CN101331767B - 加扰内容的存取的控制方法 - Google Patents

加扰内容的存取的控制方法 Download PDF

Info

Publication number
CN101331767B
CN101331767B CN200680046794.9A CN200680046794A CN101331767B CN 101331767 B CN101331767 B CN 101331767B CN 200680046794 A CN200680046794 A CN 200680046794A CN 101331767 B CN101331767 B CN 101331767B
Authority
CN
China
Prior art keywords
terminal
access
content
management unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200680046794.9A
Other languages
English (en)
Other versions
CN101331767A (zh
Inventor
A·彻瓦利尔
S·兰夫兰奇
E·马吉斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR0651130A external-priority patent/FR2894757B1/fr
Application filed by Viaccess SAS filed Critical Viaccess SAS
Publication of CN101331767A publication Critical patent/CN101331767A/zh
Application granted granted Critical
Publication of CN101331767B publication Critical patent/CN101331767B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4627Rights management associated to the content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/64Addressing
    • H04N21/6408Unicasting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/65Transmission of management data between client and server
    • H04N21/654Transmission by server directed to the client
    • H04N21/6543Transmission by server directed to the client for forcing some client operations, e.g. recording
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Graphics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及对分配给一组接收终端的加扰数字内容进行存取的控制方法,一组接收终端包含主终端和从属于所述主终端的至少一个从属终端,在所述方法中,从属终端正常地或偶尔地将与内容相关的存取条件的至少一项信息,通过点对点链路返回给主终端,使所述主终端能够控制所述从属终端对内容的存取。

