CN101322134B - 可升级的安全模块 - Google Patents

Abstract

本发明的目的是提供一种能支持新一代和先前各代的不同功能同时又能避免由于这种适应而遭到任何可能攻击的安全模块。这个目的是用一种包括与主机设备通信的第一通信装置、第一存储装置(MEM0)和第一解密装置(ENC0)的安全模块达到的，这种安全模块的特征是它包括状态模块(ME)、第二通信装置(COM1)和所述第二装置的物理激活或去活装置(TSB)，这种激活或去活由状态模块(ME)管理。

Description

可升级的安全模块

技术领域

本发明涉及电子安全模块特别是用来对广播事件和其他大量媒体进行访问控制的安全模块领域。 

背景技术

安全操作通常在与多媒体单元或解码器关联的安全模块内执行。这种安全模块可以具体以四种不同的形式实现。其中之一是受保护的微处理器卡，通常呈现为ISO 7816、智能卡，或者更宽泛地说，电子模块(呈现为密钥、标记之类)。这种模块通常是与解码器可拆卸和可连接的。涉及电接触的形式是最常用的，但并不排除例如ISO 14443型的无接触连接或者有和没有接触的综合型。 

第二种已知形式是集成电路组装件，通常以不可拆卸的确定方式安置在解码器机壳内。一种变体包括安装在保险丝座或者诸如SIM模块连接器之类的连接器上的电路。 

在第三种形式中，安全模块集成在还具有其他功能的集成电路组装件内，例如集成在解码器去扰模块或解码器微处理器内。 

实际上，突出的是这些安全模块在用于解码器装置的第一种模块到与最新解码器装在一起的那些之间演变。几代安全模块可以在例如卫星、电缆或因特网的媒体分销运营商的相同装置内同时存在。 

显然，检测到安全有问题后，就要将老的模块替换下来。 

各代模块之间的区别往往与接受所关联的用户单元的业务有关。确实，如果模块版本不含有“钱包”功能，在没有与管理中心双向交换的情况下就不可能从存款中扣除金额从而批准内容消费。 

因此，某一代的模块将提供数量有限的业务。 

这还是对用户单元的需保持与前代所有的模块的兼容性的限制。 当前所用的方法是由用户单元识别安全模块。该识别还可以是双向的，也就是说，安全模块向用户单元请求，以便知道用户单元的特性。 

修改安全模块的代可以导致例如由于新的通信端口的可用性引起的硬件修改。这种安全模块的一个例子可参见美国专利6′779′734。 

因此重要的是安全模块可以适应用户单元，按照用户单元的通信装置调整它的功能。 

存心不良的第三方可以使用经修改的解码器通过试着当作最新一代的解码器企图得到高附加值的服务。一旦处在这种模式，他将企图将安全模块的内部存储器修改成对他有利。此外，存在诸如USB 2.0之类的高级通信装置，与其他许多慢得多的通信装置(ISO7816)相比，在这种模块内使这些第三方可以用这些高速通信装置成倍地增强他们的攻击。 

在EP 1 486 907的申请中，安全模块也是可按环境配置的。目的是按照主机设备接收到的信号执行自动配置。因此，如果存心不良的第三方伪造一个特定环境，模块就会适应这个环境，即使是它并没有得到核准。 

发明内容

本发明的目的是提供一种能支持新一代和前些代的连接性的不同功能和物理配置同时又能避免由于这种适应性而遭到任何新的攻击的可能性的安全模块。 

这个目的是用一种包括与主机设备通信的第一通信装置、第一存储装置(MEM0)和第一解密装置(ENC0)的安全模块达到的，这种安全模块的特征是：它包括状态模块(ME)、第二通信装置(COM1)和所述第二装置的电连接/断开装置(TSB)，所述连接/断开装置由状态模块(ME)控制；以及它包括接收允许修改所述状态模块的状态的受保护消息的接收装置。 

因此，按照存储在模块状态存储器内的状态，第二通信装置是完全不能工作的，第三方不能将第二通信装置用于欺诈的用途。这个通 信装置的电连接/断开由诸如三态元件或“高压双向MOSFET”之类的硬件装置根据加密操作的结果进行控制。 

对于安全模块的诸如存储器区之类的其他部分也是这样。这个存储器可以含有诸如完全被去活的密钥或数字序列之类的数据，因此不可能按照这个存储器状态访问。这个存储器状态发送锁定或解锁的物理信号，因此即使在黑客程序在这种模块内运行时，它也不能访问这个存储器。同样的机制可以应用于诸如解码引擎或不对称解密模块之类的其他器件。 

有几种解决方案来规定安全模块的操作模式。 

A.预配置 

在制造安全模块时，或者在对所述模块的个性化步骤期间，将安全模块预配置成符合特定环境的功能。显然，这个预编程在另一个在初始化环境内的预配置步骤期间可以加以修改。 

B.消息激活 

在初始化时，模块处于基本模式，只有所有客户设备共同的通信装置被激活。按照预配置，它可以处于考虑这种模块的用途的特定模式。为了改变安全模块的状态从而激活其他功能，模块要等待接收允许它执行这种改变的受保护消息。只是在对这种消息解码和验证后，模块才改变它的状态从而开启第二通信装置。 

附图说明

从以下参考作为非限制性例子给出的附图所作的详细说明中可以更好地理解本发明，在这些附图中： 

图1示出了安全模块的总体方案；以及 

图2示出了对输入/输出端口的控制情况。 

具体实施方式

图1示出了构成本发明的一个实施例的安全模块SM的例子。按照这个例子，模块包括第一通信装置COM0和第二通信装置COM1。同样，可用存储器资源分成能供微处理器程序使用的一些部分(在这里是两个部分)MEM0和MEM1。

按照这个例子，模块具有第一加密/解密模块ENC0和第二加密/解密模块ENC1。 

按照图1所例示的这个例子，加密/解密模块与高速通信总线COM1关联。一种可能的实现是按照DVB普通解扰码器标准或拥有者的解扰码器对音频/视频数据流解密。 

不同的模块都接到CPU处理器上，由CPU处理器协调操作、对模块初始化、将结果从一个模块发送给另一个模块，等等。 

称为状态模块ME的特定模块控制对一定模块的激活和去活，宽泛些说，控制安全模块的活动。按照图1所示的具体例子，状态模块ME控制第二通信装置COM1、第二加密/解密装置ENC1和存储器MEM1。根据这个存储器的状态，由处理器分别发送一些信号，对这些模块进行激活或去活。 

图2示出了激活情况，状态模块ME向通信模块COM1发送一个命令，这个命令还通过诸如隔离电路TSB(例如三态、″高压双向MOSFET″)或任何其他对安全模块的物理连接电隔离的器件之类的锁定元件对发送或接收的信号起作用。这个器件允许通过将它置于高阻抗模式隔离通信线路。因此，状态模块就可以控制对COM1通信的电连接/断开。 

在安全模块已经对通信模块COM1去活时，状态模块ME继续监视通信端口COM1上的活动。如果状态模块ME继续确定有寄生振荡到达，它可以发送报警消息。 

有其他一些方式可影响状态模块ME。如在本申请的导言中所指出的那样，安全模块按照从用户单元接收到的数据确定哪个状态与这单元相应。 

按照使用安全消息的一种变体，在安全模块一接收到这个消息和验证后就使状态模块的状态改变。 

按照这种变体，消息由处理器解密和验证，结果存储在状态模块ME内。因此，它起着具有向所涉及的不同模块发出的命令的存储器的作用和起着监控所有的通信路径的活动的监控模块的作用。 

按照另一个可供选择的方案，所有或部分消息直接由状态模块ME处理。消息可以先由处理器例如用第一存储器MEM0内含有的适合安全模块的密钥处理后再发送给状态模块。后者具有洁净的密钥Ksm，可以验证包含在消息内的命令。这种验证可以按照一些众所周知的方法进行，诸如使用以一个不对称密钥在所产生的消息上的签名，而另一个不对称密钥是状态存储器的模块的密钥Ksm。微处理器不知道状态模块的固有密钥就不能访问状态存储器。只有状态模块才可接受管理中心所准备的消息。 

如果验证正确，新的状态就装入对其他模块具有后续影响的状态模块。 

按照本发明的另一个方法，状态模块对操作安全模块的状态进行监视。例如，它接收还加到电源模块PS上的正电源电压Vdd(通常为5V)，观测诸如突然电压改变或者异常高或低的电压之类的危险情况。按照所规定的准则，它能在没有接收到消息的情况下例如通过产生出错消息或对所述模块的一定功能去活来改变它的状态。通信路径COM1，COM0)受状态模块ME监视。通信路径在这里是指来自/发给安全模块的输入或输出数据通过的路径，诸如符合ISO7816标准的I/O路径，或者USB路径或其他包括红外端口的高数据传送率端口，等等。连接路径因而是与主机模块链接的其他路径，诸如供电(Vdd，Vss)、时钟(CLK)或复位(RST)之类。 

同样，如果确定在诸如第一通信装置之类的通信装置上存在寄生振荡和噪声，它还可以改变它的状态或启动对抗措施。此外，状态模块ME可以包括监视简档，一方面专用于通信路径或所监视的连接，而另一方面符合状态模块的状态。因此，连接路径的适当性能的验证参数可以按照状态模块的状态改变。在一种状态下，+/-10％的电压变化是可接受的，而在另一种状态下，只有+/-5％的电压变化才是可接受的。对于寄生振荡、微掉电或其他的数目来说也是这样。这些参数 是可编程的，可以通过接收安全消息加以修改。 

即使通信路径或装置被去活，也可进行这种监视。 

状态模块ME还可以控制安全模块的内部资源。可以将第二存储器MEM1部分或完全去活。此外，可以通过电子命令(读和/或写锁定)或者通过直接作用于所述存储器的电源来进行这种去活。这个存储器可以按照状态定义为只读、只写或读/写。对于安全模块的其他资源，诸如加密/解密模块(ENC0，ENC1)也是这样。状态模块(ME)可以按照状态模块的状态控制模块和/或功能的准用或禁用。这些功能例如是使用高传送数据率内部总线或时钟调整机制。这些模块例如是时钟产生器、加密/解密模块、存储器、充电泵调压器等。 

进入安全模块的消息优选的是来自管理中心。这消息可以通过第一或第二通信装置到达安全模块SM。在现场初始化安全模块和它的主机设备时，消息由安全模块的主机设备发送。管理中心知道主机设备的特性和有关用户的订购情况，从而将给安全模块的含有它的工作状态的消息格式化。这消息可以是对每个安全模块是特定的，或者对于所有的安全模块是相同的，是含有用户单元版本和安全模块安全级别的消息。因此，如果有8个不同的现有用户单元，在传输流内就会有8个消息，每个消息包括用户单元版本和相应安全模块的配置。 

按照另一个实施例，每个主机设备按照它的特性存储一个以后在安全模块一连接就发送给它的消息。安全模块的状态将与主机设备的规格匹配。 

一旦安全模块SM确定了它的状态，它就保持这个状态，从而被锁定。为了使安全模块接受新的初始化，管理中心可以发送允许新的配置过程的消息。这个消息可以是有条件的，也就是说，它可以具有作为再启动条件的状态模块的安全模块版本指示或状态。 

Claims (14)

1.一种包括与主机设备通信的第一通信装置、第一存储装置(MEM0)和第一解密装置(ENC0)的安全模块，所述安全模块的特征在于包括状态模块(ME)、第二通信装置(COM1)和所述第二通信装置的电连接/断开装置(TSB)；所述安全模块还包括经由第一通信装置(COM0)或第二通信装置(COM1)接收允许修改所述状态模块(ME)的状态的受保护消息的接收装置，状态模块(ME)根据接收的受保护消息发送命令来控制所述电连接/断开装置。

2.按照权利要求1所述的安全模块，其特征在于所述状态模块(ME)包括检测第一通信装置(COM0)和第二通信装置(COM1)的活动并按照该活动确定所述状态模块(ME)的状态的装置。

3.按照权利要求1所述的安全模块，其特征在于所述第二通信装置(COM1)通过与第一通信装置(COM0)的触点物理上不同的触点与主机设备连接。

4.按照权利要求1至3中任一项所述的安全模块，其特征在于所述电连接/断开装置(TSB)包括“三态”或“高压双向MOSFET”型导通/隔离元件。

5.按照权利要求1至3中任一项所述的安全模块，其特征在于所述电连接/断开装置与所述第一通信装置(COM0)串联，使能够电隔离所述第一通信装置(COM0)。

6.按照权利要求1至3中任一项所述的安全模块，其特征在于所述电连接/断开装置还与复位RST、I/O和时钟CLK中的至少一个连接路径串联，使能够电隔离所述连接路径。

7.按照权利要求1至3中任一项所述的安全模块，其特征在于包括第二存储装置(MEM1)，所述状态模块(ME)包括所述第二存储装置的激活/去活装置。

8.按照权利要求1至3中任一项所述的安全模块，其特征在于所述状态模块(ME)包括按照状态模块(ME)的状态准用或禁用的模块和/或功能。

9.按照权利要求8所述的安全模块，其特征在于所述状态模块(ME)的状态包括将对第二存储装置的访问限制在只读、只写或读/写模式。

10.按照权利要求1至3中任一项所述的安全模块，其特征在于包括第二解密装置(ENC1)，所述第二解密装置由状态模块(ME)激活/去活。

11.按照权利要求10所述的安全模块，其特征在于所述第二解密装置在状态模块(ME)控制下被提供功率。

12.按照权利要求1至3中任一项所述的安全模块，其特征在于所述状态模块(ME)包括监视安全模块的所有连接路径的当前工作参数的监视装置和按照监视结果改变状态模块(ME)的状态的装置。

13.按照权利要求12所述的安全模块，其特征在于所述监视装置还与所述安全模块的复位RST、供电Vdd、Vss或时钟CLK连接路径连接。

14.按照权利要求12所述的安全模块，其特征在于所述监视装置包括监视特定于状态模块的每个状态的通信路径的监视简档。

Images