CN1305310C - 用于选择性地提供对一项利用控制字加密的业务的访问的设备和方法以及智能卡 - Google Patents

Abstract

本文涉及用于选择性地提供对一个利用控制字加密的业务的访问的设备(120)、智能卡(300)和方法。连同一个权利控制消息ECM(203)一起接收一项业务(202)，ECM(203)包含授权数据和一个该授权数据有效期的指示符。只有在发现该ECM(203)是有效的情况下，才解密该业务。业务(202)可被存入一个诸如DVD之类的存储介质中。一个ECM代码转换模块(211)从ECM(203)获得授权数据并向写入装置(215)提供一个设备专用ECM，该设备专用ECM包含授权数据。可利用一个该设备(120)专用的密钥对该设备专用ECM加密，并且/或者该设备专用ECM包含一个该设备(120)的标志符。

Description

用于选择性地提供对一项利用控制字 加密的业务的访问的设备和方法以及智能卡

技术领域

本发明有关一个设备，用于选择性地提供对一个利用控制字加密的业务的访问，该设备包含一个接收装置，用于接收该业务和一个权利控制信息(ECM)，该信息包含授权数据和一个该授权数据有效期的指示符，并包含解密元件，利用该控制字解密该业务，一个计时器，用于提供时间，还包含条件访问装置，用于从ECM获得授权数据和该授权数据有效期的指示符，并根据对该授权数据的确认及对当前时间处于有效期内的判断，向解密元件提供控制字。

本发明还有关一种方法，用于选择性地提供对一个利用控制字加密的业务的访问，该方法包括：接收该业务和一个权利控制信息(ECM)，该信息包含授权数据和一个该授权数据有效期的指示符，并根据对该授权数据的确认及对当前时间是否处于从CM获得的有效期内的判断，提供控制字，并利用该控制字解密该业务。

技术背景

符合前面所提到内容的一个设备见于美专利申请6,005,938。业务提供者，例如一个收费电视节目的提供者，一般通过对他所发布的信息(该信息是其业务的一部分)加密来进行保护，以防止没有为该项业务付费的用户获取到该项业务。需要获取该项业务的用户必须获得一个包含授权数据的所谓的权利控制信息(ECM)，以获取该业务。ECM一般包含一个控制字或解密钥，它可被用于对加密业务解密。或者，该控制字可被存储在一个智能卡中，用户需事先购买该智能卡，并将其插入他的电视机或置顶盒中。在这种情况下，ECM包含授权数据，该数据会使智能卡向解密模块提供控制字。利用该控制字，解密模块会解密该业务并允许用户获得该业务。以这种方式，用户可以浏览所认购的电视节目或访问一项交互性的业务。

在这种安排方式下，一个用户可以记录从业务提供者处得到的一个ECM，并可再次利用该ECM使用该业务。这就使用户能够不用付费地再次使用该业务。为防止这一点，业务提供者经常在ECM中插入一个该ECM有效期的指示符。接收该ECM的智能卡或置顶盒将检查该指示符或有效期，若用户要使用该业务的时间不在有效期内，则拒绝将控制字提供给解密模块。

对于有些应用来说，需要在本地存储与该业务相关的信息。例如用户可能需要记录通过收费电视业务提供的一个电视节目，以便日后方便的时候观看。不过，若该信息是以普通格式存储的，则存取控制不再存在。为确保存取控制保持完好，该信息需要以加密格式存储。为允许用户日后获取所存储的信息，ECM同样需要被存储。不过，由于存在ECM的有效期指示符，因此，当用户在有效期满后需要观看该节目时，所存储的信息已无法获得。这意味着，用户无法获得他在选定时间购买的信息。

发明内容

本发明的一个目的是提供一个符合前面所提到内容的设备，它在提供对业务的访问方面更加灵活。

按照本发明，这一目的在一个设备中实现，该设备的特点在于ECM代码转换设备，该设备从ECM获得授权数据，并向写入元件提供一个设备专用ECM，该设备专用ECM包含授权数据。通过创建一个设备专用ECM，可以在任何时刻获得所存储的业务和信息，这是因为该设备专用ECM不包含有效期。

在本发明的一个实例中，安排了条件存取装置，用于在控制字出现在授权数据中时提供该控制字。以这种方式，该设备不需在某处的安全存储器中存储控制字，而是能简单地从ECM内的授权数据中获得该控制字。

在另一个实例中，ECM代码转换元件包含在智能卡中。我们希望条件存取装置能以安全的方式存储，以免恶意用户对它进行再处理。ECM代码转换元件也是一样。通过将这些元件放在一个智能卡中，可以使恶意用户更难对它们进行再处理以便获得其它设备的设备专用ECM。

在另一个实例中，设备专用ECM包含一个一组设备的标识符，该设备是所述设备组中的一员。不将该设备专用ECM限制到一个具体的设备，可以获得更大的灵活性。或者，设备专用ECM可以具有一组标识符或一些指定设备的标识符。这就允许用户，例如，在一个设备上记录加密业务并在另一个设备上回放该业务。

在另一个实例中，设备专用ECM包含该设备的一个标识符。为防止用户在另一个设备上使用该设备专用ECM，在该设备专用ECM中记录一个该设备的标识符。以这种方式，用户只能在该指定的设备上使用该设备专用ECM。

在另一个实例中，设备专用ECM是利用一个密钥加密的，该设备具有一个与该密钥相对应的解密钥。通过对设备专用ECM加密，用户不能利用除创建该设备专用ECM的设备之外的任何其它设备来获得该设备专用ECM。这一措施能防止将该设备专用ECM的拷贝散布给未授权的第三方。

本发明的另一个目的是提供一种符合前面所述内容的方法，该方法在提供对业务的访问方面更加灵活。

按照本发明，这一目的在一种方法中实现，该方法的特点在于以下步骤，即，从ECM获得授权数据，并向写入元件提供一个包含授权数据的设备专用ECM。通过创建一个设备专用ECM，可以在任何时刻获得所存储的业务和信息，这是因为该设备专用ECM不包含有效期。

本发明的另一个目的是提供一个智能卡，该智能卡用于符合本发明的一个设备中，它能在提供对该业务的存取方面提供更大的灵活性。

按本发明，这一目的是在一个智能卡中实现的，该智能卡的特点在于ECM代码转换元件，该元件从一个ECM中获得授权数据并向写入装置提供包含授权数据的一个设备专用ECM。通过将ECM代码转换元件存储在智能卡中，可以获得该ECM代码转换元件的更高水平的安全性。另外，用户可以在任何能接收该智能卡的设备上使用他的智能卡，因此，不必局限于一个具有ECM代码转换元件的特定设备。

在一个实例中，该智能卡还包含条件存取装置，用于从ECM获得授权数据有效期的一个指示符，并根据对授权数据的确认及对当前时间是否在有效期内的确认，向解密元件提供一个控制字。通过在智能卡中提供该条件存取装置，智能卡可被用作一个单独的条件存取机制，它可被用于任何配备了智能卡读取装置的设备。

附图说明

参照图形中显示的实例，可以清楚本发明的这些和其它方面。

图1概略显示了按本发明的一种安排，其中包含一个业务操作器和一个接收设备；

图2更具体地显示了本发明的一个设备；

图3更具体地显示了本发明的一个智能卡。

具体实施方式

在所有的图中，同样的参考符号表示类似或相应的功件。

图中显示的一些功件通常是用软件实现的，同样地，代表诸如软件模块或对象的软件实体。

图1概略显示了一个安排100，包含经一个网络110(例如Internet或有线电视网)连接的一个业务操作器101和一个接收设备120。利用网络110，业务提供者101可以向接收设备120提供一项业务的实例，例如允许接收设备120的用户获得一个需订购的电视业务。接收设备120可以采用许多形式，例如一个置顶盒，一个电视，一个收音机，一个个人电脑等等。业务提供者101可以多种方式提供业务。在有些情况下，业务提供者向所有经网络连接的接收设备提供加密业务，只有那些具有合适的解扰元件的接收设备能够解扰并获得该业务。在其它情况下，业务提供者101只向申请该业务的指定用户提供该业务的实例，例如一个指定的电影或电视节目。

一般，只有在接收装置120的用户为该项业务付费之后，才能获得该业务。为限制该访问权限，业务提供者101对他发布给接收装置120的该业务或该业务中的实例加密。接收装置120的用户必须获得解密该业务所必需的合适的控制字。有多种途径可以向用户发布控制字。控制字可被存储在接收装置120中，或者，在用户付费时由业务提供者101发布给接收装置。可经网络110发布控制字，也可将控制字存储在一个智能卡中，用户可将该智能卡插入接收装置120。

若控制字被存储在接收装置120中，业务提供者必须向接收装置发送授权，以使其能够使用控制字访问该业务。若未接收到授权，接收装置必须拒绝解密该业务。该授权是以一个所谓的权利控制消息(ECM)的形式发布的。一旦接收到访问该业务的有效授权，则该设备利用控制字为用户提供对该业务的访问。若该控制字不能在接收设备120自身获得，也不能在智能卡中得到，则业务提供者101必须将控制字作为ECM的一部分发送。

图2更具体地显示了接收设备120。该设备包含一个接收模块201，用于从业务提供者101接收一个业务或其中的一个实例202和一个ECM 203。实例202被送入一个解密模块205，该模块利用控制字解密实例202，并将已解密的实例送给一个表现模块220，例如一个电视机屏幕。以这种方式，用户可以获取该业务或观看该实例220。

控制字是由一个条件访问模块210提供给解密模块205的。该条件访问模块210从ECM 203获得授权数据和该授权数据有效期的指示符。首先，条件访问模块210检查该授权数据的有效性。业务提供者101可以数字标记该ECM 203(例如)，随后，条件访问模块210确认该数字信号。另外，需要验证该ECM 203确实是要用于所接收到的实例202。

另外，条件访问模块210还需验证该ECM 203是否仍然有效。为此，设备120备有一个计时器212，例如一个实时时钟，该时钟向条件访问模块210提供当前时间。随后，条件访问模块210判断该时间是否在ECM所表明的有效期内。在ECM 203中，有效期可被指定为一个开始或结束日期和代表一个时间段的有效期的组合，或简单地由一个代表时间段的值表示。另外，有效期可指定一个用户不接收业务实例的时间段。

若条件访问模块210发现ECM 203是有效的并且当前时间在有效期内，则条件访问模块210向解密模块205提供控制字。控制子可出现在ECM 203中，或存储在设备210中。

设备120的用户可能需要将所接收到的实例202存储在一个诸如硬盘、DVD+RW或CD-RW之类的存储介质中。为此，设备120包含一个写入模块215，例如一个视频记录机，一个数字通用盘(DVD)写入器，或一个压缩磁盘(CD)写入器。这就允许用户保存所接收的实例以供日后观看。写入模块215还必须存储ECM 203中出现的授权数据。存储所接收的实例须经业务提供者101的许可。该许可可以在ECM 203中给出，或是在其它授权信息中给出。

若控制字出现在ECM 203中，则还需在存储介质中存储该控制字。没有控制字就不可能访问所存储的实例202。实例202是以加密格式存储的。

一个ECM代码转换模块211由ECM 203获得授权数据，并向写入模块215提供一个包含授权数据的设备专用ECM。由于设备专用ECM不包含一个指示符或一个有效期，因此设备专用ECM的有效期是无限的。因此，用户可以在他所选中的任何时间回放该实例，这就使该设备非常灵活。

不过，希望以某种方式保护存储在设备专用ECM中的授权数据。例如，用户可以从存储介质中拷贝设备专用ECM并将其发送，这样，就使许多人可以访问所存储的实例。由于业务操作器101一般对每一个访问该业务的人都收费，因此这是不希望的。

有各种方法可以保护设备专用ECM，防止其被不正当使用。在一个推荐实例中，设备专用ECM还包括该设备120的一个标识符。在以后的一个时间，当接收模块201从存储介质接收该实例202时，条件访问模块210将获得存储在设备专用ECM中的授权数据，该授权数据包含该设备的标识符。条件访问模块210将存储在设备专用ECM中的设备标识符与该设备120的标识符进行比较。如果两个标识符匹配，则条件访问模块210向解密模块205提供存储在设备专用ECM中的控制字。

当设备120是一组设备中的一个单元时，该设备的标识符可被实现为一个一组设备的标识符。当设备专用ECM被提供给条件访问模块210时，它必须确认设备120是该组设备中的一员。

为保护设备专用ECM以防止其被误使用，可用一个密钥对其加密，设备120有一个与之相对应的解密钥。因此，只有设备120能对加密的设备专用ECM解密，并获得其中的授权数据。这可由公共密钥密码实现，当然，也可以使用保密密码方案。在设备120中存储一个公共/私人密钥对。ECM代码转换模块211获得密钥对中的公共部分并用其对设备专用ECM加密。随后，条件访问模块210获得密钥对中的私人部分并用其对设备专用ECM解密。

设备120可以包含一个解密模块213，其中至少存储密钥对中的私人部分。因此，恶意用户无法复制该私人部分以便对加密的设备专用ECM解密，从而非法获取授权数据。解密模块213可以自己对加密设备专用ECM解密，或是在必需时向条件访问模块210提供密钥对中的私人部分。

解密钥可以是设备120唯一的，因此，只有设备120可以获得授权数据。解密钥也可以是一组设备共享的，设备120是该组设备的一部分。这就允许由一个设备存储授权数据，并由该组的另一个设备访问该授权数据。

可以存储设备专用ECM的多个拷贝，为允许访问它的每个设备加密一次该拷贝。因此，这些设备中的每一个都可以访问自己的拷贝，但是其它设备不能访问该设备专用ECM。

在另一个实例中，业务提供者101激活一个“识别接收机”选项。该选项出现在ECM 203的私人CA参数中。该选项包含一个AND掩码和/或OR掩码。在出现时，该掩码屏蔽掉接收设备的唯一识别模式，从而允许成组访问。在该实例中，要求每一个接收设备都有一个唯一的识别模式或标识符。

为生成组标识，ECM代码转换模块211向接收装置120的设备标识符提供AND掩码和OR掩码。例如，组标识符可以这样计算：(设备标识符AND AND-掩码)OR OR-掩码。

随后，ECM代码转换模块211将组标识符与前面提到的密钥相结合，产生一个用于为设备专用ECM加密的密钥。因此，设备专用ECM包含原始的AND掩码和/或OR掩码，及密钥结果。

用于为设备专用ECM加密的密钥最好与组标识符链接，并送入一个杂凑(哈希)函数。哈希函数的输出是一个多样钥，用于检查，生成，解密和加密该设备专用ECM。这种方案的一个优点是，该设备专用ECM现在立即可由该组中的任何设备使用。另外，通过使用哈希函数，输出的长度不随输入的长度变化。

图3显示了一个智能卡300，该卡包含一个条件访问模块210，ECM代码转换元件211和一个安全存储模块301。由于条件访问模块210和ECM代码转换元件211处理授权数据并向用户提供对业务的访问，因此它们必须足够安全。保护这些模块的一种有效方式是将它们嵌入一个智能卡中。与普通的计算机和软件相比，智能卡要安全得多，因此能更好地保护条件访问业务的条件方面。因此，设备120配备一个智能卡读取模块310，用户可以向该模块中插入智能卡300。智能卡读取模块310还实现嵌入在设备120中的接收模块201和解密模块205，以及嵌入在智能卡中的条件访问模块210和ECM代码转换元件211之间的通信。

解密该业务所必需的控制字可被存储在智能卡上的安全存储模块301中。用户要获得该控制字非常困难，因此，他在不付费的情况下很难访问该业务。

也有可能该设备120已被处理，因此，它不是简单地解密该业务，而是在未得到业务提供者101允许的情况下，存储控制字或存储未加密的业务。为防止这样一个经过改造的设备获得控制字，智能卡300可以使用一个鉴定机制，以确认该设备120是否被处理过。这一鉴定机制的实现方法可以是，例如，智能卡向设备120发布一个经过加密的“质询”，设备120必须对其解密并发送回智能卡300。若设备120不能正确解密该质询，则该设备不是一个许可的设备，不能获得控制字。或者，智能卡300可以检查设备120要执行的程序代码的一些部分的完整性，例如，通过验证一个数字信号。

若控制字没有存储在安全存储模块301中，而是在ECM 203中提供，则ECM 203被提供给智能卡300，从而提供给条件访问模块210，该模块从ECM 203获得控制字。控制字在ECM 203中通常是加密格式的，因此条件访问模块210需要首先解密该控制字。解密控制字所必需的密钥可被存储在一个安全存储模块301中。

在另一个实例中，智能卡300还包括一个解密模块213。这就使用户可以在能使用智能卡300的任何设备上获得加密的设备专用ECM。对于为设备专用ECM加密的密钥来说，在解密模块213中必须可以获得与之相对应的解密钥。

Claims (9)

1.一种用于有选择地提供对利用控制字加密的业务(202)的访问的设备(120)，包括：

接收装置(201)，用于接收该业务(202)和权利控制消息ECM(203)，该ECM包含授权数据和该授权数据的有效期的说明符，

解密装置(205)，利用该控制字解密该业务，

计时器(212)，用于提供时间，和

条件访问装置(210)，用于从该ECM(203)中获得授权数据和该授权数据的有效期的说明符，并根据对该授权数据的验证及当前时间是否在有效期内的判断，向解密装置(205)提供该控制字，

该设备的特点在于：

写入装置(215)，用于以加密的形式存储所接收的业务(202)供以后访问；

ECM代码转换装置(211)，用于从该ECM(203)中获得授权数据，并向写入装置(215)提供设备专用ECM，该设备专用ECM包含授权数据但不包括有效期的说明符，允许以后访问所存储的业务(202)。

2.权利要求1中的设备(120)，其中，所述条件访问设备(210)被安排成在控制字存在于该授权数据中的情况下提供该控制字。

3.权利要求1中的设备(120)，其中，所述ECM代码转换装置(211)包含在智能卡中。

4.权利要求1中的设备(120)，其中，所述设备专用ECM包含用于一组设备的标识符，该设备(120)是所述设备组中的设备。

5.权利要求1中的设备(120)，其中，所述设备专用ECM包含用于该设备(120)的标识符。

6.权利要求1中的设备(120)，其中，所述设备专用ECM是利用加密密钥加密的，该设备(120)具有与该加密密钥相对应的解密密钥。

7.一种用于选择性地提供对利用控制字加密的业务(202)的访问的方法，包括：

接收该业务和权利控制消息ECM，该ECM包含授权数据和该授权数据的有效期的说明符，

根据对该授权数据的验证及当前时间是否在从该ECM获得的有效期内的判断，提供该控制字，并且

利用该控制字解密该业务，

该方法的特点在于：

使用写入装置(215)来以加密的形式存储所接收的业务(202)供以后访问；

从该ECM中获得授权数据；

向该写入装置提供设备专用ECM，该设备专用ECM包含授权数据但不包括有效期的说明符，允许以后访问所存储的业务(202)。

8.一种用于权利要求3所述的设备的智能卡(300)，包括如权利要求1所记载的所述ECM代码转换装置(211)。

9.权利要求8中的智能卡(300)，还包括：

条件访问装置(210)，用于从该ECM(203)中获得授权数据的有效期的说明符，并根据对该授权数据的验证及当前时间是否在有效期内的判断，向解密装置(205)提供控制字。

Images