Description

加扰内容的存取的控制方法
技术领域
本发明涉及内容分配的领域,更准确地说,涉及对由操作者向一个接收终端提供的加扰内容进行存取的控制方法,该接收终端和一个存取管理单元相关联,至少配备一个存取控制模块,该方法包含下述步骤:
-将存取条件与所述内容相关联,其包含对所述内容进行解扰所需的多种信息,
-将所述内容和所述存取条件一起发送给所述终端。
本发明还涉及一套包括发射装置的存取控制系统,发射装置包含:加扰内容服务器,与所述装置相关联的存取管理单元,接收终端,接收终端拥有至少一个控制模块用来存取由所述服务器提供的加扰内容,与所述内容在一起的还有存取条件,包含为了对所述内容进行解扰所需的多种信息。
本发明还涉及计算机程序,其包含储存在存取管理单元里的第一个处理模块,该模块配合储存在终端中的第二个处理模块进行操作,所述程序用来实施符合本发明的存取控制方法。
当加扰的数字内容分配给所安装的一组接收终端时,其中包含主终端和多个从属于所述主终端的从属终端,所述主终端执行存取管理单元的功能,本发明也同样适用这种情况。
背景技术
在多点传送广播的环境中,对于某些形式的侵权很难有效地作出反应,例如伪造存取内容所需的权利或密钥,或者试图阻止接收系统运用由操作者发出的防范措施信息。
于是,这种情况意味着操作者必须针对所有用户修改接收系统,改变信号,使信号不再被侵权装置使用。因此,修改是必然的,但进行修改则是一项困难、昂贵的操作。
这些缺点特别是与已知的存取控制系统的结构中通常没有返回通道这一事实有关。在这种类型的结构中,终端操作与网络上端无关。因此,一旦内容提供给用户以后,操作者就不再对实际面向的用户的授权有任何进行控制的手段,因为所有的存取控制都在接收终端完成。
使用数字内容的欺诈方式之一是几个终端共同使用同一个安全处理器,典型的是使用一张有效的智能卡,从而处理几个ECM通道。在这种情况下,同一张卡实际有多人使用,而操作者只知道一个用户。
这种欺诈方式使有关的几个解码器可以存取大量不同程序,其数量相当于这张共用卡中有效权限的数量,可达到控制字更新期间这张卡能够处理的ECM的数量。这种通过几个解码器对用户卡的欺诈使用,是在操作者没有任何控制的情况下进行的,操作者无法阻止,甚至不能对其进行限制。
当一个用户具有多个数据接收终端和/或加扰服务终端时,又出现了另一个问题。实际上同一用户的终端除非都被认为是与这个用户所有的相应数的“副本”有关的独立终端,则操作者没有任何简单方法,能够对相互依赖的存取权或用户不同终端的共用权的分配进行控制。
本发明的目的是克服这些缺点。
更准确地说,本发明的目的是在系统的输入端和输出端之间对存取控制的操作进行分配,换句话说,首先是安装在操作者一方的设备,即为了进行操作者直接控制的操作而安装的设备,其次是通常用来对用户使用存取控制模块进行检查的接收终端,在这两种设备之间对存取控制的操作进行分配。这种分配能够在存取控制处理期间,限制乃至消除操作者对终端的独立操作。
本发明的另一个目的是考虑到接收终端具有低处理功率的构造形式。移动终端用作接收终端(移动电话、PDA、便携式计算机等等)时可能就属于这种情况,在处理能力和处理效率方面,具有的独立性受到限制。
本发明的另一个目的是给操作者提供一种简单方法,对相互依赖的存取权和属于同一个用户的不同终端的共用存取权,进行控制分配。
本发明可应用于常规情况,其中终端装备有一个存取控制模块的实物,典型的是智能卡;但如果存取控制模块不是一个模块实物,而最好是安全地储存在终端的存储器中的软件模块,在这种情况下,应用本发明也是有利的。
发明内容
本发明推荐一种对操作者向接收终端提供的加扰内容进行存取的控制方法,接收终端和存取管理单元相关联,所述终端至少配备存取控制模块。
该方法包括以下步骤:
a-将存取条件与提供的内容相关联,其包含对所述内容进行解扰所需的多种信息,
b-将附有存取条件的内容发送给终端,
按照本发明,该方法还包括以下步骤:
在终端接到存取条件后,
c-通过点对点链路,系统地或偶尔地将至少一项关于所述存取条件的信息,从终端发送到存取管理单元,
d-由存取管理单元处理所述信息,根据所述处理的结果,容许或阻止接收终端使用该项内容。
因此,当接收终端通过点对点链路与存取管理单元建立通信时,该点对点链路对所述终端是否对所请求的内容拥有存取权进行控制,根据这项检查的结果,容许或阻止终端使用该项内容。在本方法的一项优选实施方案中,对于存取管理单元所接收的信息的处理,包括:第一步骤,检查该信息与终端中储存的存取数据是否一致,第二步骤,根据第一步骤的结果,将至少一个控制参数传送给终端,使其能使用或阻止其使用该项内容。
有了本发明的方法,存取控制不再只是在接收终端完成,这加强了对内容的保护。
最好在终端接收到存取条件时,存取控制模块使用预先储存在所述接收终端中的存取数据,检验是否能满足所收到的存取条件。
在一个变化的实施方案中,只有当收到的存取条件得不到满足时,终端向存取管理单元发送部分或全部关于存取条件的信息。
在另一个变型方案中,终端系统地发送所述信息,不受存取控制模块所作检查结果的影响。当存取控制基本上由操作者进行管理时,这第二个变型方案特别有利,可以改进内容保护系统的安全,而不增加终端中安全机构的数量,甚至可以减少安全机构的数量。
在本发明的优选实施方案中,对存取管理单元所获信息进行处理的第一步骤,以及接收终端对存取条件的检查,按照操作者规定的时间阶段,系统地或偶尔地,彼此互无关联地分别进行。
因此,操作者能够在操作者和接收终端之间,很好地调整存取控制的空间和时间分配。
由操作者规定的时间阶段,最好不要在接收终端预先宣告。
在该方法的一个最初的应用方案中,存取条件在一条ECM信息中传送给终端,其中包含至少一个存取判据CA、一个由密钥Kecm加密的加密控制字码CW的密码CW*Kecm。在这一应用方案中,存储在终端的存取数据包含对内容的存取权和至少一个解码密钥。
如果存取控制模块不具备对所述密码CW*Kecm进行解码的密钥Kecm,则本方法的步骤c)包含从终端向存取管理单元发送至少一个密码CW*Kecm。而由存取管理单元向终端发送的参数是用密钥Kecm解码、并用特别为终端所知的密钥Kter再编码的控制字码CW。
在第二项应用方案中,本方法用来控制内容的再次使用权。在这种情况下,由存取管理单元向终端发送的参数是将和内容一起储存在终端中的ECMR信息,并且包括将用来检查所述内容的重复阅读的存取判据。
在第三项应用方案中,本方法还能用来控制由DRM许可证保护的内容的存取。
在这种情况下,终端发送给存取管理单元的信息是DRM许可证。
按照本发明的系统,其特征在于接收终端通过一个点对点链路连接到所述存取管理单元,所述存取控制模块,通过链路系统地或偶尔地向所述存取管理单元返回至少一项关于所述存取条件的信息,以便使存取管理单元能够对所述信息进行处理,根据存取管理单元完成的处理结果,容许或阻止接收终端使用内容。
本系统中的存取管理单元包含检查从存取控制模块收到的信息是否与储存在终端中的存取数据一致的装置,并包含产生并向终端发送至少一个控制参数的装置,从而根据所述检验结果,容许或阻止终端使用内容。
本发明还涉及一个加扰内容的接收终端,接收的是由一个与存取管理单元相关联的内容分配装置所分配的加扰内容。
该终端包括至少一个存取控制模块,存取控制模块通过点对点链路与所述存取控制管理单元建立通信联系。
本发明还涉及一项计算机程序,用来执行存取控制方法,以控制由操作者提供的加扰内容进行的存取活动,在接收终端操作者的加扰内容与一个存取管理单元相关联,接收终端包含一个存取控制模块。
这项程序包括储存在终端中的第一个模块,包含系统地或不时地通过点对点链路从终端向存取管理单元转发至少一项所述存取条件的信息的指令,所述第一个模块与存储在存取控制管理单元中的所述第二个模块合作,所述第二个模块包含处理所述信息的指令,以及根据所述处理结果决定接收终端能否使用内容的指令。
按照本发明的方法还适用于一种存取控制系统,该存取控制系统包含一个含有内容服务器的发射装置、一个主终端、一个从属于所述主终端的从属终端,所述内容服务器包含分配加扰数据内容的装置,一项存取条件与加扰内容一起与所述终端相关联,存取条件包含对所述内容解扰所需的多种信息。
本系统的特点是从属终端能够通过一个点对点链路连接到主终端,从属终端通过点对点链路向所述终端返回从收到的存取条件中获取的至少一项信息,使所述主终端能够处理所述信息,从而决定从属终端能否使用内容。
为了做到这一点,主终端包括:
-验证装置,用来验证从从属终端收到的信息是否符合预先分配给从属终端的存取权,
-产生并向所述从属终端发送至少一个控制参数的装置,根据所述验证结果,决定内容能否被使用。
主终端可以集成在发射装置中,或者集成在一个集合接收天线中。
在所有情况下,主终端包括能够处理从属终端所发信息的软件,决定内容能否被这台终端使用。
在这种结构中,本方法包括以下初级步骤:
-将存取条件与所述内容联系在一起,其包含对所分配的内容进行解扰所需的多种信息,
-将一个共用的会话密钥Ks分配给所述主终端和所述从属终端,
-将一个数据流传送给终端,包含加扰的数字内容和存取条件,
-收到数据流后,从属终端从收到的数据流中提取存取条件,通过和主终端间建立的点对点链路,系统地或偶尔地向主终端返回至少一项关于所述存取条件的信息,
