KR20120072030A - The apparatus and method for remote authentication - Google Patents

The apparatus and method for remote authentication Download PDF

Info

Publication number
KR20120072030A
KR20120072030A KR1020100133794A KR20100133794A KR20120072030A KR 20120072030 A KR20120072030 A KR 20120072030A KR 1020100133794 A KR1020100133794 A KR 1020100133794A KR 20100133794 A KR20100133794 A KR 20100133794A KR 20120072030 A KR20120072030 A KR 20120072030A
Authority
KR
South Korea
Prior art keywords
terminal
authentication
roaming
authentication server
service
Prior art date
Application number
KR1020100133794A
Other languages
Korean (ko)
Inventor
박영수
김영일
박대근
이용수
전선심
조철회
김성희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100133794A priority Critical patent/KR20120072030A/en
Publication of KR20120072030A publication Critical patent/KR20120072030A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H60/00Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
    • H04H60/09Arrangements for device control with a direct linkage to broadcast information or to broadcast space-time; Arrangements for control of broadcast-related services
    • H04H60/14Arrangements for conditional access to broadcast information or to broadcast-related services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

PURPOSE: A remote authenticating system and a method thereof are provided to eliminate mutual authentication between servers by directly authenticating between a broadcast receiving terminal and a visited CAS authenticating server. CONSTITUTION: An authentication server encodes content. The authentication server transmits the encoded content. The authentication server transmits an ECM(Entitlement Control Message) and an EMM(Entitlement Management Message) for decoding the encoded content. A broadcast receiving terminal(120) produces control words based on the ECM and EMM. The broadcast receiving terminal decodes the encoded content using the produced control words.

Description

원격인증을 수행하는 시스템 및 방법{The Apparatus and Method for remote authentication}System and method for performing remote authentication {The Apparatus and Method for remote authentication}

본 발명은 제한수신시스템(CAS, Conditional Access System)의 로밍(이동성) 지원 기술에 관한 것으로서, 보다 상세하게는 사용자의 이동에 따라 기존 방송(멀티미디어 데이터) 수신 단말이 다른 지역에 위치하는 경우에도 중단없는 방송(멀티미디어 데이터) 서비스를 제공받을 수 있는 제한수신시스템의 원격인증 방법 및 그 장치에 관한 것이다.The present invention relates to a roaming (mobility) support technology of a conditional access system (CAS), and more particularly, stops even when an existing broadcast (multimedia data) receiving terminal is located in another area according to a user's movement. The present invention relates to a remote authentication method and apparatus for a conditional access system capable of receiving a broadcast (multimedia data) service.

제한수신시스템은 사용자들이 케이블 망, IPTV 망 및 위성방송 등의 서비스 프로그램을 시청하고자 할 경우, 사용자(가입자) 인증을 기반으로 서비스 제공 여부를 판단하여 허가된 사용자만이 프로그램 수신 및 시청이 가능하도록 제어하는 시스템이다.If the user wants to watch service programs such as cable network, IPTV network and satellite broadcasting, the conditional access system determines whether to provide the service based on user (subscriber) authentication so that only authorized users can receive and view the program. It is a system to control.

제한수신시스템은 제조사마다 각각 다른 규격을 사용함으로써 타 업체의 장비와는 호환 부족으로, 방송 서비스 사업자가 직접 가입자에게 제한수신시스템이 설치된 수신 단말을 공급하여 방송 서비스 사업자의 부담을 증가시키고 수신 단말내의 제한수신시스템의 갱신이 어려웠다.CA system uses different standards for each manufacturer, which is why it is not compatible with other company's equipment. Therefore, broadcast service provider directly provides subscriber with receiving terminal with CA system, increasing the burden of broadcasting service provider. It was difficult to update the CA system.

이러한 문제점을 해결하기 위해 북미의 OpenCable 규격에서는 가입자 수신 단말에서 제한수신시스템을 분리하는 규격을 발표하였으며, 그 결과 수신 단말에서 분리된 제한수신시스템은 PCMCIA 카드 타입의 케이블 카드로 표준화되었으며, 방송 서비스 사업자가 과거와 같이 수신 단말을 가입자에게 대여하지 않고도 케이블 카드만을 가입자에게 제공함으로써 유료 방송 서비스를 제공할 수 있게 되었으나, 케이블 카드의 가격 상승과 관리 비용의 증가 등 OpenCable이 원하는 결과가 달성되지 못하였다.In order to solve this problem, the OpenCable standard in North America has released a standard for separating a conditional access system from a subscriber receiving terminal. As a result, the conditional access system separated from the receiving terminal has been standardized as a PCMCIA card type cable card. As in the past, it was possible to provide a paid broadcasting service by providing only a cable card to a subscriber without renting a receiving terminal to a subscriber, but OpenCable did not achieve the desired result such as an increase in the price of a cable card and an increase in management cost.

이러한 상황에서, 하드웨어 제한수신시스템이 별도로 요구되지 않고, 제한수신 소프트웨어를 가입자 수신 단말에 다운로드 함으로써, 유료 방송 서비스를 가능하게 하는 다운로더블 제한수신시스템(DCAS) 기술이 등장하였다.In this situation, a downloadable conditional access system (DCAS) technology has been introduced that enables a paid broadcast service by downloading a conditional access software to a subscriber receiving terminal without requiring a hardware conditional access system.

한편, 종래의 제한수신시스템 헤드엔드 시스템은 해당 네트워크에 접속하여 인증 받은 수신 단말에게 제한수신 소프트웨어를 다운로드하고, 사용자는 수신 단말에 설치하여 프로그램 접근 자격 정보를 수신함으로써 프로그램을 시청할 수 있다.On the other hand, the conventional CA system head-end system can access the network to download the CA software to the authorized receiving terminal, and the user can install the program on the receiving terminal to receive the program access qualification information to view the program.

다만, 수신 단말이 이동하여 다른 인증서버의 네트워크에 처음 접속하는 경우, 이전에 접속하고 있던 인증서버의 네트워크에 상응하는 프로그램 접근 자격 정보를 수신기에게 새롭게 접속한 인증서버의 네트워크에서 연속적으로 제공하는 메커니즘이 규정되어 있지 않은 실정이다. 이 때, 사용자는 같은 서비스 사업자의 인증서버 네트워크로 이동했음에도 불구하고 프로그램 시청이 불가능하다는 문제가 있다.However, when the receiving terminal moves to access the network of another authentication server for the first time, a mechanism for continuously providing the program access credential information corresponding to the network of the authentication server previously connected to the receiver in the network of the authentication server newly connected to the receiver. This situation is not specified. At this time, although the user has moved to the authentication server network of the same service provider, there is a problem that viewing of the program is impossible.

또한, 해당 수신 단말의 이동으로 이전 인증서버의 네트워크에 존재하지 않지만 프로그램 접근 자격 정보가 지속적으로 이전 네트워크에 전송됨으로써 통신 자원이 낭비되고, 네트워크의 이용 효율성이 감소하는 문제가 있다.In addition, there is a problem that communication resources are wasted because the program access credential information is continuously transmitted to the previous network due to the movement of the corresponding receiving terminal, and thus the use efficiency of the network is reduced.

따라서, 보다 효율적으로 제한수신시스템의 이동성을 지원할 수 있는 기술이 필요하다.Therefore, there is a need for a technology capable of supporting the mobility of the CA system more efficiently.

한편, 종래의 제한수신시스템을 다운로드 받기 위해서는 인증서버와 수신 단말간의 상호 인증이 수행되어야 한다. 또한, 수신 단말에 탑재될 제한수신시스템이 제한수신시스템 헤드엔드에 위치한 인증서버와 상호 인증하지 않을 경우 인증서버를 가장한 서버로부터 다양한 공격을 받을 수가 있다.Meanwhile, in order to download the conventional CA system, mutual authentication between the authentication server and the receiving terminal should be performed. In addition, if the CA system mounted on the receiving terminal does not mutually authenticate with the authentication server located in the CA system headend, various attacks may be received from the server impersonating the authentication server.

따라서, 다운로더블 제한수신시스템에서 보안 문제점을 해결하기 위한 효과적인 상호 인증 방법이 요구되고 있다.Therefore, there is a need for an effective mutual authentication method for solving a security problem in a downloadable CA system.

한편, 종래의 제한수신시스템에서는 제한수신시스템 서비스 사업자가 직접 단말에 master key를 부여하고 동시에 그 key에 대한 권한부여를 자격 관리 메시지(EMM)에 반영할 수 있었지만, 다운로더블 제한수신시스템에서는 제한수신시스템 서비스 사업자가 아닌 다운로더블 제한수신시스템을 경유하여 단말에게 master key를 제공한다. 이에 따라, 다운로더블 제한수신시스템 헤드엔드에게 인증된 수신 단말에게 master key를 제공하는 방법 및 자격 관리 메시지(EMM)을 관리하는 방법이 요구되고 있다.On the other hand, in the conventional CA system, the CA system service provider can directly assign the master key to the terminal and at the same time, the authorization of the key can be reflected in the entitlement management message (EMM). The master key is provided to the terminal via the downloadable CA system, not the receiving system service provider. Accordingly, there is a need for a method of providing a master key to a receiving terminal authenticated to a downloadable CA system headend and a method of managing an entitlement management message (EMM).

한편, 종래의 다운로더블 제한수신시스템에 있어서, 수신 단말에는 보안이 보장되는 SM(Secure Micro) 모듈이 온-보드(On-board) 형태로 제공되며, SM 모듈 상에 제한수신시스템 헤드엔드로부터 다운로드된 제한수신시스템 클라이언트가 저장된다.On the other hand, in the conventional downloadable conditional access system, the receiving terminal is provided with a Secure Micro (SM) module in the form of an on-board, and the receiving terminal is provided from the conditional access system headend on the SM module. The downloaded CA system client is saved.

여기서 SM 모듈은 다운로더블 제한수신시스템 프로토콜을 수행하고 키 및 비밀 정보를 생성 저장하며, 헤드엔드로부터 자격 제어 메시지(ECM), 자격 관리 메시지(EMM)가 수신되는 경우, 제한수신시스템 클라이언트를 통해 메시지를 해석하여 제어 단어를 획득한다.The SM module executes the downloadable CA system protocol, generates and stores the key and secret information, and receives the credential control message (ECM) and the credential management message (EMM) from the headend. Interpret the message to get the control word.

이와 같이 다운로더블 제한수신시스템는 자격 제어 메시지 및 자격 관리 메시지로부터 제어 단어를 획득하는 제한수신시스템 클라이언트가 다운로드 방식으로 제공되기 때문에 특정 제한수신시스템 사업자에 종속되지 않고 제한수신시스템를 자유롭게 변경하는 것이 가능하다.As described above, since the downloadable CA is provided with a download method of the CA system which acquires the control word from the credential control message and the credential management message, it is possible to freely change the CA system without being dependent on the specific CA system provider. .

여기서, 종래의 오픈케이블 기반 셋탑박스에 다운로더블 제한수신시스템을 적용하기 위해서는 하드웨어 변경이 요구되며, 이에 따라 새로운 수신 단말의 개발이 요구된다.Here, in order to apply the downloadable CA system to the conventional open cable-based set-top box, a hardware change is required, and thus a new receiving terminal needs to be developed.

따라서 기존 수신 단말을 교체하지 않고도 다운로더블 제한수신시스템을 적용하며, 나아가 다운로더블 제한수신시스템을 기반으로 로밍을 지원할 수 있는 시스템에 대한 사용자의 요구가 증가하고 있다.Therefore, the user's demand for a system capable of supporting roaming based on the downloadable CA system without replacing the existing receiving terminal is further increased.

한편, 인증서버와 수신 단말간의 상호 인증 기능 제공에 있어서, 인증서 기반 솔루션은 인증 정보가 탑재된 디바이스 하드웨어 정보를 포함하지 않아서 복제에 취약하다. 하드웨어 기반 인식 솔루션은 하드웨어 정보만으로 단말을 인식하여 단말과 사용자간의 상호연동 및 보안성이 미흡하다.On the other hand, in providing a mutual authentication function between the authentication server and the receiving terminal, the certificate-based solution is not vulnerable to duplication because it does not include device hardware information loaded with authentication information. The hardware-based recognition solution recognizes a terminal only with hardware information, and thus there is insufficient interworking and security between the terminal and the user.

이에 스마트카드(USIM, SIM) 기술은 다양한 단말에 탑재되어 사용자 인증 기능 제공 및 안전한 저장 기능을 제공한다. 사용자 인증은 사전 공유키 방식이 사용되고 있다. The smart card (USIM, SIM) technology is mounted on various terminals to provide user authentication and secure storage. Pre-shared key is used for user authentication.

또한, 스마트카드 기술은 제거 가능한 토큰으로 볼 때, TCG(Trusted Computing Group) 규격의 MTM(Mobile Trusted Module)은 고정형 토큰 형태의 하드웨어 보안 칩이다. 따라서 단말에 부착되어 스마트카드 기술이 제공하는 사용자 인증 외에 단말 등의 기기 및 플랫폼 인증, 안전한 키 생성 및 관리, 원격 기기 인증 및 공개키 인증서 방식과 같은 강력한 보안 기능을 제공한다.In addition, when smart card technology is a removable token, the Trusted Computing Group (TCG) standard Mobile Trusted Module (MTM) is a hardware token in the form of a fixed token. Therefore, in addition to the user authentication provided by the smart card technology attached to the terminal provides a strong security functions such as device and platform authentication, secure key generation and management, remote device authentication and public key authentication method.

본 발명은 제한수신시스템(CAS) 호스트의 보안 모듈과 방문 인증 서버 사이에서 상호 인증이 완료된 경우, 제한 수신 서버가 방문 인증 서버의 네트워크로 자격 관리 메시지를 전송하도록 지시함으로써 사용자가 끊김없이 서비스를 제공받을 수 있는 CAS 호스트의 이동성을 지원하는 정책 서버 및 그 방법에서 직접 방송 수신 단말과 방문한 CAS 인증 서버 사이의 인증으로 서버간의 상호 인증이 불필요하고, 추가로 정책 서버가 불필요하여 효율적인 제한수신시스템의 로밍 기법을 제공한다.According to the present invention, when mutual authentication is completed between the security module of the CA host and the visiting authentication server, the user provides the service without interruption by instructing the restricted receiving server to transmit the credential management message to the network of the visiting authentication server. Policy server that supports the mobility of CAS hosts that can be received, and the method of authentication between the broadcast receiving terminal and the visited CAS authentication server, which requires no mutual authentication between servers, and additionally, no need for a policy server. Provide techniques.

또한, 본 발명은 사용자 인증 외에 단말 등의 기기 및 플랫폼 인증, 안전한 키 생성 및 관리, 원격 기기 인증 및 공개키 인증서 방식과 같은 강력한 보안 기능을 제공하므로 안전한 방송 서비스를 제공받을 수 있는 방법을 제공한다.In addition, the present invention provides a method for receiving a secure broadcast service because it provides a strong security functions such as device and platform authentication, secure key generation and management, remote device authentication and public key certificate method in addition to user authentication. .

또한, 본 발명은 다운로더블 제한수신 시스템(DCAS)에서, 유료방송서비스를 구매한 기가입자 단말 및 아직 구매하지 않은 예비 가입자 단말에게 간편하게 원격인증을 수행함으로 유료방송수신 및 정보의 갱신과 같은 제한수신서비스를 지원하는 방법을 제공한다.In addition, the present invention, in the downloadable limited reception system (DCAS), by limiting such as paid broadcast reception and update of information by simply performing remote authentication to the subscriber terminal and the subscriber terminal that has already purchased the paid broadcasting service Provides a method of supporting a receiving service.

또한, 본 발명은 다운로더블 제한수신 시스템(DCAS) 기반으로 타 방송 사업자의 영역으로 이동한 사용자에게 방송 수신 단말의 교체없이 방송 서비스를 제공할 수 있는 간편한 장치와 방법으로 제공한다.In addition, the present invention provides a simple apparatus and method for providing a broadcast service to a user who has moved to another broadcaster's area based on a downloadable CA system without replacing a broadcast receiving terminal.

본 발명의 일 양상에 따른 원격인증에 의한 제한수신시스템(CAS)의 로밍 지원 방법은 방문 방송 사업자의 헤드엔드내 CAS 인증 서버에 접속하여 방송 수신 단말의 원격인증 요청을 수신하는 단계, 서버는 로밍 관련 정보를 확인하여 인증하는 단계 방송 수신 단말의 인증이 완료되는 경우, 인증 완료 정보를 상기 방송 수신 단말로 전송하는 단계를 포함하되, 방송 수신 단말로 상기 방문 방송 사업자에 대해 정의되는 CAS 이미지를 전송한다.In a roaming support method of a CA using a remote authentication according to an aspect of the present invention, a remote authentication request of a broadcast receiving terminal is received by accessing a CAS authentication server in a headend of a visiting broadcaster. Checking and authenticating related information When authentication of a broadcast receiving terminal is completed, transmitting authentication completion information to the broadcast receiving terminal, and transmitting a CAS image defined for the visiting broadcaster to a broadcast receiving terminal. do.

또한, 로밍 관련 정보는 로밍 서비스를 요청한 방송 수신 단말에서 생성된 ID PubKey와 Certificates를 이용하며, 로밍 관련 정보를 검정하여 인증된 방송 수신 단말이 가입된 방송 사업자의 식별 정보, 방문 방송 사업자 식별 정보 및 로밍 서비스 이용 기간 정보 중 적어도 하나를 포함한다.In addition, roaming-related information uses ID PubKey and Certificates generated by the broadcast receiving terminal requesting roaming service, and by verifying roaming related information, identification information of a broadcasting company subscribed to the authenticated broadcasting receiving terminal, visited broadcasting company identification information, and Roaming service use period information includes at least one.

본 발명의 일 양상에 따른 방문 방송 사업자의 서버에서 제한수신시스템(CAS)의 로밍 방법은 미가입 방송 수신 단말이 로밍 관련 정보를 생성하는 단계, 미가입 방송 수신 단말이 로밍 관련 정보를 CAS 인증 서버로 전송하여 원격인증을 요청하는 단계, CAS 인증 서버로부터 미가입 방송 수신 단말의 인증 결과를 수신하는 단계, 미가입 방송 수신 단말과 연결 설정하는 단계 및 인증된 미가입 방송 수신 단말로 CAS 이미지를 전송하는 단계를 포함한다.In a roaming method of a CA system in a server of a visiting broadcaster according to an aspect of the present invention, a roaming related information is generated by an unsubscribed broadcast receiving terminal, and the roaming related information is transmitted to a CAS authentication server by an unsubscribed broadcast receiving terminal. Requesting remote authentication, receiving an authentication result of the unsubscribed broadcast receiving terminal from the CAS authentication server, establishing a connection with the unsubscribed broadcast receiving terminal, and transmitting a CAS image to the authenticated unsubscribed broadcast receiving terminal. .

본 발명의 일 양상에 따른 원격인증에 의한 제한수신시스템(CAS)의 로밍 장치는 사용자의 로밍 서비스 요청에 따라 방송 수신 단말의 로밍 관련 정보를 검정하고, 로밍 정보를 갱신하는 제1 CAS 인증 서버, 미리 설정된 프로토콜에 따라 제1 DCAS 인증 서버와 연동하여 로밍된 방송 수신 단말을 인증하고, 방송 수신 단말의 MTM플랫폼으로 CAS 이미지를 전송하는 제1 CAS 인증 서버를 포함한다.According to an aspect of the present invention, there is provided a roaming apparatus of a CA according to an aspect of the present invention, wherein the roaming apparatus of a CAS receives a roaming-related information of a broadcast receiving terminal according to a roaming service request of a user, and updates roaming information. And a first CAS authentication server for authenticating the roamed broadcast receiving terminal in cooperation with the first DCAS authentication server according to a preset protocol and transmitting a CAS image to the MTM platform of the broadcast receiving terminal.

또한, 제1 DCAS 인증 서버는, 사용자 로밍 요청 정보를 이용하여 로밍 서비스가 가능한지 여부를 판단하며, 로밍 서비스가 가능한 경우 로밍 관련 정보를 저장하는 요청 처리 모듈, 사용자의 로밍 요청을 수신하고, 인증 요청에 포함된 정보를 이용하여 사용자 및 MTM 플랫폼의 SM 모듈을 인증하는 인증 처리 모듈 및 수신된 인증 완료 정보를 확인하고, 사용자 및 방송 수신 단말이 인증되는 경우 방송 수신 단말로 CAS 갱신을 위한 관련 정보를 전송하는 CAS 갱신 모듈을 포함한다.The first DCAS authentication server may determine whether a roaming service is available using the user roaming request information, and when the roaming service is available, a request processing module for storing roaming related information, and receiving a roaming request of a user, and requesting an authentication request. Check the authentication processing module and the received authentication completion information for authenticating the SM module of the user and the MTM platform using the information contained in the information, and if the user and the broadcast receiving terminal is authenticated, the relevant information for CAS update to the broadcast receiving terminal It includes a CAS update module for transmitting.

또한, 방송 수신 단말은, 스크램블링 스트림을 입력으로 하여 디코딩 출력을 출력하는 멀티미디어 프로세서, 멀티미디어 프로세서에서의 스크램블링 스트림의 디스크램블링과 MTM 플랫폼에서의 CAS 이미지 및 SM 모듈이 저장되도록 제어하는 제어 프로세서 및 스크램블링 스트림의 디스크램블링을 수행하도록 멀티미디어 프로세서에 제어 단어를 제공하는 MTM 플랫폼을 포함한다.In addition, the broadcast receiving terminal includes a multimedia processor that outputs a decoded output by inputting a scrambling stream, a control processor that controls descrambling of the scrambling stream in the multimedia processor, and a CAS image and an SM module in the MTM platform to be stored. And an MTM platform for providing control words to the multimedia processor to perform descrambling.

또한, MTM플랫폼은, Endorsement Key(EK), 제공 받는 서비스의 수에 따라서 다수의 Attestation ID Key를 포함하고 원격인증 요청을 의한 ID SubKey을 생성하는 MTM 및 Endorsement Cert, Platform Cert 및 Conformance Cert를 포함하고, ID SubKey 및 Certificates를 포함한다.In addition, the MTM platform includes an Endorsement Key (EK), an MTM and an Endorsement Cert, a Platform Cert, and a Conformance Cert that includes a plurality of Attestation ID Keys according to the number of services provided and generates an ID SubKey by a remote authentication request. , ID SubKey and Certificates.

본 발명의 일 양상에 따른 제한수신시스템은 컨텐츠를 암호화하여 송신하고, 암호화된 컨텐츠의 복호화를 위한 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 전달하는 인증서버 및 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 기초로 제어 단어를 산출하고, 산출된 제어 단어를 이용하여 암호화된 컨텐츠를 복호화하는 단말을 포함한다.A CA system according to an aspect of the present invention encrypts and transmits a content, and transmits a credential control message (ECM) and a credential management message (EMM) for decrypting the encrypted content, and an credential control message (ECM). And a terminal that calculates a control word based on the entitlement management message EMM and decrypts the encrypted content by using the calculated control word.

본 발명의 일 양상에 따른 인증서버와 단말 간의 원격인증을 수행하는 방법은 단말에서 단말의 인증 요청을 위한 ID request 묶음을 생성하여 인증서버로 전송하는 단계, 인증서버에서 상기 ID request 묶음을 기초로 단말을 검증을 수행하고, 단말에 대한 Signed ID를 생성하여 단말로 전송하는 단계, 단말에서 Signed ID를 이용하여 인증서버와 통신링크를 연결하는 단계, 인증서버에서 연결된 통신링크를 통하여 단말로 서비스를 제공하기 위한 서비스 정보를 전송하는 단계, 단말에서 서비스 정보를 수신하여 저장하는 단계를 포함한다.In a method for performing remote authentication between an authentication server and a terminal according to an aspect of the present invention, a terminal generates an ID request bundle for an authentication request of a terminal and transmits the bundle to an authentication server based on the ID request bundle in an authentication server. Performing verification of the terminal, generating a Signed ID for the terminal and transmitting it to the terminal, connecting the authentication server and the communication link using the Signed ID in the terminal, and providing a service to the terminal through the communication link connected from the authentication server. Transmitting service information for providing, and receiving and storing the service information at the terminal.

본 발명의 다른 일 양상에 따른 인증서버와 단말 간의 원격인증을 수행하는 방법은 단말에서 단말의 식별정보, 서비스에 대한 가입자 및 사업자 식별정보, 서비스에 대한 로밍 기간 정보를 포함하는 로밍 관련 정보를 생성하는 단계, 단말에서 로밍 관련 정보를 인증서버로 전송하여 인증을 요청하는 단계, 인증서버에서 로밍 관련 정보를 이용하여 단말을 인증하는 단계 및 인증서버에서 단말이 인증된 경우, 단말로 서비스를 제공하기 위한 서비스 정보를 전송하는 단계를 포함한다.According to another aspect of the present invention, a method for performing remote authentication between an authentication server and a terminal generates roaming related information including identification information of a terminal, subscriber and operator identification information for a service, and roaming period information for a service. In the step of, the terminal transmits roaming-related information to the authentication server to request authentication, authenticating the terminal using the roaming-related information in the authentication server, and if the terminal is authenticated in the authentication server, providing a service to the terminal Transmitting service information for the service.

본 발명은 직접 방송 수신 단말과 방문한 인증서버 사이의 인증으로 서버간의 상호 인증이 불필요하고, 추가로 정책 서버가 불필요하여 효율적인 제한수신시스템의 로밍 기법을 제공할 수 있다.The present invention can provide an efficient roaming scheme of the CA system by eliminating the mutual authentication between the servers by the authentication between the direct broadcast receiving terminal and the visited authentication server, and further eliminating the need for a policy server.

또한, 본 발명의 모바일 신용모듈(MTM)은 사용자 인증 외에 단말 등의 기기 및 플랫폼 인증, 안전한 키 생성 및 관리, 원격 기기 인증 및 공개키 인증서 방식과 같은 강력한 보안 기능을 제공하므로 안전한 방송 서비스를 제공받을 수 있는 방법을 제공할 수 있다.In addition, the mobile credit module (MTM) of the present invention provides a secure broadcasting service because it provides a strong security functions such as device and platform authentication, secure key generation and management, remote device authentication and public key certificate method in addition to user authentication It can provide a way to receive it.

또한, 본 발명은 다운로더블 제한수신시스템(DCAS)에서, 유료방송서비스를 구매한 기 가입자 단말 및 아직 구매하지 않은 예비 가입자 단말에게 간편하게 원격인증을 수행함으로 유료방송수신 및 정보의 갱신과 같은 제한수신서비스를 지원하는 방법을 제공할 수 있다.In addition, the present invention in the downloadable limited reception system (DCAS), by simply performing remote authentication to the existing subscriber terminal that purchased the pay-TV service and the reserve subscriber terminal that has not yet purchased, such as limitations such as paid broadcast reception and information update A method of supporting a reception service may be provided.

또한, 본 발명은 다운로더블 제한수신시스템(DCAS) 기반으로 타 방송 사업자의 영역으로 이동한 사용자에게 방송 수신 단말의 교체없이 방송 서비스를 제공할 수 있는 간편한 장치와 방법으로 제공할 수 있다.In addition, the present invention can be provided as a simple apparatus and method that can provide a broadcast service to a user who has moved to another broadcaster's area based on a downloadable limited reception system (DCAS) without replacing the broadcast receiving terminal.

도 1은 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템(CAS)을 나타낸 도면이다.
도 2는 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템의 인증서버를 나타낸 블록도이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템의 단말을 나타낸 블록도이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 도 3의 단말의 인증모듈을 나타낸 블록도이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 제한수신시스템(CAS)에서 원격인증을 수행하는 방법을 나타낸 도면이다.1 is a view showing a CA system for performing remote authentication according to an embodiment of the present invention.
Figure 2 is a block diagram showing an authentication server of the CA system for performing remote authentication according to an embodiment of the present invention.
Figure 3 is a block diagram showing a terminal of a CA system for performing remote authentication according to an embodiment of the present invention.
4 is a block diagram illustrating an authentication module of the terminal of FIG. 3 according to an exemplary embodiment of the present invention.
5 is a view showing a method for performing remote authentication in a CA system according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다.Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템(CAS)을 나타낸 도면이다. 도 1을 참조하면, 제한수신시스템(CAS)는 인증서버(100, 110) 및 단말(120)을 포함한다.1 is a view showing a CA system for performing remote authentication according to an embodiment of the present invention. Referring to FIG. 1, the CA includes a certificate server 100 and 110 and a terminal 120.

도 1에 도시된 바와 같이, 본 발명의 일 양상에 따른 제한수신시스템(CAS)은 제1 방송 사업자에 속하는 제1 헤드엔드(100) 및 제2 방송 사업자에 속하는 제2 헤드엔드(110)를 포함할 수 있다.As shown in FIG. 1, a CA system according to an aspect of the present invention may include a first headend 100 belonging to a first broadcaster and a second headend 110 belonging to a second broadcaster. It may include.

제1 및 제2 헤드엔드(100,110)는 컨텐츠 제공자로부터 수신된 비디오를 MPEG-2에 따른 전송 스트림으로 인코딩할 수 있으며, 정당한 가입자만이 컨텐츠를 시청할 수 있도록 비디오를 스크램블링(scrambling, 암호화)하여 방송 수신 단말(120)로 전송한다.The first and second headends 100 and 110 may encode the video received from the content provider into a transport stream according to MPEG-2, and broadcast by scrambling and encrypting the video so that only the right subscriber can watch the content. Transmit to the receiving terminal 120.

또한, 제1 및 제2 헤드엔드(100,110)는 전송스트림의 디스크램블링(descrambling, 복호화)을 위한 자격 제어 메시지(Entitlement Control Message: ECM) 및 자격 관리 메시지(Entitlement Management Message: EMM)를 소정 데이터 채널을 통해 방송 수신 단말(120)로 전송한다.In addition, the first and second headends 100 and 110 transmit an entitlement control message (ECM) and an entitlement management message (EMM) for a descrambling (decoding) of the transport stream. Through the transmission to the broadcast receiving terminal 120.

제1 헤드엔드(100)는 가입된 방송 수신 단말(120)에 대해 CAS서비스를 위한 프록시로 동작하는 제1 CAS 인증서버를 포함한다.The first headend 100 includes a first CAS authentication server that acts as a proxy for CAS service for the subscribed broadcast receiving terminal 120.

또한, 제2 헤드엔드(110)도 가입된 방송 수신 단말(120)에 대해 CAS서비스를 위한 프록시로 동작하는 제2 CAS 인증서버를 포함한다.In addition, the second headend 110 also includes a second CAS authentication server that acts as a proxy for CAS service for the subscribed broadcast receiving terminal 120.

방송 수신 단말(120)은 제1 및 제2 헤드엔드(100,110)로부터 수신된 전송스트림을 튜닝, 디스크램블링 및 디코딩하여 컨텐츠를 디스플레이 한다.The broadcast receiving terminal 120 tunes, descrambles, and decodes the transport streams received from the first and second headends 100 and 110 to display contents.

또한, 방송 수신 단말(120)은 제1 및 제2 헤드엔드(100,110)로부터 스크램블된 전송스트림이 수신되는 경우, 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 수신하고, 이를 해석함으로써 제어 단어를 획득하며, 획득된 제어 단어를 통해 전송스트림의 디스크램블링(descrambling, 복호화)을 수행한다.In addition, when the scrambled transport streams are received from the first and second headends 100 and 110, the broadcast receiving terminal 120 receives the entitlement control message (ECM) and the entitlement management message (EMM), and controls them by interpreting them. A word is obtained and descrambling of the transport stream is performed through the obtained control word.

제1 CAS 인증서버(100) 및 제2 CAS 인증서버(110)는 미리 설정된 프로토콜에 따라 통신하여 각각의 CAS 인증서버에 로밍된 사용자의 방송 수신 단말(120)로 중단없는 방송 서비스를 제공한다.The first CAS authentication server 100 and the second CAS authentication server 110 communicate with each other according to a preset protocol to provide an uninterrupted broadcasting service to the broadcast receiving terminal 120 of a user roaming to each CAS authentication server.

이하에서는 상술된 제한수신시스템(CAS) 상에서 제1 방송 사업자에 가입된 사용자가 제2 방송 사업자의 영역으로 이동하는 경우에 로밍 서비스를 제공하는 과정을 설명한다.Hereinafter, a process of providing a roaming service when a user subscribed to a first broadcaster moves to an area of a second broadcaster on the above-described CA system.

먼저, 제1 CAS 인증서버(100) 및 제2 CAS 인증서버(110)는 미리 설정된 프로토콜에 따라 서로 통신하여, 각 CAS 인증서버에서 로밍 관련 정보를 각각 공유한다.First, the first CAS authentication server 100 and the second CAS authentication server 110 communicate with each other according to a preset protocol to share roaming related information in each CAS authentication server.

로밍 관련 정보에는 방송 수신 단말 식별 정보, 가입자 방송 사업자 식별 정보, 방문 방송 사업자 식별 정보 및 로밍 서비스 이용 기간 정보 등이 저장되어 있다.The roaming related information stores broadcast receiving terminal identification information, subscriber broadcasting company identification information, visiting broadcasting company identification information, and roaming service usage period information.

제2 CAS 인증서버(110)는 방송 수신 단말(120)의 접속이 있는 경우 방송 수신 단말(120)의 인증 요청에 의해 수신된 방송 수신 단말(120)의 로밍 정보를 참조하여 검정하고, 방송 수신 단말(120)이 인증되는 경우, 방송 수신 단말(120)로 CAS 서비스를 위한 정보를 전송한다.When there is a connection of the broadcast receiving terminal 120, the second CAS authentication server 110 tests the roaming information of the broadcast receiving terminal 120 received by the authentication request of the broadcast receiving terminal 120, and receives the broadcast. When the terminal 120 is authenticated, the broadcast receiving terminal 120 transmits information for a CAS service.

이러한 과정에 따라 제2 CAS 인증서버(110)는 제1 CAS 인증서버(100)와의 연동없이 방송 수신 단말(120)이 제공하는 원격인증을 통해 제2 CAS 인증서버(110)에 미가입 된 방송 수신 단말(120)에 방송 서비스를 제공할 수 있으며, 이에 따라 사용자의 방송 수신 단말(120) 교체가 불필요해진다.According to this process, the second CAS authentication server 110 receives a broadcast that is not subscribed to the second CAS authentication server 110 through remote authentication provided by the broadcast receiving terminal 120 without interworking with the first CAS authentication server 100. The broadcast service may be provided to the terminal 120, and thus, the user may not need to replace the broadcast receiving terminal 120.

도 2는 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템의 인증서버를 나타낸 블록도이다. 도 2를 참조하면, 인증서버(200)는 로밍 요청 처리 모듈(210), 인증 처리 모듈(220) 및 정보 갱신 모듈(230)을 포함한다.Figure 2 is a block diagram showing an authentication server of the CA system for performing remote authentication according to an embodiment of the present invention. 2, the authentication server 200 includes a roaming request processing module 210, an authentication processing module 220, and an information updating module 230.

도 1의 제1 또는 제2 CAS 인증서버(100, 110)는 도 2의 인증서버(200)의 형태로 구현될 수 있다.The first or second CAS authentication servers 100 and 110 of FIG. 1 may be implemented in the form of the authentication server 200 of FIG. 2.

로밍 요청 처리 모듈(210)은 방송 수신 단말(사용자)로부터 로밍 요청이 있는 경우, 로밍 요청 정보를 이용하여 로밍 서비스가 가능한지 여부를 판단하며, 로밍 서비스가 가능한 경우 로밍 관련 정보를 저장한다.The roaming request processing module 210 determines whether roaming service is available using roaming request information when there is a roaming request from a broadcast receiving terminal (user), and stores roaming related information when roaming service is available.

도 1에서 전술한 바와 같이, 로밍 관련 정보는 방송 수신 단말 식별 정보, 가입자 및 방문 방송 사업자 식별 정보 및 로밍 서비스 기간 정보 등을 포함할 수 있다.As described above with reference to FIG. 1, the roaming related information may include broadcast receiving terminal identification information, subscriber and visiting broadcaster identification information, and roaming service period information.

인증 처리 모듈(220)은 방송 수신 단말(사용자)로부터 로밍 요청을 수신하고, 인증 요청에 포함된 로밍 정보를 이용하여 사용자 및 방송 수신 단말을 인증한다.The authentication processing module 220 receives a roaming request from the broadcast receiving terminal (user), and authenticates the user and the broadcast receiving terminal using the roaming information included in the authentication request.

정보 갱신 모듈(230)은 수신된 인증 완료 정보를 확인하고, 사용자 및 방송 수신 단말이 인증되는 경우 방송 수신 단말로 서비스 정보 갱신을 위한 관련 정보를 전송한다.The information update module 230 checks the received authentication completion information, and transmits relevant information for updating service information to the broadcast receiving terminal when the user and the broadcast receiving terminal are authenticated.

이러한 과정을 통하여 방송 수신 단말(사용자)는 다수의 방송 사업자 영역으로 이동하여 로밍 요청을 수행하여, 원하는 서비스를 받을 수 있다.Through this process, the broadcast receiving terminal (user) may move to a plurality of broadcaster areas and perform a roaming request to receive a desired service.

도 3은 본 발명의 바람직한 일 실시예에 따른 원격인증을 수행하는 제한수신시스템의 단말을 나타낸 블록도이다. 도 3를 참조하면, 본 발명에 따른 방송 수신 단말(120)은 컨텐츠 처리모듈(멀티미디어 프로세서 또는 어플리케이션 프로세서)(300), 제어모듈(310) 및 인증모듈(320)를 포함한다.Figure 3 is a block diagram showing a terminal of a CA system for performing remote authentication according to an embodiment of the present invention. Referring to FIG. 3, the broadcast receiving terminal 120 according to the present invention includes a content processing module (multimedia processor or application processor) 300, a control module 310, and an authentication module 320.

스크램블된 전송스트림은 컨텐츠 처리모듈(300)로 입력된다.The scrambled transport stream is input to the content processing module 300.

컨텐츠 처리모듈(300)은 도 1의 인증서버(100,110)에서 전송한 전송스트림을 재생하기 위한 모듈이 내장된 칩으로서, 전송스트림을 처리하여 오디오 또는 비디오에 대한 디코딩을 수행하여 출력한다. 또한, 인증모듈(320)에서 제공하는 제어 단어를 이용하여 입력된 전송스트림의 디스크램블링(descrambling)을 수행한다. The content processing module 300 is a chip in which a module for reproducing a transport stream transmitted from the authentication servers 100 and 110 of FIG. 1 is embedded. The content processing module 300 processes the transport stream and decodes the audio or video and outputs the same. In addition, descrambling of the input transport stream is performed using the control word provided by the authentication module 320.

제어모듈(310)은 도 1의 인증서버(100, 110)로부터 전달된 CAS 서비스 정보 및 인증모듈(320)에서 처리된 정보를 기반으로 스크램블된 전송스트림이 컨텐츠 처리모듈(300)에서 디스크램블링(descrambling)이 이루어지도록 제어한다. 또한, 제어모듈(310)는 인증모듈(320)에 CAS 서비스 정보 및 SM(Secure Micro) 모듈이 저장되도록 제어한다.The control module 310 descrambles the scrambled transport stream in the content processing module 300 based on the CAS service information transmitted from the authentication servers 100 and 110 of FIG. 1 and the information processed by the authentication module 320. descrambling). In addition, the control module 310 controls the authentication module 320 to store the CAS service information and the SM (Secure Micro) module.

도 4는 본 발명의 바람직한 일 실시예에 따른 도 3의 단말의 인증모듈을 나타낸 블록도이다. 도 4를 참조하면, 본 발명에 따른 인증모듈(320)은 모바일 신용모듈(MTM)(400), 증명정보(Certificates)(440, 450, 460)를 포함한다.4 is a block diagram illustrating an authentication module of the terminal of FIG. 3 according to an exemplary embodiment of the present invention. Referring to FIG. 4, the authentication module 320 according to the present invention includes a mobile credit module (MTM) 400 and certificates 440, 450, and 460.

모바일 신용모듈(400)은 방송 수신 단말 및 서비스에 대한 인증을 위한 키(Keys)(410, 420, 430)를 포함한다. The mobile credit module 400 includes keys 410, 420, and 430 for authentication of the broadcast receiving terminal and the service.

Endorsement Key(EK)(410)는 모바일 신용모듈(400)에서 생성되는 공개키/비밀키 쌍으로, 크기는 2048비트가 권장되며, 비밀키는 각각의 모바일 신용모듈(400)에 따라 유일하며 모바일 신용모듈(400) 밖으로 누출이 제한된다.The Endorsement Key (EK) 410 is a public / private key pair generated by the mobile credit module 400. A size of 2048 bits is recommended. The secret key is unique and mobile according to each mobile credit module 400. Leakage out of credit module 400 is limited.

Endorsement Key(EK)(410)는 모바일 신용모듈(400) 내에서 자체 명령을 이용하여 생성한다. 또한 모바일 신용모듈(400)의 제조자가 제조과정에서 생성하여 주입시키며, 이 특성은 Endorsement Certificate에 의해 검정된 상태를 의미한다.The Endorsement Key (EK) 410 is generated using its own command within the mobile credit module 400. In addition, the manufacturer of the mobile credit module 400 is generated and injected during the manufacturing process, this characteristic means a state verified by the Endorsement Certificate.

Attestation ID Keys(420, 430)는 서비스 제공자가 제공 서비스에 대한 자체 인증을 제공하기 위하여 사용하며, 제공받는 CAS 서비스 등의 서비스 별로 다수의 키들이 모바일 신용모듈(400)에 존재할 수 있다.Attestation ID Keys 420 and 430 are used by a service provider to provide self-certification for a provided service, and a plurality of keys may exist in the mobile credit module 400 for each service, such as a CAS service.

CAS 등의 서비스를 신규로 받고자 할 때, 모바일 신용모듈(400)에서 생성된 Attestation ID Key(420)의 ID PubKey는 ID request 묶음의 값으로 이용되고, 도 1의 제1 또는 제2 CAS 인증서버(100, 110)에서 수신된 증명정보(Certificates)(440, 450, 460)의 검정 등과 같은 인증 과정을 거쳐 단말로 전달하는 Signed ID PubKey를 수신함으로써 생성되는 키이다.When a new service such as CAS is newly received, the ID PubKey of the Attestation ID Key 420 generated by the mobile credit module 400 is used as a value of an ID request bundle, and the first or second CAS certificate server of FIG. 1 is used. This is a key generated by receiving a Signed ID PubKey delivered to the terminal through an authentication process such as verification of the certificates 440, 450, and 460 received at 100 and 110.

증명정보(Certificates)(440, 450, 460)에서 Endorsement Cert(440)는 Endorsement Key(EK)(410)의 공개키를 포함하며 모바일 신용모듈(400)에 대한 증명(attestation)을 제공하는 것이다. In Certificates 440, 450, and 460, the Endorsement Cert 440 includes the public key of the Endorsement Key (EK) 410 and provides an attestation for the mobile credit module 400.

Platform Cert(450)는 플랫폼 벤더에 의하여 제공되며, 모바일 신용모듈(400)이 인증모듈(320)에서의 보안 컴포넌트로서 정품 증명을 제공한다.Platform Cert 450 is provided by a platform vendor, and mobile credit module 400 provides authenticity as a security component in authentication module 320.

Conformance Cert(460)는 인증모듈 벤더 또는 이 분야 기술에 대한 평가기관에서 제공하는 보안 특성으로, 이는 인증모듈(320)의 보안 특성을 공인된 평가기관에서 증명하는 것을 의미한다.The Conformance Cert 460 is a security feature provided by an authentication module vendor or an evaluation agency for this field technology, which means that the security property of the authentication module 320 is certified by an authorized evaluation agency.

도 5는 본 발명의 바람직한 일 실시예에 따른 제한수신시스템(CAS)에서 원격인증을 수행하는 방법을 나타낸 도면이다. 5 is a view showing a method for performing remote authentication in a CA system according to an embodiment of the present invention.

도 5는 단말의 인증모듈(320)에서 신규로 생성된 ID PubKey와 증명정보(Certificates)(440, 450, 460)를 이용하여 ID request 묶음을 생성하고 신규 ID를 받기 위하여 즉, 신규 ID의 인증받고자 하는 것이다.FIG. 5 illustrates an ID request bundle using a newly generated ID PubKey and certificates 440, 450, and 460 in the authentication module 320 of the terminal to receive a new ID, that is, authentication of a new ID. I want to receive.

다시 말해, 증명정보(Certificates)(440, 450, 460)을 검증하고, 검증이 완료된 후 제1 CAS 인증서버(200)로부터 Signed ID 을 받고 CAS 호스트용 이미지(서비스 정보) 및 SM 모듈을 다운로드하여 CAS 호스트로 변경되는 과정을 도시한 것이다.In other words, verify the certificates (440, 450, 460), and after the verification is completed, receives a Signed ID from the first CAS certificate server 200 and downloads the image (service information) and SM module for the CAS host The process of changing to a CAS host is shown.

먼저, 인증모듈(320)의 정보를 이용하여 인증 요청에 사용할 ID request 묶음을 생성한다(500). 이후, 생성된 ID request 묶음을 제1 CAS 인증서버(200)로 전송한다(510).First, using the information of the authentication module 320 generates a bundle of ID request to be used for the authentication request (500). Thereafter, the generated ID request bundle is transmitted to the first CAS authentication server 200 (510).

다음으로, 인증 요청으로 수신된 ID request 묶음의 내용 중에 증명정보(Certificates)(440, 450, 460)를 제1 CAS 인증서버(200)에서 검증한다(520).Next, in the contents of the ID request bundle received as the authentication request, the certificates 440, 450, and 460 are verified by the first CAS certificate server 200 (520).

이후, 증명정보(Certificates(440, 450, 460)의 검증 완료 후에, 인증 요청에 대한 결과로 전송할 Signed ID를 생성한다(530).Thereafter, after verification of the certificates 440, 450, and 460 is completed, a Signed ID to be transmitted as a result of the authentication request is generated (530).

다음으로, Signed ID를 MTM 플랫폼(320)으로 전송한다(540). 이후, 방송 수신 단말(120)의 인증모듈(320)과 제1 CAS 인증서버(200) 사이에 연결설정이 된 후에(550), 제1 CAS 인증서버(200)는 CAS 호스트용 이미지(서비스 정보)를 인증모듈(320)로 전송한다(560).Next, the Signed ID is transmitted to the MTM platform 320 (540). Then, after the connection is established between the authentication module 320 of the broadcast receiving terminal 120 and the first CAS authentication server 200 (550), the first CAS authentication server 200 is an image for the CAS host (service information ) Is transmitted to the authentication module 320 (560).

다음으로, CAS 호스트용 이미지(서비스 정보)는 인증모듈(320)에 저장된다(570). 이후, 제1 CAS 인증서버(200)는 인증모듈(320)로 SM 모듈을 전송한다(580).Next, the CAS host image (service information) is stored in the authentication module 320 (570). Thereafter, the first CAS authentication server 200 transmits the SM module to the authentication module 320 (580).

다음으로, 제1 CAS 인증서버(200)는 방송 수신 단말(120)의 인증모듈(320)로 CAS 이미지(서비스 정보) 및 사용자 인증용 비밀 정보를 전송한다(590).Next, the first CAS authentication server 200 transmits a CAS image (service information) and secret information for user authentication to the authentication module 320 of the broadcast receiving terminal 120 (590).

상순한 과정을 통해 방송 수신 단말(120)이 CAS 호스트로 변경되며, CAS 호스트로 변경된 방송 수신 단말(120)은 다른 방송 사업자의 영역으로 이동하는 경우, 인증 및 CAS 클라이언트의 다운로드를 통해 단말교체 없이 사용자에게 방송 서비스를 제공할 수 있다.When the broadcast receiving terminal 120 is changed to the CAS host through the same process, and the broadcast receiving terminal 120 changed to the CAS host moves to another broadcaster's area, the terminal is not replaced through authentication and downloading of the CAS client. A broadcast service can be provided to a user.

본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.One aspect of the present invention may be embodied as computer readable code on a computer readable recording medium. The code and code segments implementing the above program can be easily deduced by a computer programmer in the field. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical disk, and the like. The computer-readable recording medium may also be distributed over a networked computer system and stored and executed in computer readable code in a distributed manner.

이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims.

100, 110 인증서버
120 방송 수신 단말100, 110 certificate server
120 broadcast receiving terminals

Claims (14)

인증서버에서 단말을 원격인증하는 방법에 있어서,
상기 단말로부터 상기 단말의 인증 요청을 위한 ID request 묶음을 생성하여 수신하는 단계;
상기 ID request 묶음을 기초로 상기 단말을 검증을 수행하고, 상기 단말에 대한 Signed ID를 생성하여 상기 단말로 전송하는 단계;
상기 단말로부터 상기 Signed ID를 이용하여 통신링크를 연결하는 단계; 및
상기 연결된 통신링크를 통하여 서비스 정보를 상기 단말로 전송하는 단계;를 포함하는 원격인증 방법.In the method of remote authentication of the terminal in the authentication server,
Generating and receiving an ID request bundle for an authentication request of the terminal from the terminal;
Verifying the terminal based on the bundle of ID requests, generating a Signed ID for the terminal, and transmitting the signed ID to the terminal;
Connecting a communication link from the terminal using the Signed ID; And
And transmitting service information to the terminal through the connected communication link. 제 1 항에 있어서,
상기 단말이 특정 인증서버의 영역으로부터 다른 인증서버의 영역으로 이동하는 경우, 상기 다른 인증서버에서 상기 단말의 로밍 정보를 검증하여 상기 단말을 인증하고, 상기 단말로 서비스를 제공하기 위한 서비스 정보를 전송하는 단계;를 더 포함하는 원격인증 방법.The method of claim 1,
When the terminal moves from an area of a specific authentication server to an area of another authentication server, the other authentication server verifies roaming information of the terminal to authenticate the terminal, and transmits service information for providing a service to the terminal. Remote authentication method further comprising ;. 제 1 항에 있어서,
상기 단말로부터 로밍 요청이 있는 경우, 상기 단말로부터 전달받은 로밍 정보를 이용하여 상기 인증서버로의 로밍이 가능한지 판단하고, 상기 로밍이 가능한 경우 상기 단말에 대한 로밍 관련 정보를 저장하는 단계;
상기 로밍 관련 정보를 이용하여 상기 단말을 인증하는 단계; 및
상기 단말이 인증된 경우, 상기 단말에 서비스를 제공하기 위한 서비스 정보를 전송하는 단계;를 더 포함하는 원격인증 방법.The method of claim 1,
Determining whether roaming to the authentication server is possible by using roaming information received from the terminal when the roaming request is received from the terminal, and storing roaming related information about the terminal when the roaming is possible;
Authenticating the terminal using the roaming related information; And
If the terminal is authenticated, transmitting service information for providing a service to the terminal. 제 3 항에 있어서, 상기 로밍 관련 정보는
상기 단말의 식별정보, 상기 서비스에 대한 가입자 및 사업자 식별정보, 상기 서비스에 대한 로밍 기간 정보를 포함하는 원격인증 방법.The method of claim 3, wherein the roaming related information
Remote identification method including identification information of the terminal, subscriber and operator identification information for the service, roaming period information for the service. 단말에서 인증서버를 원격인증하는 방법에 있어서,
단말의 인증 요청을 위한 ID request 묶음을 생성하여 상기 인증서버로 전송하는 단계;
상기 인증서버로부터 상기 ID request 묶음을 기초로 상기 단말을 검증을 수행하여 생성된 상기 단말에 대한 Signed ID를 수신하는 단계;
상기 Signed ID를 이용하여 상기 인증서버와 통신링크를 연결하는 단계;
상기 인증서버로부터 상기 연결된 통신링크를 통하여 서비스 정보를 수신하는 단계;
상기 서비스 정보를 저장하는 단계;를 포함하는 원격인증 방법.In the method for remote authentication of the authentication server in the terminal,
Generating an ID request bundle for an authentication request of a terminal and transmitting the bundle to an authentication server;
Receiving a Signed ID for the terminal generated by verifying the terminal based on the ID request bundle from the authentication server;
Connecting a communication link with the authentication server using the Signed ID;
Receiving service information from the authentication server through the connected communication link;
Storing the service information. 제 5 항에 있어서,
상기 서비스 정보를 기초로 제어 단어를 산출하는 단계; 및
상기 인증서버로부터 수신된 암호화된 컨텐츠를 상기 제어 단어를 이용하여 복호화하고 디코딩하는 단계;를 더 포함하는 원격인증 방법.The method of claim 5, wherein
Calculating a control word based on the service information; And
And decrypting and decoding the encrypted content received from the authentication server using the control word. 제 5 항에 있어서, 상기 서비스 정보를 저장하는 단계는
상기 단말 및 서비스에 대한 인증을 위한 하나 이상의 키(key)를 생성하는 단계;를 포함하며,
상기 단말의 자격, 플랫폼, 보안에 대한 증명정보(Certificates)를 보유하는 원격인증 방법.The method of claim 5, wherein storing the service information
Generating at least one key for authentication of the terminal and the service;
Remote authentication method for holding the certificate (Certificates) of the terminal credentials, platform, security. 제 7 항에 있어서,
상기 생성된 다수의 키(ID PubKey) 및 상기 증명정보(Certificates)를 기초로 생성된 ID request 묶음을 상기 인증서버에 전송하는 단계;
상기 인증서버로부터 상기 ID request 묶음을 이용하여 상기 단말을 검증하여 생성된 상기 단말에 대한 Signed ID를 수신하는 단계; 및
상기 Signed ID로부터 상기 인증서버에 대한 상호인증을 수행하고, 상기 인증서버로부터 상기 서비스 정보를 수신하여 저장하는 원격인증 방법.The method of claim 7, wherein
Transmitting a set of ID requests generated based on the generated plurality of keys (ID PubKey) and the certificates to the authentication server;
Receiving a Signed ID for the terminal generated by verifying the terminal using the ID request bundle from the authentication server; And
Remote authentication for the authentication server from the Signed ID, and receiving and storing the service information from the authentication server. 제 7 항에 있어서, 상기 키(key)는
상기 단말 별로 유일하며 외부로의 유출이 제한된 비밀키를 포함하는 Endorsement Key; 및
상기 서비스에 대한 자체 인증을 수행하는 Attestation ID Key;를 포함하는 원격인증 방법.8. The method of claim 7, wherein the key is
An endorsement key that is unique to the terminal and includes a secret key restricted to the outside; And
Attestation ID Key for performing a self-authentication for the service. 제 7 항에 있어서, 상기 증명정보(Certificates)는
상기 단말에 대한 자격증명(Endorsement Cert);
상기 단말의 보안 컴포턴트로서 정품임을 증명하는 플랫폼증명(Platform Cert); 및
상기 단말의 보안 특성을 공인하는 보안증명(Comformance Cert);를 포함하는 원격인증 방법.8. The method of claim 7, wherein the certificates
An endorsement certificate for the terminal;
A platform certificate that proves authenticity as a security component of the terminal; And
Remote authentication method comprising a; (Certification Cert) for authenticating the security characteristics of the terminal. 컨텐츠를 암호화하여 송신하고, 상기 암호화된 컨텐츠의 복호화를 위한 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 전달하는 인증서버; 및
상기 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 기초로 제어 단어를 산출하고, 산출된 제어 단어를 이용하여 상기 암호화된 컨텐츠를 복호화하는 단말;을 포함하는 원격인증 시스템 .An authentication server for encrypting and transmitting content and transmitting an entitlement control message (ECM) and an entitlement management message (EMM) for decrypting the encrypted content; And
And a terminal for calculating a control word based on the entitlement control message (ECM) and the entitlement management message (EMM) and decrypting the encrypted content using the calculated control word. 제 11 항에 있어서, 상기 인증서버는
상기 단말로부터 로밍 요청이 있는 경우, 상기 단말로부터 전달받은 로밍 정보를 이용하여 상기 인증서버로의 로밍이 가능한지 판단하고, 상기 로밍이 가능한 경우 상기 단말에 대한 로밍 관련 정보를 저장하는 로밍 요청 처리모듈;
상기 로밍 관련 정보를 이용하여 상기 단말을 인증하는 인증 처리모듈; 및
상기 단말이 인증된 경우, 상기 단말에 서비스를 제공하기 위한 서비스 정보를 전송하는 정보 갱신모듈;을 포함하는 원격인증 시스템.The method of claim 11, wherein the authentication server
A roaming request processing module for determining whether roaming to the authentication server is possible by using roaming information received from the terminal when the roaming request is received from the terminal, and storing roaming related information for the terminal when the roaming is possible;
An authentication processing module for authenticating the terminal using the roaming related information; And
And an information update module for transmitting service information for providing a service to the terminal when the terminal is authenticated. 제 11 항에 있어서, 상기 단말은
상기 암호화된 컨텐츠를 상기 제어 단어를 이용하여 복호화하고 디코딩하는 컨텐츠 처리모듈;
상기 자격 제어 메시지(ECM) 및 자격 관리 메시지(EMM)를 기초로 제어 단어를 산출하여 상기 컨텐츠 처리모듈로 전송하고, 상기 서비스 정보를 저장하는 인증 모듈; 및
상기 컨텐츠 처리모듈과 상기 인증 모듈 사이에 위치하여 두 모듈의 동작을 제어하는 제어 모듈;을 포함하는 원격인증 시스템.The method of claim 11, wherein the terminal
A content processing module for decrypting and decoding the encrypted content using the control word;
An authentication module for calculating a control word based on the entitlement control message (ECM) and an entitlement management message (EMM), transmitting the control word to the content processing module, and storing the service information; And
And a control module positioned between the content processing module and the authentication module to control the operation of the two modules. 제 13 항에 있어서, 상기 인증 모듈은
상기 단말 및 서비스에 대한 인증을 위한 하나 이상의 키(key)를 생성하는 모바일 신용모듈(MTM);을 포함하며,
상기 모바일 신용모듈(MTM)의 자격, 플랫폼, 보안에 대한 증명정보(Certificates)를 보유하는 원격인증 시스템.The method of claim 13, wherein the authentication module
And a mobile credit module (MTM) for generating one or more keys for authentication of the terminal and service.
Remote authentication system that holds the certification information (certificates), the credentials, platform, security of the mobile credit module (MTM).
KR1020100133794A 2010-12-23 2010-12-23 The apparatus and method for remote authentication KR20120072030A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100133794A KR20120072030A (en) 2010-12-23 2010-12-23 The apparatus and method for remote authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100133794A KR20120072030A (en) 2010-12-23 2010-12-23 The apparatus and method for remote authentication

Publications (1)

Publication Number Publication Date
KR20120072030A true KR20120072030A (en) 2012-07-03

Family

ID=46706865

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100133794A KR20120072030A (en) 2010-12-23 2010-12-23 The apparatus and method for remote authentication

Country Status (1)

Country Link
KR (1) KR20120072030A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113727196A (en) * 2021-07-19 2021-11-30 深圳市华曦达科技股份有限公司 Method and device for realizing CAS terminal authorization on demand
KR102437778B1 (en) 2021-11-16 2022-08-30 (주)녹색산업 Gabion wall block
KR102465108B1 (en) 2021-11-16 2022-11-10 (주)녹색산업 Wall block

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113727196A (en) * 2021-07-19 2021-11-30 深圳市华曦达科技股份有限公司 Method and device for realizing CAS terminal authorization on demand
CN113727196B (en) * 2021-07-19 2023-09-15 深圳市华曦达科技股份有限公司 Method, device and storage medium for realizing CAS terminal authorization on demand
KR102437778B1 (en) 2021-11-16 2022-08-30 (주)녹색산업 Gabion wall block
KR102465108B1 (en) 2021-11-16 2022-11-10 (주)녹색산업 Wall block

Similar Documents

Publication Publication Date Title
US7383438B2 (en) System and method for secure conditional access download and reconfiguration
CN102084663B (en) Systems and methods for securely place shifting media content
US8924731B2 (en) Secure signing method, secure authentication method and IPTV system
CN100459697C (en) IPTV system, enciphered digital programme issuing and watching method
US8621218B2 (en) Method and apparatus for mutual authentication in downloadable conditional access system
CN103370944B (en) Client device and local station with digital rights management and methods for use therewith
KR100945650B1 (en) Digital cable system and method for protection of secure micro program
US10498540B2 (en) Efficient encrypted software distribution mechanism
US20150172739A1 (en) Device authentication
CN101300841B (en) Method for securing data exchanged between a multimedia processing device and a security module
EP2506590A1 (en) Authentication Certificates
US9402108B2 (en) Receiver software protection
WO2012157755A1 (en) Cooperative broadcast communication receiver device, resource access control program and cooperative broadcast communication system
KR20120072030A (en) The apparatus and method for remote authentication
KR101094275B1 (en) Authentication method and apparatus for mobile device in internet protocol television
KR100589047B1 (en) Method for certification of digital TV Banking
KR100947326B1 (en) Downloadable conditional access system host apparatus and method for reinforcing secure of the same
KR100947315B1 (en) Method and system for supporting roaming based on downloadable conditional access system
KR101248828B1 (en) System and method for allocating unique identification to CAS client in eXchangeable Conditional Access System
KR100947313B1 (en) Method and apparatus for authenticating based on downloadable conditional access system
KR101383378B1 (en) Mobile iptv service system using downloadable conditional access system and method thereof
KR100950596B1 (en) Broadcasting receiving apparatus based on downloadable conditional access system and method for reinforcing security thereof
KR101281928B1 (en) Apparatus and method for mutual authentication in downloadable conditional access system
KR20160067722A (en) Method for tramsmitting message between distributed authorization server and cam authentication sub-system and rcas headend
KR20110028784A (en) A method for processing digital contents and system thereof

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination