KR20200118752A - A security system for broadcasting system - Google Patents

A security system for broadcasting system Download PDF

Info

Publication number
KR20200118752A
KR20200118752A KR1020200015374A KR20200015374A KR20200118752A KR 20200118752 A KR20200118752 A KR 20200118752A KR 1020200015374 A KR1020200015374 A KR 1020200015374A KR 20200015374 A KR20200015374 A KR 20200015374A KR 20200118752 A KR20200118752 A KR 20200118752A
Authority
KR
South Korea
Prior art keywords
broadcast content
key
security
module
content
Prior art date
Application number
KR1020200015374A
Other languages
Korean (ko)
Other versions
KR102286784B1 (en
Inventor
박화영
Original Assignee
박화영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박화영 filed Critical 박화영
Publication of KR20200118752A publication Critical patent/KR20200118752A/en
Application granted granted Critical
Publication of KR102286784B1 publication Critical patent/KR102286784B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/235Processing of additional data, e.g. scrambling of additional data or processing content descriptors
    • H04N21/2351Processing of additional data, e.g. scrambling of additional data or processing content descriptors involving encryption of additional data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/254Management at additional data server, e.g. shopping server, rights management server
    • H04N21/2541Rights Management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

The present invention relates to a broadcasting content security system comprising: a CAS system including a security information transmitting module for transmitting security information including an entitlement control message (ECM) generated by scrambling broadcasting content for broadcasting content security, and an entitlement management module for generating an entitlement management message (EMM) for each broadcasting content to transmit broadcasting content receiving entitlement information; and a DRM system for performing authority control on the CAS system by interworking with the CAS system wherein the DRM system includes a DRM encryption module for encrypting the broadcasting content, and a forgery prevention module for generating and managing a license including user authority information and a decryption key so that the encrypted broadcasting content can be decrypted. The receiving entitlement information is converted into a channel key required for broadcasting content encryption by the DRM encryption module. According to the present invention, reliability on IPTV security can be improved.

Description

UHD 방송 콘텐츠 보안 시스템{A SECURITY SYSTEM FOR BROADCASTING SYSTEM}UHD broadcasting contents security system {A SECURITY SYSTEM FOR BROADCASTING SYSTEM}

본 발명은 방송 콘텐츠 보안 시스템에 관한 것으로서, 보다 상세하게는 하나의 통합 플랫폼에서 CAS기술과 DRM기술을 결합하여 동작시킴으로써 IPTV의 보안 신뢰성을 향상시킨 방송 콘텐츠 보안 시스템에 관한 것이다.The present invention relates to a broadcast content security system, and more particularly, to a broadcast content security system in which the security reliability of IPTV is improved by operating by combining CAS technology and DRM technology in one integrated platform.

IPTV(Internet Protocol Television)는 초고속 인터넷 망을 통해 정보나 방송 등을 TV로 제공하는 통신과 방송이 융합된 서비스로 디지털 정보 서비스, 동영상 콘텐츠, 다양한 개인 맞춤형 서비스 등을 제공하고 있다. IPTV (Internet Protocol Television) is a service that combines communication and broadcasting that provides information or broadcasting through a high-speed Internet network, and provides digital information services, video contents, and various personalized services.

IPTV에 의해 제공되는 콘텐츠들은 전송되기 위해서 모두 디지털화되어야 하는데 디지털화 콘텐츠들은 누구나 컴퓨터를 이용하여 쉽고, 빠르게 복사할 수 있으며, 복사된 콘텐츠는 원본과 동일한 품질로 제공되고 확산 속도가 빠르다는 특징이 있다. 이에 따라 디지털 콘텐츠에 대한 보안과 저작권보호가 중요한 문제로 대두되고 있다. All contents provided by IPTV must be digitized in order to be transmitted, but digitized contents can be easily and quickly copied by anyone using a computer, and the copied contents are provided with the same quality as the original and have a fast spreading speed. Accordingly, security and copyright protection for digital contents are emerging as important issues.

현재, 콘텐츠에 대한 불법 복제 및 배포를 방지하기 위한 기술들에 대하여 연구가 활발하게 진행되고 있으며, 대표적인 보안 기술로 CAS(Conditional Access System)와 DRM(Digital Rights Management)이 있다. Currently, research is being actively conducted on technologies to prevent illegal copying and distribution of contents, and representative security technologies include CAS (Conditional Access System) and DRM (Digital Rights Management).

기존의 방송 시스템에서 시청자의 접근 제어를 목적으로 사용되던 CAS가 하나의 대안으로 활용될 수 있지만, IPTV가 제공하고자 하는 다양한 부가 서비스에 대해서는 여러 가지 문제가 있다. 예컨대, PVR(Private Video Recording)과 같이 하드 디스크 저장이 필요한 서비스에 대한 콘텐츠 보호 문제는 CAS만으로는 대응이 어려운 문제이다. 이에, CAS의 부족한 기능을 대체할 수 있는 시스템으로 IP및 PC 환경에서 발전되어 온 DRM 기술이 있다.CAS, which has been used for the purpose of controlling viewers' access in the existing broadcasting system, can be used as an alternative, but there are various problems with various additional services that IPTV intends to provide. For example, a content protection problem for a service that requires hard disk storage, such as PVR (Private Video Recording), is a difficult problem to cope with only CAS. Accordingly, there is a DRM technology that has been developed in IP and PC environments as a system that can replace the insufficient functions of CAS.

DRM 기술은 디지털로 유통되는 모든 콘텐츠 종류에 대한 불법 사용 및 불법 복제에 대응하기 위한 기술로서, CAS보다는 더 넓은 범위에서 콘텐츠 보안 문제를 해결할 수 있다. 다만, DRM기술이 PVR같은 서비스에 적용이 용이한 기술이긴 하지만, 현재의 방송 시스템에 그대로 적용하기에는 부족한 점이 존재한다.DRM technology is a technology for countering illegal use and illegal copying of all types of digitally distributed content, and can solve content security problems in a wider range than CAS. However, although DRM technology is a technology that can be easily applied to services such as PVR, it is insufficient to be applied to the current broadcasting system as it is.

한편, 최근 통신기술과 스마트폰 기술의 발달로 개인들은 여러가지 휴대기기를 소지한다. 예컨대, 개인들은 스마트워치, 태블릿 PC, 휴대폰 등 다양한 휴대 기기를 동시에 소지할 수 있다. 이 경우, 개인들은 IPTV를 통하여 유통되는 콘텐츠들을 여러 화면에서 보고 싶어 하는 니즈가 있다. 단, 개인이 소지한 여러 화면에서 해당 콘텐츠를 볼 수 있도록 모두 인증을 하는 경우에는 개인이 소유한 기기의 분실 시, 해당 인증에 필요한 키가 노출될 수가 있어서 보안에 문제가 발생할 수 있다. Meanwhile, with the recent development of communication technology and smartphone technology, individuals possess various portable devices. For example, individuals can simultaneously possess various portable devices such as smart watches, tablet PCs, and mobile phones. In this case, individuals have a need to view contents distributed through IPTV on multiple screens. However, in the case of authenticating all of the contents so that the individual can view the contents on multiple screens, security problems may arise because the keys required for the authentication may be exposed when the individual's device is lost.

따라서, 본 발명은 DRM을 CAS와 결합하여 DRM/CAS 기술이 하나의 플랫폼에서 동작하도록 함으로써 악의적인 사용자로부터 콘텐츠를 보호할 수 있는 방송 콘텐츠 보안 시스템을 개발하고자 한다. 또한, 본 발명은 여러가지 휴대기기를 소유한 개인에게 방송 콘텐츠의 보안을 크게 향상시킨 방송 서비스를 제공하면서도 다양한 화면에서 할 수 있도록 하는 보안 시스템을 제공하고자 한다.Accordingly, the present invention intends to develop a broadcast content security system capable of protecting content from malicious users by combining DRM with CAS so that DRM/CAS technology operates on one platform. In addition, an object of the present invention is to provide a security system that allows individuals who own various portable devices to be able to perform on various screens while providing a broadcasting service with greatly improved security of broadcasting content.

본 발명이 해결하고자 하는 과제는 하드웨어 방식과 소프트웨어 방식을 결합함으로써 비용 절감과 동시에 악의적인 사용자로부터 콘텐츠를 효과적으로 보호할 수 있는 방송 콘텐츠 보안 시스템 제공하는 것이다.The problem to be solved by the present invention is to provide a broadcast content security system capable of effectively protecting content from malicious users while reducing costs by combining a hardware method and a software method.

본 발명이 해결하고자 하는 또 다른 과제는 하나의 플랫폼에서 CAS기술과 DRM기술을 동작함으로써 IPTV의 보안 신뢰성을 향상시킨 방송 콘텐츠 보안 시스템을 제공하는 것이다. Another problem to be solved by the present invention is to provide a broadcast content security system in which the security reliability of IPTV is improved by operating CAS technology and DRM technology in one platform.

본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems of the present invention are not limited to the problems mentioned above, and other problems that are not mentioned will be clearly understood by those skilled in the art from the following description.

전술한 바와 같은 과제를 해결하기 위하여 본 발명의 일 실시예에 따른 방송 콘텐츠 보안 시스템은 방송 콘텐츠 보안을 위해 방송 콘텐츠를 스크램블링(scrambling)하여 생성된 자격제어메세지(ECM,Entitlement Control Message)를 포함하는 시큐리티 정보를 전달하는 시큐리티 정보 전송 모듈; 및 상기 방송 콘텐츠 각각에 대해 자격관리메세지(EMM, Entitlement Management Message)를 생성하여 방송 콘텐츠 수신 자격 정보를 전달하는 자격 관리 모듈을 포함하는 CAS시스템; 및 상기 방송 콘텐츠를 암호화하는 DRM암호화 모듈; 상기 암호화된 방송 콘텐츠에 대해 복호화가 가능하도록 사용자권한정보 및 복호화 키를 포함하는 라이센스를 생성하고 관리하는 위조 방지 모듈; 방송 콘텐츠 사용자를 인증하기 위해 사용자 정보를 기초로 인증키를 생성하는 사용자 인증 모듈; 및 상기 생성된 인증키와 상기 채널키를 비교하여 일치 여부에 따라 상기 복호화 키를 생성하여 상기 암호화된 방송 콘텐츠에 대한 복호화를 수행하는 복호화 모듈을 포함하고, 상기 CAS시스템과 연동하여 상기 CAS시스템에 대한 권한 제어를 수행하는 DRM시스템; 및 상기 CAS시스템과 연동된 STB시스템을 포함하는 디스플레이 기기; 휴대기기; 및 콘텐츠 관리서버를 포함하며, 상기 수신 자격 정보는 상기 DRM암호화 모듈에 의해 상기 방송 콘텐츠 암호화에 필요한 채널키로 변환되며, 상기 위조 방지 모듈은 상기 복호화 모듈에 의해 복호화된 상기 채널키에 대한 사용이 중복된다고 판단하는 경우, 상기 라이센스 인증을 차단하며, 상기 채널키는 상기 방송 콘텐츠에 대한 수신 자격 정보를 포함하고, 상기 인증키는 상기 방송 콘텐츠 사용자에 대한 사용자ID 및 비밀번호를 포함하고, 상기 인증키는 상기 방송 콘텐츠 사용자에게 인증 부분키의 형태로 전달되며, 상기 복호화 키는 상기 휴대기기, 상기 콘텐츠 관리서버 및 상기 디스플레이 기기에서 일대일로 발생시켜 공유한 난수, 오프셋 및 반복회수에 기초하여 생성된 일회성 인증값에 의하여 상기 콘텐츠 관리서버에서 상기 디스플레이 기기가 인증되는 경우에 상기 콘텐츠 관리 서버로부터 상기 디스플레이 기기에 전달될 수 있다. In order to solve the above-described problems, the broadcast content security system according to an embodiment of the present invention includes an entitlement control message (ECM) generated by scrambling broadcast content for broadcast content security. A security information transmission module for delivering security information; And a CAS system including an entitlement management module for generating entitlement management messages (EMMs) for each of the broadcasting contents and transmitting entitlement information for receiving broadcasting contents. And a DRM encryption module for encrypting the broadcast content. A forgery prevention module for generating and managing a license including user right information and a decryption key to enable decryption of the encrypted broadcast content; A user authentication module that generates an authentication key based on user information in order to authenticate a broadcast content user; And a decryption module that compares the generated authentication key with the channel key and generates the decryption key according to whether or not they match, and performs decryption on the encrypted broadcast content, and interlocks with the CAS system to provide the CAS system. A DRM system that performs authority control for; And a display device including an STB system interlocked with the CAS system. Mobile devices; And a content management server, wherein the reception qualification information is converted into a channel key required for encryption of the broadcast content by the DRM encryption module, and the forgery prevention module duplicates use of the channel key decrypted by the decryption module. When it is determined that the license is authenticated, the license authentication is blocked, the channel key includes reception qualification information for the broadcast content, the authentication key includes a user ID and password for the broadcast content user, and the authentication key is A one-time authentication generated based on a random number, offset, and repetition number generated and shared by the portable device, the content management server, and the display device on a one-to-one basis. When the display device is authenticated by the content management server according to the value, it may be transmitted from the content management server to the display device.

이 경우, 상기 복호화 키의 전달이 상기 반복회수만큼 반복되면 상기 콘텐츠 관리 서버는 상기 휴대기기에 난수, 오프셋 및 반복회수의 공유를 상기 휴대기기에 요청할 수 있다. In this case, when the transmission of the decryption key is repeated by the number of repetitions, the content management server may request the portable device to share a random number, an offset, and the number of repetitions.

또한, 상기 디스플레이 기기는 상기 난수에 해쉬 함수를 상기 오프셋 및 상기 복호화 키의 전달 회수의 합만큼 중첩 적용하여 상기 일회성 인증값을 생성할 수 있다. In addition, the display device may generate the one-time authentication value by overlapping the hash function to the random number by the sum of the offset and the number of times the decryption key is transmitted.

본 발명은 하드웨어 방식과 소프트웨어 방식을 결합함으로써 비용 절감과 동시에 악의적인 사용자로부터 콘텐츠를 효과적으로 보호할 수 있다.According to the present invention, by combining a hardware method and a software method, it is possible to reduce cost and effectively protect content from malicious users.

또한, 본 발명은 하나의 플랫폼에서 CAS기술과 DRM기술을 동작함으로써 IPTV의 보안 신뢰성을 향상시킬 수 있다. In addition, the present invention can improve the security reliability of IPTV by operating CAS technology and DRM technology on one platform.

본 발명에 따른 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 더욱 다양한 효과들이 본 명세서 내에 포함되어 있다.The effects according to the present invention are not limited by the contents exemplified above, and more various effects are included in the present specification.

도 1은 본 발명의 일 실시예에 따른 방송 콘텐츠 보안 시스템의 구성도이다.
도 2는 CAS시스템 및 DRM시스템을 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 수신 자격 정보 생성 과정을 설명하기 위한 예시도이다.
도 4는 본 발명의 일 실시예에 따른 CAS시스템을 설명하기 위한 예시도이다.
도 5는 본 발명의 일 실시예에 따른 CAS시스템의 하드웨어방식을 설명하기 위한 예시도이다.
도 6은 본 발명의 일 실시예에 따른 CAS시스템의 소프트웨어방식을 설명하기 위한 예시도이다.
도 7은 본 발명의 또 다른 실시예에 따른 콘텐츠 관리서버, 휴대기기 및 디스플레이 기기를 도시한 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 콘텐츠 관리서버, 휴대기기 및 디스플레이 기기의 그룹키(복호화 키) 생성 및 확인 프로세스를 나타낸 도면이다.1 is a block diagram of a broadcast content security system according to an embodiment of the present invention.
2 is a block diagram showing a CAS system and a DRM system.
3 is an exemplary diagram illustrating a process of generating reception qualification information according to an embodiment of the present invention.
4 is an exemplary diagram for explaining a CAS system according to an embodiment of the present invention.
5 is an exemplary diagram illustrating a hardware method of a CAS system according to an embodiment of the present invention.
6 is an exemplary diagram illustrating a software method of a CAS system according to an embodiment of the present invention.
7 is a diagram illustrating a content management server, a portable device, and a display device according to another embodiment of the present invention.
8 is a diagram illustrating a process of generating and confirming a group key (decryption key) of a content management server, a mobile device, and a display device according to another embodiment of the present invention.

이하의 내용은 단지 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 발명의 원리를 구현하고 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다. The following content merely illustrates the principle of the invention. Therefore, although those skilled in the art may implement the principles of the invention and invent various devices included in the concept and scope of the invention, although not clearly described or illustrated herein. In addition, it should be understood that all conditional terms and examples listed in this specification are, in principle, expressly intended only for the purpose of making the concept of the invention understood, and are not limited to the embodiments and states specifically listed as such. do.

또한, 이하의 설명에서 제1, 제2 등과 같은 서수식 표현은 서로 동등하고 독립된 객체를 설명하기 위한 것이며, 그 순서에 주(main)/부(sub) 또는 주(master)/종(slave)의 의미는 없는 것으로 이해되어야 한다.In addition, in the following description, ordinal expressions such as first, second, etc. are intended to describe objects that are equivalent and independent of each other, and in the order of main/sub or master/slave It should be understood as meaningless.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. The above-described objects, features, and advantages will become more apparent through the following detailed description in connection with the accompanying drawings, and accordingly, a person of ordinary skill in the technical field to which the invention pertains will be able to easily implement the technical idea of the invention. .

본 발명의 여러 실시예들의 각각 특징들이 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 당업자가 충분히 이해할 수 있듯이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.Each of the features of the various embodiments of the present invention can be partially or entirely combined or combined with each other, and as a person skilled in the art can fully understand, technically various interlocking and driving are possible, and each of the embodiments may be independently implemented with respect to each other. It may be possible to do it together in a related relationship.

이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 방송 콘텐츠 보안 시스템의 구성도이다. 도 2는 CAS시스템 및 DRM 시스템을 나타낸 블록도이다. 도 3은 본 발명의 일 실시예에 따른 수신 자격 정보 생성 과정을 설명하기 위한 예시도이다. 도 4는 본 발명의 일 실시예에 따른 CAS시스템을 설명하기 위한 예시도이다. 도 5는 본 발명의 일 실시예에 따른 CAS시스템의 하드웨어방식을 설명하기 위한 예시도이다. 도 6은 본 발명의 일 실시예에 따른 CAS시스템의 소프트웨어방식을 설명하기 위한 예시도이다.1 is a block diagram of a broadcast content security system. 2 is a block diagram showing a CAS system and a DRM system. 3 is an exemplary diagram illustrating a process of generating reception qualification information according to an embodiment of the present invention. 4 is an exemplary diagram for explaining a CAS system according to an embodiment of the present invention. 5 is an exemplary diagram illustrating a hardware method of a CAS system according to an embodiment of the present invention. 6 is an exemplary diagram illustrating a software method of a CAS system according to an embodiment of the present invention.

도 1을 참조하면, 방송 콘텐츠 보안 시스템은 CAS시스템(100), DRM시스템(200) 및 STB시스템(300)을 포함한다. 도 2를 참조하면, CAS시스템(100)은 시큐리티 정보 전송 모듈 및 자격 관리 모듈을 포함하고, DRM시스템(200)은 DRM암호화 모듈 및 위조 방지 모듈을 포함한다.Referring to FIG. 1, the broadcast content security system includes a CAS system 100, a DRM system 200, and an STB system 300. Referring to FIG. 2, the CAS system 100 includes a security information transmission module and a qualification management module, and the DRM system 200 includes a DRM encryption module and a forgery prevention module.

CAS시스템(100)은 방송 콘텐츠 보안 시스템에 가입한 사용자만이 특정 프로그램을 수신할 수 있도록 하는 시스템으로서, 유료 방송 사업자의 비즈니스 수익을 보호할 수 있다. 예컨대, CAS시스템(100)은 스크램블링/디스크램블링(scrambling/descrambling), 자격제어(Entitlement Control), 자격관리(Entitlement Management) 기능을 수행할 수 있다. 본 발명에서, CAS시스템(100)은 동일한 알고리즘으로 상기 방송 콘텐츠를 기 설정된 암호 레벨에 따라 스크램블링하고 하드웨어 및/또는 소프트웨어를 기반으로 동작하는 것으로 이해되는 것이 바람직하다.The CAS system 100 is a system that allows only users who have subscribed to the broadcast content security system to receive a specific program, and can protect business profits of pay broadcasters. For example, the CAS system 100 may perform scrambling/descrambling, entitlement control, and entitlement management functions. In the present invention, it is preferable that the CAS system 100 scrambles the broadcast content according to a preset encryption level with the same algorithm and operates based on hardware and/or software.

또한, 본 발명에서 방송 콘텐츠는 다운로드 되는 이미지에 대한 정보를 포함하는 이미지 헤더(image header); 및 이미지의 내용인 이미지데이터(image data)를 포함할 수 있다. 또한, 다운로드 되는 콘텐츠 이미지파일은 검증요구시 필요한 Signature data를 더 포함할 수 있다. 구체적으로, 다운로드되는 콘텐츠 이미지는 기본적으로 하나의 SM Client 이미지(CAS or DRM or ASD)를 포함하고 있지만, 최초의 SM Client 다운로드의 경우에는 CAS, DRM, ASD 중 2개 이상의 이미지를 하나의 다운로드 이미지로 생성하여 전송할 수 있다. 그렇기 때문에 다운로드 이미지 헤더에 이미지에 대한 정보를 포함할 수 있다. 예컨대, packed_image_num는 다운로드 이미지에 포함되어 있는 SM Client 이미지의 수이며, total_image_length는 SM Client 이미지의 전체 크기를 나타내고, Reserved는 추가정보를 의미할 수 있다. 이에 따라, 상술한 정보는 이미지 헤더에 포함될 수 있다.Further, in the present invention, the broadcast content includes an image header including information on an image to be downloaded; And image data, which is the content of the image. In addition, the downloaded content image file may further include Signature data necessary for verification request. Specifically, the downloaded content image basically includes one SM Client image (CAS or DRM or ASD), but in the case of the first SM Client download, two or more of CAS, DRM, and ASD images are downloaded as one download image. Can be created and transmitted. Therefore, information about the image can be included in the download image header. For example, packed_image_num is the number of SM Client images included in the downloaded image, total_image_length indicates the total size of the SM Client image, and Reserved may indicate additional information. Accordingly, the above-described information may be included in the image header.

이때, CAS시스템(100)이 하드웨어를 기반으로 동작하는 경우, 시큐리티 정보, 자격제어메세지 및 자격관리메세지에 대한 보안 처리를 CAS시스템(100)과 연동된 STB(Set-Top Box)시스템(300)의 스마트카드(Smart Card)에서 수행할 수 있다. 구체적으로, 도 5에 도시된 바와 같이, 하드웨어 방식의 CAS시스템(100)은 서비스 가입 정보(Entitlement, PIN Code 등) 및 키 등의 저장, ECM/EMM 보안 처리 등을 물리적인 보안을 제공하는 스마트카드에서 담당을 한다. 이때, 외부에서는 CAS코드와 데이터에 접근할 수 없도록 설정한다. At this time, when the CAS system 100 operates based on hardware, the set-top box (STB) system 300 interlocked with the CAS system 100 to perform security processing for security information, qualification control messages, and qualification management messages. It can be performed on the Smart Card of. Specifically, as shown in Figure 5, the hardware-type CAS system 100 is a smart system that provides physical security for storing service subscription information (entitlement, PIN code, etc.) and keys, ECM/EMM security processing, etc. Take charge from the card. At this time, it is set so that the CAS code and data cannot be accessed from outside.

또한, CAS시스템(100)이 소프트웨어를 기반으로 동작하는 경우, 시큐리티 정보, 자격제어메세지 및 자격관리메세지에 대한 보안 처리를 방송 콘텐츠 보안 장치의 메인 메모리에서 수행할 수 있다. 구체적으로, 도 6에 도시된 바와 같이, 서비스 가입 정보(Entitlement, PIN Code 등) 및 키 등의 저장, ECM/EMM 보안 처리 등을 단말기에 있는 Main CPU에서 처리할 수 있다. In addition, when the CAS system 100 operates based on software, security processing for security information, qualification control messages, and qualification management messages may be performed in the main memory of the broadcast content security device. Specifically, as shown in FIG. 6, storage of service subscription information (Entitlement, PIN Code, etc.) and keys, ECM/EMM security processing, etc. may be processed by the main CPU in the terminal.

구체적으로, 스크램블링(scrambling) 기능은 스크램블러(110)에 의해 비 인가된 수신자는 방송 콘텐츠를 시청할 수 없도록 원래의 TV신호를 변형시키는 기능으로서, TV프로그램 형태(예컨대, 오디오, 비디오, 데이터)와 신호형태(예컨대, 아날로그, 디지털)에 따라 방식이 상이할 수 있다. 디스크램블링(Descrambling) 기능은 디스크램블러(320)가 가진 디스크램블링 키인 CW(Control Word)를 이용하여 수신된 방송 콘텐츠를 디스크램블링하는 기능이다. 이때, 스크램블링 방식은 고도의 암호 메커니즘으로 구성될 수 있다. 여기서, CW는 주기적으로 생성되며 암호화되어 전송된다.Specifically, the scrambling function is a function of transforming the original TV signal so that a recipient who is not authorized by the scrambler 110 cannot view the broadcast content, and the TV program type (eg, audio, video, data) and signal The method may be different depending on the form (eg, analog or digital). The descrambling function is a function of descrambles the received broadcast content by using a control word (CW), which is a descrambling key of the descrambler 320. In this case, the scrambling method may be configured with a highly advanced encryption mechanism. Here, the CW is periodically generated, encrypted, and transmitted.

도 1 및 도 2를 참조하면, 자격 제어(Entitlement Control) 기능은 시큐리티 정보 전송 모듈이 방송 콘텐츠 보안을 위해 방송 콘텐츠를 스크램블링(scrambling)하여 생성된 자격제어메세지(ECM, Entitlement Control Message)를 포함하는 시큐리티 정보를 전달하는 것을 의미한다. 여기서, 자격제어메세지(ECM)에는 제어변수가 포함될 수 있고, 모든 수신기는 전송된 제어변수와 수신기의 인증변수와 비교하여 올바른 사용자일 경우 도 5와 같이, 스마트카드(Smart Card) 내의 비밀키로 CW(CW1, CW2, CW3)를 복호화하고 수신된 방송 콘텐츠를 디스크램블링 할 수 있다. 1 and 2, the entitlement control function includes an entitlement control message (ECM) generated by scrambling the broadcast content for the security information transmission module. It means to deliver security information. Here, the entitlement control message (ECM) may include a control variable, and all receivers compare the transmitted control variable with the authentication variable of the receiver, and if the user is a correct user, CW with the secret key in the smart card as shown in FIG. It is possible to decode (CW1, CW2, CW3) and descramble the received broadcast content.

도 1 및 도 2를 참조하면, 자격 관리(Entitlement Management) 기능은 자격 관리 모듈이 방송 콘텐츠 각각에 대해 자격관리메세지(EMM, Entitlement Management Message)를 생성하여 방송 콘텐츠 수신 자격을 관리하는 것을 의미한다. 자격 관리 모듈은 분배키를 이용하여 인증키를 암호화하여 자격관리메세지를 생성하고 수신 측에 전송한다. 이때, 전송된 자격관리메세지는 수신 측에 있는 스마트카드(Smart Card)에 자격을 부여하는 기능을 수행할 수도 있다. 단, 보안성을 증가시키기 위하여, 사용자의 개인 단말기와의 직접 통신을 통하여 스마트카드의 대용으로 활용 가능하다. 개인 단말기를 사용하여 보안성을 높이는 것에 대해서는 도 7 및 도 8을 설명하면서 후술한다.Referring to FIGS. 1 and 2, the entitlement management function means that the entitlement management module generates an entitlement management message (EMM) for each broadcast content to manage the broadcast content reception entitlement. The qualification management module generates a qualification management message by encrypting the authentication key using the distribution key and transmits it to the receiving side. In this case, the transmitted entitlement management message may perform a function of granting entitlements to a smart card at the receiving side. However, in order to increase security, it can be used as a substitute for a smart card through direct communication with a user's personal terminal. Increasing security by using a personal terminal will be described later with reference to FIGS. 7 and 8.

도 1을 참조하면, 방송 콘텐츠 보안 시스템은 CAS시스템(100)과 연동하여 CAS시스템(100)에 대한 권한 제어를 수행하는 DRM시스템(200)을 포함한다. 이때, 도 2에 도시된 바와 같이, DRM시스템(200)은 방송 콘텐츠를 암호화하는 DRM암호화 모듈 및 암호화된 방송 콘텐츠에 대해 복호화가 가능하도록 사용자권한정보 및 복호화 키를 포함하는 라이센스를 생성하고 관리하는 위조 방지 모듈을 포함한다.Referring to FIG. 1, the broadcast content security system includes a DRM system 200 that interworks with the CAS system 100 to perform authority control for the CAS system 100. At this time, as shown in FIG. 2, the DRM system 200 generates and manages a DRM encryption module for encrypting broadcast content and a license including user right information and a decryption key to enable decryption of the encrypted broadcast content. Includes anti-counterfeiting module.

구체적으로, DRM(Digital Right Management)시스템(200)은 방송 콘텐츠의 데이터를 암호화하여 유통하고, 사용자 인증 및 단말기에 대해 라이센스를 발급함으로써 방송 콘텐츠의 불법 복제를 방지할 수 있다. 도면에 도시하지는 않았지만, DRM시스템은 방송 콘텐츠를 암호화하는 DRM패키저와 라이센스를 이용하는 DRM클라이어트를 더 포함할 수 있다. 이때, 라이센스는 콘텐츠에 대한 사용권한과 복호화 키를 포함하며, 사용 권한에 대한 제한 조건과 비교함으로써 조건에 맞는 경우에만 복호화 기능을 수행한다. Specifically, the DRM (Digital Right Management) system 200 encrypts and distributes broadcast content data, and can prevent illegal copying of broadcast content by issuing user authentication and a license to a terminal. Although not shown in the drawing, the DRM system may further include a DRM packager for encrypting broadcast content and a DRM client using a license. At this time, the license includes the right to use the content and the decryption key, and performs the decryption function only when the condition is met by comparing it with the restriction condition on the use right.

따라서, DRM시스템(200)의 위조 방지 모듈은 위조 방지(Tamper Resistance)기술을 통해 보호함으로써 악의적인 사용자에 의한 방송 콘텐츠 불법 유출을 차단할 수 있다. 위조 방지 모듈은 복호화 모듈에 의해 복호화된 채널키에 대한 사용이 중복된다고 판단하는 경우, 라이센스 인증을 차단할 수도 있다. 한편, DRM시스템은 VOD콘텐츠용 DRM과 멀티캐스트 콘텐츠용 DRM으로 구분될 수 있다.Accordingly, the anti-counterfeiting module of the DRM system 200 may be protected by tamper resistance technology to prevent illegal leakage of broadcast contents by malicious users. The forgery prevention module may block license authentication when it is determined that the use of the channel key decrypted by the decryption module is duplicated. Meanwhile, the DRM system can be divided into DRM for VOD content and DRM for multicast content.

또한, DRM시스템(200)은 방송 콘텐츠 사용자를 인증하기 위해 사용자 정보를 기초로 인증키를 생성하는 사용자 인증 모듈; 및 생성된 인증키와 상기 채널키를 비교하여 일치 여부에 따라 복호화 키를 생성하여 암호화된 방송 콘텐츠에 대한 복호화를 수행하는 복호화 모듈을 더 포함할 수 있다. 여기서, 채널키는 방송 콘텐츠에 대한 수신 자격 정보를 포함하고, 인증키는 방송 콘텐츠 사용자에 대한 사용자ID 및 비밀번호를 포함한다. 한편, 인증키는 방송 콘텐츠 사용자에게 인증 부분키의 형태로 전달될 수도 있다.In addition, the DRM system 200 includes a user authentication module that generates an authentication key based on user information in order to authenticate a broadcast content user; And a decryption module that compares the generated authentication key with the channel key and generates a decryption key according to whether they match or not, and decrypts the encrypted broadcast content. Here, the channel key includes reception qualification information for broadcast content, and the authentication key includes user ID and password for the broadcast content user. Meanwhile, the authentication key may be delivered to the broadcast content user in the form of an authentication partial key.

도 1을 참조하면, 방송 콘텐츠 보안 시스템은 CAS시스템(100) 및 DRM시스템(200)과 연동하여 동작하는 STB시스템(300)을 포함한다. STB시스템(300)은 상기 DRM시스템(200)으로부터 채널기를 수신하고 암호화된 방송 콘텐츠를 복호화 함으로서 안전하게 방송을 시청할 수 있다.Referring to FIG. 1, the broadcast content security system includes a CAS system 100 and an STB system 300 operating in conjunction with the DRM system 200. The STB system 300 can safely watch the broadcast by receiving a channel device from the DRM system 200 and decrypting the encrypted broadcast content.

도 3을 참조하면, 미디어 복호화 모듈이 DRM 멀티캐스터에서 보낸 암호화와 멀티캐스팅 된 콘텐츠를 받으면 미디어 복호화 모듈에서는 콘텐츠에 삽입된

Figure pat00001
를 키 복호화 모듈로 보낸다. 키 복호화 모듈에서는 가지고 있던 그룹키나 키 관리 서버(KMS)에서 보내온 그룹키(복호화 키)를 이용하여 암호화된 채널키를 복호화하여 채널키를 다시 미디어 복호화 모듈로 보낸다. 채널키를 받은 미디어 복호화 모듈에서 암호화된 콘텐츠를 채널키로 복호화 하면서 인증모듈에 채널키 사용함을 알리면 인증모듈은 수신 자격 정보를 생성한다.3, when the media decryption module receives the encrypted and multicasted content sent from the DRM multicaster, the media decryption module
Figure pat00001
Is sent to the key decryption module. In the key decryption module, the encrypted channel key is decrypted using the group key that has been held or the group key (decryption key) sent from the key management server (KMS), and sends the channel key back to the media decryption module. When the media decryption module that received the channel key decrypts the encrypted content with the channel key and informs the authentication module that the channel key is used, the authentication module generates reception qualification information.

인증을 위한 수신 자격 정보는 도 3에 도시된 바와 같이, 사용자 ID(User_ID), 특정사용자의 셋톱박스를 한정시키기 위한 정보(Div_info), 채널키(channelkey)를 사용하는 채널 번호(Channel_num)로 구성되어 있다. User_ID는 처음 IPTV 서비스에 가입하였을 때 발급받는 사용자ID로서 각 방송 콘텐츠 사용자를 식별할 수 있는 정보이어야 하므로 중복이 없어야 한다. Div_info는 사용자의 특정 장치 ID로 사용자와 셋톱박스를 바인딩하기 위해 생성된 값을 의미한다. 본 명세서에서, 셋톱박스는 스크램블링 및 DRM이 동시에 적용된 콘텐츠를 시청할 수 있는 기능을 탑재한 모든 기기를 의미하며, 전통적인 셋톱박스 이외에도 기술의 발전에 따라 스마트폰, 스마트 TV 등 다양한 기기들이 될 수 있다. As shown in FIG. 3, the reception qualification information for authentication consists of a user ID (User_ID), information for limiting the set-top box of a specific user (Div_info), and a channel number (Channel_num) using a channel key. Has been. User_ID is a user ID issued when initially subscribing to an IPTV service, and must not be duplicated because it must be information that can identify each broadcast content user. Div_info refers to a value created to bind a user and a set-top box with a user's specific device ID. In the present specification, a set-top box refers to all devices equipped with a function for viewing content to which scrambling and DRM are applied at the same time, and may be various devices such as a smartphone and a smart TV according to the development of technology in addition to the traditional set-top box.

Div_info는 User_ID와 셋톱박스 MAC 어드레스의 해쉬값으로 이루어진다. Channel_num은 현재 채널키를 사용하여 복호화하고 있는 채널의 번호로서 사용자가 채널에 대한 사용가능 여부를 판단할 수 있다.Div_info consists of User_ID and hash value of MAC address of set-top box. Channel_num is the number of the channel being decoded using the current channel key, and the user can determine whether the channel can be used.

수신 자격 정보를 수신 자격 정보서버(REIS)로 보낼 때는 User_ID는 평문으로, Div_info와 Channel_num은 사용자의 개인키로 암호화하여 보낸다.When sending the reception qualification information to the reception qualification information server (REIS), User_ID is sent in plain text, and Div_info and Channel_num are encrypted with the user's private key.

이하에서는, 도 7 및 도 8을 참조하여, CAS 시스템과 DRM 시스템을 모두 포함하며, 특정 사용자가 휴대한 휴대기기를 인증기기로 하여, 사용자가 있는 다양한 화면에서 보안 콘텐츠를 시청할 수 있는 시스템에 대하여 상세하게 설명한다. Hereinafter, with reference to FIGS. 7 and 8, a system that includes both a CAS system and a DRM system, and uses a portable device carried by a specific user as an authentication device, and allows users to view security content on various screens. It will be described in detail.

도 7을 참조하면, 콘텐츠 관리서버(500)는 키 관리, 인증 및 콘텐츠 제공의 기능을 수행하는 서버 또는 서버군을 의미한다. 이 경우, 콘텐츠 관리서버(500)는 휴대기기(400), 공유기(600) 및 셋탑박스 기능을 포함하는 디스플레이 기기(310)와 연동될 수 있다.Referring to FIG. 7, the content management server 500 refers to a server or server group that performs functions of key management, authentication, and content provision. In this case, the content management server 500 may be interlocked with the portable device 400, the router 600, and the display device 310 including a set-top box function.

휴대기기(400)은 디스플레이 기기(310)과 직접 또는 공유기(600)에 의하여 생성된 로컬 네트워크를 통하여 연결될 수 있으며, 콘텐츠 관리서버(500)과도 연결될 수 있다.The portable device 400 may be connected to the display device 310 directly or through a local network generated by the router 600, and may also be connected to the content management server 500.

도 8을 참조하면, 최초에 휴대기기(400)는 콘텐츠 관리서버(500)과 연결될 때에 인증요청을 하여 인증을 받게 된다. 이 때, 휴대기기(400)과 직접 또는 공유기(600)에 의하여 생성된 로컬 네트워크를 통하여 연결될 수 있는 디스플레이 기기(310)이 존재하는 경우, 휴대기기(400)는 디스플레이 기기(310)의 기능, 종류 또는 제품번호(제품 고유번호, UUID)를 문의하는 쿼리를 송신한다. 이 때, 디스플레이 기기는 쿼리에 대한 응답으로 기능, 제품번호, 또는 제품 종류에 대하여 응답을 전송하게 된다.Referring to FIG. 8, when the mobile device 400 is initially connected to the content management server 500, the mobile device 400 requests authentication to receive authentication. In this case, when there is a display device 310 that can be connected to the mobile device 400 directly or through a local network generated by the router 600, the mobile device 400 may perform functions of the display device 310, Sends a query for the type or product number (product identification number, UUID). At this time, the display device transmits a response to the function, product number, or product type in response to the query.

이 때, 기능 또는 제품 종류가 디스플레이 기기 또는 오디오 기기 등 콘텐츠를 플레이할 수 있는 기기인 경우에는 휴대기기(400)는 기기의 응답을 저장한다.In this case, when the function or product type is a device capable of playing content such as a display device or an audio device, the portable device 400 stores the response of the device.

한편, 콘텐츠 관리서버(500)의 콘텐츠를 플레이하고자 하는 경우에는 디스플레이 기기(310)를 통하여, 그룹키를 휴대기기(400)에 요청한다. 그 경우, 휴대기기(400), 콘텐츠 관리서버(500) 및 디스플레이 기기(310)는 서로 간에 난수, 오프셋, 및 반복회수를 공유하게 된다. 이 경우, 난수, 오프셋, 및 반복회수의 공유 절차는 모든 연결이 확립되어 있는 휴대기기(310)에 의하여 개시된다.On the other hand, in the case of wanting to play the content of the content management server 500, a group key is requested from the portable device 400 through the display device 310. In that case, the portable device 400, the content management server 500, and the display device 310 share a random number, an offset, and the number of repetitions with each other. In this case, a procedure for sharing random numbers, offsets, and repetitions is initiated by the portable device 310 to which all connections are established.

이 경우, 각 연결 중 어느 하나의 연결이 해킹되어 난수, 오프셋, 및 반복회수가 모두 유출되는 것을 방지하기 위하여, 난수, 오프셋, 및 반복회수를 휴대기기(400), 콘텐츠 관리서버(500) 및 디스플레이 기기(310)에서 일대일로 대응되도록 발생시키는 것이 바람직하다. 예를 들어, 난수는 콘텐츠 관리서버(500)에서, 오프셋은 휴대기기(400)에서, 반복회수는 디스플레이 기기(310)에서 각각 설정할 수도 있다.In this case, in order to prevent any one of the connections from being hacked and the number of random numbers, offsets, and repetitions all leaked, the mobile device 400, the content management server 500 and It is preferable to generate a one-to-one correspondence in the display device 310. For example, the random number may be set in the content management server 500, the offset may be set in the portable device 400, and the number of repetitions may be set in the display device 310, respectively.

그 후, 디스플레이 기기(310)는 난수, 오프셋에 기초하여 일회성 인증값을 생성하여 콘텐츠 관리서버(500)에 전달할 수 있다. 예컨대, 디스플레이 기기(310)는 난수를 해쉬 함수를 오프셋 회수만큼 중첩 적용하여 일회성 인증값을 생성할 수 있다.Thereafter, the display device 310 may generate a one-time authentication value based on a random number and an offset, and transmit it to the content management server 500. For example, the display device 310 may generate a one-time authentication value by overlapping a hash function with a random number by the number of offsets.

콘텐츠 관리서버(500)는 일회성 인증값을 디스플레이 기기(310)과 동일한 알고리즘으로 연산한 후, 값을 비교하여 동일한 경우, 그룹키를 디스플레이 기기(310)에 전달하게 된다.The content management server 500 calculates the one-time authentication value with the same algorithm as the display device 310, compares the values, and, if the same, transmits the group key to the display device 310.

한편, 디스플레이 기기(310)는 전달받은 그룹키를 활용하여 콘텐츠 관리서버(310)의 DRM을 해제하고 콘텐츠를 플레이하게 된다. 그룹키를 활용하는 방법은 전술한 바와 같다.Meanwhile, the display device 310 releases the DRM of the content management server 310 by using the received group key and plays the content. The method of using the group key is as described above.

다음으로 콘텐츠 관리서버(500)는 인증 업데이트를 디스플레이 기기(310)에 요청한다. 이렇게 인증 업데이트를 바로 디스플레이 기기(310)에 요청하는 것은 휴대기기의 통신 회수를 줄여서 휴대기기의 배터리 등의 리소스를 절약하기 위함이다.Next, the content management server 500 requests the display device 310 to update the authentication. In this way, the request of the authentication update to the display device 310 is to reduce the number of communication times of the mobile device, thereby saving resources such as a battery of the mobile device.

최초 인증 후, 콘텐츠 관리서버(500)으로부터 인증 업데이트를 요청받은 경우, 디스플레이 기기(310)는 오프셋, 이전 그룹키 전달 회수 및 동일한 난수에 기초하여 일회성 인증값을 다시 생성한다. 그리고, 일회성 인증값을 업데이트 하게 된다.After initial authentication, when an authentication update is requested from the content management server 500, the display device 310 regenerates the one-time authentication value based on the offset, the number of previous group key transmissions, and the same random number. Then, the one-time authentication value is updated.

업데이트를 반복회수만큼 반복한 후에는, 콘텐츠 관리서버(500)에서 휴대기기(400)에 난수, 오프셋, 및 반복회수 공유절차를 요청하고, 콘텐츠가 종료될 때까지 일회성 인증값 확인 프로세스를 반복한다. 여기서 일회성 인증값 확인 프로세스는 난수/오프셋/반복회수 및. 이전 그룹키 전달 회수에 기초하여 일회성 인증값을 생성하고 확인하는 절차를 의미한다. 따라서, 콘텐츠의 플레이가 종료될 때까지 계속 보안이 유지될 수 있다. 이 때, 휴대기기(400)가 디스플레이 기기(310)와 연결될 수 있는 커버리지, 예컨대, 블루투스로 직접 연결시, 블루투스 연결범위를 벗어나거나, 또는 공유기(600)를 통한 로컬 네트워크 연결시, 로컬 네트워크 커버리지를 벗어나는 경우에는, 디스플레이 기기(310)에서 인증 휴대기기가 인증범위 밖으로 벗어났음을 통지하고, 다시 커버리지에 휴대기기(400)이 들어올 때까지 콘텐츠의 플레이를 중단할 수 있다.After repeating the update as many times as the number of iterations, the content management server 500 requests the mobile device 400 for a procedure for sharing a random number, an offset, and the number of iterations, and repeats the one-time authentication value verification process until the content is finished. . Here, the one-time authentication value verification process includes random number/offset/repeated number and. It refers to a procedure for generating and checking a one-time authentication value based on the number of previous group key transmissions. Therefore, the security can be maintained until the play of the content ends. At this time, the coverage that the mobile device 400 can be connected to the display device 310, for example, when directly connected via Bluetooth, out of the Bluetooth connection range, or when connected to a local network through the router 600, local network coverage If it is out of range, the display device 310 notifies that the authentication portable device is out of the authentication range, and playback of the content may be stopped until the mobile device 400 enters the coverage again.

따라서, 이러한 보안 연결을 통하여 콘텐츠 사용자는 이러한 보안 통신이 가능한 주변의 어떠한 디스플레이 기기(310)를 통해서도 셋톱박스 없이도 CAS 및 DRM 보안이 동시에 적용된 콘텐츠를 플레이할 수 있다. Accordingly, through such a secure connection, a content user can play content to which CAS and DRM security are applied at the same time without a set-top box through any display devices 310 in the vicinity capable of such secure communication.

또한, 본 발명의 일 실시예에 따른 방송 콘텐츠 보안 하드웨어 방식과 소프트웨어 방식을 결합함으로써 비용 절감과 동시에 악의적인 사용자로부터 콘텐츠를 효과적으로 보호할 수 있다. 또한, 본 발명은 하나의 플랫폼에서 CAS기술과 DRM기술을 동작함으로써 IPTV의 보안 신뢰성을 향상시킬 수 있다. In addition, by combining a broadcast content security hardware method and a software method according to an embodiment of the present invention, it is possible to reduce costs and effectively protect content from malicious users. In addition, the present invention can improve the security reliability of IPTV by operating CAS technology and DRM technology on one platform.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Although the embodiments of the present invention have been described in more detail with reference to the accompanying drawings, the present invention is not necessarily limited to these embodiments, and various modifications may be made without departing from the spirit of the present invention. . Accordingly, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain the technical idea, and the scope of the technical idea of the present invention is not limited by these embodiments. Therefore, it should be understood that the embodiments described above are illustrative in all respects and not limiting. The scope of protection of the present invention should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

100: CAS시스템 200: DRM시스템
300: STB시스템100: CAS system 200: DRM system
300: STB system

Claims (3)

방송 콘텐츠 보안을 위해 방송 콘텐츠를 스크램블링(scrambling)하여 생성된 자격제어메세지(ECM,Entitlement Control Message)를 포함하는 시큐리티 정보를 전달하는 시큐리티 정보 전송 모듈; 및 상기 방송 콘텐츠 각각에 대해 자격관리메세지(EMM, Entitlement Management Message)를 생성하여 방송 콘텐츠 수신 자격 정보를 전달하는 자격 관리 모듈을 포함하는 CAS시스템; 및 상기 방송 콘텐츠를 암호화하는 DRM암호화 모듈; 상기 암호화된 방송 콘텐츠에 대해 복호화가 가능하도록 사용자권한정보 및 복호화 키를 포함하는 라이센스를 생성하고 관리하는 위조 방지 모듈; 방송 콘텐츠 사용자를 인증하기 위해 사용자 정보를 기초로 인증키를 생성하는 사용자 인증 모듈; 및 상기 생성된 인증키와 상기 채널키를 비교하여 일치 여부에 따라 상기 복호화 키를 생성하여 상기 암호화된 방송 콘텐츠에 대한 복호화를 수행하는 복호화 모듈을 포함하고, 상기 CAS시스템과 연동하여 상기 CAS시스템에 대한 권한 제어를 수행하는 DRM시스템; 및 상기 CAS시스템과 연동된 STB시스템을 포함하는 디스플레이 기기;
휴대기기;
및 콘텐츠 관리서버를 포함하며,
상기 수신 자격 정보는 상기 DRM암호화 모듈에 의해 상기 방송 콘텐츠 암호화에 필요한 채널키로 변환되며, 상기 위조 방지 모듈은 상기 복호화 모듈에 의해 복호화된 상기 채널키에 대한 사용이 중복된다고 판단하는 경우, 상기 라이센스 인증을 차단하며, 상기 채널키는 상기 방송 콘텐츠에 대한 수신 자격 정보를 포함하고, 상기 인증키는 상기 방송 콘텐츠 사용자에 대한 사용자ID 및 비밀번호를 포함하고, 상기 인증키는 상기 방송 콘텐츠 사용자에게 인증 부분키의 형태로 전달되며,
상기 복호화 키는 상기 휴대기기, 상기 콘텐츠 관리서버 및 상기 디스플레이 기기에서 일대일로 발생시켜 공유한 난수, 오프셋 및 반복회수에 기초하여 생성된 일회성 인증값에 의하여 상기 콘텐츠 관리서버에서 상기 디스플레이 기기가 인증되는 경우에 상기 콘텐츠 관리 서버로부터 상기 디스플레이 기기에 전달되는,
방송 콘텐츠 보안 시스템.A security information transmission module for delivering security information including an entitlement control message (ECM) generated by scrambling broadcast content for security of broadcast content; And a CAS system including an entitlement management module for generating entitlement management messages (EMMs) for each of the broadcasting contents and transmitting entitlement information for receiving broadcasting contents. And a DRM encryption module for encrypting the broadcast content. A forgery prevention module for generating and managing a license including user right information and a decryption key to enable decryption of the encrypted broadcast content; A user authentication module that generates an authentication key based on user information in order to authenticate a broadcast content user; And a decryption module that compares the generated authentication key with the channel key and generates the decryption key according to whether or not they match, and performs decryption on the encrypted broadcast content, and interlocks with the CAS system to provide the CAS system. A DRM system that performs authority control for; And a display device including an STB system interlocked with the CAS system.
Mobile devices;
And a content management server,
The reception qualification information is converted into a channel key required for encryption of the broadcast content by the DRM encryption module, and the forgery prevention module determines that the use of the channel key decrypted by the decryption module is duplicated, the license authentication And the channel key includes receiving qualification information for the broadcast content, the authentication key includes a user ID and password for the broadcast content user, and the authentication key is an authentication partial key for the broadcast content user. Is delivered in the form of
The decryption key is a one-time authentication value generated based on a random number, an offset, and a number of repetitions generated and shared by the portable device, the content management server, and the display device on a one-to-one basis. In the case of being transmitted from the content management server to the display device,
Broadcast content security system. 제1항에 있어서,
상기 복호화 키의 전달이 상기 반복회수만큼 반복되면 상기 콘텐츠 관리 서버는 상기 휴대기기에 난수, 오프셋 및 반복회수의 공유를 상기 휴대기기에 요청하는,
방송 콘텐츠 보안 시스템.The method of claim 1,
When the delivery of the decryption key is repeated by the number of repetitions, the content management server requests the portable device to share a random number, an offset, and the number of repetitions,
Broadcast content security system. 제1항에 있어서,
상기 디스플레이 기기는 상기 난수에 해쉬 함수를 상기 오프셋 및 상기 복호화 키의 전달 회수의 합만큼 중첩 적용하여 상기 일회성 인증값을 생성하는,
방송 콘텐츠 보안 시스템.The method of claim 1,
The display device generates the one-time authentication value by overlapping and applying a hash function to the random number by the sum of the offset and the number of times the decryption key is transmitted,
Broadcast content security system.
KR1020200015374A 2019-04-08 2020-02-10 A security system for broadcasting system KR102286784B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20190041001 2019-04-08
KR1020190041001 2019-04-08

Publications (2)

Publication Number Publication Date
KR20200118752A true KR20200118752A (en) 2020-10-16
KR102286784B1 KR102286784B1 (en) 2021-08-06

Family

ID=73035391

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200015374A KR102286784B1 (en) 2019-04-08 2020-02-10 A security system for broadcasting system

Country Status (1)

Country Link
KR (1) KR102286784B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060064469A (en) * 2004-12-08 2006-06-13 한국전자통신연구원 Apparatus and method for protecting multicast streamed motion picture files
KR20080048298A (en) * 2006-11-28 2008-06-02 (주)씨디네트웍스 System for authenticating access right for media contents
KR100880965B1 (en) * 2007-12-04 2009-02-03 주식회사 엘지씨엔에스 Downloadable contents security system and downloadable contents security method
KR20090012581A (en) * 2007-07-30 2009-02-04 티유미디어 주식회사 Method and system for storage and playback of broadcasting contents, rights issuer applied to the same
KR20090060470A (en) * 2007-12-10 2009-06-15 숭실대학교산학협력단 Method for digital rights management

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060064469A (en) * 2004-12-08 2006-06-13 한국전자통신연구원 Apparatus and method for protecting multicast streamed motion picture files
KR20080048298A (en) * 2006-11-28 2008-06-02 (주)씨디네트웍스 System for authenticating access right for media contents
KR20090012581A (en) * 2007-07-30 2009-02-04 티유미디어 주식회사 Method and system for storage and playback of broadcasting contents, rights issuer applied to the same
KR100880965B1 (en) * 2007-12-04 2009-02-03 주식회사 엘지씨엔에스 Downloadable contents security system and downloadable contents security method
KR20090060470A (en) * 2007-12-10 2009-06-15 숭실대학교산학협력단 Method for digital rights management

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
김재우 등, IPTV 콘텐츠 보호를 위한 멀티캐스트 DRM 기반의 인증 시스템 설계, 한국통신학회논문지, V.35 no.4, 2010. 4.* *
김재우 등, IPTV 콘텐츠 보호를 위한 멀티캐스트 DRM 기반의 인증 시스템 설계, 한국통신학회논문지, V.35 no.4, 2010년, pp.713-720 *
서기택 등, IPTV 시스템에서의 효과적인 콘텐츠 보호를 위한 일회성 암호와 수신제한시스템을 사용한 보안 모델, 정보보호학회논문지 20(4), 2010. 8.* *

Also Published As

Publication number Publication date
KR102286784B1 (en) 2021-08-06

Similar Documents

Publication Publication Date Title
EP1271951A1 (en) Conditional access system for digital data by key decryption and re-encryption
JP4847145B2 (en) Method for managing consumption of digital content in a client domain and apparatus embodying the method
EP2506590A1 (en) Authentication Certificates
EP3207659B1 (en) Securing communication in a playback device with a control module using a key contribution
US9294446B2 (en) Content encryption
US9385997B2 (en) Protection of control words employed by conditional access systems
RU2547228C1 (en) Method to protect recorded multimedia content
US8417937B2 (en) System and method for securely transfering content from set-top box to personal media player
KR100978162B1 (en) Method for verifying validity of domestic digital network key
JP2006518134A (en) Pay television systems associated with decoders and smart cards, rights revocation methods in such systems, and messages sent to such decoders
KR102286784B1 (en) A security system for broadcasting system
KR20130096575A (en) Apparatus and method for distributing group key based on public-key
US20240056651A1 (en) Digital rights management using a gateway/set top box without a smart card
US8630413B2 (en) Digital contents reproducing terminal and method for supporting digital contents transmission/reception between terminals according to personal use scope
KR20110090839A (en) Preventing the use of modified receiver firmware in receivers of a conditional access system
CN113497961A (en) Conditional access system based on smart phone
CN113497960A (en) Conditional access system based on smart phone
KR101240659B1 (en) Cas system and method for digital broadcating receiver
Singhal et al. Vulnerability of Control Word in Conditional Access Systems Environment
Doumbia et al. Setup-box based on Embedded DaVinci Platform
EP3158769A1 (en) Method and apparatus for providing secure internet protocol media services
KR20160003462A (en) Method and apparatus for protecting and transmitting terrestrial program
MXPA06005389A (en) Systems and methods for delivering pre-encrypted content to a subscriber terminal

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant