CN103595540B

CN103595540B - 安全处理方法和系统及信息家电设备

Info

Publication number: CN103595540B
Application number: CN201310359835.1A
Authority: CN
Inventors: 斯特凡娜·罗杰斯
Original assignee: Avago Technologies Fiber IP Singapore Pte Ltd
Current assignee: Avago Technologies International Sales Pte Ltd
Priority date: 2012-08-17
Filing date: 2013-08-16
Publication date: 2017-06-09
Anticipated expiration: 2033-08-16
Also published as: US20140053186A1; EP2699017B1; TW201412098A; US8806526B2; TWI513289B; CN103595540A; EP2699017A1

Abstract

本发明公开了与首端安全连接的安全处理单元，一种系统包括信息家电设备的传输中央处理单元。传输中央处理单元接收来自首端的信息。该传输中央处理单元使消息由安全处理单元访问。与传输中央处理单元相连的主机中央处理单元被禁止使用该信息。

Description

安全处理方法和系统及信息家电设备

优先权声明

本申请要求于2012年8月17日提交的美国临时申请序列号61/684，484和于2012年11月13日提交的美国专利申请序列号13/675，757的优先权，其全部内容通过引证结合于此。

技术领域

本发明涉及在系统中的安全广播，并且涉及安全连接至广播首端的安全中央处理单元。

背景技术

由消费者需求驱动的电子与通信技术的发展能够导致数据驱动装置得到广泛地采用，该数据驱动装置包括用于处理和转换第三方媒体内容的那些装置。诸如卫星和电缆公司的第三方媒体供应商可能期望他们的内容被安全处理，使得所述内容在某一允许级外不会被复制或使用。

发明内容

根据本发明的一实施方式，提供了一种系统，包括：信息家电设备的传输中央处理单元，该传输中央处理单元用于从首端接收消息；与该传输中央处理单元相连接的安全处理单元，该传输中央处理单元提供该安全处理单元对该消息的访问；并且与该传输中央处理单元相连接的主机中央处理单元，该传输中央处理单元禁止该主机中央处理单元访问该消息。

进一步地，该消息包括该安全处理单元的用于关闭或重置该信息家电设备的指令。

进一步地，该系统还包括该信息家电设备的存储器，该存储器包括用于存储来自该首端的该消息的受保护区域，该受保护区域由该安全处理单元访问而不由该主机中央处理单元访问。

进一步地，该系统还包括与该存储器相连接以建立该存储器的该受保护区域的第二安全处理单元。

进一步地，该系统还包括与该第二安全处理单元相连接的保护硬件，该保护硬件用于控制对该存储器的该受保护区域的访问。

进一步地，该系统还包括与该传输中央处理单元相连接的后置条件访问解密模块，该后置条件访问解密模块用来解密用于发送至该传输中央处理单元的来自该首端的该消息。

进一步地，该首端包括电缆电视首端、宽带首端和地面电视首端中的至少一个。

进一步地，该系统还包括用于将该消息从该传输中央处理单元发送至该安全处理单元的专用信道。

进一步地，该消息被包括在视频、音频或其它数据流中。

进一步地，该信息家电设备包括机顶盒。

根据本发明的另一实施方式，还提供了一种信息家电设备，包括：与具有受保护区域的存储器相连接的主机中央处理单元，其中，该主机中央处理单元不能访问该受保护区域；以及与该存储器相连接的安全中央处理单元，其中，该安全中央处理单元能够访问该存储器的该受保护区域，其中，来自首端的消息被存储在该受保护区域中而不通过该主机中央处理单元。

进一步地，该消息被包括在通过该首端发送的视频、音频或其它数据流中。

进一步地，该信息家电设备还包括传输中央处理单元，该传输中央处理单元被配置为用于确定该消息是否对于该主机中央处理单元能够访问，并且被配置为如果确定该消息不能由该主机中央处理单元访问则将通过旁路将该消息发送至该主机中央处理单元。

进一步地，该信息家电设备还包括与该存储器相连接用以建立该存储器的该受保护区域的第二安全中央处理单元。

进一步地，该消息包括用于关闭或重置该信息家电设备的指令。

根据本发明的又一实施方式，提供了一种方法，包括：从首端接收加密视频、音频或其它数据流，该视频、该音频或该其它数据流包括被插入在该视频、该音频或该其它数据流中的消息，该消息仅对信息家电设备的安全处理单元有用，而对该信息家电设备的主机中央处理单元没用；解密包括该消息的该视频、该音频或该其它数据流；确定该消息对于该主机中央处理单元是没用的；将该消息提供给该安全处理单元，而不将该消息提供给该主机中央处理单元。

进一步地，该方法还包括基于指令执行该消息以关闭或重置该信息家电设备。

进一步地，该方法还包括将该消息存储在存储器的受保护区域中，该受保护区域对于安全处理单元能够访问而对于该主机中央处理单元不能访问。

进一步地，该消息请求向该首端返回信息，该返回信息不经过该信息家电设备的主机。

进一步地，该数据包括通过专用信道将该信息从传输中央处理单元发送至该安全处理单元。

附图说明

参考以下附图和描述可以更好的理解所述系统和方法。在附图中，相同的参考标号在所有不同的图中指代相应的部分。

图1是支持TV广播的重放和局部馈电（local feed）的示例性视频系统的框图。

图2是用于安全地处理从首端发送到信息家电设备的数据信号的示例性处理系统框图。

图3是描述用于安全处理从首端发送到信息家电设备的消息的示例性过程的流程图。

具体实施方式

本系统与方法可以将消息从广播首端安全地发送到安全处理单元，例如，而不用经过信息家电设备的主机。该消息可包含到安全处理器的指令，例如，用以解决信息家电设备中的侵入寻址（hack）或复制情况。

图1是支持TV广播的重放以及从广播首端到信息家电设备的局部馈电的示例性广播系统100的框图。在图1中，广播系统100可包括显示装置102、地面电视首端104、电视塔106、电视天线108、电缆电视（CATV）首端110、电缆电视（CATV）分布网络112、卫星电视首端114、卫星电视接收机116、宽带电视首端118、宽带网络120、机顶盒122和音像（AV）播放器装置124。这些首端可以包括作为一个点的一种装置，视频、音频以及其他数据馈送针对多通道被从该点接收、被存储、处理以及被传输到广播用户。除了传输设备，这些首端还可以包含针对各种信道的馈送。

在操作中，显示装置102可用于播放视频流，该视频流可从广播首端和/或从诸如AV播放器装置124的一个或多个本地资源处接收。例如，显示装置102可经由电视天线108从地面电视首端104接收电视广播；接收可以通过CATV首端110经由CATV分布网络112进行通信的电缆电视广播；接收可以通过卫星接收器116被接收的卫星电视广播；和/或接收可以通过宽带电视首端118经由宽带网络120通信的互联网多媒体广播。电视首端可以利用电视广播中的各种格式化解决方案。显示装置102是可操作用于直接处理多媒体/电视广播使相应的视频和/或音频数据能够播放。

另外或可选地，诸如机顶盒122的另一装置可以用来执行处理操作和/或功能，其可操作用来从接收的媒体流中提取视频和/或音频数据，然后所提取的音频/视频数据可经由显示装置102被重放。显示装置102还可以被用于显示从诸如AV播放器装置124的本地资源输入的视频数据。在这点上，AV播放器装置124可以读取和/或处理存储到诸如DVD或蓝光光碟的多媒体存储装置中的多媒体数据，以及可以生成可经由显示装置102显示的相应视频数据。

显示器102、机顶盒122和/或AV播放器装置124或其它信息家电设备可以包括能够处理接收自一个或多个广播首端的电视和/或多媒体流/信号使得能够生成可经由显示装置102播放的视频、音频和/或其它数据的适当逻辑、电路、接口和/或代码。显示器102、机顶盒122和/或AV播放器装置124可以进行视频/音频处理的至少一些和/或还可以提供诸如加密的附加功能和/或诸如数字版权管理（DRM）相关处理的访问控制相关功能。

图2是用于安全地处理数据信号的示例性处理系统200的框图，该数据信号从诸如地面电视首端104、电缆电视首端110以及宽带电视首端118的首端被发送到诸如显示装置102、机顶盒122以及AV播放器装置124的信息家电设备。处理系统200可以作为显示器102、机顶盒122和/或AV播放器装置124的逻辑、电路、接口和/或代码的一部分而被包括。系统200可以包括诸如安全性CPU A的第一处理单元210，诸如安全性CPU B的第二处理单元220以及诸如动态随机存取存储器230的存储器230。保护硬件240可以将第一处理单元连接到存储器230。处理系统200还可以包括后置条件访问（CA）解密模块250、传输CPU 260以及主机270。

处理系统200能够通过将数据信号的消息从广播首端直接传递到信息家电设备的第一处理单元210或第二处理单元220而不经过信息家电设备的主机270，来安全地处理数据信号。例如，这在信息家电设备的主机270或其它组件被侵入或被复制的情况下可以提供优势。

在基于安全性的广播系统中，首端可以期望向对侵入有所察觉的机顶盒122或其它信息家电设备提供安全控制。在危及主机270安全的情况下首端能够做的很少，因为在处理系统200中的其他处理单元在没有主机270介入的情况下不能接收来自首端的消息。如果主机270是不可信的，在消息不受电子对抗措施（ECMs）的束缚的情况下，就可能不存在与首端的安全连接。尽管第一处理单元210和第二处理单元220可以包括安全功能性，但安全处理单元经常依赖于用来指示（例如，用来键盘处理）的主机270。消息可以被加密到主机270，但如果主机270不能传递消息并且不束缚于键盘，则首端就不能向信息家电设备传递所期望的控制。

为了将消息安全地从首端发送至第二处理单元220，CA解密模块250可以接收并且解密从首端被发送到信息家电设备的数据信号中的消息。CA解密模块250将解密的消息发送至传输CPU 260以解析该消息并标记数据包以被发送至第二处理器220而非主机CPU270。传输CPU 260可以例如通过在解密之后的消息中寻找样式来检测消息。其它检测消息的方法可以包括，例如，在直接被发送至第二处理单元220的消息中识别消息起始码。该消息可以包含用以关闭信息家电设备以解决侵入寻址或复制情况的到第二处理单元220的指令，或者包含诸如重置信息家电设备而无需将其关闭的指令。传输CPU 260可以使首端消息访问第二处理单元220，而禁止消息访问主机CPU 270。

例如，通过第一处理单元210分配存储器230的受保护区域280以存储只可对于第一处理单元210、第二处理单元220访问以及传输CPU 260而不由主机CPU270访问且不涉及主机CPU 270的消息或数据包。受保护区域280可以使用诸如包括地址范围检验器的保护硬件240进行保护以确保只有传输CPU 260、第一处理单元210和第二处理单元220可以访问受保护区域280,而主机CPU 270不能访问。保护硬件240可以是由第一处理单元210控制用以物理上阻塞主机270访问存储敏感数据的受保护区域280。尽管主机270不允许访问该区域，但保护硬件240允许传输CPU 260、第一处理单元210和第二处理单元240向受保护区域280写入消息并从该受保护区域读取消息。

另外或可选地，传输CPU 260可以例如经由专用信道290向第二处理单元220直接传送安全消息，例如无需涉及存储器230和主机270。传输CPU 260可以直接向第二处理单元220的内部存储器写入消息。第二处理单元220的内部存储器例如使用检验器而受保护免于修改。该消息可以包括来自首端的指令用以重置或者关闭诸如机顶盒122的装置。第二处理单元220可以执行所述指令。由于主机270从不接收消息，故可能会被侵入的主机270不会干涉指令执行。

图3是描述用于保护从首端发送到诸如机顶盒122的信息家电设备的消息的示例性过程的流程图。首端可以在视频、音频的或其它数据流中插入消息包，所述消息包表示消息仅对第一处理单元210或第二处理单元220有用而对主机CPU270没用（300）。所述信息可以连同加密视频或音频数据流一起例如通过CA加密而被加密（310）。通过在视频和音频数据流中包括安全消息，消息可以不容易被诸如黑客识别，并且所述消息可以通过具有CA解密能力的系统被提取。在诸如机顶盒122的信息家电设备中，可以使用CA解密通过CA解密模块250解密视频/音频/消息（320）。可以采用其它类型的加密与解密方法。传输CPU 260可以检查数据包内的样式以确定这是否为来自于首端的对主机CPU没有用的消息（330）。所述消息可以被携带在视频和音频基本流（ES）层中，或者具有不同程序ID（PID）的特殊数据包。

视频与音频数据的基层可以包括ES、原始压缩数据。ES数据可被装入被称为PES的具有报头的大的可变数据包，并且接下来这些数据包可以被解析为诸如188位的固定长度数据包，所述固定长度数据包被称为传送数据包，其中，每个传送数据包根据其包含的字段均具有诸如4位或者更多位的报头。使用MPEG-2传输层或者其他传输格式可实现传输。文件格式可以使用不同的数据包格式但是在基层具有ES数据。消息可被包含于这些报头之中，将所述消息装载在视频和音频ES层中可以具有以下优势：一旦视频/音频通过CA加密，消息是不可见的，并且因此就不能从数据流中移除。

如果数据包是拒绝使用主机CPU 270的首端信息，则传输CPU 260可以向存储器230的受保护区域280写入消息（350）。传输CPU 260还可以中断诸如安全性CPU B的第二处理单元220以使得第二处理单元220知道该信息(360)。第二处理单元220可以通过执行消息中的指令来读取消息并且处理该消息，例如，以防止入侵或复制情况(370)。如果消息不拒绝使用主机CPU 270，则该消息不被存储到受保护区域280并且主机270可以存取所述信息(380)。

这个方法的好处是不依赖于主机CPU 270处理信息，首端可以向安全处理单元发送消息从而配置信息家电设备。该首端消息可以直接传播至第一处理单元210和第二处理单元220，并且绕过主机CPU 270。两个安全CPU被用于诸如在多信任系统中的第一处理单元210和第二处理单元220。第一处理单元210可以包括有权使用高值秘密的常规安全CPU，并且正常地从主机CPU 270接收命令。第二处理单元220可以包括中间等级安全性CPU。第一处理单元210可以控制存储器230的受保护区域280以及第二处理单元220可以执行基于安全信息的操作。基于所述信息的操作可以包括关闭被侵入或复制的信息家电设备。另外或可选地，可以或多或少使用安全性CPU。

在包括首端和信息家电设备之间的双向通信的广播系统100中，首端可以指示第二处理单元220返回信息到首端，而该返回信息不通过信息家电设备的主机270。例如，电缆电视首端110可以指示机顶盒122的安全CPU B返回一次性可编程（OTP）的配置信息或其它设置。OTP配置信息可以指示关于被盗用机顶盒的信息以便允许叛逆者追踪，例如，识别正执行复制的机顶盒。安全CPU B可以形成包括OTP配置信息的消息并且在不涉及主机270的情况下将该信息发送回首端。

尽管已经描述了不同的实施方式，将清楚的是，更多的实施方式与实现都是可行的。因此，除了根据所附权利要求和其等价物，本系统和方法外不受限制。

Claims

1.一种安全处理系统，包括：

信息家电设备的传输中央处理单元，所述传输中央处理单元用于从首端接收消息；

与所述传输中央处理单元相连接的安全处理单元，所述传输中央处理单元向所述安全处理单元提供对于所述消息的访问；并且

与所述传输中央处理单元相连接的主机中央处理单元，所述传输中央处理单元还用于确定是否所述消息不能被所述主机中央处理单元所访问，响应于所述确定，禁止所述主机中央处理单元访问所述消息。

2.根据权利要求1所述的系统，其中，所述消息包括用于所述安全处理单元的用来关闭或重置所述信息家电设备的指令。

3.根据权利要求1所述的系统，还包括所述信息家电设备的存储器，

所述存储器包括用于存储来自所述首端的所述消息的受保护区域，

所述受保护区域由所述安全处理单元访问而不由所述主机中央处理单元访问。

4.根据权利要求3所述的系统，还包括与所述存储器相连接以建立所述存储器的所述受保护区域的第二安全处理单元。

5.根据权利要求4所述的系统，还包括与所述第二安全处理单元相连接的保护硬件，所述保护硬件用于控制对所述存储器的所述受保护区域的访问。

6.根据权利要求1所述的系统，还包括与所述传输中央处理单元相连接的后置条件访问解密模块，所述后置条件访问解密模块用来解密用于发送至所述传输中央处理单元的来自所述首端的所述消息。

7.根据权利要求1所述的系统，其中，所述首端包括电缆电视首端、宽带首端和地面电视首端中的至少一个，其中，所述消息被包括在视频、音频或其它数据流中，所述信息家电设备包括机顶盒。

8.根据权利要求1所述的系统，还包括用于将所述消息从所述传输中央处理单元发送至所述安全处理单元的专用信道。

9.一种安全处理方法，包括：

从首端接收加密的视频、音频或其它数据流，所述加密的视频、音频或其它数据流包括被插入在所述加密的视频、音频或其它数据流中的消息；

解密包括所述消息的所述加密的视频、音频或其它数据流；

确定所述消息对于信息家电设备的主机中央处理单元是没用的；

响应于所述确定，将所述消息提供给所述信息家电设备的安全处理单元，而不将所述消息提供给所述主机中央处理单元。