CN1930882A

CN1930882A - 使电视广播事件安全的方法

Info

Publication number: CN1930882A
Application number: CNA2005800075488A
Authority: CN
Inventors: 雷查德·克桑迪尼; 亨丽·库德洛斯基
Original assignee: Nagrakad S A
Current assignee: Nagrakad S A; NagraCard SA
Priority date: 2004-03-10
Filing date: 2005-03-01
Publication date: 2007-03-14
Also published as: CA2557502A1; CN1930881A; ATE406047T1; EP1575292A1; DE602005009151D1; WO2005099264A1; ES2313290T3; EP1723790B1; CN100542270C; EP1723790A1; CA2557502C

Abstract

本发明涉及防止对加密的多媒体内容的访问条件进行修改的办法。通过一种借助控制字使多媒体内容安全的方法达到所述目的，其中用户对所述多媒体内容的使用服从访问条件。该方法包括以下步骤：生成伪随机数，通过使该伪随机数和访问条件关联形成控制块，通过对该控制块施加单向函数计算控制字，利用该控制字加密事件，以及向用户单元传输该控制块。

Description

使电视广播事件安全的方法

技术领域

本发明涉及付费电视领域，尤其涉及称为公用置乱的音频/视频数据加密。

背景技术

尤其在数字付费电视领域中使用这些系统。在这种情况，加密向电视机发送的数字数据流，以能控制它的使用并且定义该使用的条件。该加密是通过控制字进行的，并且为了阻止找出这种控制字的攻击，定期地(典型地5到30秒，虽然可以采用长得多的间隔)改变控制字。

为了使接收器能解密用这些控制字加密的流，独立于该流在用和管理中心和用户单元的安全模块之间的传输系统有关的密钥(传输密钥)加密的控制消息(ECM)中发送这些控制字。实际上，在通常以智能卡的形成做成的并且防窜改的安全模块(SC)中进行安全性操作。用来加密控制消息的传输密钥公用于所有的安全模块并且定期改变。根据实现它可以是对称型或不对称型。

安全模块可以是可拆下型或者可以直接集成到接收器中(例如BGA电路)。

在解密控制消息(ECM)期间，在安全模块(SC)中验证存在访问所涉及的流的权利。可以通过把这样的权利装在安全模块中的授权消息(EMM)管理该权利。还可以想象其它可能性，例如发送解密密钥。

以下，术语“事件”指的是根据控制字的已知方法加密的视频或音频内容(例如MP3)或数据(例如游戏节目)，每个事件可以通过一个或多个控制字加密，各具有确定的有效期。

安全模块的防窜改功能非常卓越。但是，利用非常重要的手段能提取含在此类模块中的秘密(例如传输密钥)。

这种能力允许恶意的第三方访问控制消息的内容并且修改它们例如通过改变和解密控制字CW链接的条件。一旦完成该操作产生新消息，由于该传输密钥该消息发送到所有非法获利者、第三方的客户。

可以设想在这种方式下恶意的第三方修改所有广播事件的访问条件以赋予它们“免费”状态。这些消息的所有用户在最小订金下可以在不支付对应的价格情况下享受供应商的所有供应。出于这个目的恶意用户设置带有总是在加密级上经常更新的安全模块的常规解码器。尽管服务供应商会发现它的部分利润被恶意第三方的行动夺取，但没有补救这种情形的手段。

防止这种现象的第一方法需要反馈通道。了解事件的实际消费允许更新分配给用户的权利和利用该权利消费的事件之间的差别。

没有反馈通道情况下服务供应商不能防止这种类型的不当使用。

在Mezenes等的“Handbook of applied cryptography”一书(ISBN0-8493-8523-7)第498页上说明随机数r_A的使用，在此数上施加单向函数后其充当一个密钥。在付费电视环境下，该方法不提供对修改访问条件的问题的解决办法。实际上，该机制不关心这些条件并且如果假定安全模块受到侵犯，可以恢复按该文献公开的形式发送的控制字并且重新对恶意第三方广播。

资料US 6,157,719清楚地说明了现有技术，即使用随机发生器生成内容的加密密钥以及在加密的消息中发送该密钥(图2A)。对内容的访问条件包含在ECM消息中并且利用散列函数验证该消息(列6行45)。发送前总是先加密控制字CW(列6行51)。

发明内容

本发明的目的是指出一种防止不当使用通过内部分析安全模块揭示出的秘密的解决办法。

通过一种利用控制字使事件安全的方法达到该目的，其中用户单元使用事件要服从访问条件，所述方法包括以下步骤：

生成伪随机数，

通过关联该伪随机数和访问条件形成控制块，

通过在该控制块上施加单向函数计算控制字，

利用该控制字加密事件，以及

向用户单元传输该控制块。

从而，本发明的解决办法在于使访问条件介入数据加密的控制字(或密钥)中。

单向函数本身是已知的，例如为散列类型。该运算保证知道控制字的第三方不能利用其它访问条件再生数据块。

如果修改访问条件，用户单元的合法安全模块会利用不同的访问条件计算控制字并且得到的控制字是不正确的。从而不能解密该事件。

附图说明

参照给出非限制性例子的附图从下面的详细说明会更好地理解本发明，附图中：

图1示出控制字的生成，以及

图2示出含有二个控制字的消息的处理。

具体实施方式

在图1中以伪随机的方式生成第一可变要素即，变量RNG。这是一个可以随机生成的、或通过秘密表格得到的、或以任何其它不能事先预测的方法得到的变量。通过对事件的访问条件AC构建第二要素。这些条件规定为了使用户的安全模块向解码器回送控制字，所述用户必须具有的必要权利。它和预订的描述有关、和与所述事件链接的权利有关、或者和该安全模块中含有的信用的借记量有关。

依据本发明，该可变参数和这些访问条件是形成控制字所必需的二个要素。供选地，提供添加广播日期DT，当必须验证预订的有效性时该日期能起重要的作用。实际上，如果没有对预订进行重订，该日期的操作可以导致安全模块故障，因为所述事件的日期包括在该预订的有效期内而观看到该事件。

根据我们的例子，控制块CB包括三个要素即变量RNG、访问条件AC和日期DT。

接着通过单向函数F例如散列函数变换该块。

对于整个控制块该结果是唯一的并且修改该块的一个位造成完全修改该函数的输出。认为不可能根据该函数的结果来确定该控制块。

该函数的输出构成控制字CW并且用于加密事件的全部或一部分。

在ECM消息中向解码器发送该控制块。根据第一变型，利用传输密钥K1加密该消息。

在解码器并且接着安全模块接收期间，利用对应的密钥K1解密该消息并对控制块施加相同的单向函数F以得到控制字。

从而注意修改控制块的任何部分，例如访问条件，造成得到不正确的控制字。

依据第二变型，单向函数F配置成带有密钥K2。这种函数是已知的并且该密钥充当初始化向量。

这种补充的安全性允许考虑明码地传输控制块CB，即不利用密钥K1加密。

图2示出为了准备两个控制字，一条消息包含两个控制块的例子。应注意，为了确保在用第一控制字加密的事件部分和用第二控制字加密的事件部分之间的不中断的过渡，解码器必须配置当前的控制字和相继的控制字。

为此，该消息含有两个变量RNG1和RNG2。由于认为对于这两个控制字访问条件是相同的，因此根据例如图2中公开的变量和访问条件进行计算。

Claims

1.一种利用控制字(CW)使事件安全的方法，其中用户单元对该事件的使用服从访问条件(AC)，所述方法包括以下步骤：

生成伪随机数(RNG)，

通过关联该伪随机数(RNG)和该访问条件(AC)形成控制块(CB)，

通过在该控制块(CB)上使用单向函数(F)计算控制字(CW)，

利用该控制字(CW)来加密该事件，以及

向用户单元传输该控制块(CB)。

2.依据权利要求1的方法，其特征在于，通过一个加密密钥(K2)初始化该单向函数(F)。

3.依据权利要求1的方法，其特征在于，当前日期(DT)在控制块(CB)被添加并参与控制字(CW)的形成。

4.依据权利要求2的方法，其特征在于，在控制消息(ECM)中明码地发送该控制块。

5.依据权利要求1的方法，其特征在于，在控制消息(ECM)中明码地发送通过传输密钥(K1)加密形式下的控制块。

6.依据权利要求1的方法，其特征在于，在控制消息(ECM)中发送的控制块(CB)包括两个变量(RNG1，RNG2)，它们和控制条件(AC)以及单向函数(F)组合，使得能够分别产生两个控制字(CW1，CW2)。