CN1788493A

CN1788493A - 用于记录安全模块中经过的时间的方法

Info

Publication number: CN1788493A
Application number: CNA2004800131144A
Authority: CN
Inventors: 奥利维尔·布瑞克; 吉米·库查德
Original assignee: Nagrakad S A
Current assignee: Nagravision SA
Priority date: 2003-05-14
Filing date: 2004-05-12
Publication date: 2006-06-14
Anticipated expiration: 2024-05-12
Also published as: JP2007504779A; RU2355124C2; BRPI0410302A; WO2004102967A1; PT1627530E; PL1627530T3; US8144867B2; KR20060017780A; EP1627530A1; MXPA05012204A; DE602004003053T2; US20040240394A1; CA2524674A1; UA84700C2; DE602004003053D1; ES2276300T3; ATE344591T1; CN100490529C; RU2005134858A; AU2004239939A1

Abstract

本发明的目的是要提供一种方法，用于通过管理各种收到的使这些参数能够确定到期的日期和时间，监视安全模块中绝对意义上记录的权利的有效时期。这一目的是借助于记录安全模块中经过的时间周期的一种方法实现的，该安全模块插入在包括一个内部时钟的设备中，该设备接收通过包含在权利控制消息中的控制字加密的数字数据(ECM)。所述方法包括这样的步骤，从设备的内部时钟接收包含当前时间信息的数据，在安全模块中存储指示当前时间信息的当前数据，接收需要解密至少一个控制字的权利控制消息(ECM)，读出在处理先前权利控制消息(ECM)时指示先前时间信息的先前数据，以及在当前信息指示的时间比先前信息晚时处理权利控制消息(ECM)。

Description

用于记录安全模块中经过的时间的方法

技术领域

本发明涉及插入用于接收加密数字数据设备中的安全模块领域。特别地，本发明方法的目的是要对安全模块提供日期和当前时间，并根据在设备中收到的或存储的数据的有效持续时间而管理解密权。

背景技术

这一方法例如用于用来接收并存储付费电视节目的数字视频记录器。

以下称为PVR(个人视频记录器)的数字视频记录器是装有硬盘的付费电视接收器/解码器，其允许存储加密的音/视频数字数据，以便稍后可被观看。

PVR诸如VHS型磁带视频记录器还设有快速前进和后退操作功能。这些功能例如允许在硬盘上记录的数据中搜索特定的序列，或在第一次观看之后返回记录的节目的开始。

存储的音频/视频数字数据以控制字CW被加密，该控制字包含在伴随加密的音频/视频数据的控制消息ECM(权利控制消息)中。在本发明的以下说明中这一组音频/视频数据和ECM被称为内容。以可拆卸的灵巧卡的形式或集成到PVR的访问控制模块或安全模块，包含分配给用户的对音频/视频数据解密的权利。

为了观看存储在硬盘上的内容，解码器借助于记录在安全模块中的权利管理消息EMM(权利管理消息)对所述内容解码，这些消息包括解密ECM所必须的密钥，该EMC含有用来解密内容的控制字CW。

由管理中心向PVR传送的数字数据流被加密，以便能够控制其使用并定义这种使用的条件。负责加密的控制字CW以规则的间隔(典型地是5和30秒钟之间)改变，以防止任何欺骗性的企图重新生成这一控制字。

于是PVR/解码器就能够使用这些控制字解密加密流，控制字是在控制消息ECM中发送的，并通过系统专用的传输密钥加密。

在控制消息ECM解密期间，验证对安全模块内容的访问权的存在性。这权限由向安全模块加载这种权限的管理消息EMM管理。

加密的内容使用的记帐一般基于订购原则，基于电视节目内容自发的或瞬间的购买，或基于按时间单位付费。

订购允许与一个或几个传输这些内容的广播频道相关的权限的定义，并如果该权限在他的安全模块中存在，则允许用户以明文观看它们。

还能够定义一类内容专用的权限，诸如影片，运动赛事或杂艺节目。用户能够购买将特别由这一权限管理的这一内容。这一付费被命名为“按收视付费”(PPV)。

参照按时间单位付费，安全模块包含根据用户实际消费记费的信用(credit)。例如不论频道或观看的内容为何每分钟将从这一信用记费一个单位。根据实现的技术还能够改变记帐单位，或者按持续时间，按分配的时间值，或者通过组合这两种参数，以使计价适应于消费内容的类型。

控制消息ECM不仅包含控制字CW，而且还包含这一字重新向PVR发送的条件。在控制字解密期间，将验证与包含在该消息中的访问条件相关的权限是否在安全模块中存在。只有当验证结果为肯定的时，控制字才返回PVR。包含在控制消息ECM中的控制字一般也以传输密钥加密。

总之，为了解密在给定时间传输的音频/视频数字数据流，以下三个要素是必须的：

-以一个或多个控制字CW加密的内容，

-包含控制字CW和访问条件的控制消息ECM，

-存储在安全模块中允许验证访问条件的对应的权限。

与该权限相关的访问条件可能在于验证持续时间，就是说能够以控制字解密内容的持续时间。当已经过了这一持续时间时，对用来解密内容的控制字的访问条件变为零其无效，并不再能够进行解密。

为了利用与访问条件相关的时间或持续时间参数，必须对安全基准时钟进行处理。权限验证的期限必须作为绝对时间而不是作为相对持续时间被控制。例如对加密内容24小时并存储在硬盘中的访问权限在确定的日期和时间开始，并在下一天相同的时间结束。这样对这一24小时期限授权是不够的，因为还有可能操作时钟以推迟当前日期一天，并永久受益24小时持续时间的权限。

当前日期和时间通过PVR的内部时钟也称为RTC(实际时间时钟)提供给安全模块，该时钟一般由电池供电，以允许其即使设备断开也可工作。

这一时钟可设置为先于当前值的日期和时间，以授权对有效性已过期的内容的观看。这样通过操弄PVR时钟，就能够使用修改的访问条件欺骗性地扩展安全模块中的权限。

这就是借助于管理消息EMM在安全模块中生成权限的问题，该权限在确定的时刻开始，并在一定的有效持续时间之后结束。在大部分情形下，PVR不具有反向信道将其链接到管理中心；通过直接来自管理中心的安全手段，当前日期和时间不能有规律地提供给安全模块。

该问题的另一方面在于这样的事实，即安全模块虽然具有安全存储器，但没有配置实际的时间时钟，并因而使用其自身的装置不能确定诸如24小时的实际持续时间。于是如果用户被授权在24小时期间访问一个服务，安全模块仍然要依赖于外部信息确定这一周期的期限。

发明内容

本发明的目的是要提出一种方法，以便借助于管理允许确定过期日期和时间的不同的接收到的参数，提供按对记录在安全模块中的权限有效持续时间进行绝对意义上的控制。

另一目的是要防止在一定的预定日期或时间之前或之后在安全模块中生成权限。

这些目的是通过一种在安全模块中的持续时间计算方法实现的，该安全模块插入在包括一个内部时钟的设备中；这一设备接收通过包含在控制消息ECM中的控制字加密的数字数据流，这一方法包括以下步骤：

-接收来自包含当前时间信息的设备的内部时钟的数据，

-在安全模块中存储表示当前时间信息的当前数据，

-接收要求解密至少一个控制字的控制消息ECM，

-读取在处理先前控制消息ECM的时刻表示先前时间信息的先前数据，

-在当前信息时间上领先于先前信息时处理控制消息ECM。

这样根据本发明的方法目的在于保证对于ECM的每一解密，时间向前进。

时间信息理解为意思是计数器的每一形式不一定对应于一个日期和/或时间。其要素是提供关于先于安全模块的实际时间的信息，以确定预定的持续时间。

所述的设备可以是一个数字电视解码器、数字式录像机PVR(个人视频记录器)或甚至个人计算机。

通过解码器产生的时间和日期不一定对应于通常使用的时间和日期。这样的一个例子通过24小时划分为1000的斯瓦奇节拍(SwacthBeat)提出。该解码器以3秒规则的节律产生脉冲(或滴答声)。这些信号被传送，并由解码器计算以形成其自身的在这系统中被识别的时间信息。这样这一参数的当前值大于先前值，允许时间超前的确定。当前值存储在存储器中，并在收到新的值时，只要新的时间信息时间上领先于当前时间信息，则新值代替当前值。这样对于每一脉冲，解码器确定当前时间信息，并向安全模块传送所述信息。安全模块更新其当前存储器的内容。

此外，时间信息在其允许区分该超前条件下可以以表示(压缩)或密码的形式存储，(增加一定的预定的数字或位或改变特定的前缀或后缀等。)。

当如在数字录像机PVR的情形下设备连接到管理中心时，管理中心可广播当前时间信息，以更新解码器的内部时钟。

根据优选的另一形式，本发明的方法用于数字式电视付费节目PVR的数字视频录像机，其包含一个永久的内部时钟RTC。

根据实施例的另一形式，在由安全模块接收新的时间信息期间，进一步验证这一信息与控制字解密时刻无关地先于先前收到的信息。实际上，包含这一时间信息的消息由解码器传输的节律是解码器专用的节律。这一附加的条件迫使时间继续提前。

PVR偶尔地连接到发出数字视频音频数据流的控制中心，该数据流通过包含在伴随所述音频视频数据的控制消息ECM中的控制字加密。这些控制消息还包含由于管理中心加密而被保护的时间信息。

安全模块包含用来验证访问条件的权限，该访问条件与控制字一同包含在控制消息ECM中。

只有表示来自PVR时钟的日期和时间的当前时间信息先于先前时间信息，包含在安全模块中的权限才准许ECM的解密。当内部PVR时钟被延迟时，这一条件不再能满足。实际上在这种情形下，没有有效权限不能进行记录在硬盘上的控制消息ECM的解密。只有PVR到管理中心的连接将允许借助于被广播的包含表示实际日期和时间的时间信息的ECM重新更新时钟。

根据一个实施例，PVR的日期和时间以使用对话密钥加密以避免值的任何修改的形式传送到安全模块。进行验证还为了防止使用虚设值更新。

附图说明

唯一的图1示出装有硬盘DD包含内部时钟RTC的PVR。

具体实施方式

可拆卸的安全模块SM发出必要的权限，以便解密来自管理中心CG的音频视频数据流，并解密记录在硬盘DD上的内容。除了权限有效持续时间之外，安全模块SM还包含由时钟RTC提供的有效开始日期/时间。

PVR一方面用作为被传送的音频视频数据流的在线解码器，另一方面，用作为数据记录器以便它们的后继观看。

在第一使用模式中，所述在线解码器，包含访问条件和时间信息的ECM基于一种持续时间足以管理权限，因为控制消息ECM已经包含允许确定权限持续时间的时间数据。

在第二模式中，其中内容被记录并稍后被观看，控制消息ECM的时间信息被忽略，这种情形下，来自解码器PVR的时间数据用于计算权限有效持续时间。

存储在安全模块中的当前时间用来计算以节目购买分配的权限的持续时间；这一购买借助于管理消息EMM管理。根据实施例的该类型，能够使得或者EMM消息的接收是在线的(在流中直接接收)，或者使用存储在存储单元中的这种消息。在第一情形下，最好使用包含在这种消息中的时间信息，因为该信息直接来自管理中心，其被认为是安全的。要注意，尽管这看来是安全的，通过安全模块验证这一日期等于或较晚于最后知道的日期。

在第二情形下，存储的管理消息EMM不能用来更新安全模块的内部时钟，且正是最后知道的日期将用来计算分配给权限的持续时间。

根据本发明的方法中使用的控制消息ECM，除了内容类型和相关控制字的描述之外，还包含时间信息。在直接接收包含控制消息ECM的流的期间，时间信息将用来确定当前时间。

通过由解码器时钟提供的当前时间信息与表示控制字最后解密时刻的时间信息之间的差，确定准许控制字的解密的时间提前。这一差不能简单地等于(或接近于)控制字变化周期。实际上必须考虑，在快速运行模式中，例如这一周期乘以10。

这样这一差将在我们的例子中定义为接近控制字变化周期的1/10。

这一差值定义了实际有效性的膨胀比。例如当控制字变化周期为10秒钟，且快速运行速度与正常运行速度之间的比值为10时，差的最小值将为10秒除以10，即1秒钟。因而，只要其时钟先于最后控制字解密时刻一秒钟，安全模块将接受新控制字的解密。

潜在的欺骗行为在于以较低的节律向安全模块提供时间信息。这将通过在内部PVR时钟安装有较低频率的石英进行。安全模块在ECM解密期间不能先验地区分快速运行速度与正常运行速度。因而，权限的持续时间将乘以因子10，即例如持续时间延长到10天而不是预期的1天。

应当注意，这种情形下，将不再能够使用前进模式，因为控制字变化周期变得低于最小差值。

这一缺陷可被认为是容许的，因为用户已经至少一次购买了权限。此外，在更近的权限购买期间，存储在安全模块中的旧的时间信息，由表示购买的日期/时间的新时间信息代替。这样，被欺骗性延长的权限立即过期，且这一欺骗类型是受限的。

安全模块能够知道PVR被设置的模式，并这样调节两个控制字解密之间的最小持续时间。在快速运行模式下，这一持续时间将为1秒，而在处于正常运行模式时，这一持续时间固定在10秒钟。这样，欺骗的个人不仅要修改PVR时钟频率，而且要修改在PVR和安全模块之间传送的命令。

权限的有效性是通过安全模块从节目购买期间记录的时间信息确定的。因而推荐安全模块中的这一信息在每一购买时更新，否则记录在安全模块中的时间信息太旧的情形下，所生成的新的权限将有减少的有效周期。

由于安全模块不接受解码器PVR向所述模块提供先于时钟RTC当前信息的时间信息这一事实，这一时钟的管理必须适应一定的要求：

-PVR的时钟RTC最好以电池供电，以便即使当PVR断电时其仍保持工作。

-日期和时间的表示值通过时钟RTC传送到安全模块。

-这一时钟RTC的更新最好驱使当前时间前进，

-当PVR在线时，就是说当其连接到管理中心时，以PVR参照的日期和时间TDT描述表(时间和日期描述表)调节值。这表与包含在由管理中心广播的ECM的时间信息同步。

-PVR的用户不应直接调节时钟RTC。然而如果必须调节显示在PVR前面板屏幕上的日期和时间，则调节作为与时钟RTC当前值的差首先存储在非易失存储器中。然后将从这一存储的差计算将要显示的新的日期/时间。

-当PVR离线时，时钟RTC不应被修改，或至少相对于记录在安全模决中的值不被延迟。

-当PVR在线时并如果时钟RTC相对于表TDT的基准日期/时间被延迟，则时钟RTC在单一步骤被重新与这一基准同步。

-当时钟RTC关于基准TDT提前时，由于新的当前时间信息相对于存储在安全模块中的先前的时间信息将被延迟，不能指望如先前情形下的直接同步。使这两个信息集合之间的正差的条件不再被满足，且安全模块将不解密控制字。

例如当PVR的时钟RTC指示10.02.00时，PVR在10.00.00时刻被在线连接，即提前2分钟。等待解密控制字的差为10秒钟。

PVR发送如下消息：

在10.00.00的第一消息指示时间是10.02.01

在10.00.20的第二消息指示时间是10.02.10

在10.00.40的第三消息指示时间是10.02.20等。

在4分钟之后，PVR的时钟RTC与由管理中心指示的时间重新同步，同时根据记录在安全模块中的时间，保持解密存储在硬盘上的数据的可能性。

在个人计算机的情形下，本发明的方法用于从因特网下载文件，诸如软件，游戏，电影，及音乐。计算机装有安全模块，管理在限定的时间访问下载文件或使用所述文件的权限。通过计算机的内部时钟产生必要的时间信息，该内部时钟在计算机连接到因特网期间还可被更新。

Claims

1.一种在安全模块中的持续时间计算方法，该安全模块插入在包括一个内部时钟的设备中；所述设备接收通过包含在控制消息ECM中的控制字加密的数字数据流，所述方法包括以下步骤：

-接收来自包含当前时间信息的设备的内部时钟的数据，

-在安全模块中存储表示当前时间信息的当前数据，

-接收要求解密至少一个控制字的控制消息ECM，

-在当前信息在时间上领先于先前信息时处理控制消息ECM。

2.根据权利要求1的方法，其特征在于，用于定义在时间上提前的条件通过控制字变化的频率确定。

3.根据权利要求1的方法，其特征在于，当前时间信息存储在存储器中，并在接收新的当前时间信息时，只要新的时间信息在时间上先于当前时间信息，则新的当前时间信息代替当前时间信息。

4.根据权利要求1到3的方法，其特征在于，时间信息确定日期和时间。

5.根据权利要求4的方法，其特征在于，安全模块的当前时间信息用来验证解密数字数据流所必须的权限的有效持续时间。

6.根据权利要求1的方法，其特征在于，设备当其连接到管理中心时接收时间信息，所述信息更新设备中的计数器，提供将被存储的表示日期和时间的值，然后与由设备的内部时钟产生的时间信息值比较。

7.根据权利要求6的方法，其特征在于，设备的内部时钟根据比较的结果被更新，新的值被传送到安全模块。

8.根据权利要求1的方法，其特征在于，当所述设备连接到管理中心时，通过由广播的控制消息ECM传送的时间信息更新设备的内部时钟。

9.根据权利要求1到8任何之一的方法，其特征在于，设备是用于数字付费电视节目的数字视频记录器PVR。