TWI499257B - 建立密碼之方法,用於該方法之網路前端及接收器以及傳送訊號之方法 - Google Patents
建立密碼之方法,用於該方法之網路前端及接收器以及傳送訊號之方法 Download PDFInfo
- Publication number
- TWI499257B TWI499257B TW096104229A TW96104229A TWI499257B TW I499257 B TWI499257 B TW I499257B TW 096104229 A TW096104229 A TW 096104229A TW 96104229 A TW96104229 A TW 96104229A TW I499257 B TWI499257 B TW I499257B
- Authority
- TW
- Taiwan
- Prior art keywords
- receiver
- network
- identification code
- password
- network front
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/633—Control signals issued by server directed to the network components or client
- H04N21/6332—Control signals issued by server directed to the network components or client directed to client
- H04N21/6334—Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/162—Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
- H04N7/165—Centralised control of user terminal ; Registering at central
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/47—End-user applications
- H04N21/472—End-user interface for requesting content, additional data or services; End-user interface for interacting with content, e.g. for content reservation or setting reminders, for requesting event notification, for manipulating displayed content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/64—Addressing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/643—Communication protocols
- H04N21/64322—IP
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Communication Control (AREA)
- Selective Calling Equipment (AREA)
- Computer And Data Communications (AREA)
Description
本發明有關於一種建立密碼之方法、用於該方法之網路前端與接收器、以及一種傳送訊號之方法。
目前存在有建立由傳送擾頻多媒體訊號的網路前端以及該擾頻多媒體訊號之接收器所共用的交談密碼之方法。接收器典型使用一控制字組將所接收到的擾頻多媒體訊號解擾頻。
網路前端與接收器透過一無線通訊網路彼此連接在一起,其中藉由一局部迴路識別碼唯一地識別建構用戶線路最後部分之各個與每個局部迴路。接收器可以連接到任何一局部迴路之端點。
局部迴路在某一端點直接連接至位於用戶場所之網路終端點,而在另一端點則連接至致使局部迴路聚集成為單一通訊頻道之電話配線架。此配線架透過這些通訊頻道連接至交換中心,如已知的”總局端”。專有名詞”局部迴路”更為精準的界定能夠於涉及通訊網路之文獻中找到。例如,法國電信技術字典以這些專有名詞界定局部網路中局部迴路為:局部迴路乃是法國包含於顧客與局部交換機之間的電信網路之部分。三個必須的區域區分為:”分支”部分、”配線”部分、以及”輸送”部分。
分支部分為連接顧客至集中點之部分。這些連接線由低容量銅質電纜所製成。
配線部分係在集中點之上。中容量電纜會將集中點連接至子配線架。
輸送部分位於配線部分之上游側。配線架會將來自子配線架的需求集中於中央,並且傳送由用戶交換機所供應的資訊。交換機本身能夠與彼此顧客連接。
此一專有名詞之定義同樣也給定於法國法規中。因此,郵件與電子通訊碼條文L.32(3o
ter)定義局部迴路為連接用戶場所上的網路終端點至主配線架或者至公開的固定電子通訊網路任何其他同等之設備。就交換式電話網路而言,局部迴路為一種稱為”銅質局部迴路”的雙絞銅線對。再者,銅質局部迴路將用戶連接至子配線架之部分稱為銅質局部子迴路。
同樣也要提及的是,局部迴路並不需要以銅質雙絞線實現,而可替代以無線連接實現之。再者,局部迴路並不包含任何電纜線或者用戶可以安裝於網路終端之上之其他連接線。
建立交談密碼目前的方法通常包含:.鑑別接收器之步驟;以及.建構只在鑑別步驟期間中正確鑑別接收器所要完整執行的交談密碼之階段。
鑑別步驟確保接收器是屬於登記為網路前端操作者的顧客之使用者。合法的使用者在此稱為用戶。在本說明書其他部分中,企圖接收擾頻多媒體訊號而無註冊為網路前端操作者顧客之使用者稱為”不合法的使用者”。
接收器傳統上包含一解碼器,而典型為一種諸如微晶片卡的可卸除安全處理器則插入或者整合於此解碼器中。
相同的網路前端操作者之解碼器一般為相同,而且藉由其序號便能夠區分出某一解碼器與其他者,即使操作者不須知到這種情況。用來識別以及鑑別特殊接收器之機密資訊儲存在接收器中,特別是在安全處理器中。
目前,所希望的是設計能夠像現今接收器操作之接收器,而不使用可卸除或整合於解碼器之中以及以軟體解決方案或者藉由硬體解決方案所實現的安全處理器。
在本文中,就安全的理由,在接收器已經發配給用戶之前,不能將機密的鑑別資訊儲存於接收器中。如果接收器不具有安全處理器而且不具有機密鑑別資訊,之後則會產生當建立交談密碼時要如何達成鑑別步驟之問題。
本發明目的為藉由提出一種建立交談密碼的方法來解決此一問題,其包含一預先簽署階段,在此期間中,基於希望簽署的使用者所提供之資訊,取得接收器必須連接至端點的局部迴路之識別碼,而其中的鑑別步驟包含:a)在透過網路將接收器連接至網路前端之時,一種自動得到接收器確實連接至端點的局部迴路識別碼之操作,用以基於至少某一連接至局部迴路相對端點的網路配備所提供之資訊,建立網路前端連接至接收器之目的;以及b)一種為了鑑別接收器而驗證在a)操作期間中所得到的識別碼匹配在簽署階段所取得的識別碼之操作。
對任何一個使用者而言,連接至局部迴路端點的網路之配備單元在存取與修改上乃是困難的,因而在操作a)期間中所得到的局部迴路識別碼之鑑別上可能要具有極大的把握。如此,驗證接收器確實連接至端點的局部迴路之識別碼匹配在簽署時間上所取得的識別碼因此會有高度私密地確保希望接收網路前端所傳送的多媒體訊號之接收器為與操作者所已知的局部迴路相關聯之用戶接收器。局部迴路識別碼的使用因此會有高度私密地將所要鑑別的接收器致能,即使接收器不具有安全處理器且不具有機密鑑別資訊。
該種方法的實現方式可以具有一個或者更多個以下特點:.每次將接收器連接至網路前端,皆重複操作a)與b);.在簽署階段之期間中,網路前端會產生一個唯一啟動碼,其在網路前端中與簽署階段時間中所取得的識別碼相關聯;在操作b)之前,接收器已經存取啟動碼;當建立至網路前端之連接時,接收器便會透過網路將啟動碼送至網路前端;以及在操作b)期間中,網路前端使用所接收到的啟動碼來匹配在簽署階段期間中所取得的識別碼以及在操作a)期間中所得到的局部迴路識別碼;.藉由網路前端來產生啟動碼,並且將其送給客戶,而接收器則透過人機介面取得此一啟動碼;.在步驟b)之前,網路前端與終端會產生彼此獨立而且僅來自至少一個終端以及網路前端兩者皆知的終端識別碼之啟動碼;.在建構交談密碼的階段之前,其方法包含一啟動階段,於該期間中,接收器使用隨機或虛擬隨機產生器來產生一對公開/私密密碼KSTB-pub
/KSTB-priv
,並且之後僅將公開密碼送至網路前端,或是網路前端使用隨機或虛擬隨機產生器來產生一對公開/私密密碼KSTB-pub
/KSTB-priv
,並且之後將此對密碼送至接收器;而在此之後,於交談密碼建構階段之期間中,網路前端會透過網路將使用公開密碼KSTB-pub
所加密的機密資訊送至接收器,接收器接著使用私密密碼KSTB-priv
將此機密資訊解密,此機密資訊則是於用來建立交談密碼的網路前端以及接收器之間所交換的;.隨機或者虛擬隨機產生器同樣也是基於接收器的唯一識別碼而初始化;.在交談密碼建構階段之期間中,產生之後並使用公開密碼KSTB-pub
至少一個以密碼書寫之憑證,且產生公開密碼KSTB-pub
至少一個以密碼書寫之憑證係受操作b)以成功之條件影響;.提供該資訊用以得到局部迴路識別碼之網路配備乃是一種位置伺服器,其經由一個指定給接收器以便將其連接至網路前端的IP(網際網路協定)位址,用來取回接收器確實連接至其端點的局部迴路之識別碼。
該方法這些實施例同樣也具有以下的優點;.在每次連接時皆重複操作a)與b)之動作以避免”游牧”,亦即將接收器連接至局部迴路端點而不在簽署時間上公佈之機率;.能夠在接收器中產生密碼對KSTB-pub
/KSTB-priv
,並且之後僅遞送公開密碼KSTB-pub
,而由於僅有公開密碼KSTB-pub
會在網路上傳送,因此會增加此一方法之安全防護;.能夠在網路前端中產生密碼對KSTB-pub
/KSTB-priv
,並且之後將該密碼對遞送至接收器則會限制需求於接收器中處理功率;由於不合法的使用者並不知道啟動碼,而且鑑別步驟不會成功,因此使用啟動碼則會避免不合法的使用者將不合法的接收器連接至用戶之線路;.使用接收器的唯一識別碼將隨機或虛擬隨機產生器初始化以保證相同啟動碼所促動的兩個接收器具有產生相同對的公開/私密密碼KSTB-pub
/KSTB-priv
之機率差不多為零;.使用適合用來驅動接收器經由接收器IP位址確實連接至其端點的局部迴路之識別碼之位置伺服器則會簡化此一方法之實現方式。
本發明同樣也提供一種擾頻多媒體訊號之接收器,用來建立與網路前端所共用的交談密碼,而網路前端則是使用以上的建立方法來傳送擾頻多媒體訊號,此接收器包含一人機介面並且適合透過網路將啟動碼遞送至網路前端。
本發明同樣也提供一種接收器,適合用來產生與網路前端無關而且僅來自接收器與網路前端兩者皆已知的接收器識別碼之啟動碼。
此種接收器之實施例可以具有一個或者多個以下之特點:.接收器的密碼產生器包含一隨機或虛擬隨機產生器,用來產生公開/私密密碼對,而其接收器則用於僅將公開密碼遞送至網路前端;.接收器具有唯一的識別碼,而產生器則能夠使用接收器此唯一識別碼初始化。
本發明同樣也提供一傳送擾頻多媒體訊號之網路前端,用來建立與擾頻多媒體訊號接收器所共用的交談密碼,其使用以上建立密碼之方法,基於至少一個接收器局部迴路之配備所提供之資訊,在接收器透過網路連接至網路前端之期間中,用來自動得到接收器確實連接至端點的局部迴路之識別碼,用以設立連接,而其網路前端則是用來驗證所得到的識別碼會在簽署階段期間中匹配所取得的識別碼,用以鑑別接收器。
此種網路前端之實施例可以包含一個或者多個以下之特點:網路前端於接收器每次連接至此網路前端之時用來得到局部迴路識別碼,以及適合在簽署階段期間中驗證所得到的識別碼會匹配所取得的識別碼;網路前端適合在簽署階段之期間中用來使用所接收到的啟動碼將所取得的識別碼匹配於所得到的局部迴路識別碼。
本發明最後提供一種於傳送擾頻多媒體訊號的網路前端與擾頻多媒體訊號的接收器之間傳送擾頻多媒體訊號之方法,其方法包含;一種藉由以上建立密碼之方法來建立交談密碼之程序;以及使用在透過網路將其從網路前端遞送至接收器之前已經建立之交談密碼,將控制字組或者包含控制字組的訊息加密之步驟。
圖1顯示透過雙向電訊網路8將擾頻多媒體訊號從網路前端4傳送至諸多接收器之系統2。
在此一說明書之剩餘部分中,並不詳細說明熟知該項技術者所熟悉的系統2之特點與功能。
再者,為了簡化圖1,僅顯示一個接收器10。
多媒體訊號為諸如視聽程式或者收費之TV頻道。
接收器10適合將所接收到的多媒體訊號解碼或者解擾頻,藉以產生能夠由顯示裝置12所顯示的已解碼與已解擾頻之視聽訊號。在此,裝置12為一種電視機。裝置12透過諸如電纜的連接線直接連接至接收器10。
接收器10包含:.一解擾頻器14,使用一控制字組CW,適合將擾頻多媒體訊號解擾頻;.一加密/解密模組16,除了別的以外,適合將在網路前端4所傳送的授權控制訊息(entitlement control message,ECM)所得到的控制字組CW之密碼CW*
加密;.一經由儲存在唯讀記憶體(ROM)20中的資訊以計算接收器10唯一識別碼STB-ID之模組18;以及.一密碼之產生器24。
產生器24包含一隨機或虛擬隨機產生器25,適合基於模組18所計算的識別碼STB-ID將之初始化。
接收器10同樣也包含唯讀記憶體(ROM)20以及一非揮發性可復寫記憶體26。例如,記憶體26為一種NVRAM(非揮發性隨機存取記憶體)。
解擾頻器14、模組16和18、以及產生器24乃是建立於可程式電腦(電子計算機)28之基礎上。為此一目的,記憶體20包含指令30,當電腦28執行這些指令時,即實現來自圖2A與2B之方法。
在此,記憶體20藉由圖例包含:.一網路前端4操作者之識別碼32;.一接收器10製造商之識別碼34;.一接收器10的型號與機型之識別碼36;.一較佳為隨機之序號38;.一媒體存取控制(MAC)位址40;以及.公開密碼密碼KTDR-pub
,用來使用私密密碼密碼KTDR-priv
,將所要加密的資訊加密,以及用來使用相同的私密密碼,驗證所標記的資訊之標誌。
在此假設系統2所有的接收器皆為相同機型以及相同型號的,皆由相同的製造商所製造,且皆由相同的網路前端4之操作者所管理,所以在系統2每個接收器中,識別碼32、34與36、指令30以及公開密碼KTDR-pub
乃是相同的。因此,僅依據其序號38與其MAC位址40,系統2某一接收器不同於系統2其他任一接收器。
接收器10同樣也包含一人機介面44,用以取得接收器使用者所登入之啟動碼。
接收器10進一步包含一連接器46,用以透過一條連接線50,將接收器連接至網路8之終端點48。連接線50可以是諸如符合以太網路標準之電纜連接線、或者諸如符合WiFi(無線局部區域網路)標準之無線連接。可以藉由私密局部區域網路而等效地提供連接線50。此種私密之連接線50並非網路8的局部迴路之部分。
終端點48位於用戶之場所。在此所說明的實施例中,此一接點48為透過局部迴路52連接至數位用戶線存取多工器或者配線架54之電話插座。
多工器54較佳已知為一種數位用戶線存取多工器(DSLAM)。多工器54為網路8之部分。
藉由一識別碼LINE-ID將接線52從連接至網路8的所有局部迴路中區分出來。
例如,從以下的資訊項目其中一者、數個、或者全部來建構識別碼LINE-ID:.多工器54所連接的寬頻存取伺服器(BAS)之識別碼;.多工器54之識別碼;.符合非同步傳輸模式(ATM)標準之多工器54輸出接線虛擬路徑數目;.在符合ATM標準的伺服器BAS輸入端之虛擬路徑數目;.在符合ATM標準的多工器54輸出端之局部迴路52虛擬電路數目;在此,網路8為一種封包交換網路。例如,網路8為網際網路,較佳為已知的”全球資訊網”。
為了致能接收器10藉以存取之,網路8包含由資料處理伺服器所組成的網際網路伺服提供者60。此種提供者60能夠指定接收器10一個網際網路協定(IP)位址,致使接收器10能夠瀏覽網路8。為此一目的,提供者60會與含有資料庫64的記憶體62相關聯,針對每個用戶將下列者儲存在資料庫64之中;.用以瀏覽網路8的接收器之IP位址;以及.用戶之補充資訊,特別是網路8之操作者指定給局部迴路52之電話號碼。
電話號碼會致使用戶能夠透過局部迴路52與插座48接收電話。
提供者60傳統上為一種串流中斷點,意謂要透過局部迴路52所交換的全部資訊流會通過提供者60之單一伺服器或多個伺服器。
網路8同樣也包含一位置伺服器66,其適合:.返回與電話號碼相關聯之局部迴路識別碼LINE-ID;以及.返回與提供者60所供應的IP位址相關聯之局部迴路識別碼LINE-ID。
為此一目的,伺服器60會與記憶體62相關聯,其同樣也包含一結合相應局部迴路識別碼的每個電話號碼之資料庫68。
所要提及的是,認為在此的多工器54、提供者60、位置伺服器66、以及記憶體62乃是網路8之配備單元。更準確地說,這些配備單元連接至局部迴路52的相對於終端48的另一端點。
網路前端4包含:.一發報機70,用來遞送擾頻多媒體訊號;以及.一伺服器72,用來建立交談密碼KS
,適合用以鑑別每個接收器以及用以建構系統2所有接收器所共用的交談密碼。
發報機70特別包含:.一擾頻器74,適合使用控制字組CW,進行所要傳送的多媒體訊號之擾頻;以及.一加密/解密模組76,除了別的以外,適合在以ECM訊息將之遞送至系統2的接收器之前,從擾頻器74所使用的控制字組CW來產生密碼CW*
。
密碼建立伺服器72包含用以鑑別想要接收網路前端4所傳送的擾頻多媒體訊號的每個接收器之模組78、以及用以計算識別碼STB-ID之模組80。
接收器72連接至記憶體82,而記憶體82中則儲存著:.一資料庫84,針對系統10每個接收器,含有識別碼32至36、序號38、以及位址40之數值;以及.一資料庫86,針對系統52每個局部迴路,含有一個從使用者在簽署時間所供應的資訊所取得的識別碼LINE-ID之”LINE-ID”場域、一個識別碼STB-ID之”STB-ID”場域、一個啟動碼之”CdA”場域、一個私密/公開密碼對KSTB-priv
/KSTB-pub
之”KSTB
”場域、一個用以暫存交談已經進行的事實之”進行中交談”指標、一個用以暫存接收器已經移除的事實之”接收器移除”指標、以及一個用以暫存局部迴路LINE-ID已經移除的事實之”局部迴路移除”指標。
記憶體82同樣也包含私密密碼KTDR-priv
,以便將訊息解密,其中的訊息則是使用公開密碼所加密並且用來預示具有使用相同公開密碼所驗證的特徵之訊息。
參照圖2A與2B之方法,特別是接收器10之環境,以下說明系統2之操作。
在步驟100,接收器10之製造商會儲存在接收器並且供應給網路操作者的是,操作者的識別碼32、其本身的製造商識別碼34、接收器型號之識別碼36、序號38以及接收器的MAC位址40。在此一步驟期間中,同樣也將此一資訊儲存在資料庫84中。再者,在此一步驟期間中,接收器能夠使用模組18來計算本身之識別碼STB-ID,從識別碼32至40,並且將之儲存在記憶體26中。
接著,在步驟101,模組80會經由資料庫84中所含有的資訊來計算所製造的每個接收器之識別碼STB-ID,並且將之儲存在資料庫84中。步驟100與101因此建構所製造的每個接收器10操作者之登錄。
此後,藉由使用者來擷取接收器10:.與操作者無關,所以操作者並不知道接收器的識別碼STB-ID(稱為”無命名”的接收器);.或者來自操作者,所以操作者確知指定給此一使用者(不是明確便是來自序號)的接收器之識別碼STB-ID(稱為”已命名”的接收器)。
在此一階段,於步驟102,使用者會取得網際網路伺服提供者60所提供的網路8之存取。在步驟102,提供者60會指定一個IP位址給使者,使得使用者能夠瀏覽網路8。當接收器10的使用者第一次簽署如此的存取時,提供者60便會在資料庫64中結合指定接收器10的IP位址與相應於局部迴路52的使用者之電話號碼。根據IP型式的網路所共用之協定,指定給使用者的此一IP位址可以是靜態或者動態的,依據何時使用動態主機配置協定(DHCP,觀看IETF RFC 1531)而定。
網路前端4與接收器10之後便會執行程序103,用以建立一共同的交談密碼KS
。此一程序包含一簽署階段104、一啟動接收器而不連接之階段116、一線上接收器啟動階段128、以及一建構密碼階段160。
接收器10之使用者會於簽署階段104開始。
在階段104之開端,伺服器72會取得數字LINE-ID,經由使用者所供應的資訊,識別使用者所希望將接收器10連接至其端點的局部迴路。
例如,在步驟107,伺服器72取得相應於局部迴路52的電話號碼。在步驟107,例如藉由使用者以語言、藉由郵寄、或者藉由電郵來提供資訊。
再者,如果操作者將接收器10指定給使用者(已命名之接收器),則諸如基於使用者所傳達的資訊中使用者提供之的序號38,伺服器72同樣也會取得接收器之識別碼STB-ID。
接著,在步驟108,伺服器72會質問伺服器66,藉以自動收集相應於步驟107中所取得的電話號碼之局部迴路識別碼LINE-ID。從此時起,將步驟108所收集到的識別碼LINE-ID儲存於資料庫86的”LINEID”場域中,並且用來充當接收器10所必須連接的局部迴路之識別碼。就已命名的接收器而言,同樣也將步驟107所取得的接收器識別碼STB-ID儲存於此一識別碼LINE-ID相關聯的資料庫86中。就無命名的接收器而言,與識別碼LINE-ID相關聯的”STB-ID”場域處於空白狀態,一直到以下所要說明的步驟148。
此後,在步驟110,鑑別模組78產生為一啟動碼,典型由密碼的冗位之隨機數值所構成,此冗位於使用者登入之時,將致使其完整性與確實性能夠接受驗證,如以下所要說明的。接著,在步驟112,將步驟110中所產生的啟動碼儲存於資料庫86中與步驟108所收集的識別碼LINE-ID相關聯之”CdA”場域。
在步驟114,較佳地使用不同於接收器10所使用的通訊工具,將步驟110所產生的啟動碼遞送給接收器10的使用者,藉以連接至網路前端4。例如,藉由郵件遞送或者藉由電話與接收器10之使用者通訊。
當接收器10之使用者已經接收到啟動碼,則使用者便會進行至啟動接收器10之階段116,而不用連接。
在階段116的開端,於步驟118,接收器10取得使用者要透過人機介面44與之通訊的啟動碼。
藉由檢查密碼冗位,於步驟120,接收器10便會驗證在步驟118期間中所取得的啟動碼之完整性及/或確實性。
如果檢查啟動碼的密碼冗位之結果為負,則其方法便會返回至步驟118,例如致使使用者能夠再次登入啟動碼。較佳地限制嘗試取得啟動碼的次數,致使如果達到此一限制,則不能夠取得新的啟動碼,除非諸如將接收器10重置。
如果檢查啟動碼的密碼冗位之結果為正,而且如果並未在步驟100發生,則在步驟124,接收器便會使用模組18經由記憶體20中所儲存的資訊來計算識別碼STB-ID,特別是經由識別碼32、34、36、序號38、以及MAC位址40。將所計算的識別碼STB-ID儲存於記憶體26中。
接著,在步驟126,產生器24會產生一對私密/公開密碼KSTB-priv
/KSTB-pub
,並且金此對密碼KSTB-priv
/KSTB-pub
儲存於記憶體26之中。為了產生此對密碼KSTB-priv
/KSTB-pub
,使用所計算的識別碼STB-ID,將虛擬產生器25初始化。所以,即使兩個相同的啟動碼登入於兩個相同的接收器,然因接收器的識別碼不同,是故所產生的此對私密/公開密碼仍是不同的。此避免使用並聯連接至插座48並且使用相同啟動碼所啟動的兩個接收器。
當離線啟動已經完成之時,便會執行離線啟動階段128。
在階段128之開端,於步驟130,使用網際網路提供者60所指定的IP位址,透過局部迴路52與網路8,將接收器10連接至網路前端4。
接著,在步驟132,接收器10使用公開密碼KTDR-pub
,將步驟118期間中所取得的啟動碼以及步驟124期間中所產生的公開密碼KSTB-pub
之連鎖加密。
以如此方式所加密的啟動碼與公開密碼KSTB-pub
包含於接收器10在步驟134中使用步驟130所設立的連接而遞送至網路前端8的啟動請求中。此一啟動請求同樣也包含識別碼STB-ID以及接收器的IP位址。
當網路前端4接收到啟動請求時,則在步驟136的期間中便會驗證包含在此一請求中的識別碼STB-ID相應於資料庫84中所儲存的其中一者。如果並非如此,則在步驟138,便會基於網路前端4不承認此一接收器與操作者有關之理由而停止其處理。
如果識別碼STB-ID屬於資料庫84,則鑑別模組78便會執行鑑別接收器10的步驟139。在步驟139開端,於操作140期間中,模組78經由啟動請求,擷取接收器10的IP位址。接著,仍於操作140的期間中,模組78將此一IP位址遞送至位置伺服器66,藉以取得接收器10確實所連接的局部迴路之識別碼LINE-ID。所反應的是,於操作142,伺服器66會相應於所接收到的IP位址而將識別碼LINE-ID遞送至模組78。在操作142的期間中,伺服器66先會諸如使用資料庫64判斷相應於所接收到的IP位址之電話號碼,而且之後在第二階段,判斷相應於來自資料庫68的電話號碼之識別碼LINE-ID。
接著,在操作144期間中,模組78使用將包含於啟動請求中的私密密碼KTDR-priv
啟動碼以及公開密碼KSTB-pub
解密。
此時,在操作146的期間中,模組78驗證在操作142期間中所得到的識別碼LINE-ID緊密匹配在步驟108所取得的識別碼LINE-ID。為此一目的,由於每個啟動碼乃是唯一的,並且在步驟112會指定給單一識別碼LINE-ID,因此在操作146中,模組78會比較以下兩個啟動碼:.包含在啟動請求中的啟動碼;以及.在資料庫86中與包含有伺服器66在操作142期間中所遞送而結合識別碼LINE-ID的”LINE-ID”場域之啟動碼。
僅於假使這兩個啟動碼匹配時,方正確地識別出接收器10。
若此,在步驟148中,模組78同樣也會比較在啟動請求所包含的識別碼STB-ID以及在資料庫86中與包含有在操作142期間中所得到的LINE-ID識別碼之”LINE-ID”場域所相關聯的”STB-ID”場域內容。
就已命名之接收器而言,在步驟108載入”STB-ID”場域;模組78接著驗證請求的識別碼STB-ID等於”STB-ID”場域之內容。
就無命名之接收器而言,在步驟108使”STB-ID”場域處於空白狀態;模組78接著將識別碼STB-ID從請求中載入至”STBID”場域,並且認為比較接收器識別碼的結果為正。
如果步驟148的結果為正,則在步驟150,模組78會於資料庫86將密碼KSTB-pub
儲存在與包含有識別碼LINE-ID的”LINE-ID”場域相關聯之”KSTB-pub
”域中。在步驟150,模組78同樣也刪除儲存於與包含有識別碼LINE-ID的”LINE-ID”場域相關聯之場域中的啟動碼,致使此一啟動碼僅能夠使用一次。在步驟150的末尾,啟動接收器10。
如果操作146建立從伺服器66所得到的識別碼LINE-ID不匹配步驟108所取得的識別碼LINE-ID、或者如果步驟148建立包含在啟動請求中的識別碼STB-ID並不匹配與資料庫86中識別碼LINE-ID相關聯者,則在步驟152,停止處理,而且不啟動接收器10。特別的是,密碼KSTB-pub
並不儲存於與操作142所得到的識別碼LINE-ID相關聯之”KSTB-pub
”場域中。
一旦已經啟動了接收器10,接著便有建構交談密碼KS
之階段160。
在階段160之開端,於步驟162,接收器10產生隨機數碼ALEA_STB。接著,於步驟164,接收器10使用公開密碼KTDR-pub
,將數碼ALEA_STB加密。
接著,於步驟166,以此種方式加密之數碼ALEA_STB以及識別碼STB-ID遞送給透過局部迴路52建立伺服器72之密碼。
當伺服器72接收此一資訊,則在步驟168,驗證所接收到的識別碼STB-ID是否屬於資料庫86的。如果不是,則在步驟170停止其處理。
若是,鑑別模組78便會進行鑑別接收器10之步驟172。
在步驟172之開端,於操作174,模組178判斷所接收到的訊息所出自的IP位址,並且將之遞送至位置伺服器66,藉以得到接收器10確實連接至其端點的局部迴路識別碼LINE-ID。所反應的是,在操作176,伺服器66會檢查資料庫64和68中與其IP位址相關聯的識別碼LINE-ID。
伺服器66會在操作178將相應於操作174所遞送的IP位址之識別碼LINE-ID遞送給模組78。
接著,於操作180,模組78驗證操作178所得到的識別碼匹配步驟108所取得的識別碼LINE-ID。更準確的說,於操作180,模組78會比較以下兩個局部迴路之識別碼:.在步驟178由伺服器66所遞送的識別碼LINE-ID;以及.在與資料庫86中的識別碼STB-ID相關聯的”LINE-ID”場域中所包含的識別碼LINE-ID。
如果這兩個局部迴路識別碼匹配,便會正確地鑑別出接收器。伺服器72接著進行至步驟182,於此驗證與資料庫86的識別碼STB-ID相關聯的”進行中交談”指標之數值不具有數值”真”。若此,則在步驟184,伺服器72將”真”值寫入與所接收到的識別碼STB-ID相關聯的”進行中交談”指標之中。
在步驟180,如果伺服器66所遞送的識別碼LINE-ID並不匹配儲存在資料庫86中的識別碼LINE-ID,或者在步驟182如果”進行中交談”的數值已經等於”真”,則在步驟186停止其處理。所以,在步驟186並不建構交談密碼。
在步驟184之後,於步驟188,伺服器172使用私密密碼KTDR-priv
將所接收到的已加密數碼ALEA_STB解密。
接著在步驟190,伺服器72汲取之隨機數碼ALEA_TDR。
在步驟188與190之後,於步驟192,藉由組合隨機數碼ALEA_STB與ALEA_TDR來計算密碼KS
。例如,在這兩個隨機數碼的位元之間執行XOR(互斥或)運算。
接著,在步驟194,使用資料庫86中與所接收到的識別碼STB-ID相關的密碼KTDR-pub
,將數碼ALEA_TDR加密。
在步驟196,使用步驟192所計算的交談密碼KS
,同樣也將數碼ALEA_STB加密。
在步驟198,透過網路8與局部迴路52,將步驟194與196所加密的資訊遞送至接收器10。
在步驟200,接收器接著會使用私密密碼KTDR-priv
,將數碼ALEA_TDR加密,並且之後在步驟202,使用在步驟162所汲取的數碼ALEA_STB以及在步驟200所加密的數碼ALEA_TDR來計算交談密碼KS
。步驟202所執行的計算等同於步驟192所執行的,是故伺服器72與接收器10所建構的交談密碼KS
因而相同。
在步驟204,接收器10會使用步驟202所建構的交談密碼KS
將步驟198所要遞送的數碼ALEA_STB加密。
接著,在步驟206,接收器10比較步驟204所加密的數碼ALEA_STB以及步驟162所產生者。如果這些數碼ALEA_STB並不匹配,則在步驟208停止其處理,並且禁止接收器10所接收到的多媒體訊號之解擾頻行為。例如,在步驟208刪除所建構的交談密碼KS
。
否則,在步驟210,接收器會使用在步驟202所計算的交談密碼KS將步驟200所加密的數碼ALEA_TDR加密。
在步驟212,透過局部迴路52與網路8,將以如此方式所加密的數碼ALEA_TDR遞送至網路前端4。
在接收已加密的數碼ALEA_TDR之後,伺服器72會在步驟214使用步驟192所計算的交談密碼KS
將此一密碼解密。
接著,在步驟216,伺服器72比較步驟214所解密的數碼ALEA_TDR以及步驟190所產生者。如果這些隨機數碼並不匹配,則在步驟218停止其處理。例如,步驟218等同於步驟208。
否則,階段160便成功完成,亦即,建構了網路前端4與接收器10所共用的交談密碼KS
。
如果階段160成功,接下來會有從網路前端4傳送擾頻多媒體訊號至接收器10之階段230。
在階段230之開端,於步驟232,擾頻器74會使用控制字組CW進行多媒體訊號之擾頻。
接著,在步驟234,模組76使用密碼KS將控制字組CW或者含有密碼CW的訊息ECW加密。當階段232與234已經完成,則在步驟236,發報機70便會透過網路8與局部迴路52將擾頻訊號與訊息ECM遞送至接收器10。
在步驟238,接收器10接收這些訊號,並且使用密碼KS
將訊息ECM及/或控制字組加密。
之後則在步驟240由解擾頻器14使用以如此方式所加密之控制字組,將透過局部迴路52所接收的多媒體訊號解擾頻。
最後,在步驟242期間中,將已解擾頻之多媒體訊號解碼,之後並且由裝置12將之清楚顯示。
每次將接收器10連接至網路前端4,皆重複建構交談密碼之階段與傳送多媒體訊號之階段。啟動階段116與128典型僅當接收器10首次登入伺服器時執行一次。
圖3代表一種移除接收器之方法,其可以與圖2A和2B之方法組合。
一開始,在步驟250,伺服器70取得所要移除的接收器之序號。如果諸如已經被竊取,則必須移除接收器。
經由此一序號,模組80會計算所相應的識別碼STB-ID,之後並且在步驟252,伺服器72會將數值”真”儲存於與資料庫86中所計算的識別碼STB-ID相關聯的”接收器移除”指標中。
之後則修改圖2A的方法(分別2B),致使每次接收器10試圖連接至網路前端4之時,在步驟148及/或182,伺服器72即會實現驗證操作254,藉以驗證數值”真”是否包含於與試圖連接至網路前端4的接收器識別碼STB-ID相關聯之”接收器移除”指標中。
若此,在步驟256,伺服器72會透過網路8以及局部迴路52將一移除請求遞送至接收器10來反應之。因而清楚的是,在操作者的主動權下接收器移除為有效的,而且對接收器的使用者而言乃是未知的。
當接收器10接收到此一移除請求時,在步驟258,進行清除接收器10操作所需的全部機密資訊,特別是密碼對KSTB-pub
/KSTB-priv
。從此點推論,可以不再實施建構交談密碼的階段,所以接收器10可以不再將任何一個可能要接收的擾頻多媒體訊號解擾頻。
如果儲存在”接收器移除”指標中的數值不是”真”,則此方法便會在步驟150參照圖2A進行(分別為圖2B在步驟184)。
圖4表示一種局部迴路移除方法,可以藉由些微地修改圖2A與2B之方法來實現之。
一開始,在步驟270,網路前端取得所要移除的局部迴路之識別碼LINE-ID。
接著,在步驟272,伺服器70將數值”真”儲存於資料庫86中與步驟270所取得的識別碼LINE-ID相關聯的”局部迴路移除”指標之中。
接著,在步驟274,以270所取得的識別碼LINE-ID開始,伺服器72重新獲得與局部迴路相關聯的每個接收器之識別碼STB-ID,並且例如,藉由圖3的方法,進行移除其各個的接收器。
系統2以及圖2A和2B的方法之諸多實施例乃是合適可行的。例如,就無命名的接收器而言,資料庫84並非必需的,而且可去除掉驗證網路前端所接收的識別碼屬於資料庫84的步驟136。
所以一旦啟動,便可以去除掉步驟172,而能夠使用接收器將擾頻多媒體訊號解擾頻,即使其在線上啟動階段期間中連接至並不是在簽署階段104所識別的局部迴路亦是。
同樣也能夠去除掉步驟182,致使同時建立數個與網路前端4之能夠交談。
如果在簽署階段遞送接收器10的序號或者識別碼,則圖2的方法便可以適用,使之並不使用啟動碼。例如,使用啟動請求中所包含的識別碼STB-ID替代用以匹配步驟108所取得的識別碼之啟動碼以及步驟142所包含的。在這些環境中,能夠省略人機介面44,去除掉階段116,因而適用步驟132、144以及146。
可使用網路前端4操作者所有接收器所共用的密碼以加密的形式,將識別碼STB-ID儲存在記憶體26或者記憶體20中。
在用以將擾頻多媒體訊號從網路前端4傳送至接收器10為一種xDSL(數位用戶線路)技術之特定配置中已經說明了系統2。然而,可以替代使用其他的電信網路從連接至相反於接收器所連接的端點之網路設備連接至網路前端4,前提為可識別出確實為接收器10所使用的局部迴路。在系統2中,用於此一目的之網路設備為存取提供者60以及位置伺服器66。然而,反而可以修改多工器54,藉以將局部迴路52識別碼LINE-ID自動插入於從接收器10遞送至網路前端4的每個訊息之中。
同樣也可以根據圖5修改圖2A與2B的方法,以便使用公開密碼KTDR-pub
以及KSTB-pub
之密碼憑證。在圖5中,僅表示出相較於圖2A與2B之方法所修改之步驟。
在此一修改中,每個接收器進一步包含憑證機構之公開密碼KAC-pub
,典型是相應於公開密碼KAC-pub
而以使用私密密碼KAC-priv
所產生的密碼憑證CAC
之形式。在線上啟動時間上,當接收器在步驟134傳送公開密碼KSTB-pub
時,同樣也請求網路前端所建立的公開密碼之憑證CSTB
。只要在步驟139與148之後正確鑑別出接收器10,便會建立憑證CSTB
。在步驟150,網路前端進一步將密碼KSTB-pub
傳送至一憑證機構,其建構使用私密密碼KAC-priv
所簽署的密碼KSTB-pub
憑證CSTB
、以及以此種方式所建構並且之後遞送至接收器的憑證CSTB
。接著,在步驟160,建構交談密碼KS
。可以使用目前以憑證交換相互鑑別的協定來建構此一密碼。例如,可以使用SSL(安全封包層)協定。如此的協定可以進一步適用來驗證諸如步驟168中的接收器之識別碼STB-ID、如步驟180中的使用者局部迴路之識別碼LINE-ID、以及/或者如步驟182中的進行中交談之存在。
同樣也能夠根據圖6修改圖2A與2B之方法,致使在接收器中並不產生接收器的密碼對KSTB-priv
/KSTB-pub
,而是替代地於網路前端中產生。
在此一修改中,關於圖2A所說明的離線啟動116並不包含產生密碼對KSTB-priv
/KSTB-pub
的接收器之步驟126,而離線啟動階段128則修改如下。
在離線啟動階段128之開端,於步驟130,接收器10諸如經由識別碼STB-ID計算稱為啟動密碼之安全密碼、在步驟118所取得的啟動碼、以及接收器所產生的隨機數值。在步驟302,接收器會使用如此方式所得到的啟動密碼將啟動碼加密。
接著,在步驟304,使用網際網路伺服提供者60所指定予之的IP位址,透過局部迴路52與網路8,將接收器10連接至網路前端4。在此一連接的時間下,如果網路前端的公開密碼KTdr-pub
已經預先載入接收器的記憶體20之中,則接收器便能夠接收到其密碼,例如以一種自動簽署之憑證。
在步驟306,接收器使用密碼KTdr-pub
,將步驟300中所產生的隨機數值之連結及於步驟302所產生之啟動碼之密碼加密。以如此方式所得到的密碼包含於接收器於步驟308使用步驟304所設定的連接所要遞送至網路前端8之啟動請求中。此一啟動請求同樣也包含接收器的識別碼STB-ID以及IP位址。
當網路前端4接收到此一啟動請求時,便會在操作310驗證請求中所包含的識別碼STB-ID匹配資料庫84內的其中一者。如果並非如此,則在步驟312便會因網路前端4不認為接收器與操作者有關而停止其處理。
如果識別碼STB-ID屬於資料庫84,則鑑別模組78執行鑑別接收器10之步驟320。在步驟320的開端,於操作322,模組78藉由呼叫位置伺服器66而得到接收器的識別碼LINE-ID,如上述的步驟140、142、以及144者。
接著,在操作324,模組78藉由使用私密密碼KTDR-priv
解密而得到啟動請求中所包含的隨機數值以及密碼。
此時,在操作326,模組78在資料庫86中相應於操作322所得到的識別碼LINE-ID,檢視步驟108所取得的識別碼LINE-ID,並且驗證與資料庫86中其識別碼LINE-ID相關聯的識別碼STB-ID會相應於步驟308的啟動請求中所遞送之識別碼STB-ID。就無命名的接收器而言,”STB-ID”場域為空白的,且認為此一操作之結果為正。
如果操作326的結果為正,則網路前端便會在步驟330藉由相同於步驟300接收器來計算啟動密碼之方法而從步驟324中所解密的隨機數值、識別碼STB-ID以及與資料庫86中識別碼LINE-ID相關的啟動碼,計算出一安全密碼。在步驟332,網路前端會使用此一安密碼將啟動碼解密。
接著,在操作334,模組78比較以下兩個啟動碼:.來自啟動請求並且於步驟332解密的啟動碼;以及.與資料庫86中包含有操作322的時間上由伺服器66所遞送的LINE-ID識別碼之”LINE-ID”場域相關的啟動碼。
只要至兩個啟動馬匹配,則正確地識別出接收器10。
如果步驟334的結果為正,則在步驟36,就無命名的接收器而言,模組78會將請求的識別碼STB-ID載入與識別碼LINE-ID相關聯的場域”STB-ID”中。
接著,在步驟338,模組78產生一對私密/公開密碼KSTB-priv
/KSTB-pub
、以及一公開密碼KSTB-pub
之憑證。再者,將此所產生的密碼對儲存於資料庫86中與包含有識別碼LINE-ID的”LINE-ID”場域相關之”KSTB
”域內。
接著,在步驟340,網路前端會使用步驟332所得到的安全密碼將私密密碼KSTB-priv
加密。經由之前而清楚的是,在此,安全密碼相同於接收器的啟動密碼。以如此方式從密碼KSTB-priv
所得到的密碼以及密碼KSTB-pub
之憑證之後則於步驟342遞送至接收器342。在步驟344,接收器使用啟動密碼將所接收到的私密密碼KSTB-priv
解密,並且將之儲存於記憶體26中。再者,如果驗證所接收到的憑證之結果為正,則攫取公開密碼KSTB-pub
,並且將之儲存於記憶體26中。接收器之後則具有其私密/公開密碼對KSTB-priv
/KSTB-pub
。
最後,在步驟模組78將儲存於與包含有識別碼LINE-ID的”LINE-ID”相關聯場域之啟動碼刪除,致使此一啟動碼僅能夠使用一次。在步驟346之後,啟動接收器10。
如果在操作326的期間中啟動請求所接收到的識別碼STB-ID並不匹配於資料庫86中與識別碼LINE-ID相關聯的識別碼STB-ID成立,或者如果在步驟334,啟動請求中所包含的啟動碼並不匹配資料庫86中與識別碼LINE-ID相關聯者,則在步驟328,停止其處理,不並且不啟動接收器10。特別的是,接收器不接收與網路前端進一步交換所需的密碼KSTB-priv
/KSTB-pub
。圖6剩下的相同於諸如圖2A與2B者。
在圖2A方法另一個修改中,不將啟動碼遞送至使用者所要登入接收器的用戶,但藉由接收器於離線啟動步驟116期間中來產生之。在此一修改中,網路前端與接收器具有相同用來產生啟動碼的安全演算法,其不包含隨機構件,而僅包含接收器特有的參數。對網路前端與接收器兩者而言,這些參數皆為已知的。例如,其中一個參數為諸如識別碼STB-ID的接收器識別碼。在製造期間中,產生這些參數,並且將之儲存於接收器。去除將啟動碼遞送至使用者的步驟144。在離線啟動階段116期間中,於步驟118,接收器10會根據安全演算法產生其啟動碼,並且去除驗證使用者所登入的數碼之操作120。此一修改避免將此一啟動碼傳達至使用者之特殊數理邏輯,乃至於避免接收器中相關的對話功能。
2...系統
4...網路前端
8...網路
10...接收器
12...顯示裝置
14...解擾頻器
16...加密/解密模組
18...雙向電訊網路
20...記憶體
24...產生器
25...隨機或虛擬隨機產生器
26...記憶體
28...電腦
30...指令
32...識別碼
34...識別碼
36...識別碼
38...序號
40...媒體存取控制位址
44...人機介面
46...連接器
48...網路之終端點
50...連接線
52...局部迴路
54...配線架
60...網際網路伺服提供者
62...記憶體
64...資料庫
66...位置伺服器
68...資料庫
70...發報機
72...伺服器
74...擾頻器
76...加密/解密模組
78...模組
80...模組
82...記憶體
84...資料庫
86...資料庫
藉由閱讀圖式的非限制範例之說明內容便能夠較佳地瞭解本發明,其中:圖1為一種於網路前端與接收器之間傳送擾頻多媒體訊號之系統示意圖;圖2A與2B構成用於圖1系統的傳送多媒體訊號與執行建立交談密碼程序所需之方法流程圖;圖3顯示一種從圖1系統移除接收器之方法;圖4為圖2A與2B的修改之流程圖,藉以產生私密密碼/公開密碼對;以及圖6為圖2A與2B的另一修改之流程圖,藉以產生私密密碼/公開密碼對。
2...系統
4...網路前端
8...網路
10...接收器
12...顯示裝置
14...解擾頻器
16...加密/解密模組
18...雙向電訊網路
20...記憶體
24...產生器
25...隨機或虛擬隨機產生器
26...記憶體
28...電腦
30...指令
32...識別碼
34...識別碼
36...識別碼
38...序號
40...媒體存取控制位址
44...人機介面
46...連接器
48...網路之終端點
50...連接線
52...局部迴路
54...配線架
60...網際網路伺服提供者
62...記憶體
64...資料庫
66...位置伺服器
68...資料庫
70...發報機
72...伺服器
74...擾頻器
76...加密/解密模組
78...模組
80...模組
82...記憶體
84...資料庫
86...資料庫
Claims (17)
- 一種建立交談密碼之方法,該密碼係由傳送擾頻多媒體訊號的網路前端以及適合使用一控制字組將所接收到的訊號解擾頻之擾頻多媒體訊號接收器所共用密碼,該網路前端與接收器透過電信網路彼此連接,其中藉由一局部迴路識別碼,於所有局部迴路間唯一地識別出每個局部迴路,該接收器適用來連接網路任一局部迴路之端點,該方法包含:˙鑑別接收器之步驟(139、172);以及˙建構交談密碼之階段(160),只要在鑑別步驟期間中,正確鑑別出接收器,便完整地執行之;˙該方法特徵為包含一預先簽署階段(104),在此期間中,基於希望簽署的使用者所提供之資訊,取得接收器必須連接至其端點的局部迴路之識別碼,而該鑑別步驟則包含:˙a)基於接收器確實連接至端點的局部迴路相對端點之至少一個網路設備所提供之資訊,在透過網路將接收器連接至網路前端之時,自動得到接收器確實連接至端點以為建立連接網路前端目的之局部迴路識別碼之操作(142、178);且˙b)驗證操作a)期間中所得到的識別碼匹配簽署階段期間中所取得的識別碼藉以鑑別該接收器之步驟(146、180);以及˙該方法特徵為為了設立連接,提供該資訊之網路設備 為一位置伺服器,其適合經由指定給接收器的IP(網際網路協定)位址,攫取接收器確實連接至其端點的局部迴路識別碼,用以將其連接至網路前端。
- 根據申請專利範圍第1項之方法,其中接收器每次連接至網路前端時,皆重複操作a)以及b)。
- 根據申請專利範圍第1或2項之方法,其中:˙在簽署階段期間中,網路前端會產生(於110)唯一的啟動碼,其與具有在簽署階段之時間上所取得的識別碼之網路前端相關聯(在112);˙在操作b)之前,接收器存取(於118)啟動碼;˙當建立網路前端之連接時,接收器便會至透過網路將所存取的啟動碼遞送(於134)至網路前端;以及˙在操作b)期間中,網路前端使用所接收的啟動碼來匹配簽署期間中所取得的識別碼以及在操作a)期間中所得到的局部迴路識別碼。
- 根據申請專利範圍第3項之方法,其中藉由網路前端來產生啟動碼,並且將之遞送至客戶,而接收器則透過一人機介面取得該啟動碼。
- 根據申請專利範圍第3項之方法,其中在步驟b)之前網路前端與終端會產生彼此獨立而且僅從終端至少一個識別碼之啟動碼而來,其中該識別碼則為終端以及網路前端兩者所已知的。
- 根據申請專利範圍第1或2項之方法,其中在建構該密碼的階段之前,包含: ˙一啟動階段(116、128),於該期間中,該接收器使用一隨機或虛擬產生器產生(於124)一對公開/私密密碼KSTB-pub /KSTB-priv 並且之後僅將該公開密碼遞送至網路前端,或是網路前端產生(於338)使用一隨機或虛擬產生器產生一對公開/私密密碼KSTB-pub /KSTB-priv 並且之後將此對密碼遞送至該接收器;˙在建構階段(160)期間中,該網路前端會透過該網路將使用公開密碼KSTB-pub 所加密之機密資訊遞送至該接收器,且該接收器使用私密密碼KSTB-priv 將該機密資訊解密,在網路前端以及接收器之間所交換的機密資訊則用來建立交談密碼。
- 根據申請專利範圍第6項之方法,其中就至少以唯一識別碼(32至40)所提供的接收器而言,同樣也基於接收器的唯一識別碼,將隨機或虛擬產生器初始化。
- 根據申請專利範圍第6項之方法,其中在啟動階段期間中,產生公開密碼KSTB-pub 之至少一個密碼憑證,並且之後使用之,產生公開密碼KSTB-pub 密碼憑證係受操作b)已經成功之條件所影響。
- 一種用於使用根據申請專利範圍第4項的方法建立與網路前端所共用的交談密碼之接收器,其特徵為接收器包含一人機介面(44),並且用於透過該人機介面來取得啟動碼,並且透過網路,將所取得的啟動碼遞送至網路前端。
- 一種接收器,其係用於使用根據申請專利範圍第5項的方法建立與網路前端所共用的交談密碼,其特徵為接 收器用來產生與網路前端無關且僅來自接收器的識別碼之啟動碼,其中該識別碼則為終端以及網路前端兩者所已知的。
- 根據申請專利範圍第9或10項之接收器,其用於使用根據申請專利範圍第6項的方法建立與網路前端所共用的交談密碼,其中密碼產生器(24)包含用來產生公開/私密密碼對之隨機或虛擬產生器(25),該接收器並且適合僅將公開密碼遞送至網路前端。
- 根據申請專利範圍第11項之接收器,用於使用根據申請專利範圍第7項的方法建立與網路前端所共用的交談密碼,其中該接收器具有唯一識別碼,並且使用接收器之唯一識別碼將產生器初始化。
- 一種網路前端,適合傳送擾頻多媒體訊號並且使用根據申請專利範圍第1至8項中任何一項的方法建立與擾頻多媒體訊號接收器所共用的交談密碼,其特徵為該網路前端在接收器透過網路連接至網路前端的期間中,自動得到接收器確實連接至該端點的局部迴路識別碼,用以設立連接,基於連接至接收器確實連接至該端點的局部迴路相對端點之至少一個網路設備所提供的資訊,而該網路前端則用來驗證所得到的識別碼匹配在簽署階段期間中所取得的識別碼,用以鑑別該接收器。
- 根據申請專利範圍第13項之網路前端,其中該網路前端用於在每次將接收器連接至網路前端時,得到局部迴路識別碼,並且用於驗證所得到的識別碼匹配簽署階段期 間中所取得的識別碼。
- 一種網路前端,適合傳送擾頻多媒體訊號並且使用根據申請專利範圍第3至5項中任何一項的方法建立與擾頻多媒體訊號接收器所共用的交談密碼,其中該網路前端用於在每次將接收器連接至網路前端時,得到局部迴路識別碼,並且用於驗證所得到的識別碼匹配簽署階段期間中所取得的識別碼,且其中該網路前端用於使用所接收到的啟動碼來匹配在簽署階段期間中所取得的識別碼以及已經得到的局部迴路識別碼。
- 一種網路前端,適合傳送擾頻多媒體訊號並且使用根據申請專利範圍第3至5項中任何一項的方法建立與擾頻多媒體訊號接收器所共用的交談密碼,其特徵為該網路前端在接收器透過網路連接至網路前端的期間中,自動得到接收器確實連接至該端點的局部迴路識別碼,用以設立連接,基於連接至接收器確實連接至該端點的局部迴路相對端點之至少一個網路設備所提供的資訊,而該網路前端則用來驗證所得到的識別碼匹配在簽署階段期間中所取得的識別碼,用以鑑別該接收器,其中該網路前端用於在每次將接收器連接至網路前端時,得到局部迴路識別碼,並且用於驗證所得到的識別碼匹配簽署階段期間中所取得的識別碼,且其中該網路前端用於使用所接收到的啟動碼來匹配在簽署階段期間中所取得的識別碼以及已經得到的局部迴路 識別碼。
- 一種於網路前端以及擾頻多媒體訊號接收器之間傳送擾頻多媒體訊號之方法,其係用於使用一控制字組將所接收到的訊號解擾頻,該網路前端以及接收器透過一電訊網路彼此連接,其中藉由一局部迴路識別碼於所有局部迴路中唯一識別出一局部迴路,該接收器用連接至網路任一局部迴路,該方法之特徵為其包含:˙一藉由根據申請專利範圍第1至8中任何一項的方法用來建立交談密碼之程序(103);以及˙使用交談密碼將控制字組或者包含有控制字組的訊息加密之步驟(234),其中該密碼則是在將其從網路前端透過網路遞送至接收器之前已經建立。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0601564A FR2897736B1 (fr) | 2006-02-22 | 2006-02-22 | Procede d'etablissement d'une cle cryptographique, tete de reseau et recepteur pour ce procede, et procede de transmission de signaux |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200803367A TW200803367A (en) | 2008-01-01 |
TWI499257B true TWI499257B (zh) | 2015-09-01 |
Family
ID=37110187
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW096104229A TWI499257B (zh) | 2006-02-22 | 2007-02-06 | 建立密碼之方法,用於該方法之網路前端及接收器以及傳送訊號之方法 |
Country Status (12)
Country | Link |
---|---|
US (1) | US8885825B2 (zh) |
EP (1) | EP1987652B1 (zh) |
KR (1) | KR101318808B1 (zh) |
CN (1) | CN101390366B (zh) |
AT (1) | ATE440440T1 (zh) |
DE (1) | DE602007002058D1 (zh) |
DK (1) | DK1987652T3 (zh) |
ES (1) | ES2330165T3 (zh) |
FR (1) | FR2897736B1 (zh) |
PL (1) | PL1987652T3 (zh) |
TW (1) | TWI499257B (zh) |
WO (1) | WO2007096522A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2317767A1 (en) * | 2009-10-27 | 2011-05-04 | Nagravision S.A. | Method for accessing services by a user unit |
FR2959899B1 (fr) * | 2010-05-10 | 2012-06-08 | Commissariat Energie Atomique | Methode de transmission de paquets securisee pour systeme de telecommunication sans fil. |
CA2745975C (en) | 2010-07-09 | 2016-02-23 | Research In Motion Limited | Utilization of a microcode interpreter built in to a processor |
KR20130006258A (ko) * | 2011-07-08 | 2013-01-16 | 주식회사 케이티 | 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체 |
RU2474064C1 (ru) * | 2011-10-25 | 2013-01-27 | Федеральное бюджетное учреждение "27 Центральный научно-исследовательский институт Министерства обороны Российской Федерации" | Система конфиденциальной телефонной связи |
TW201327370A (zh) * | 2011-12-28 | 2013-07-01 | Amtran Technology Co Ltd | 資源分享系統與方法及其播放裝置 |
WO2014120198A1 (en) * | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Linking a roaming device to a network-enabled resource through a cloud service using an address obtained through a local interaction |
US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
US9979693B2 (en) * | 2016-01-28 | 2018-05-22 | Fiber Logic Communications, Inc. | IP allocation method for use in telecommunication network automatic construction |
KR102019546B1 (ko) * | 2017-06-12 | 2019-09-09 | 이승진 | 보안카메라와 사용자 장치 간의 보안키 생성방법 |
US10715318B2 (en) * | 2018-01-23 | 2020-07-14 | International Business Machines Corporation | Lightweight cryptographic service for simplified key life-cycle management |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0936812A1 (en) * | 1998-02-13 | 1999-08-18 | CANAL+ Société Anonyme | Method and apparatus for recording of encrypted digital data |
US20020104001A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Method for ensuring content protection and subscription compliance |
US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
US20060184787A1 (en) * | 2005-02-14 | 2006-08-17 | Tricipher, Inc. | Authentication protocol using a multi-factor asymmetric key pair |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6252964B1 (en) * | 1995-04-03 | 2001-06-26 | Scientific-Atlanta, Inc. | Authorization of services in a conditional access system |
EP0951767A2 (en) * | 1997-01-03 | 1999-10-27 | Fortress Technologies, Inc. | Improved network security device |
US20040117664A1 (en) * | 1998-06-04 | 2004-06-17 | Z4 Technologies, Inc. | Apparatus for establishing a connectivity platform for digital rights management |
US7249186B1 (en) * | 2000-01-20 | 2007-07-24 | Cisco Technology, Inc. | System and method for identifying a subscriber for connection to a communication network |
US20020016855A1 (en) * | 2000-03-20 | 2002-02-07 | Garrett John W. | Managed access point for service selection in a shared access network |
US20030026424A1 (en) * | 2000-07-07 | 2003-02-06 | Thales Broadcast & Multimedia, Inc. | System, method and computer program product for delivery and utilization of content over a communications medium |
EP1182874A1 (en) * | 2000-08-24 | 2002-02-27 | Canal+ Technologies Société Anonyme | Digital content protection system |
US6851063B1 (en) * | 2000-09-30 | 2005-02-01 | Keen Personal Technologies, Inc. | Digital video recorder employing a file system encrypted using a pseudo-random sequence generated from a unique ID |
US20020120840A1 (en) * | 2000-12-15 | 2002-08-29 | International Business Machines Corporation | Configurable PKI architecture |
US7765580B2 (en) * | 2000-12-22 | 2010-07-27 | Entrust, Inc. | Method and apparatus for providing user authentication using a back channel |
US7475248B2 (en) * | 2002-04-29 | 2009-01-06 | International Business Machines Corporation | Enhanced message security |
AU2003242929A1 (en) * | 2002-07-11 | 2004-02-02 | Koninklijke Philips Electronics N.V. | Apparatus for providing conditional access to a stream of data |
US7644442B2 (en) * | 2003-01-31 | 2010-01-05 | Microsoft Corporation | Systems and methods for using machine attributes to deter software piracy in an enterprise environment |
US20070106892A1 (en) * | 2003-10-08 | 2007-05-10 | Engberg Stephan J | Method and system for establishing a communication using privacy enhancing techniques |
US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
US20060048236A1 (en) * | 2004-09-01 | 2006-03-02 | Microsoft Corporation | Licensing the use of software to a particular user |
BRPI0615559A2 (pt) * | 2005-07-20 | 2017-09-12 | Verimatrix Inc | sistema e método de autenticação de usúario de rede |
-
2006
- 2006-02-22 FR FR0601564A patent/FR2897736B1/fr not_active Expired - Fee Related
-
2007
- 2007-02-06 TW TW096104229A patent/TWI499257B/zh not_active IP Right Cessation
- 2007-02-21 DK DK07731020T patent/DK1987652T3/da active
- 2007-02-21 CN CN2007800064016A patent/CN101390366B/zh not_active Expired - Fee Related
- 2007-02-21 AT AT07731020T patent/ATE440440T1/de not_active IP Right Cessation
- 2007-02-21 DE DE602007002058T patent/DE602007002058D1/de active Active
- 2007-02-21 PL PL07731020T patent/PL1987652T3/pl unknown
- 2007-02-21 US US12/279,410 patent/US8885825B2/en not_active Expired - Fee Related
- 2007-02-21 EP EP07731020A patent/EP1987652B1/fr active Active
- 2007-02-21 WO PCT/FR2007/000313 patent/WO2007096522A1/fr active Application Filing
- 2007-02-21 KR KR1020087022774A patent/KR101318808B1/ko active IP Right Grant
- 2007-02-21 ES ES07731020T patent/ES2330165T3/es active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0936812A1 (en) * | 1998-02-13 | 1999-08-18 | CANAL+ Société Anonyme | Method and apparatus for recording of encrypted digital data |
US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
US20020104001A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Method for ensuring content protection and subscription compliance |
US20060184787A1 (en) * | 2005-02-14 | 2006-08-17 | Tricipher, Inc. | Authentication protocol using a multi-factor asymmetric key pair |
Also Published As
Publication number | Publication date |
---|---|
EP1987652B1 (fr) | 2009-08-19 |
FR2897736A1 (fr) | 2007-08-24 |
ATE440440T1 (de) | 2009-09-15 |
DE602007002058D1 (de) | 2009-10-01 |
CN101390366A (zh) | 2009-03-18 |
ES2330165T3 (es) | 2009-12-04 |
DK1987652T3 (da) | 2009-10-05 |
WO2007096522A1 (fr) | 2007-08-30 |
KR101318808B1 (ko) | 2013-10-16 |
FR2897736B1 (fr) | 2008-04-11 |
KR20080094839A (ko) | 2008-10-24 |
US8885825B2 (en) | 2014-11-11 |
TW200803367A (en) | 2008-01-01 |
EP1987652A1 (fr) | 2008-11-05 |
CN101390366B (zh) | 2013-04-17 |
US20090010434A1 (en) | 2009-01-08 |
PL1987652T3 (pl) | 2010-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI499257B (zh) | 建立密碼之方法,用於該方法之網路前端及接收器以及傳送訊號之方法 | |
US8544077B2 (en) | Internet protocol telephony security architecture | |
US8949595B2 (en) | Mutual authentication apparatus and method in downloadable conditional access system | |
CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
JP2008516476A (ja) | マルチメディアのグループ同報を許可する方法及びシステム | |
WO2006086296A1 (en) | Method for securely distributing configuration information to a device | |
CN111740964B (zh) | 远程同步通信方法、拟态虚拟终端、异构执行体及介质 | |
EP4346256A1 (en) | Implementation of one-key login service | |
CN111800467A (zh) | 远程同步通信方法、数据交互方法、设备及可读存储介质 | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
CN113993127B (zh) | 一键登录业务的实现方法和装置 | |
CN111683072A (zh) | 一种远程验证方法和远程验证系统 | |
CN113904805A (zh) | 基于认证卸载的拟态通信方法及系统 | |
CN110636503B (zh) | 数据加密方法、装置、设备及计算机可读存储介质 | |
JP5185926B2 (ja) | アンチ・エミュレーション機構を備えた、サービスを提供する装置、システム及び方法 | |
US8583930B2 (en) | Downloadable conditional access system, secure micro, and transport processor, and security authentication method using the same | |
CN105871788B (zh) | 一种登录服务器的密码生成方法及装置 | |
CN114158046A (zh) | 一键登录业务的实现方法和装置 | |
WO2012116633A1 (zh) | 基于dhcp的认证方法、dhcp服务器及客户端 | |
JP2001265731A (ja) | クライアント認証方法及びクライアント認証システム | |
KR101282416B1 (ko) | 다운로드형 수신제한 시스템, 보안모듈, 전송처리 모듈 및 이를 이용한 보안 인증방법 | |
US20100235626A1 (en) | Apparatus and method for mutual authentication in downloadable conditional access system | |
JP2023138927A (ja) | データファイル送信及びデータファイルへのアクセス権を管理するためのシステム及び方法 | |
CN117376909A (zh) | 一种基于通用引导架构的单包授权认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |