CN102316102A

CN102316102A - 安全传送消息的方法

Info

Publication number: CN102316102A
Application number: CN2011102292392A
Authority: CN
Inventors: B·温德林
Original assignee: Nagravision SA
Current assignee: Nagravision SARL
Priority date: 2010-07-09
Filing date: 2011-07-08
Publication date: 2012-01-11
Anticipated expiration: 2031-07-08
Also published as: RU2541867C2; JP2012044650A; KR101803975B1; EP2405650A1; EP2405651A1; EP2405651B1; JP5658102B2; CN102316102B; US20120008779A1; KR20120005972A; BRPI1103626A2; RU2011127705A; US20170187522A1; US9602874B2

Abstract

安全传送消息的方法。本发明可应用在用于条件访问内容的广播的系统中，在该系统中期望检测在控制字共享行为中使用的接收器装置并对其采取行动。通过要求在系统中使用的接收器装置在精确的时间向条件访问内容的广播者发送消息，本发明提供了用于服务器检测参与控制字共享行为的接收器装置并禁止该接收器进一步访问内容的能力的方法。

Description

安全传送消息的方法

技术领域

本发明涉及条件访问系统的领域，更特别地涉及安全传送用于对加密数据解密的密钥的方法。

背景技术

在诸如数字电视广播、音频和/或视频的散布等技术领域中，值的内容要被传送到多个使用点，通常采用条件访问系统以确保仅仅在被确信为合法使用点的那些使用点(而不是在其他任何使用点)可以访问内容。通过合法的使用点，通常意味着具备一件设备，该设备通过向内容的所有者支付预定费而被授权接收和使用这些内容。

确实在例如付费电视的领域中，通常内容在广播到多个潜在观众之前是用控制字加密的。控制字也随着加密内容一起在安全消息中以加密形式广播。由于在行业中广泛使用的条件访问系统，只有那些具备适用的解码器且已经为观看加密内容付过费的观众被允许访问控制字，从而允许他们对加密的内容解密。

现有技术中允许将加密内容广播到多个装备有安全模块的接收器的条件访问系统通常涉及以下原理。内容由操作者在头端利用控制字加密。控制字由传输密钥加密以制作被称为授权控制消息(ECM)的安全消息。加密的内容和ECM在数据流中被广播到多个接收器。接收器过滤数据流以提取ECM和加密的内容。接收器的安全模块能够访问传输密钥或者具有能够提取在ECM中接收的控制字的等效密钥。然而，在允许解密ECM之前，还需要进行检查以验证安全模块确实具有能够解密内容的必要权利。这些权利通常通过付费而获得。一旦已经付费，这些权利就经由被称为授权管理消息(EMM)的另一种安全消息直接载入到安全模块中。可以随着内容一起在广播信道上接收，或者也可以经由另一个信道接收这些消息。该第二种安全消息可寻址到一个或一组安全模块。然后可以看到条件访问内容的广播因此分为三部分完成：利用控制字对内容的加密、对控制字的加密以形成ECM(可由具有必要权利的安全模块解密)，以及第三是利用可寻址的EMM授予权利以及处理这些权利。

安全模块可以以多种方式实现，例如在微处理器卡上、在智能卡上或者以标记或密钥形式的任何电子模块。这些模块一般是便携的或可从接收器分离的。最常用的形式是具有电接触，但ISO14443类型的非接触版本也存在。安全模块的另一种实现方式是直接焊接在接收器内部，这种方式的变种是插口或连接器上的电路，例如SIM模块。再一种实施方式是将安全模块集成在具有另一种功能的芯片上，例如在解扰模块上或在解码器的微处理器模块上。安全模块也可以以软件的形式实现。

操作者具有各种动机尝试阻止第三方发现存储在安全模块中的密钥，因为他们获取收入的能力依赖于保持秘密的密钥。更进一步地，如果这些密钥在串通的第三方之间大规模的共享，操作者将经历收入的显著下降，这种大规模共享可能使用类似例如因特网的大型网络，或者通过复制合法接收器/安全模块以制造未经授权的接收器/安全模块。密钥的安全性基于安全模块的防篡改性。然而，众所周知的是可能不时地发生泄露。只要发生泄露，就必须更改用于加密控制字的密钥，但这就意味着不得不更改所有的安全模块或至少能够将新密钥安全地传送到接收模块。

在类似领域中，公开号为US 2009/0016527 A1的美国发明专利申请描述了一种通过发射装置验证接收装置的方法，其中发射装置发送随机数到接收装置；接收装置利用一对非对称密钥中的私钥签暑该随机数并将签暑后的随机数送回到发射器；然后发射器使用接收器的公钥解密签署后的随机数；如果结果与原始的随机数匹配，则接收器验证成功。所描述的该发明没有利用计数器。

公开号为WO 2006/061837 A2的国际专利申请公开了一种用于在两个或更多装置之间建立安全通信链路的方法。其目的不仅是对通信中涉及的装置的验证，而且是一旦检测到特定装置就建立与该特定装置的加密通信会话。紧接着第一装置检测到第二装置，第二装置向第一装置发送与第二装置关联且对应于第二装置的工作参数的数据串，例如唯一的识别串。该数据串在第一通信信道上发送。然后在两个装置之间建立第二通信信道，数据在两个装置之间以根据接收的数据串配置的方式传输，从而使得第二信道成为安全信道。

公开号为EP 1441525 A1的欧洲专利申请描述了一种用于接收广播付费电视服务的系统，该系统包括主终端以及链接到主终端的从终端。只有在主终端能够在预定的时间期限之内向从终端发送解密受保护数据所必需的特定数据的情况下，从终端才可以访问由主终端接收的受保护数据。在这个例子中预定的期限既不与特定从终端关联，也不对应于从终端。更确切地说，期限是基于假定有效的从终端应当位于主终端的近距离之内时消息从主终端传输到从终端所需的时间。换句话说，根据该预定期限，可以安排距离主终端足够远的终端不会及时接收到特定数据。这在例如客户端在特惠价格的前提下被授权解密多个机器上的数据的场合下是有用的。当多个机器分布于多个远程地点时将应用更高的价格。使用这项技术，通过将受益于特惠价格的用户的系统配置为不允许与主终端相距遥远的位置上的机器访问，可以确保该用户不会尝试在远程机器上解密受保护数据。

公开号为US 2008/0209232 A1的美国专利申请公开了一种用于检测何时在控制字共享中涉及安全模块的装置。该文件描述了伴随控制字使用时间戳。每次控制字从安全模块传递到解码器(或在控制字共享正在进行的情况下的多个解码器)时，计算连续的时间戳之间的时间差。如果该计算的结果连续多次始终低于正常加密时段，则表示安全模块正在进行控制字共享。

发明内容

本发明提供了一种用于从服务器经由广播通信信道安全传送用控制字加密的内容到接收器的方法，所述接收器包括安全模块、解密单元和从计时器，该服务器包括参考计时器，所述安全模块以及所述服务器经由返回通信链路相互连接，所述方法包括下列步骤：

由服务器使用密钥信息加密控制字；

在广播通信信道上从服务器向接收器广播加密内容和加密过的控制字；

由服务器定义预定呼叫时间和呼叫时间窗，所述呼叫时间和呼叫窗对应于接收器；

由安全模块监测由从计时器指示的从时间；

当从时间等于从呼叫时间时，从安全模块向服务器经由返回通信信道发送至少一个验证消息，所述从呼叫时间由安全模块基于在安全模块内存在的至少一个定义参数导出；

由服务器在参考计时器指示的参考时间上接收验证消息；

由服务器执行验证，所述验证至少确定参考时间和预定呼叫时间之间的差是否处于呼叫时间窗中；

如果验证有效：

从服务器向安全模块经由返回通信路径发送密钥消息，所述密钥消息包括密钥信息；

由安全模块从密钥消息中提取密钥信息；

由安全模块使用密钥信息解密加密过的控制字；

由解密单元使用控制字解密加密内容。

通过要求安全模块为了能够接收用于解密控制字的必需密钥而在非常具体的时间帧中发送请求到服务器，该方法确保了只有具备发起这样的请求的必需装置的合法安全模块能够访问加密内容。该方法在可用广播带宽上没有负面效果，能够在不要求改变用户设备或在用户设备中进行难用的密钥更新的情况下容易地实现。进一步地，该方法允许对在控制字共享行为中使用安全模块的用户实行灵活而有针对性的惩罚措施。

附图说明

利用后续的详细说明以及附图可以更好地理解本发明，这些附图作为本发明的实施方式的非限制性示例而给出，即：

图1示出可以在其中应用本发明的实施方式的系统的框图。

图2示出可以在其中应用本发明的进一步的实施方式的系统的框图。

具体实施方式

在解密密钥存储于安全模块的条件访问系统中有需要提供更高的安全性。现今消息可以容易地通过因特网共享，例如不道德的第三方发现了传输密钥，则意味着非授权设备的大量用户可以获得解密ECM的可能性，因而无须为解密加密内容的权利支付费用就可以解密加密内容，这样就使得加密内容的拥有者丧失了他本应该获得的收入。

因此本发明旨在提供向能够证明它们具有接收密钥的权利的安全模块安全地传送密钥(例如传输密钥)的装置，而不是利用已载入的安全密钥建立安全模块。这也允许操作者快速并容易地修改用于安全加密例如ECM的密钥，其知道授权的安全模块能够跟随这些修改从而能够继续解密它们获得授权的加密内容。

本发明可以在例如付费电视领域中广泛使用的条件访问系统中应用。除了为操作者提供检测非授权接收器装置的装置，还进一步提供了对这些装置的用户采取惩罚措施的装置。本发明提供的方法在广播带宽上没有负面效果，允许操作者在不处罚授权装置的用户的情况下能够快速和高效地更改加密密钥。

图1示出了可以在其中应用本发明的一个实施方式的系统的框图。操作者经由广播通信信道(CH1)从头端或服务器(SVR)向多个接收器(RX)广播利用控制字(CW)加密(AVE)的内容(AV)。以在条件访问数字广播领域中熟知的方式，服务器(SVR)还随着加密内容(AVE)一起广播安全消息(ECM)以允许具备必需的密钥的接收器提取控制字(CW)。服务器(SVR)包括用于持续追踪时间的参考计时器(CNTR)。参考计时器指示的时间被称为参考时间(TR)。

系统包括多个接收器，其中一个如图1(RX)所示。接收器(RX)包括安全模块(SM)和解密模块(DECR)。解密模块(DECR)被配置为使用来自安全模块(SM)以加密过的形式(ECM)接收的控制字(CW)解密输入的加密内容(AVE)。系统进一步包括服务器或头端(SVR)，该服务器或头端经由广播通信信道(CH1)向多个接收器广播利用密钥信息(K)加密的内容(AVE)以及加密过的控制字(ECM)。每个接收器(RX)还经由双向返回信道或返回通信路径(CH2)连接到服务器。为了接收器(RX)接收允许其提取密钥信息(K)以解密控制字(CW)的消息，有必要首先向服务器(SVR)发送验证消息(V)从而服务器(SVR)能够检查其是否是有效接收器(RX)。如果服务器(SVR)确定(RX)是合法接收器，则经由返回通信信道(CH2)并使用其安全模块(SM)向接收器(RX)发送回密钥消息(M)，接收器提取将用于揭示包含在安全消息(ECM)中的控制字(CW)的必需密钥信息(K)，从而对加密的内容解密(AVE)。

应当认识到返回通信路径可以是独立于广播通信信道的任何双向通信信道，例如因特网。返回通信路径可以使用现有可用的WiFi、ADSL或GSM/3G技术手段来实现。

服务器(SVR)使用的验证措施基于接收器(RX)在特定时间发送其验证消息(V)。确切地说，为了成功验证，接收器(RX)需要在预定的呼叫时间(TP)发送其验证消息(V)。然而，实际上由于系统中的反应时间，消息(V)可能不会准确地在预定呼叫时间(TP)被接收到。因此，根据本发明的一个实施方式，称之为呼叫时间窗(TW)的窗口被定义在预定呼叫时间(TP)周围，如果要验证成功，消息(V)必须在该窗口(TW)内抵达。

如上所述，随着验证成功，服务器(SVR)向接收器(RX)发送回包含用于解密控制字(CW)的密钥消息(K)的密钥消息(M)。另一方面，如果验证失败，服务器(SVR)可以通过经由返回通信信道(CH2)在密钥消息(M)中发送禁止密钥消息(X)来答复接收器(RX)，从而至少在一小段时间内阻止接收器(RX)解密广播，这段时间被称为预定排除时期(EX)。如果接收器(RX)再次尝试响应服务器(SVR)并且再次在错误的时间或在期望的时间帧之外这样做，则服务器(SVR)可以发送进一步阻止消息以在更长的时间段内阻止解密直到最终接收器(RX)被永久排除在能够对广播的解密之外。

在这一点上值得一提的是，如果验证失败，服务器(SVR)还可能不向接收器(RX)发送任何答复。在这种情况下，比获得主动阻止解密广播的其他部分的能力的密钥更好的是，接收器能够继续使用它曾经用来解密控制字的任何密钥信息，直到该密钥信息过期或者直到特定权利过期。在这个时间之后接收器不再能够解密控制字。然而直到这一时间，接收器还可以有其他机会尝试在正确的时间发送验证消息。

根据上述本发明的实施方式，服务器(SVR)包括用于持续追踪参考时间(TR)的参考计时器(CNTR)。从而服务器能够检验接收器(RX)是在什么参考时间(TR)发送其验证消息(V)。接收器(RX)包括用于持续追踪从时间(TS)的从计时器(CNTRS)，接收器知晓预定的呼叫时间(TP)。将从时间(TS)与预定呼叫时间(TP)相比，因而接收器(RX)知道何时向服务器(SVR)发送验证消息(V)。优选地，从计时器(CNTS)被包含于安全模块(SM)中，安全模块(SM)执行从时间(TS)与预定呼叫时间(TP)的比较，且向服务器(SVR)发送消息(V)。

根据本发明的不同实施方式，接收器(RX)通过从服务器(SVR)接收的通信获知预定呼叫时间(TP)，其中服务器负责定义值(TP)。值(TP)通常以加密的格式传递。这可以通过将值(TP)包含在安全消息(ECM)中经由广播通信信道(CH1)来实现，其中安全消息如上所述随着加密内容(AVE)一起广播。另外，加密的预定呼叫时间(TP)可以经由另一种称为授权管理消息(EMM)的安全消息来传递，授权管理消息在条件访问数字广播领域中也是公知的。这些消息(EMM)可以由服务器(SVR)在广播通信信道(CH1)上随着加密内容(AVE)一起发送，且通常是可寻址的，因为它们预定用于多个安全模块(SM)(接收器)的全体的至少一个缩小的子集，并且在安全模块基础上甚至在安全模块上也是可寻址的。可替代地，返回通信信道(CH2)可以将预定呼叫时间(TP)传送到单个安全模块(SM)(接收器)。另一种可能性是，每个安全模块(SM)具有内置预定呼叫时间(TP)或服务器(SVR)已知的能够用于推导预定呼叫时间的值，也就是出厂设置的。值得注意的是，即使在上述预定呼叫时间(TP)需要从服务器(SVR)传送到接收器(RX)的情况下，这也可以通过使用用来导出预定呼叫时间(TP)的值(而不是预定呼叫时间(TP)本身)来实现。

值得注意的是本发明的实施方式允许为不同的安全模块预定不同的期望抵达时间。服务器具备持续追踪哪个期望抵达时间应用到哪个安全模块的装置。该装置可以包括使用记录时间对安全模块的表，优选地使用唯一地址或一些其他唯一识别参数以参考安全模块。接下来当接收到验证消息，服务器就必须能够检查是哪个安全模块发送的。自然地，验证消息进一步包括安全模块的唯一地址或与安全模块关联的一些其他唯一识别参数。另外，在安全模块和服务器能够使用与有关安全模块的唯一识别参数或物理或测量的参数联合的种子计算预定呼叫时间的情况下，可以使用数学计算。

可以通过由服务器(SVR)使用经由广播通信信道(CH1)的ECM或EMM、或通过经由返回通信信道(CH2)的专用消息，利用其参考计时器(CNTR)的当前数值更新安全模块(SM)中的参考计时器(CNTR)来实现将从计时器(CNTS)与参考计时器(CNTR)的同步。

在本发明的另一个实施方式中，替代呼叫时间窗(TW)的存在，接收器(RX)可以仅仅被期望证明其知晓其被期待通过例如将从时间(TS)包含在验证消息(V)中进行答复的时间。例如，当从计时器(CNTS)到达从呼叫时间(TC)，当前从时间(TS)可以被包括在验证消息(V)中，可能是以加密的形式。在这种情况下，服务器(SVR)只需要检验从时间(TS)是否对应于预定呼叫时间(TP)。

图2示出了本发明的再一个实施方式。在该实施方式中，期望接收器(RX)在预定呼叫时间(TP)向服务器发送验证消息(V)，但该消息(V)还必须包括第一伪随机数(NS)，该伪随机数也可被服务器(SVR)验证。第一伪随机数(NS)可以是在安全模块(SM)中从先前接收自服务器(SVR)的种子生成的数。因而安全模块(SM)进一步包括数字生成器(CALCS)以计算第一伪随机数(NS)。以上所述的用于发送预定呼叫时间(TP)的方法的任意一个，例如经由ECM或EMM，都可以用于发送种子到安全模块(SM)。服务器(SVR)也包括用于计算伪随机数的装置(CALCR)，因而能够生成用于验证接收自安全模块(SM)的第一伪随机数(NR)的第二伪随机数(NR)。

比使用来自服务器(SVR)的种子生成第一伪随机数(NS)更好的是，安全模块(SM)可以使用允许服务器(SVR)识别特定安全模块(SM)或特定安全模块组的一些定义参数(UA)的值。这样的定义参数(UA)可以是安全模块的唯一识别符或安全寄存器的值或物理参数，例如安全模块(SM)内部某点的电压，或在安全模块(SM)上某处测得的频率。定义参数的另一个例子是IP地址。然后从安全模块发送到服务器的验证消息包括该定义参数(UA)以允许服务器确定验证消息源自何处。

因而本发明提供了用于从服务器向接收器广播加密内容的安全装置。本发明使用的方法要求接收器在特定且精确及可验证的时间向服务器发送验证消息。为了实现这个目的，接收器必须能够访问可与服务器中的参考计时器同步的有效从计时器。本发明的一种变型进一步要求接收器在验证消息中包括可被接收器检验的伪随机数。

Claims

1.一种经由广播通信信道(CH1)从服务器(SVR)向接收器(RX)安全传送利用控制字(CW)加密(AVE)的内容(AV)的方法，所述接收器(RX)包括与唯一识别参数(UA)关联的安全模块(SM)、解密单元(DECR)以及从计时器(CNTS)，所述服务器(SVR)包括参考计时器(CNTR)，所述安全模块(SM)以及所述服务器(SVR)经由返回通信信道(CH2)相互连接，所述方法包括下列步骤：

由服务器使用密钥信息(K)加密控制字(CW)；

在广播通信信道(CH1)上从服务器(SVR)向接收器(RX)广播加密内容(AVE)和加密过的控制字(ECM)；

由服务器(SVR)定义预定呼叫时间(TP)和呼叫时间窗(TW)，所述呼叫时间(TP)和呼叫窗(TW)对应于接收器(RX)；

由安全模块(SM)监测由从计时器(CNTS)指示的从时间(TS)；

当从时间(TS)等于从呼叫时间(TC)时，从安全模块(SM)向服务器(SVR)经由返回通信信道(CH2)发送至少一个验证消息(V)，所述从呼叫时间(TC)由安全模块(SM)基于至少一个唯一识别参数(UA)导出；

由服务器(SVR)在参考计时器(CNTR)指示的参考时间(TR)上接收验证消息(V)；

由服务器(SVR)执行验证，所述验证至少确定参考时间(TR)和预定呼叫时间(TP)之间的差(DIFF)是否处于呼叫时间窗(TW)中；

如果验证有效：

从服务器(SVR)向安全模块(SM)经由返回通信路径(CH2)发送密钥消息(M)，所述密钥消息(M)包括密钥信息(K)；

由安全模块从密钥消息(M)中提取密钥信息(K)；

由安全模块(SM)使用密钥信息(K)解密加密过的控制字(ECM)；

由解密单元(DECR)使用控制字(CW)解密加密内容(AVE)。

2.根据权利要求1的方法，其中所述验证消息(V)包括唯一识别参数(UA)。

3.根据权利要求1或2的方法，其中所述方法进一步包括下列步骤：

由安全模块(SM)至少使用唯一识别参数(UA)计算第一伪随机数(NS)；

由服务器(SVR)至少使用唯一识别参数(UA)计算第二伪随机数(NR)；以及

其中所述验证消息(V)包括第一伪随机数(NS)且所述验证步骤进一步包括在第一伪随机数(NS)和第二伪随机数(NR)的值之间寻找匹配。

4.根据权利要求1-3中任意一项的方法，其中所述从计时器(CNTS)与参考计时器(CNTR)同步。

5.根据权利要求4的方法，其中所述同步是通过包含在从服务器(SVR)经由广播通信路径(CH1)发送到安全模块(SM)的安全消息(ECM)中的同步消息(SYNC)来实现的。

6.根据权利要求1-5中任意一项的方法，其中预定呼叫时间(TP)是从服务器(SVR)向安全模块(SM)经由返回通信信道(CH2)发送的。

7.根据权利要求1-5中任意一项的方法，其中预定呼叫时间(TP)是在可寻址安全消息(EMM)中经由广播信道(CH1)从服务器(SVR)向安全模块(SM)发送的。

8.根据权利要求1-5中任意一项的方法，其中预定呼叫时间(TP)是由安全模块(SM)至少基于唯一识别参数(UA)导出的。

9.根据权利要求1-7中任意一项的方法，其中验证失败时执行如下附加步骤：

经由返回通信路径(CH2)从服务器(SVR)向安全模块(SM)发送密钥消息(M)，所述密钥消息(M)包括禁止密钥信息(X)以在至少预定排除时间段(EX)禁止对加密内容(AVE)的解密；

由安全模块从密钥消息(M)中提取禁止密钥信息(X)。

10.根据权利要求8的方法，其中所述预定排除时间段(EX)根据验证失败的次数而变化。

11.根据权利要求1-9中任意一项的方法，其中返回通信路径(CH2)是因特网连接。

12.一种包含经由广播通信信道(CH1)和返回通信信道(CH2)两者链接到服务器(SVR)的接收器(RX)的系统，

所述接收器(RX)包括：

解密单元(DECR)；

与唯一识别参数(UA)关联的安全模块(SM)；以及

从计时器(CNTS)；

所述服务器(SVR)包括参考计时器(CNTR)；

所述接收器(RX)配置为：

经由广播通信信道(CH1)接收内容(AV)，所述内容由控制字(CW)加密(AVE)；

经由广播通信信道(CH1)接收用密钥信息(K)加密(ECM)的控制字(CW)；以及

使用控制字(CW)解密加密内容(AVE)；

所述系统特征在于：

安全模块(SM)配置为：

监测由从计时器(CNTS)指示的从时间(TS)；以及

当从时间(TS)等于从呼叫时间(TC)时，经由返回通信信道(CH2)向服务器(SVR)发送验证消息(V)，所述从呼叫时间(TC)由安全模块(SM)至少基于唯一识别参数(UA)导出；

特征还在于：

服务器(SVR)配置为：

定义预定呼叫时间(TP)和呼叫时间窗(TW)，该预定呼叫时间(TP)和呼叫时间窗(TW)都对应于接收器(RX)；

在参考计时器(CNTR)指示的参考时间(TR)接收验证消息(V)；

验证参考时间(TR)和预定呼叫时间(TP)之间的差(DIFF)是否在呼叫时间窗(TW)内；以及

能够经由返回通信路径向安全模块(SM)发送密钥消息(M)，所述密钥消息(M)包括密钥信息(K)；

并且特征进一步在于安全模块(SM)进一步配置为从密钥消息(M)中提取密钥信息(K)以及使用密钥信息(K)解密加密的控制字(ECM)。