。
此外,每个安全处理器6包括:
-用于执行非对称性算法的计算机资源,通过实现至少一个私钥和至少一个公钥,来实施终端和服务器2的相互认证,
-用于实现一种例程计算机资源,所述例程在上述连接到终端的安全处理器6的情况中,特别是可对服务器2,用于读取及传输一种以UA(代表″唯一地址″)指明的安全处理器唯一标识,
-一种可再程序规划式非易失性存储器,用于存储例如机密码、对程序的存取权限等等的信息。
现在参照图4来说明本发明意义中的方法的范例实施例中的验证和可能的下载的步骤。
如图4所示的,左侧是该终端4所采取的步骤,右侧所示的是该下载控制服务器2所采取的步骤。
在该终端的每次启动时,在本发明的意义中,该启动程序可接受指令,初始化硬件组件,以及执行一计算机例程,其优选地运作如下。
在步骤30中,程序可下达指令给终端的xDSL调制解调器,使其发送一个连接请求给该控制服务器2。为此目的,其使用所述的存储连接参数。在步骤31中,该控制服务器2若同意,便会建立与该终端4的连接。在此步骤31中,有利地,该控制服务器2可存储该终端的时间和地址。在步骤32中,该程序将会测试该连接是否已经成功(″ok″箭头)或失败(″ko″箭头)。若对该主服务器2或对该备用系统服务器的连接,如上文所指一旦失败,该程序便进至错误管理步骤52,如后文会说明的。
如果该连接建立成功,在步骤33中,该程序例如,可通过实施安全处理器6的再初始化(或″重新设定″),来验证后者的存在。在步骤34中,若安全处理器不存在(ko箭头),该程序便会进至错误管理步骤52。否则(ok箭头),其便会进至下一步骤35,与服务器2所实现的步骤36相对应,包括允许终端对服务器的认证,或者借助终端4的安全处理器6和该控制服务器2的安全处理器5,来验证其相互认证。如上文所指明,此认证可使用公钥和相应私钥来进行。
如果认证步骤失败(在测试37中),程序便会进至步骤52。此外,万一控制服务器2处所实施的相应认证测试38失败,服务器2便会在步骤49中,存储认证的否定结果。
另一方面,如果验证步骤成功,该终端便会在步骤39中,相对该服务器2,取回及传送如下非穷尽的相关信息:
-终端物理地址,
-安全处理器的唯一标识,
-终端的唯一标识(例如,STB-id类型)
-合适地,在第二所述的实施例中,永久性存储器17或18中所存储的软件应用程序的当前版本,
-出现在安全处理器6上面的其它重要数据(程序的存取权限、机密存取码等等),和
-永久性存储器17或18内所含的配置或安全信息。
因此,可以理解,一般而言,终端4和/或安全处理器6,最初被分配各自对应的标识,有利的是可存储到终端4和服务器2内,作为可用来启用配备有安全处理器6的终端的信息。因此,在服务器与终端的连接期间,后者可通过传送标识给该服务器,来向该服务器表明其身份。
在其一侧,该控制服务器2可在步骤40中取回并存储终端传输给它的信息。根据本信息所提供的优点中的一个,该服务器接着可对每一终端进行统计,例如包括:自其交付使用起的下载的总数、每日终端启动的平均数目、终端所使用的安全处理器的数目等等。
在步骤41中,控制服务器2可验证接收的信息的一致性。特别的,但非穷尽的:
-必须不能被列入黑名单的安全处理器的唯一标识,
-必须不能被列入黑名单的终端的唯一标识,
-安全处理器的唯一标识与终端的唯一标识是相一致的,
-搜集自安全处理器的存取权限是相一致的,
-另一安全信息是相一致的,
-该终端中的永久性存储器所存储的软件应用程序的版本,在上述的第二实施例中,必须要与控制服务器2的基础中的数据一致。
可以回忆,有利地,上述可界定一个接收器终端是否被授权或未被授权继续启动序列的标准,在该控制服务器本身中是可修改,因而可确保有最大的灵活性。
如果信息不一致,控制服务器2,便会行至错误存储步骤49,接着便会进至标有异常″DISCONNECT KO″附图标记50的断开状态。
另一方面,若信息是相一致的:
-在第一实施例(存储在随机存取存储器中的应用程序)中,服务器2可执行下载该终端内对此终端做最佳修改的版本(步骤44和45);可以理解的是,在第一模式中,步骤42和43将不会被执行,因为下载是由系统来完成
-在本发明的第二实施例(存储在永久性存储器内的应用程序)中,在步骤42中,该控制服务器2例如,可通过对所接收的版本编号与该服务器2上面可得的软件应用程序的版本编号作比较,来确认其是否有必要下载该软件应用程序的新版本。
在第二模式中,若并无下载要执行,服务器2便会通知终端4,无下载要被执行(步骤43),以及将会行至上述无异常的断开步骤60。在它的一方,该接收器终端4也会行至上述无异常的断开步骤56。
另一方面,在第二模式中,若紧接步骤42有一更适当的版本的下载必须要被执行,该服务器2便会通知终端(步骤43),将有新版本要下载,以及在步骤45中,该终端便会接收此新版本。
可以理解的是,针对该终端先前所安装的版本的测试42和43,在软件应用程序是存储在易失性存储器中的第一优选实施例中,是可省略的。
在两者的实施例中,该方法接着会运行步骤44,其中,该控制服务器2可发送到终端可得到的且是最佳修改的软件应用程序的版本、加上CHECKSUM(核对和)的值、和对应档案的数字签名。
在步骤45中,该终端可将新版本,接收进该随机存取存储器16中,以及在步骤46中,可借助为此目的所提供的私钥和所述的非对称算法,来验证所述数字信号。在步骤47中,若该签名不正确,该终端便会进至步骤52。否则,在步骤48中,该终端可通过计算CHECKSUM,以及接着通过与发送的值相比较,来验证该CHFCKSUM的值。在测试53中,如果该CHECKSUM的值不正确,该终端便会进至步骤52。否则,唯独在上述的第二所述实施例中,该终端会在步骤54(第4图中为此目的是以虚线表示)中,将下载的软件应用程序存储在永久性存储器17中。
在步骤55中,终端4将会通知控制服务器2,下载操作运行成功,并在步骤56中,其将会接收验证,以此执行软件应用程序。接着,终端4和服务器2,可行至对应的步骤56和60,以便无异常地断开。
最后,该终端接着可实现软件应用程序,以便特别允许解扰/解码接收的多媒体数据流。
然而,要具体说明的是,在该终端的层次的错误的情况下,或者当有一错误情况被识别到(步骤50)时在接收到该控制服务器的部分上的断开请求的情况下,该终端优选地执行步骤52,包括预先警告该服务器2有一错误,以及在例如订购用户的电视机的屏幕上面,显示一个警报信息,因此预先警告订购用户。终端接着会与服务器断开(步骤57),以及接着关机(步骤58),该用户在此情况中,最好重新初始化终端。
在该服务器2检测到错误(通常是不兼容的终端的不良验证或参数)的情况中,该服务器2将会行至步骤49,可存储错误,以及紧接是进至一断开的步骤50。
当然,本发明并非受限于上述通过范例所说明的实施例;它可扩充至其它的变更形式。
因此,可以理解的是,例如,在图2b中所详细表示的终端结构中,是可能有一些变更形式。同样地,图4中所详细表示的方法的步骤中,也是可能有一些变更形式。上文所描述的,是一种有利的实现体,其中,验证是在所述的安全处理器的基础上进行的,但此实现体也可能有变更形式,例如,通过设置一种验证模块,使其直接合并入终端内。此外,在一个比上文以范例说明的较不复杂的实施例中,所完成的设备,可不验证而直接识别上述连接至控制服务器的终端,虽然此一实施例当前是较佳的。
Claims (33)
1.一种用以控制至少一个可接收多媒体数据流的接收器终端的启用的方法,其中,该终端(4)设计为:
-一方面,使其通过一条双向性链路与至少一个远程服务器(2)相通信,以及
-另一方面,使其通过对一些特定的软件应用程序的执行,来接收多媒体数据流,并解码所述数据流,
其特征在于,该服务器是一种可控制所述软件应用程序下载的服务器(2),且该方法包括下列步骤:
a)在控制服务器和终端处存储该终端的启用信息,
b)在给该终端通电时,该终端将会自动建立到所述下载控制服务器的连接,
c)所述控制服务器将取回至少部分存储在终端处的启用信息,并验证其与服务器所存储的启用信息是否匹配,以及
d)至少作为所述验证的一种功能,该控制服务器可授权或不授权该终端对用于解扰/解码所述多媒体数据流的专用软件应用程序的下载。
2.根据权利要求1所述的方法,其特征在于,该启用信息包括认证数据,以及其中在步骤c)中,该控制服务器通过一方面实现该终端所提供的公钥,及另一方面实现自该控制服务器存储的数据中搜集的相应私钥的过程,来认证该终端。
3.根据权利要求2所述的方法,其特征在于,包括,通过一个经由该双向链路实现终端和服务器的公钥及自该终端和该控制服务器存储的数据中搜集的相应私钥的过程来执行的服务器与终端之间的相互认证。
4.根据权利要求2或3所述的方法,其特征在于,该终端包括安全处理器(6),其中最初存储所述用于相对控制服务器来认证终端的数据。
5.根据权利要求1-4中任一项所述的方法,其特征在于,最初为该终端分配存储在该终端处和该服务器处的标识,以及在步骤b)的连接过程中,该终端通过传送所述标识给该服务器来向该服务器表明该终端的身份。
6.根据权利要求4所述的方法,其特征在于,为该安全处理器分配标识,该标识存储在该终端处和该服务器处,以及其中在步骤b)的连接过程中,该终端通过传送至少该安全处理器的标识来向该服务器表明该终端的身份。
7.根据权利要求1-6中任一项所述的方法,其特征在于,该服务器包括数据库(21),用于存储用来启用若干终端的信息以及专属所述若干终端的软件应用程序,与终端各自的至少某些标识相一致,用来管理用户可用的接收器终端池。
8.根据权利要求1-7中任一项所述的方法,其中,该软件应用程序定期更新,其特征在于,在步骤d)中,该服务器可在合适的时候,将软件应用程序的对所述终端最适用的新版本传输给该终端。
9.根据权利要求1-8中任一项所述的方法,其特征在于,该软件应用程序包括至少一个用于终端计算机资源的操作系统(OS)。
10.根据权利要求1-9中任一项所述的方法,其特征在于,该软件应用程序包括用以解扰/解码多媒体数据流的应用程序。
11.根据权利要求1-10中任一项所述的方法,其特征在于,在步骤d)中,该终端将从服务器下载的软件应用程序存储到永久性存储器中。
12.根据权利要求11所述的并结合权利要求8方法,,其特征在于,该服务器另外验证终端永久性存储器所存储的软件应用程序的版本的一致性。
13.根据权利要求1-10中任一项所述的方法,其特征在于,在步骤d)中,该终端可在其每次通电时,将从服务器下载的软件应用程序存储进一个易失性存储器(16)中。
14.根据权利要求1-13中任一项所述的方法,其特征在于,包括一个过程,优选地可在对软件应用程序的数据发送者的可靠性进行验证后,验证传输至该终端的软件应用程序的数据完整性。
15.根据权利要求1-14中任一项所述的方法,其特征在于,包括下列初始步骤:
a1)为该终端配备用于读取启动例程的计算机资源,
a2)提供包括至少一个可使终端和服务器相连接的指令的启动例程,以及
a3)将该启动例程存储在该终端的永久性存储器中。
16.根据权利要求1-15中任一项所述的方法,其特征在于,包括下列初始步骤:
a′1)为该控制服务器配备用于读取用以下载软件应用程序到该终端的例程的计算机资源,
a′2)提供内含至少一个可验证该终端的启用的指令的下载例程,以及
a′3)将该下载例程存储在该服务器的永久性存储器中。
17.一种计算机程序产品,用于在存储在一个接收器终端的永久性存储器中,其特征在于,包括终端的启动例程,用于实现依据权利要求15所述的方法的所有或某些步骤。
18.一种计算机程序产品,用于在存储在服务器的永久性存储器中用来控制用于解扰/解码多媒体数据流的软件应用程序的下载,其特征在于,包括用来控制软件应用程序下载的例程,以实现依据权利要求16所述的方法的所有或某些步骤。
19.一种根据权利要求1-16中任一项所述的方法对多媒体内容特别是收费电视内容的分配的应用。
20.一种用于对软件应用程序特别是解扰/解码多媒体数据流的软件应用程序的下载的启用进行控制的系统,其特征在于,至少包括:
-可控制所述软件应用程序的下载的服务器(2),和
-接收器终端,其一方面通过一条双向链路(81-82)连接到该下载控制服务器以下载该软件应用程序,另一方面被设计来接收经加扰的/经编码的多媒体数据流,并通过执行所述软件应用程序来解扰/解码该数据流,
其中,该终端所包括计算机资源,用来:
-存储用于启用该终端的第一信息,
-存储及读取包括至少一种可在该终端通电时使其与该服务器自动连接的指令的启动计算机程序,
以及,该下载控制服务器包括计算机资源,用来:
-存储用于启用该终端的第二信息,
-存储及读取用于下载软件应用程序的计算机程序,至少包括:
21.根据权利要求20所述的系统,其特征在于,所述第一和第二启用信息分别包括第一和第二认证数据,其中,该启动程序至少包括一个通过搜集所述第一数据来形成公钥并将其传递给服务器的指令,以及该下载程序至少包括一个通过搜集所述第二数据来形成私钥的指令,该测试包括一个可验证所述公钥与所述私钥之间一致性的指令。
22.根据权利要求21所述的系统,其特征在于,启动和下载程序包括相应的认证指令,用于经由该双向链路交换公钥,并确认所述公钥与搜集自所述第一和第二验证数据的相应私钥的一致性,从而执行该服务器与该终端之间的相互认证。
23.根据权利要求21或22所述的系统,其特征在于,该终端包括至少存储有所述第一认证数据的安全处理器(6)。
24.根据权利要求20-23中任一项所述的系统,其特征在于,所述第一和第二启用信息包括终端标识。
25.根据权利要求23或24所述的系统,其特征在于,所述第一和第二启用信息,进一步包括安全处理器标识。
26.根据权利要求24或25所述的系统,其特征在于,该服务器包括一个数据库(21),用于存储用以启用若干终端的信息和专属所述若干终端的软件应用程序,与终端的至少某些各自的标识相一致,以管理用户可用的接收器终端池。
27.根据权利要求20-26中任一项所述的系统,其特征在于,所述软件应用程序,包括至少一个用于该终端的计算机资源的操作系统。
28.根据权利要求20-27中任一项所述的系统,其特征在于,该终端包括用于存储来自所述服务器的软件应用程序的永久性存储器。
29.根据权利要求28所述的系统,其特征在于,该永久性存储器为闪存(17)和/或E2PROM存储器(18)。
30.根据权利要求20-27中任一项所述的系统,其特征在于,该终端包括用于存储来自所述服务器的软件应用程序的易失性存储器(16)。
31.根据权利要求20-30中任一项所述的系统,其特征在于,终端和服务器之间的双向链接(81,82)属于xDSL类型。
32.一种根据权利要求20-31中任一项所述的系统中的接收器终端。
33.一种根据权利要求20-31中任一项所述的系统中的服务器。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0411012A FR2876859B1 (fr) | 2004-10-18 | 2004-10-18 | Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur |
FR0411012 | 2004-10-18 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101044758A true CN101044758A (zh) | 2007-09-26 |
Family
ID=34950904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200580035662 Pending CN101044758A (zh) | 2004-10-18 | 2005-10-10 | 控制接收器终端内部软件的启用的方法和装置 |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1803297A1 (zh) |
CN (1) | CN101044758A (zh) |
FR (1) | FR2876859B1 (zh) |
TW (1) | TW200627956A (zh) |
WO (1) | WO2006042932A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102347939A (zh) * | 2010-08-05 | 2012-02-08 | 华为终端有限公司 | 软件管理的方法、装置及系统 |
CN102647282A (zh) * | 2011-02-18 | 2012-08-22 | 鸿富锦精密工业(深圳)有限公司 | 基于poe对网络装置进行管理的电子装置及方法 |
CN102737181A (zh) * | 2011-04-08 | 2012-10-17 | 索尼公司 | 信息处理装置、认证方法、和计算机程序 |
CN103024438A (zh) * | 2012-12-31 | 2013-04-03 | 深圳市九洲电器有限公司 | 一种机顶盒及其生产测试方法、系统 |
CN105635094A (zh) * | 2015-06-16 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 安全验证方法、安全验证装置和安全验证系统 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10528705B2 (en) * | 2006-05-09 | 2020-01-07 | Apple Inc. | Determining validity of subscription to use digital content |
WO2008127092A2 (en) * | 2007-03-14 | 2008-10-23 | Aht Europe Ltd | Device and method for gaining conditional access to a data network |
CN101795295A (zh) * | 2010-03-11 | 2010-08-04 | 北京安天电子设备有限公司 | 一种基于点对点技术的局域网病毒库升级系统和方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1457047B1 (en) * | 2001-12-18 | 2008-08-27 | Thomson Licensing | Internally generated close captioning/tele-texting for set-up menus of network-capable signal processing apparatus |
US7263610B2 (en) * | 2002-07-30 | 2007-08-28 | Imagictv, Inc. | Secure multicast flow |
-
2004
- 2004-10-18 FR FR0411012A patent/FR2876859B1/fr not_active Expired - Fee Related
-
2005
- 2005-10-10 WO PCT/FR2005/002495 patent/WO2006042932A1/fr active Application Filing
- 2005-10-10 CN CN 200580035662 patent/CN101044758A/zh active Pending
- 2005-10-10 EP EP05809248A patent/EP1803297A1/fr not_active Withdrawn
- 2005-10-13 TW TW094135672A patent/TW200627956A/zh unknown
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102347939A (zh) * | 2010-08-05 | 2012-02-08 | 华为终端有限公司 | 软件管理的方法、装置及系统 |
CN102347939B (zh) * | 2010-08-05 | 2015-09-09 | 华为终端有限公司 | 软件管理的方法、装置及系统 |
US9805175B2 (en) | 2010-08-05 | 2017-10-31 | Huawei Device Co., Ltd. | Method, apparatus and system for software management |
CN102647282A (zh) * | 2011-02-18 | 2012-08-22 | 鸿富锦精密工业(深圳)有限公司 | 基于poe对网络装置进行管理的电子装置及方法 |
CN102647282B (zh) * | 2011-02-18 | 2015-06-17 | 鸿富锦精密工业(深圳)有限公司 | 基于poe对网络装置进行管理的电子装置及方法 |
CN102737181A (zh) * | 2011-04-08 | 2012-10-17 | 索尼公司 | 信息处理装置、认证方法、和计算机程序 |
CN103024438A (zh) * | 2012-12-31 | 2013-04-03 | 深圳市九洲电器有限公司 | 一种机顶盒及其生产测试方法、系统 |
CN103024438B (zh) * | 2012-12-31 | 2016-06-08 | 深圳市九洲电器有限公司 | 一种机顶盒及其生产测试方法、系统 |
CN105635094A (zh) * | 2015-06-16 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 安全验证方法、安全验证装置和安全验证系统 |
WO2016201733A1 (zh) * | 2015-06-16 | 2016-12-22 | 宇龙计算机通信科技(深圳)有限公司 | 安全验证方法、安全验证装置和安全验证系统 |
CN105635094B (zh) * | 2015-06-16 | 2019-04-12 | 宇龙计算机通信科技(深圳)有限公司 | 安全验证方法、安全验证装置和安全验证系统 |
Also Published As
Publication number | Publication date |
---|---|
TW200627956A (en) | 2006-08-01 |
WO2006042932A1 (fr) | 2006-04-27 |
FR2876859A1 (fr) | 2006-04-21 |
EP1803297A1 (fr) | 2007-07-04 |
FR2876859B1 (fr) | 2007-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101044758A (zh) | 控制接收器终端内部软件的启用的方法和装置 | |
CN1898956A (zh) | 验证和运行应用程序的方法 | |
CN1276613C (zh) | 签名和鉴权发送的数据的方法、设备和系统 | |
US8397078B2 (en) | Method for authenticating and executing a program | |
US8086862B2 (en) | Program data file storage method in broadcast receiver and broadcast receiver | |
CN1372662A (zh) | 运行和测试应用程序 | |
CN1245014C (zh) | 接收机/译码器动作 | |
CN1866870A (zh) | 基于设备管理协议的软件合法性验证系统及验证方法 | |
CN1202651C (zh) | 通信方法和设备 | |
CN101035016A (zh) | 终端设备配置系统及方法 | |
CN1805340A (zh) | 安装在终端设备上的电子装置 | |
CN1698336A (zh) | 通信设备和验证设备 | |
CN1280740A (zh) | 下载数据 | |
CN1950776A (zh) | 证书有效性检查 | |
CN1873652A (zh) | 保护数字内容的装置和方法,处理受保护的数字内容的装置和方法 | |
CN101076168A (zh) | 智能终端系统的管理方法和智能终端 | |
CN1839580A (zh) | 信息分配系统 | |
CN1941709A (zh) | 数字广播系统、广播信号接收设备及其软件下载方法 | |
CN1608233A (zh) | 对存储在媒体中的计算机程序进行认证的方法 | |
CN1853408A (zh) | 应用执行设备、应用执行方法、集成电路、和计算机可读程序 | |
CN1833224A (zh) | 数字广播系统中受复制保护的应用程序 | |
US20110125995A1 (en) | Method and apparatus for downloading secure micro bootloader of receiver in downloadable conditional access system | |
CN1647484A (zh) | 加扰数据存取权限注册、禁止与/或删除协议及相应存取控制模块 | |
CN1391765A (zh) | 在大型网络中管理多种应用程序的方法和装置 | |
CN1658202A (zh) | 大型记名因特网投票系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20070926 |