-收到从属终端转发的信息后,主终端验证这条信息与预先分配给所述从属终端的存取权是否一致,并向所述从属终端返回至少一个指令参数,用会话密钥Ks加密,如果所述信息与所述存取权一致,则授权使用内容,如果所述信息与所述存取权不一致,则阻止使用内容。
因此,本发明使操作者能够通过会话密钥Ks对主终端和相关从属终端之间的分配加以控制,来控制主终端和从属终端之间的联系。从而操作者能够用主终端来控制从属终端对内容的存取。
将授权控制功能由从属终端转移到主终端,就有可能在多个辅助终端上使用数字内容,这些辅助终端没有安全处理器,并且制造者不让在其上使用读卡器。这使与主终端相关联安装的辅助终端的成本减到最少。在需要安装很多终端时(旅馆或医院等),这个优点特别重要。
在一个变化的实施方案中,主终端没有智能卡,只是简单地完成所设从属终端以及与操作者相关联的存取管理单元之间的网关的功能。在这种情况下,主终端系统地呼叫与操作者相关联的存取管理单元,处理来自从属终端的存取请求。
在另一个变化的实施方案中,主终端装备了一个智能卡,但是只是偶尔使用。
在这种情况下,当不使用智能卡时,主终端为了处理来自从属终端的存取请求,可以访问管理单元。
在前一种情况下,如果主终端不采用所述智能卡进行处理操作,它所做的就是充当所设从属终端以及与操作者相关联的存取管理单元之间的网关。
当该方法用于有条件的存取系统(CAS:Conditional AccessSystem)时,存取条件在一条ECM信息中传送,其包含至少一个存取判据CA和一个用于对内容编码的控制字CW的密码CW*Kecm
收到存取条件后,从属终端至少要将密码CW*Kecm返回给主终端,典型的就是返回存取判据CA。
在验证了从属终端的授权之后,如果从属终端被准许使用内容,则主终端将使用密钥Kecm解密、并用会话密钥Ks再加密的控制字CW,传送给从属终端。
在另一个变化的实施方案中,主终端传送给从属终端的参数是一条ECMR信息,这条信息将和内容储存在一起,信息中还包括将用于控制所述内容的再使用的存取判据。
如果所分配的内容得到DRM许可证的保护,则由从属终端返回到主终端的信息就是DRM许可证。
在两种应用方式(CAS和DRM)中,按照本发明的方法都由一项计算机程序操作使用,这一计算机程序包含存储在从属终端中的第一个模块,其包含从收到的数据流中提取存取条件的指令,以及通过与主终端建立的点对点链路、向主终端返回至少一项关于所述存取条件的信息的指令,所述第一个模块与储存在主终端中的第二个模块协同操作,第二个模块包含处理所述信息的指令,以及根据所述处理结果、使所述从属终端能否使用内容的指令。
附图说明
通过以下参照附图所作的非限制性实例的说明,将使本发明的其他特征及优点更加明确,其中:
-图1表示按照本发明的存取控制系统的总体示意图;
-图2用示意图表示图1中系统的第一个实例;
-图3是说明本发明方法的一个具体应用的方块图;
-图4~6表示说明本发明方法的划分时间阶段的时间矢量图;
-图7是表示本发明方法的一个实施方案步骤的流程图;
-图8用示意图表示本发明方法的第二个应用方案,其中存取控制由与多个从属终端相关联的一个主终端进行管理;
-图9用示意图表示用于对从属终端使用数字内容进行授权的控制程序。
具体实施方式
现在通过对程序存取的控制或对具有存取权的用户播送多媒体内容控制的方法的一个具体应用方案来说明本发明。
在下面的说明中,在不同的图中用相同的参考符号表示完成相同或等效功能的元件。注意,本方法可以用在具有充分高速反向信道的任何连通网络中,例如DSL型(数字用户线路)有线网络,或者Wi-Fi或Wi-Max(或ASFI-无线因特网接入)无线网络,或者3G移动型网络。
图1举例说明内容分配系统的总体示意图,在该系统中能够采用本发明的方法。
此系统包括与一个存取管理单元4相关联的一个发射装置2和一个接收终端6。
发射装置2包括一个内容服务器8,通过传输网络7,例如有线网络或无线电广播网络,或通过DSL线路,将加扰内容分配给终端6;终端6包括一个存取控制模块10,可以是智能卡或者最好是具备控制功能的软件模块。
终端6通过两个定向的点对点链路12连接到存取控制单元4。
根据用示意图表示图1中系统的具体实例的图2,接收终端6是一个安装在用户处的数字译码器,操作者和用户之间通过DSL线路进行链接,通过一个包含DSLAM(数字用户线路存取多路复用器)15的中间设备14,与存取管理单元4(UGA)建立通信联系。这个UGA设置在设备14的内部。
需要指出的是,存取管理单元4可以安装在受委托的第三方,在操作者的监管下,受委托的第三方可以在不超出本发明范围的情况下,对用户授权进行控制。
发射装置2包括一个ECM-G(即权利控制信息发生器)模块16,用来计算并播送操作信息ECM;一个SAS模块18(用户授权系统),用来计算并播送为向用户发送授权及密钥等几种用途所需的EMM(权利管理信息)信息;一个MUX多路复用器20,构成来自操作者所提供的程序和/或服务的一组内容。
例如,终端6可以包括多媒体内容译码器/解扰器,在现有技术中被称为机顶盒(STB:Set Top Box)。它配备有安全处理器10,特别用来处理对内容的存取控制、授权及密码加密(密钥)的管理。这种安全处理器的一个众所周知的例子是连接到终端的智能卡。设置在终端内的专用软件功能可以作为安全处理器10的另一个例子。
现在参照图3~7说明本发明的方法。
所提供的内容是经过控制字CW处理的加扰形式的多媒体程序播送内容。
终端6装备有操作者访问的各终端共用的密钥KDiff、专用于该终端的密钥KTer、和授权DOper。这些密钥和这一授权典型地通过一条EMM信息,预先加载在安全处理器中。此外,如果用户进行非法操作,安全处理器包含欺诈所得确认授权DFraud
存取管理单元4已经具有密钥KOper、每个终端的密钥KTer,并且了解每个终端拥有什么授权DOper
参照图3,存取条件在利用发射装置2的ECM-G16所产生的ECM信息中传送给终端(箭头22)。这条ECM信息包括一个存取判据CAoper和用密钥Kecm加密的控制字CW的密码CW*Kecm,密钥Kecm或者是仅为操作者所知的密钥KOper,或者是操作者的所有终端都知道的密钥KDiff。因此,只要终端具有至少一个可以满足存取判据CAOper和用来获得用密码CW*Kecm解密的控制字CW的授权DOper,就可以存取与ECM信息相联系的程序,如果密钥Kecm是密钥KDiff,就属于本实例中的情况。
在收到程序后,终端6将所收到的ECM返回给存取管理单元4(箭头24)。
在本方法的第一个实施变型方案中,操作者想要利用终端,系统地对内容解扰进行控制,密钥Kecm是不传送给终端6的密钥KOper。在这种情况下,终端系统地将ECM返回给存取管理单元4。
在另一个实施变型方案中,其中对内容的解扰的控制在终端和操作者之间均分,在模块10对存取判据进行预先检查之后,终端有时偶尔向存取管理单元4发送ECM。
在这个变型方案中,举例来说,如果用户没有可以使其存取判据通过验证的授权Doper,或者如果终端没有密码CW*Kecm的解密密钥Kecm,则终端退回ECM。另一方面,如果终端确有可以满足存取判据的授权,并且如果密码CW*Kecm能够用密钥KDiff解密,则终端像现有技术中一样,可以存取有关程序。
当存取管理单元4从终端6收到ECM时,核对终端6是否具有存取收到的程序所必需的授权。
在第一个实施方案中,存取管理单元有一个数据库,其中储存了操作者发送给用户终端的授权的说明。存取管理单元从而对照用户法定具有的授权,检查存取判据。这种模式使得用户可能在其终端中欺诈性下载的非法授权,无法通过对存取判据的任何检查。
在第二个实施方案中,存取管理单元远距离读取终端的安全处理器的内容,并就终端内实际存在的授权,检查存取判据。这种模式排除了存取管理单元对于所有用户授权数据库的需要,并且通过对检查总体情况的检查或另一种相似的方法,也可以使对安全处理器内容的检查成为可能。
如果存取管理单元对终端的授权所进行的检查取得成功时,存取管理单元给终端返回一个控制参数,使之能存取内容。
否则,存取管理单元不给终端返回这个参数,从而阻止存取内容。
如果存取管理单元4实际上满足了存取判据,存取管理单元就会用密钥Kecm对密码CW*Kecm进行解密,用专门为终端所知的密钥Kter对控制字CW进行再加密,并且将这样再加密过的控制字的密码CW*Kter返回给终端(箭头26)。密钥KTer根据由存取管理单元对终端所作的识别来确定,而点对点链路12可以采用本项技术现有水平的、本方法之外的任何方法来建立。
在本方法的一个特别的实施变型方案中,终端仅仅把从ECM中提取的密码CW*Kecm发送(24)给存取管理单元。在这种情况下,存取管理单元4认为存取判据不言而喻,总是可以满足的,因而仅仅进行控制字CW的解密/再加密。从而,操作者继续通过使用专用密钥KTer,由终端控制内容的解扰。
按照本方法的一个有利的特征,由接收终端6的存取控制模块10所进行的对存取判据的检验,以及由存取管理单元4进行的对ECM的处理都是在操作者规定的时间阶段中互无关联地分开进行。
这个时间阶段将在下面参照图4~6进行说明。
如上所述,终端6典型地具有:
-密钥KDiff,是Kecm的一个请求,在ECM传送密码CW*KDiff时,使其能够获得CW。这个密钥为一组终端所共有。
-专用于这一终端6的密钥KTer,用来获得由存取管理单元4发送给终端的、利用密码CW*KTer的控制字CW。
-正式从存取管理单元4收到的存取判据DOper,存取管理单元4知道终端6中存在这一判据。
-终端使用者欺诈性获得的存取判据DFraud。因此,存取管理单元4没有察觉到终端内有这个存取判据。
存取管理单元4典型地具有:
-密钥KOper,是Kecm的另一个实例,在ECM传送密码CW*KOper时,使之能获得CW。只有存取管理单元4知道这一密钥。
-密钥KTer,专用于所考虑的终端6,用来以密码CW*KTer的形式,向这个终端6提供控制字CW。
-存取管理单元4正式发送给终端6的存取判据DOper
为了说明不同情形,规定了存取条件CA的三个特殊值:
-CAOper:这一条件由合法持有授权DOper的终端来满足,
-CAFraud:这一条件由欺诈性地持有授权DFraud的终端来满足,
-CAAutre:这一条件是未持有任何相应授权的终端所不能满足的。
阶段A、B、C表明按照存取程序终端对存取判据进行检查的划分时间阶段的影响。
在A阶段:ECM信息被终端6发送给存取管理单元4,或者是由于终端不检查ECM,或者是由于它发现了一项可以满足存取条件的授权,但是控制字被它所不具备的密钥KOper加密了。在这一时期中,由于存取管理单元4证实存取条件已被满足,因此可以进行存取程序。于是存取管理单元把用终端的密钥加了密的控制字的密码CW*KTer发送给终端。
在B阶段:由于终端6并不控制ECM,或者由于它发现满足存取条件的非法授权,而它没有密钥KOper,因此ECM被退回到存取管理单元4。在这一时期中,由于存取管理单元4注意到终端6的正式授权不能满足存取条件,因此阻止存取有关程序。不发送控制字CW的密码。
在C阶段:由于终端仅有用来对密码CW*Kecm进行解密的密钥KDiff,因此ECM没有被发送给存取管理单元4。如果终端处于必须控制存取判据(C1)的时间阶段,由于终端中存在的授权不能满足存取判据CAAutre,因此不进行程序的存取。如果由于划分时间阶段,终端不控制存取判据(C2),则程序只能通过控制字的解密进行存取。显然,当采用本方法时,必须避免后一种情况C2,例如,只要密码CW*Kecm可以由终端解密,就能强行对与划分时间阶段无关的存取判据进行控制。
阶段D和E说明由存取管理单元4针对存取判据的检查的时间阶段划分对存取程序的影响。
在D阶段:由于存取管理单元4不检查存取条件,按照设定,认为条件已经得到满足,或者由于存取管理单元4检查了存取条件并发现条件已经得到满足,因此可以存取有关程序。
在E阶段:由于存取管理单元4不验证存取条件,按照设定,认为条件已经得到满足,而终端6使用一项非法授权,因此可以存取有关程序。
阶段K~P说明:由终端和存取管理单元4检查存取条件的时间段划分对存取程序的影响。
在K阶段:由于存取条件已表明被终端6和/或存取管理单元4所满足,并且可能按照设定,预计这两种模式中只有一种满足了存取条件,因此程序的存取被批准。
在L阶段:由于观察到按照设定,存取条件已经被终端6和存取管理单元4所满足,因此,容许进行有关程序的存取。这两种结果都符合存取条件/正式授权的结合。
在M阶段:由于实际观察到终端6满足了存取条件,并且观察到按照设定,存取管理单元4也满足了存取条件,因此程序的存取被批准。在这种情况下,存取管理单元4没有发现终端6采用了一项非法授权。
在N阶段:由于观察到存取管理单元4不能满足存取条件,该存取管理单元4不知道终端6在使用非法授权,因此没有程序的存取。
在这一情况的第一部分,如果说终端6向存取管理单元表示它具有一项有效授权,但存取管理单元4察觉终端6具有的是非法授权。
在O阶段:由于按照设定,认为存取条件已经被终端6和存取管理单元4所满足,因此对程序的存取得到批准。
在P阶段:由于终端只有用来估算控制字CW的密钥KDiff,因此不将ECM发送给存取管理单元4。由存取管理单元进行的控制是无效的。这个阶段和上述C阶段相似,在终端不受控制时,它一定得益于同样的特殊操作,以阻止对程序的存取。
现在参照图7说明本发明方法的步骤。
在图7中,左边部分所表示的步骤和终端6进行的处理活动相对应,右边部分所表示的步骤和存取管理单元4进行的处理活动相对应。
用户打算存取程序时,终端6获得包含视频、音频、程序的其他成分和ECM信息在内的数字数据流。
对于收到的每个ECM信息(步骤30),终端要验证其是否处于需要控制存取条件的时期(步骤32)。步骤32进行的测试,确定了本方法在终端6的时间阶段划分。如果终端要进行这项检查(箭头34),ECM中包含的存取条件可以和终端中的授权进行比较(步骤36)。
如果没有授权可以满足存取条件(箭头38),对ECM进行的处理即告结束,不能存取程序,终端6再等待下一条ECM信息(步骤30)。如果终端中的授权可以满足存取条件(箭头40),终端6就要验证(步骤42)它是否具有可以对控制字CW进行解密的密钥Kecm。这个步骤由操作者实现本方法的启动。
如果终端6具有密钥Kecm(箭头44),就可以对控制字CW进行解密(步骤46),并且能够通过解扰来存取程序(步骤48)。
否则,就将ECM信息发送给存取管理单元4(步骤52)。
如果终端6并非处于需要控制存取条件的时期(箭头54),可能有两种情况:
-验证(步骤42)在不使用存取管理单元4的情况下,它本身是否能够获得控制字CW,
-或者系统地将ECM返回(步骤52)给存取管理单元4。
在第一种情况下,如上所述,如果验证是肯定的,则将控制字CW解密(步骤46)。然后终端6进行存取控制处理。
在第二种情况下,终端6必须系统地使用存取管理单元4。在这种情况下,如果存取管理单元4不检查存取条件,就不能存取程序。
当终端发送(步骤52)一条ECM信息给存取管理单元4时,存取管理单元检查(步骤60)它是否处于必须检查ECM的存取条件的时期。
步骤60确定本方法在存取管理单元4的时间阶段划分。
如果存取管理单元4必须检查存取条件(步骤62),则将这一存取条件与终端6的授权进行比较(步骤64)。
如上所述,存取管理单元4利用它自己的用户终端授权数据库进行这项比较,而非直接给终端6发送一条查询。在此处理过程中,是同意还是拒绝存取程序,只需要考虑法定授权。作为一种变型,也可以通过远程查询终端的安全处理器,来进行这一比较。在这种情况下,例如通过这个处理器中观察到的授权的总体检查,可能发现非法授权的存在。
如果存取条件得到满足(箭头66),或者如果存取管理单元4不需要检查存取条件(箭头68),存取管理单元4对ECM的控制字CW进行解密(步骤70),将获得的控制字CW用专用于终端6的密钥Kter进行加密(步骤72),并将获得的密码发送(步骤74)给终端6。这一终端用其专用密钥将控制字CW解密(步骤76),并且对程序进行解扰(48)。
如果存取管理单元4认为,并未按照终端6的授权满足存取条件(箭头78),则它将不向终端6提供对程序进行解扰所需的控制字CW。
在用虚线表示的本方法的一个变化的实施方案中(箭头80),其中终端6曾明确表示,通过ECM以及在步骤52中,具有满足存取条件的授权,则存取管理单元4结合这条信息和自己的结论(步骤84),能够发现(箭头86)终端6企图非法存取内容,并对这样一种企图欺诈的行为启动(步骤88)适当的处理。
按照本发明的方法也可以用于以前采用本方法获得的内容再次使用的情况,例如读取或再分配所存储的内容。
在这种情况下,由存取管理单元4发送给终端6的参数是一条要和内容一起储存在终端内的ECMR信息,这一信息包含用来对所述内容的再使用,例如读取或再分配,进行检查的存取判据。当读取或再使用内容时,ECMR信息将根据其组成,按照本方法进行处理,呼叫存取管理单元4,或者按照现有技术,通过单个终端进行处理。
本方法也可以用于DRM系统中加强对存取的控制。
在这种情况下,通常需要用一个单独的密钥对全部内容进行解扰。这个密钥独立于内容之外,压缩在一个目标接收系统专用的许可证中。
在这种背景下,所建议的方法在应用时要建立一个专用于上游系统的许可证,使接收系统在使用许可证时非采用上游系统不可,上游系统于是可以对接收系统存取内容的授权进行验证,这时,如有必要,可以再建立一个专用于这一接收系统的许可证。
图8用图解法表示对下文中指定为《内容》的内容和/或服务进行分配的体系结构,其中一个操作者100提供加扰内容给一个包含几个终端的单一实体中的一组终端(102,104,106,108),例如一个单独的家庭户,使一个用户能够随操作者分配给这个用户的不同授权,而在几个视听接收器上显示不同的内容。
在图8所说明的实例中,主终端102和从属终端都装备有适合于它们所连接的分配网络的解调装置(DVB-S、DVB-C、DVB-T解调器,IP调制解调器等)。此外,在这个实例中,主终端102装备有一个安全处理器,例如智能卡109,从属终端(104,106,108)没有智能卡,但是在连接到主终端102的同时就可以存取操作者的内容,通过主终端,从属终端就能存取所述内容。
注意,用户可以利用主终端102,以常规方式存取内容。
主终端102和从属终端104直接从操作者100接收(箭头105)加扰内容,从属终端106通过主终端102接收(箭头107)一项内容,从属终端108接收(箭头110)储存在主终端102的本地存储器111中的一项内容,或储存在从属终端106的本地存储器中的一项内容(箭头112)。
但是,注意从属终端(104,106,108)可以装备智能卡,从而对内容的存取控制部分由从属终端进行,部分由主终端进行,至于时间阶段划分则如上所述,由操作者进行控制。
图8中说明的体系结构也适用于其他实体,例如内部网关或集体天线,都没有超出本发明的范围。
在这所有的情况中,从属终端104、106、108,每个都有一个和主终端102的点对点链路(箭头115),并且通过这个点对点链路,将从与内容相关的存取条件中所获信息返回给所述主终端102,使主终端102能够管理对这项内容的存取控制。
这种体系结构也可以扩展到层叠型的终端结构。一个从属终端可以是与它连接的其它几个从属终端的主终端。这种容量扩展提供了建立终端的特殊功能布局的手段。由多层终端引起的反应时间,限制了这样一种体系结构的扩展。
在本发明的一个优选实施方案中,从属终端装备有一个安全电子芯片,用这个芯片,可以对主终端提供的控制字的密码进行解密。
在这种情况下,通过共同使用插在主终端内的单个智能卡以及插在每个从属终端104、106、108内的电子芯片,可以加强由从属终端104、106、108中的任一终端存取内容的安全性。在另一个实施方案中,由从属终端的一个专用安全软件模块担负这一解密功能。
这种方法同样适用于直接播送的内容,并且适用于预先储存在主终端102内或另一个从属终端106内的内容。
操作者可以由上游系统规定要被授权的主终端进行管理的从属终端,从而引入了区域的概念。因此,未被授权的从属终端不能对主终端输出的内容进行解密。
在一个优选实施方案中,如下文所要说明的那样,操作者通过对会话密钥分配的控制,来控制被授权的和主终端共同操作的从属终端。
作为一个变型方案,操作者还可以开出一份清单,包含被授权的或被禁止的终端的标识符,从而限制能够访问某一主终端的从属终端的数量。在这种情况下,对一个从属终端的控制,取决于是否被授权使用与主终端建立的点对点链路。操作者这样就能选择清单中被授权终端的数量。
在所有情况下,只有经过授权的从属终端可以收到适用于与之相关联的主终端的会话密钥。
是否在被授权终端清单中删除一个从属终端,也由操作者控制决定,典型做法是,向从属终端清单发送一个新的会话密钥,就从清单中删除了这个终端。
由《主要》终端对内容进行接收和记录
由主终端访问内容,使用、记录或阅读这些内容,这一操作按照上述图1的方法进行控制,如果终端有一个智能卡,可以使用智能卡,和/或使用操作者的存取管理单元4。当收到存取条件时,主终端102将至少一项关于所述存取条件的信息,通过点对点链路12返回给存取管理单元4。这一存取管理单元对所述信息进行处理,容许或阻止由主终端102使用内容。由主终端对内容的这一处理,不能因为从属终端可能在别处提出请求而进行修改。
另一方面,由于其主要地位,主终端102有一个附加功能,通过这个功能,从属终端104、106、108可以向它提出请求,就它们对内容的存取进行检查。它也可以具有传输能力,向从属终端传送它接收的内容(终端106)或它所储存的内容(终端108)。操作者可以通过在主终端102中对数据流/服务进行编程,来控制这一操作,主终端102可以重新定向到一个(或全部)从属终端104、106、108。
由从属终端使用一项内容
从属终端通过上游的来源直接(终端104)接收内容/服务,举例来说,通过卫星通路或通过(终端106)主终端来接收内容/服务,或者在它们被储存(终端108)在另一个主终端或从属终端以后再行接收。
收到内容和相关的存取条件(ECM)之后,从属终端104、106或108通过信道115连接到主终端102,并将ECM信息传送给主终端102进行处理。由于从从属终端104、106、108发送给主终端102的数据是加密的,信道115不必加以保护。
如果满足了存取条件,则主终端102将ECM提交给对控制字CW进行解密的智能卡109,并用会话密钥KS对其进行局部再加密。
主终端102从而将局部再加密的控制字CW发送给从属终端104、106或108。
收到这样再加密的控制字CW后,从属终端104、106或108将CW的密码提交给安全电子芯片,安全电子芯片用会话密码KS进行解密,并将已解密的控制字CW用于解扰器。
需要注意的是,操作者可以对一个从属终端是否有会话密钥KS进行监察,从而检查从属终端104、106或108是否和主终端102相关联。所以,只有具有授权会话密钥KS的从属终端能够获得控制字CW,并因此能对主终端102重新分配的内容或直接收到的内容进行解密。
还应注意,安全电子芯片的功能可以由一个安全处理器完成,例如智能卡或软件模块,而并不超出本发明的范围。
如果从属终端106将内容记录在本地存储器120中,而不直接使用(典型方式是进行显示),本发明的方法也是适用的。在这种情况下,如果满足了存取条件,主终端102就向从属终端106提供要和数据流一起保存的ECM信息。
读取所保存的内容时,从属终端106或108请求主终端102对存取条件进行处理,和接收内容时所进行的处理一样。
会话密钥的管理
用来对主终端102发送给从属终端104、106或108的控制字CW进行加密的会话密钥,只有同一组所安装设备中包括的主终端102和从属终端104、106、108才知道。
在进行终端初始化的步骤中,这一会话密钥被存入成组安装设备的终端102、104、106、108中。在一个优选实施方案中,操作者用管理信息(EMM)将这一密钥存入主终端102的智能卡。操作者还将它发送给从属终端104、106或108,例如用一条EMM信息,储存在安全电子芯片内。由EMM进行的这些加载操作,可以应用于会话密钥本身或应用于一个数据,典型的是应用于秘密数据,被会话双方用来计算会话密钥。
图9用图解法说明了有关从属终端要使用数字内容进行授权检查的过程。
在图9所示的实例中,对每个所设终端分配一个地址i。终端102和104其地址分别为0和1,具有由操作者加载的同一个会话密钥K1,而地址为2的终端106具有另一个会话密钥K2。从属终端104可以和主终端102进行配合,因为它可以用密钥K1对密码CW*K1进行解密,从而获得控制字CW。
另一方面,具有会话密钥K2的从属终端106不能对主终端102用会话密钥K1发送给它的密码CW*K1进行解密。
其结果是,通过对主终端102和从属终端(104,106)共用的会话密钥的检查,操作者对终端之间卡的共用情况可以完全进行控制。
对终端的正常使用的检查
按照本发明的方法可以由一个单独的主终端用来处理一个或多个ECM。终端可以访问存取管理单元4(图1),处理将用来存取内容的ECM信道。它也可以访问这个存取管理单元4,同时处理多项内容,其结果就增加了相应数量的需要处理的ECM信道。
通过一个单独的主终端102同时处理多项内容可能是正常的。这就是一个程序由多个成分组成的情况,举例来说,例如一个存取条件用于图像和原文声道,另一个存取条件用于一种不同的语言,还有一个存取条件用于耳聋人士的字幕。这也可以是终端为网关终端时的情况,换句话说,设备作为进入一个单独实体(例如一个单独的家庭)的入口点,并且使几个终端联合起来,存取所分配的内容。
另一方面,由一个单独的主终端102对多项内容同时进行存取,这样可以转移正式存取并且增加了未授权内容存取。
检测这种欺诈性用途的一种可能的方法包括在一个特定的时期中,由一个单独的主终端102对存取管理单元4提出的请求数量和类型进行观察,并且根据情况判断这个终端是否被欺诈性使用。
特别是,对请求的类型进行观察可以确定主终端102是提出处理一个ECM信道还是处理多个ECM信道,如果是处理多个信道,则确定ECM信道是相互关联的(换句话说,涉及相同的程序)还是相互独立的(换句话说,涉及不同的程序)。如果主终端重复对一项内容提出存取请求,而正常情况下对这个终端并没有存取权,对这种情况也应该进行观察。
根据其类型,可以将这样储存的请求的数量与一个阈值进行比较,超过了这一阈值,存取管理单元4可以判断其为侵权企图,因此它可以采取措施,例如停止向这个终端传送使之能够存取内容的数据。
接受请求、考虑请求的类型、确定观察周期、调整阈值等等,都可以根据所赋予这项检查的容许程度或严厉程度而加以改变。
主终端也可以使用相同的程序,来检查正在正常使用的从属终端。
在上述实施方案中,一旦终端不能对一条ECM进行处理,从中提取控制字,它就将这条ECM发送给管理单元4或主终端102,使之掌握这些控制字,以便能对内容进行解密。如上所述,这种传送/处理ECM的方式只会偶尔进行,或者在每个密码周期进行。
从接收终端看来,由管理单元4或由主终端102所进行的ECM传送/处理的全程持续时间,必须小于一个密码周期的持续时间,以便终端能够及时获得控制字,可对内容进行解扰。
对于传送/处理的全程持续时间的这个条件使整个系统能够在一次《单一的》存取内容期间正确操作,换句话说,在一个正常速度通常大约为10秒钟的密码周期正确操作。
但是,出现了其它的使用情况,其中全程传送/处理的这个条件在技术上不能得到满足,从而引起了解扰的间断或者甚至无法进行解扰。
在第一个实例中,诸如读取储存在终端(PVR)或网络(nPVR)中的内容之类的功能,或者诸如VOD(视频点播)之类的服务,可以使使用者用比正常速度更快的速度向前或者向后(《技巧模式》)接收内容。在快速向前或向后存取内容时,内容中ECM的视在频率增加而视在密码周期持续时间缩短。其结果是,由接收终端向管理单元或主终端提交的两个ECM之间的时间间隔减小。超过了对内容的某一存取速度,两个ECM提交之间的持续时间,可能比全程ECM传送/处理持续时间短。系统分离,不再继续运行。
在另一个实例中,操作者可以缩短密码周期的长度,以加速控制字的更新,从而增加对控制字密码或加扰内容强行攻击的难度,使对内容的保护得到增强。缩短密码周期如果超过一个具体的量,两个ECM提交之间的持续时间就小于全程ECM传送/处理时间。象上面的实例一样,系统分离,不再继续运行。
快进或快退存取方法的使用
克服在特殊使用情况下系统的分离和失误缺点的一个方法是:减小接收终端向管理单元4或主终端102提交ECM的频率,同时部分保留由管理单元4或主终端102进行的存取控制。这使用了本方法的特征,按照这个特征,接收终端只是偶尔向管理单元或主终端发送ECM。
这种解决方案的原则在于将内容的持续时间分解为几个时间段,在每个时间段中,接收终端不用访问管理单元或主终端就能处理ECM。但是,从一个时间段变化到另一个时间段时,接收终端必须访问管理单元或主终端以获得信息,典型的是对控制字解密所必需的密钥,或者为了满足内容存取判据的存取证明,使之能在新的时间段中处理ECM。
最好为获得下一个时间段所需要的控制字的解密密钥,终端应请求访问管理单元或主终端,这可以实现它总是能满足存取条件,或者同时具有必需的存取判据,或者不必检查这个条件。
这个解决方案适用于上面提到的各种用途,下面就连接到管理单元(4)的一个接收终端快进和快退存取内容的情况加以说明。
为了达到这个目的,当一个与存取管理单元4相配合的操作者向接收终端6提供内容时,该方法包括一个由操作者对内容设置条件的阶段和一个由接收终端使用所述内容的阶段。
设置内容条件的阶段包括以下步骤:
a)所述内容的持续时间被分解为N个时间段,每个时间段与一个标识符Sj、一个密钥Kj、以及与这个密钥相关的数据Dj相联系,每个时间段Sj包含一个整数Mj的密码周期CPi,i=1~Mj
b)用控制字CWi,j对内容加扰,i=1~Mj,j=1~N,
c)用密钥Kj对每个控制字CWi,j加密,
d)然后,在每个时间段Sj期间,在每个密码周期CPi,内容加扰后被传送到终端,同时传送的有一条ECM信息,ECM信息至少包含用当前密钥Kj加密的控制字CWi,,还包含与当前密钥Kj相关的数据Dj,与上一个密钥Kj-1相关的数据Dj-1,与下一个密钥Kj+1相关的数据Dj+1
《当前段》表示终端当前正在接收的段Sj,相关的密钥Kj就称为《当前密钥》。当然,向前存取内容时,终端按照...Sj,Sj+1,Sj+2...各段的顺序逐个接收,段Sj+1是内容中的段Sj之后的《下一段》,用《下一个密钥》Kj+1表示;而向后存取内容时,终端按照...Sj,Sj-1,Sj-2...各段的顺序逐个接收,段Sj-1是内容中的段Sj之前的《上一段》,用《上一个密钥》Kj-1表示。
内容的使用阶段采用三个成对的组合,配置终端时已经预先储存了这些成对组合。这些成对组合(Kc,Dc)、(Kp,Dp)、(Ks,Ds)分别由当前密钥Kc和与这个密钥相关的数据Dc、上一个密钥Kp和相关数据Dp、下一个密钥Ks和相关数据Ds组成。
在接收每条ECM信息之后,使用阶段包括以下步骤:
e)终端对ECM信息中包含的数据Dj进行分析,估计它与各对组合中可适用的数据的对应关系。
f)如果ECM信息中包含的数据Dj和预先储存在终端里的数据Dc相对应,则终端用相应的成对组合中与这个数据Dc相关的密钥Kc对控制字CWi,j进行解密。在这种情况下,终端不需要管理单元对ECM进行任何补充处理。
g)如果ECM信息中的数据Dj和预先储存在终端里的数据Dp相对应,则终端利用相应的成对组合中与这个数据Dp相关的密钥Kp对控制字CWi,j进行解密。在向后读取内容的情况下当行进到上一段时就会出现这种情况。同样,如果ECM信息中的数据Dj和数据Ds相对应,则终端用密钥Ks对控制字CWi,j进行解密。在向前读取内容的情况下,当行进到下一段时出现这种情况。
h)最后,如果ECM信息中的数据Dj和预先储存在终端里的数据Dc不对应,终端将收到的ECM信息发送给存取管理单元(4),存取管理单元(4)从数据Dj确定当前密钥Kj,从数据Dj-1确定上一个密钥Kj-1,从数据Dj+1确定下一个密钥Kj+1,将这些密钥以及与之相关的数据发送给终端,终端将它们的相应数值,作为密钥Kc、Kp、Ks和与这些密钥相关的数据Dc、Dp、Ds的新的数值储存起来。当在同一个内容中从一段变化为另一段时,无论是正向读取还是反向读取,当从一个内容变化到另一个内容,当终端刚刚初始化而三个成对组合还没有更新时,每次都会发生这种情况。
根据出现的问题,步骤f)、g)、h)的组合用来对与密码周期相比的过度全程传送/处理时间进行补偿,同时保持管理单元对存取内容的控制。终端里有了当前密钥Kc,使终端能够对控制字进行解密,不用请求管理单元。但是,这个密钥只在当前段(步骤f,使用当前密钥)持续期间有效。在这一段的末尾,终端必须使用另一个解密密钥。终端已经有了这个新的密钥(步骤g,使用上一个密钥或下一个密钥),从而能毫不间断地对内容进行解扰。但是,为了保证终端能够在这个新段的末尾继续不间断地解扰,它必须请求管理单元处理ECM,以便它能更新密钥系统(步骤h)。在这次更新后接收ECM时,用新的当前密钥使自己重新回到中心位置(回到步骤f)。因此,即使由管理单元提供密钥的持续时间比密码周期长,解扰也可以继续进行,并且管理单元保持对存取内容的控制,因为在每个时间段期间,终端必须访问管理单元。
因此,应该理解,终端必须满足存取条件,或者由于它具有存取判据,或者由于它不知道这个条件,因为,否则它要为每个ECM去访问管理单元,这会引起如上所述的系统分离。还应注意,当管理单元接收一条ECM来确定终端的密钥时,它可以检验终端实际具有满足存取判据的存取证明,而不是象在基本方法中的那种非法证明。
按照本发明的一个特征,终端通过一个点对点链路,将所述收到的ECM信息返回给存取管理单元4。
终端在其取决于解决方案的成对组合中必须具有的当前密钥Kj、上一个密钥Kj-1、下一个密钥Kj+1,由ECM中的与这些密钥相关的数据来确定。
在第一个实施方案中,与ECM中传送的密钥相关的数据至少包括和所述密钥Kj、Kj-1、Kj+1相对应的密码,所述密钥Kj、Kj-1、Kj+1可以用只有管理单元4知道的管理密钥解密。
在第二个实施方案中,与ECM中传送的密钥相关的数据至少包括相应的段标识符Sj、Sj-1、Sj+1。相关数据如果不包括所述密钥的密码,管理单元4就根据这些段的标识符来确定密钥Kj、Kj-1、Kj+1
在这个实施方案的第一个执行过程中,存取管理单元4在预先规定的数据库中进行搜索,根据各个段标识符,确定新的密钥Kj、Kj-1、Kj+1
在另一个实施方案中,存取管理单元4通过一个来自段标识符的根密钥的变化,来确定新的密钥Kj、Kj-1、Kj+1
在步骤e)~h)期间,终端要估量所收到的相关数据Dj和在其成对组合中可以得到的数据Dc、Dp、Ds之间的对应关系。这种对应关系的基础最好是相同的段标识符。如果不利用段标识符,寻求对应关系就在于对密钥密码进行比较。
在第三个实施方案中,在ECM信息中只有与当前密钥Kj相关的数据Dj,存取管理单元4用这个数据推导出与上一个密钥Kj-1及下一个密钥Kj+1相关的其它两个数据Dj-1和Dj+1。在第一个实例中,与密钥相关的数据是具有连续数值...X-2、X-1、X、X+1、X+2....的段标识符。在另一个实例中,与密钥相关的数据是这些密钥的密码,管理单元有这些密码的预列清单,其序列和段的序列相同。当密钥Kj的密码列入这个清单时,先于它的密码就是密钥Kj-1的密码,在它之后的密码是密钥Kj+1的密码。
作为一种变型,如果不对内容进行反向读取,与上一个密钥Kj-1相关的数据Dj-1不在ECM信息中使用,则可以删除对应于上一段的成对组合(Kp,Dp),而不超出本发明的范围。
作为一种变型,和上一段相对应的成对组合(Kp,Dp),可以用与前面的np个连续段相关的几个成对组合代替,和下一段相对应的成对组合(Ks,Ds),可以用与后续的ns个连续段相关的几个成对组合代替,而不超出本发明的范围。成对组合的这种扩展,表示即使其存取内容的速度可能使ECM的全程传送/处理时间变得大于一个或几个连续段的视在持续时间,该解决方案也是可以应用的。前面的成对组合或后续的成对组合的数量,取决于所需要的存取内容的最大速度。
当加扰内容分配给所安装的一组接收终端时,也可以使用上述解决方案,一组接收终端包含一个主终端(102)和至少一个从属于所述主终端(102)的从属终端(104,106,108)。在这一情况下,接收终端用从属终端代替,并且正如由从属终端所看到的,主终端代替了管理单元。
在一个实施方案中,由从属终端发送给主终端的ECM处理,可获得(Kc,Dc)、(Kp,Dp)、(Ks,Ds)成对组合的新值,这是由主终端本身完成的,主终端配备了与管理单元中所用装置相似的装置功能,举例来说,例如根密钥变化功能,采用管理密钥的解密功能,密码数据库等,根据其实施情况而定。
在另一个实施方案中,主终端(102)通过把所收到的ECM信息发送给管理单元(4)或另一个它所依赖的主终端,确定要发送给从属终端的成对组合(Kc,Dc)、(Kp,Dp)、(Ks,Ds)的新值,在处理操作中,它对所依赖的主终端,就像自己是一个从属终端。
上述优选解决方案,在于对每个段配合一个不同的密钥,存取条件总是可以得到满足,或不为终端所知。这一解决方案明显地也可以应用于每个段都具有不同存取条件的情况,解密密钥是不变的并且可以在终端中得到。在这种情况下,数据Dj和授权有关,管理单元给终端提供存取当前段、下一段和上一段所必需的授权,以代替密钥。

Claims (24)

1.对由操作者向接收终端(6)提供的加扰内容进行存取控制的方法,存取管理单元(4)和接收终端(6)相关联,所述接收终端(6)配备至少一个存取控制模块(10),该方法包含以下步骤:
a-将存取条件与所述内容相关联,所述内容包含对该内容进行解扰所需的多种信息,
b-将附有所述存取条件的所述内容传送给所述接收终端(6),该方法的特征在于还包含以下步骤:
一旦接收终端(6)收到存取条件,则
c-通过点对点链路(12),将至少一项关于所述存取条件的信息,从接收终端(6)发送到存取管理单元(4),
d-由存取管理单元(4)处理所述信息,根据所述处理的结果,容许或阻止接收终端(6)使用所述内容。
2.根据权利要求1的方法,其中对于存取管理单元(4)所接收的信息的处理包括第一步骤和第二步骤,其中该第一步骤包括检查该信息是否符合预先分配给接收终端(6)的存取数据,该第二步骤包括根据第一步骤的结果的作用,将至少一个控制参数传送给接收终端(6),容许或阻止使用所述内容。
3.根据权利要求2的方法,其中在接收终端(6)收到存取条件时,存取控制模块(10)利用预先储存在所述接收终端(6)中的存取数据检验是否满足存取条件。
4.根据权利要求3的方法,其中只有当收到的存取条件得不到满足时,接收终端(6)才向存取管理单元(4)返回部分或全部关于存取条件的所述信息。
5.根据权利要求3的方法,其中对从存取管理单元(4)所收到的信息进行处理的第一步骤,以及接收终端(6)对存取条件的检查,按照操作者规定的时间阶段彼此互无关联地进行,所述时间阶段不能在接收终端(6)预先宣告。
6.根据权利要求1的方法,其中存取条件在ECM消息中传送到接收终端(6),该ECM消息包含至少一个存取判据CA、由密钥Kecm加密的加密控制字CW的密码CW*Kecm;而且储存在接收终端(6)中的存取数据包括对内容的存取权和至少一个解码密钥。
7.根据权利要求2和6的方法,其中由存取管理单元(4)向接收终端(6)发送的参数是用密钥Kecm解码并用特别为接收终端(6)所知的密钥Kter再加密的控制字CW和/或将和内容一起储存的ECMR消息,该ECMR消息包括将用来检查所述内容再使用的存取判据。
8.根据权利要求1的方法,其中提供给接收终端(6)的内容,用DRM许可证进行保护。
9.存取控制系统,该存取控制系统包含含有内容服务器(8)的发射装置(2)、与所述发射装置(2)相关联的存取管理单元(4)、配备了至少一个存取控制模块(10)的接收终端(6)、存取控制模块(10)对所述服务器(8)提供的加扰内容的存取进行控制,并且包含对所述内容进行解扰所需的多个信息的存取条件与之相关联,该存取控制系统的特征在于:
所述接收终端(6)通过点对点链路(12)连接到所述存取管理单元(4),所述存取控制模块(10)通过点对点链路(12)将至少一项关于所述存取条件的信息返回给所述存取管理单元(4),从而使存取管理单元(4)处理所述信息,根据由存取管理单元(4)进行的处理的结果,容许或阻止接收终端(6)使用所述内容。
10.根据权利要求9的系统,其中所述存取管理单元(4)包括:
-验证装置,用来验证从存取控制模块(10)收到的信息是否符合储存在接收终端(6)中的存取数据,以及
-产生并向终端发送至少一个控制参数的装置,根据所述验证结果,容许或阻止使用所述内容。
11.根据权利要求10的系统,其中所述存取管理单元(4)与发射装置(2)是分开的。
12.根据权利要求10的系统,其中所述存取管理单元(4)集成在发射装置(2)中。
13.分配装置(2),用于将所传送的加扰内容和包含对所述内容进行解扰所需的多项信息的存取条件一起,分配给配备了存取控制模块(10)的至少一个接收终端(6),其特征在于其与存取管理单元(4)相关联,存取管理单元(4)可以通过点对点链路(12)与接收终端(6)的存取控制模块(10)进行通信联系;以及所述存取控制模块(10)向所述存取管理单元(4)返回至少一项关于所述存取条件的信息,以便使存取管理单元(4)能够对所述信息进行处理,根据存取管理单元(4)完成的处理的结果,容许或阻止接收终端(6)使用所述内容。
14.接收终端(6),用于接收利用与存取管理单元(4)相关联的内容分配装置(2)分配的加扰内容,所述加扰内容与包括对所述内容进行解扰所需的多个信息的存取条件相关联,该接收终端(6)的特征在于其包含至少一个通过点对点链路(12)与所述存取管理单元(4)通信联系的存取控制模块(10);以及所述存取控制模块(10)向所述存取管理单元(4)返回至少一项关于所述存取条件的信息,以便使存取管理单元(4)能够对所述信息进行处理,根据存取管理单元(4)完成的处理的结果,容许或阻止接收终端(6)使用所述内容。
15.用于对分配给所安装的一组接收终端的加扰内容的存取进行控制的方法,所安装的一组接收终端包含一个主终端(102)和至少一个隶属于所述主终端(102)的从属终端(104,106,108),该方法包含以下步骤:
-将存取条件与所述内容联系在一起,包含对所分配的内容进行解扰所需的多种信息,
-将共用的会话密钥Ks分配给所述主终端和从属终端,
-将数据流传送(105,107,110)给所述安装的终端组中的终端(102,104,106,108),所述数据流包含加扰的数字内容和存取条件,
该方法的特征还在于以下步骤:
-收到所述数据流后,从属终端(104,106,108)从收到的数据流中提出存取条件,通过和主终端间建立的点对点链路(115),向主终端(102)返回至少一项关于所述存取条件的信息,以及
-收到从属终端(104,106,108)转发的信息后,主终端(102)验证这条信息是否符合预先分配给所述从属终端(104,106,108)的存取权,并向这个从属终端(104,106,108)返回至少一个指令参数,用会话密钥Ks加密,如果所述信息符合所述存取权,则授权使用内容,或者如果所述信息不符合所述存取权,则阻止使用内容。
16.根据权利要求15的方法,其中存取条件在ECM消息中传送,包含至少一个存取判据CA和用于对内容加密的控制字CW的密码CW*Kecm
17.根据权利要求16的方法,其中从属终端(104,106,108)向主终端(102)至少返回密码CW*Kecm
18.根据权利要求17的方法,其中由主终端(102)传送给从属终端(104,106,108)的参数是用密钥Kecm解密、并用会话密钥Ks再加密的控制字CW。
19.根据权利要求15的方法,其中由主终端(102)传送给从属终端(104,106,108)的参数是ECMR消息,该消息将和内容储存在一起,并且包含将用于控制所述内容的再使用的存取判据。
20.存取控制系统,包含具有一个内容服务器(8)的发射装置(2)、一个主终端(102)、从属于所述主终端(102)的至少一个从属终端(104,106,108),所述内容服务器(8)包含向所述主终端和从属终端(102,104,106,108)分配加扰数字内容的装置,所述加扰数字内容与包括对所述内容进行解扰所需的多个信息的存取条件相关联,该存取控制系统的特征在于从属终端(104,106,108)可以通过点对点链路(12,115)与主终端(102)连接,通过这个链路,所述从属终端(104,106,108)将从所述存取条件提取的至少一项信息返回给主终端(102),使所述主终端(102)能够处理所述信息,容许或阻止从属终端(104,106,108)使用所述内容。
21.根据权利要求20的系统,其中所述主终端(102)包括:
-验证装置,用来验证从从属终端(104,106,108)收到的信息是否符合以前分配给所述从属终端(104,106,108)的存取权,
-产生并向所述从属终端(104,106,108)发送至少一个控制参数的装置,根据所述验证结果,容许或阻止使用所述内容。
22.根据权利要求20的系统,其中所述主终端(102)集成在发射装置(2)中。
23.根据权利要求20的系统,其中所述主终端集成在集合接收天线中。
24.根据权利要求20的系统,其中所述主终端在内容服务器(8)和所安装的终端组中的从属终端(104,106,108)之间起网关的作用。
CN200680046794.9A 2005-12-13 2006-08-18 加扰内容的存取的控制方法 Expired - Fee Related CN101331767B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
FR05/53852 2005-12-13
FR0553852A FR2894756B1 (fr) 2005-12-13 2005-12-13 Procede de controle d'acces a un contenu embrouille
FR0651130A FR2894757B1 (fr) 2005-12-13 2006-03-31 Procede de controle d'acces a un contenu embrouille
FR06/51130 2006-03-31
PCT/EP2006/065459 WO2007068507A2 (fr) 2005-12-13 2006-08-18 Procede de controle d'acces a un contenu embrouille

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201210130094.5A Division CN102761784B (zh) 2005-12-13 2006-08-18 加扰内容的存取的控制方法

Publications (2)

Publication Number Publication Date
CN101331767A CN101331767A (zh) 2008-12-24
CN101331767B true CN101331767B (zh) 2013-09-18

Family

ID=36699301

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200680046794.9A Expired - Fee Related CN101331767B (zh) 2005-12-13 2006-08-18 加扰内容的存取的控制方法

Country Status (2)

Country Link
CN (1) CN101331767B (zh)
FR (1) FR2894756B1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2981182A1 (fr) * 2011-10-10 2013-04-12 France Telecom Controle d'acces a des donnees d'un contenu chiffre
CN103780961B (zh) * 2012-10-19 2017-10-24 华为终端有限公司 一种数据信息的保护方法及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1422943A1 (en) * 2002-11-25 2004-05-26 Kabushiki Kaisha Toshiba Transmitter apparatus, reciever apparatus and recieving method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10055237A1 (de) * 2000-11-08 2002-05-23 Siemens Ag Verfahren zur Kontrolle des Zugriffs auf ein zugriffsbeschränktes System und zugriffsbeschränktes System

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1422943A1 (en) * 2002-11-25 2004-05-26 Kabushiki Kaisha Toshiba Transmitter apparatus, reciever apparatus and recieving method

Also Published As

Publication number Publication date
FR2894756B1 (fr) 2008-05-09
CN101331767A (zh) 2008-12-24
FR2894756A1 (fr) 2007-06-15

Similar Documents

Publication Publication Date Title
CN102761784B (zh) 加扰内容的存取的控制方法
KR100838892B1 (ko) 조건부 액세스를 위한 방법 및 시스템
US7305555B2 (en) Smart card mating protocol
KR101081160B1 (ko) 데이터 전송을 보호하기 위한 방법 및 장치
JP4216534B2 (ja) 時刻検証システム
JP4913989B2 (ja) ブロードキャストディジタルデータ受信システム
CN102164320B (zh) 一种改进的基于条件接收技术的终端
US8205243B2 (en) Control of enhanced application features via a conditional access system
CN101507272B (zh) 用于保护广播消息的安全模块的撤销方法
US20060136718A1 (en) Method for transmitting digital data in a local network
CN103975604B (zh) 用于处理数字广播传输流的方法和多媒体单元
CN101513057B (zh) 用于配置安全处理器的性能的记录方法
CA2384012A1 (en) Method and apparatus for preventing piracy of digital content
JP2003518843A (ja) 放送分野への条件付きアクセスシステムを操作する方法
CN101263714A (zh) 用于验证连接到主设备的目标设备的方法
US20120201377A1 (en) Authenticated Mode Control
CN101874406A (zh) 用于评估存储在安全模块中的用户权限的方法
CN1643915B (zh) 在个人数字记录器上安全存储加密数据的方法
KR101315799B1 (ko) 제한수신시스템 기반의 보안 시스템 및 그를 이용한제한수신서비스 처리방법
CN102714593A (zh) 控制字符的加密方法、传送方法及解密方法和用于执行这些方法的记录媒体
CN100546375C (zh) 安全集成电路
CN101331767B (zh) 加扰内容的存取的控制方法
JP4521392B2 (ja) デコーダ及びスマートカードに関連した有料テレビジョンシステム、そのようなシステムにおける権利失効方法、及びそのようなデコーダに送信されたメッセージ
KR101605822B1 (ko) 원격 자격처리모듈 통합처리 장치
US7502473B2 (en) Process for managing the handling of conditional access data by at least two decoders

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130918

CF01 Termination of patent right due to non-payment of annual fee