TWI513289B

TWI513289B - 與首端安全連接的安全處理單元

Info

Publication number: TWI513289B
Application number: TW102127764A
Authority: TW
Inventors: Stephane Rodgers
Original assignee: Broadcom Corp
Priority date: 2012-08-17
Filing date: 2013-08-02
Publication date: 2015-12-11
Also published as: CN103595540B; US20140053186A1; EP2699017B1; TW201412098A; US8806526B2; CN103595540A; EP2699017A1

Description

與首端安全連接的安全處理單元

本發明涉及在系統中的安全廣播，並且涉及安全連接至廣播首端的安全中央處理單元。

由消費者需求驅動的電子與通訊技術的發展能夠導致數據驅動裝置得到廣泛地採用，該數據驅動裝置包括用於處理和轉換第三方媒體內容的那些裝置。諸如衛星和電纜公司的第三方媒體供應商可能期望他們的內容被安全處理，使得所述內容在某一允許級外不會被複製或使用。

根據本發明的一實施方式，提供了一種系統，包括：訊息家電設備的傳輸中央處理單元，該傳輸中央處理單元用於從首端接收消息；與該傳輸中央處理單元相連接的安全處理單元，該傳輸中央處理單元提供該安全處理單元對該消息的存取；並且與該傳輸中央處理單元相連接的主機中央處理單元，該傳輸中央處理單元禁止該主機中央處理單元存取該消息。

進一步地，該消息包括該安全處理單元的用於關閉或重置該訊息家電設備的指令。

進一步地，該系統還包括該訊息家電設備的儲存器，該儲存器包括用於儲存來自該首端的該消息的受保護區域，該受保護區域由該安全處理單元存取而不由該主機中央處理單元存取。

進一步地，該系統還包括與該儲存器相連接以建立該儲存器的該受保護區域的第二安全處理單元。

進一步地，該系統還包括與該第二安全處理單元相連接的保護硬體，該保護硬體用於控制對該儲存器的該受保護區域的存取。

進一步地，該系統還包括與該傳輸中央處理單元相連接的後置條件存取解密模組，該後置條件存取解密模組用來解密用於發送至該傳輸中央處理單元的來自該首端的該消息。

進一步地，該首端包括電纜電視首端、寬頻首端和地面電視首端中的至少一個。

進一步地，該系統還包括用於將該消息從該傳輸中央處理單元發送至該安全處理單元的專用通道。

進一步地，該消息被包括在視頻、音頻或其它數據流中。

進一步地，該訊息家電設備包括機上盒。

根據本發明的另一實施方式，還提供了一種訊息家電設備，包括：與具有受保護區域的儲存器相連接的主機中央處理單元，其中，該主機中央處理單元不能存取該受保護區域；以及與該儲存器相連接的安全中央處理單元，其中，該安全中央處理單元能夠存取該儲存器的該受保護區域，其中，來自首端的消息被儲存在該受保護區域中而不通過該主機中央處理單元。

進一步地，該消息被包括在通過該首端發送的視頻、音頻或其它數據流中。

進一步地，該訊息家電設備還包括傳輸中央處理單元，該傳輸中央處理單元被配置為用於確定該消息是否對於該主機中央處理單元能夠存取，並且被配置為如果確定該消息不能由該主機中央處理單元存取則將通過旁路將該消息發送至該主機中央處理單元。

進一步地，該訊息家電設備還包括與該儲存器相連接用以建立該儲存器的該受保護區域的第二安全中央處理單元。

進一步地，該消息包括用於關閉或重置該訊息家電設備的指令。

根據本發明的又一實施方式，提供了一種方法，包括：從首端接收加密視頻、音頻或其它數據流，該視頻、該音頻或該其它數據流包括被插入在該視頻、該音頻或該其它數據流中的消息，該消息僅對訊息家電設備的安全處理單元有用，而對該訊息家電設備的主機中央處理單元沒用；解密包括該消息的該視頻、該音頻或該其它數據流；確定該消息對於該主機中央處理單元是沒用的；將該消息提供給該安全處理單元，而不將該消息提供給該主機中央處理單元。

進一步地，該方法還包括基於指令執行該消息以關閉或重置該訊息家電設備。

進一步地，該方法還包括將該消息儲存在儲存器的受保護區域中，該受保護區域對於安全處理單元能夠存取而對於該主機中央處理單元不能存取。

進一步地，該消息請求向該首端返回訊息，該返回訊息不經過該訊息家電設備的主機。

進一步地，該數據包括通過專用通道將該訊息從傳輸中央處理單元發送至該安全處理單元。

100‧‧‧廣播系統

102‧‧‧顯示裝置

104‧‧‧地面電視首端

106‧‧‧電視塔

108‧‧‧電視天線

110‧‧‧電纜電視(CATV)首端

112‧‧‧電纜電視(CATV)分布網路

114‧‧‧衛星電視首端

116‧‧‧衛星電視接收機

118‧‧‧寬頻電視首端

120‧‧‧寬頻網路

122‧‧‧機上盒

124‧‧‧音像(AV)播放器裝置

250‧‧‧CA解密模組

210‧‧‧第一處理單元

270‧‧‧主機CPU

260‧‧‧傳輸CPU

240‧‧‧保護硬體

280‧‧‧保護區域

290‧‧‧專用通道

230‧‧‧儲存器

220‧‧‧第二處理單元

200‧‧‧示例性處理系統

300‧‧‧主機CPU270

310‧‧‧通過CA加密而被加密

320‧‧‧解密視頻/音頻/消息傳輸CPU 260可以檢查數據包內的樣式

330‧‧‧以確定這是否為來自於首端的對主機CPU沒有用的消息

380‧‧‧可以存取所述訊息

350‧‧‧寫入消息

360‧‧‧知道該訊息

370‧‧‧防止入侵或複製情況

參考以下附圖和描述可以更好的理解所述系統和方法。在附圖中，相同的參考標號在所有不同的圖中指代相應的部分。

圖1是支持TV廣播的重放和局部饋電(local feed)的示例性視頻系統的框圖。

圖2是用於安全地處理從首端發送到訊息家電設備的數據訊號的示例性處理系統框圖。

圖3是描述用於安全處理從首端發送到訊息家電設備的消息的示例性過程的流程圖。

本系統與方法可以將消息從廣播首端安全地發送到安全處理單元，例如，而不用經過訊息家電設備的主機。該消息可包含到安全處理器的指令，例如，用以解決訊息家電設備中的侵入尋址(hack)或複製情況。

圖1是支持TV廣播的重放以及從廣播首端到訊息家電設備的局部饋電的示例性廣播系統100的框圖。在圖1中，廣播系統100可包括顯示裝置102、地面電視首端104、電視塔106、電視天線108、電纜電視(CATV)首端110、電纜電視(CATV)分布網路112、衛星電視首端114、衛星電視接收機116、寬頻電視首端118、寬頻網路120、機上盒122和音像(AV)播放器裝置124。這些首端可以包括作為一個點的一種裝置，視頻、音頻以及其他數據饋送針對多通道被從該點接收、被儲存、處理以及被傳輸到廣播用戶。除了傳輸設備，這些首端還可以包含針對各種通道的饋送。

在操作中，顯示裝置102可用於播放視頻流，該視頻流可從廣播首端和/或從諸如AV播放器裝置124的一個或多個本地資源處接收。例如，顯示裝置102可經由電視天線108從地面電視首端104接收電視廣播；接收可以通過CATV首端110經由CATV分布網路112進行通訊的電纜電視廣播；接收可以通過衛星接收器116被接收的衛星電視廣播；和/或接收可以通過寬頻電視首端118經由寬頻網路120通訊的網際網路多媒體廣播。電視首端可以利用電視廣播中的各種格式化解決方案。顯示裝置102是可操作用於直接處理多媒體/電視廣播使相應的視頻和/或音頻數據能夠播放。

另外或可選地，諸如機上盒122的另一裝置可以用來執行處理操作和/或功能，其可操作用來從接收的媒體流中提取視頻和/或音頻數據，然後所提取的音頻/視頻數據可經由顯示裝置102被重放。顯示裝置102還可以被用於顯示從諸如AV播放器裝置124的本地資源輸入的視頻數據。在這點上，AV播放器裝置124可以讀取和/或處理儲存到諸如DVD或藍光光碟的多媒體儲存裝置中的多媒體數據，以及可以生成可經由顯示裝置102顯示的相應視頻數據。

顯示器102、機上盒122和/或AV播放器裝置124或其它訊息家電設備可以包括能夠處理接收自一個或多個廣播首端的電視和/或多媒體流/訊號使得能夠生成可經由顯示裝置102播放的視頻、音頻和/或其它數據的適當邏輯、電路、介面和/或代碼。顯示器102、機上盒122和/或AV播放器裝置124可以進行視頻/音頻處理的至少一些和/或還可以提供諸如加密的附加功能和/或諸如數位版權管理(DRM)相關處理的存取控制相關功能。

圖2是用於安全地處理數據訊號的示例性處理系統200的框圖，該數據訊號從諸如地面電視首端104、電纜電視首端110以及寬頻電視首端118的首端被發送到諸如顯示裝置102、機上盒122以及AV播放器裝置124的訊息家電設備。處理系統200可以作為顯示器102、機上盒122和/或AV播放器裝置124的邏輯、電路、介面和/或代碼的一部分而被包括。系統200可以包括諸如安全性CPU A的第一處理單元210，諸如安全性CPU B的第二處理單元220以及諸如動態隨機存取儲存器230的儲存器230。保護硬體240可以將第一處理單元連接到儲存器230。處理系統200還可以包括後置條件存取(CA)解密模組250、傳輸CPU 260以及主機270。

處理系統200能夠通過將數據訊號的消息從廣播首端直接傳遞到訊息家電設備的第一處理單元210或第二處理單元220而不經過訊息家電設備的主機270，來安全地處理數據訊號。例如，這在訊息家電設備的主機270或其它組件被侵入或被複製的情況下可以提供優勢。

在基於安全性的廣播系統中，首端可以期望向對侵入有所察覺的機上盒122或其它訊息家電設備提供安全控制。在危及主機270安全的情況下首端能夠做的很少，因為在處理系統200中的其他處理單元在沒有主機270介入的情況下不能接收來自首端的消息。如果主機270是不可信的，在消息不受電子對抗措施(ECMs)的束縛的情況下，就可能不存在與首端的安全連接。儘管第一處理單元210和第二處理單元220可以包括安全功能性，但安全處理單元經常依賴於用來指示(例如，用來鍵盤處理)的主機270。消息可以被加密到主機270，但如果主機270不能傳遞消息並且不束縛於鍵盤，則首端就不能向訊息家電設備傳遞所期望的控制。

為了將消息安全地從首端發送至第二處理單元220，CA解密模組250可以接收並且解密從首端被發送到訊息家電設備的數據訊號中的消息。CA解密模組250將解密的消息發送至傳輸CPU 260以解析該消息並標記數據包以被發送至第二處理器220而非主機CPU270。傳輸CPU 260可以例如通過在解密之後的消息中尋找樣式來檢測消息。其它檢測消息的方法可以包括，例如，在直接被發送至第二處理單元220的消息中識別消息起始碼。該消息可以包含用以關閉訊息家電設備以解決侵入尋址或複製情況的到第二處理單元220的指令，或者包含諸如重置訊息家電設備而無需將其關閉的指令。傳輸CPU 260可以使首端消息存取第二處理單元220，而禁止消息存取主機CPU 270。

例如，通過第一處理單元210分配儲存器230的受保護區域280以儲存只可對於第一處理單元210、第二處理單元220存取以及傳輸CPU 260而不由主機CPU270存取且不涉及主機CPU 270的消息或數據包。受保護區域280可以使用諸如包括地址範圍檢驗器的保護硬體240進行保護以確保只有傳輸CPU 260、第一處理單元210和第二處理單元220可以存取受保護區域280，而主機CPU 270不能存取。保護硬體240可以是由第一處理單元210控制用以物理上阻塞主機270存取儲存敏感數據的受保護區域280。儘管主機270不允許存取該區域，但保護硬體240允許傳輸CPU 260、第一處理單元210和第二處理單元240向受保護區域 280寫入消息並從該受保護區域讀取消息。

另外或可選地，傳輸CPU 260可以例如經由專用通道290向第二處理單元220直接傳送安全消息，例如無需涉及儲存器230和主機270。傳輸CPU 260可以直接向第二處理單元220的內部儲存器寫入消息。第二處理單元220的內部儲存器例如使用檢驗器而受保護免於修改。該消息可以包括來自首端的指令用以重置或者關閉諸如機上盒122的裝置。第二處理單元220可以執行所述指令。由於主機270從不接收消息，故可能會被侵入的主機270不會干涉指令執行。

圖3是描述用於保護從首端發送到諸如機上盒122的訊息家電設備的消息的示例性過程的流程圖。首端可以在視頻、音頻的或其它數據流中插入消息包，所述消息包表示消息僅對第一處理單元210或第二處理單元220有用而對主機CPU270沒用(300)。所述訊息可以連同加密視頻或音頻數據流一起例如通過CA加密而被加密(310)。通過在視頻和音頻數據流中包括安全消息，消息可以不容易被諸如黑客識別，並且所述消息可以通過具有CA解密能力的系統被提取。在諸如機上盒122的訊息家電設備中，可以使用CA解密通過CA解密模組250解密視頻/音頻/消息(320)。可以採用其它類型的加密與解密方法。傳輸CPU 260可以檢查數據包內的樣式以確定這是否為來自於首端的對主機CPU沒有用的消息(330)。所述消息可以被携帶在視頻和音頻基本流(ES)層中，或者具有不同程序ID(PID)的特殊數據包。

視頻與音頻數據的基層可以包括ES、原始壓縮數據。ES數據可被裝入被稱為PES的具有報頭的大的可變數據包，並且接下來這些數據包可以被解析為諸如188位的固定長度數據包，所述固定長度數據包被稱為傳送數據包，其中，每個傳送數據包根據其包含的字段均具有諸如4位或者更多位的報頭。使用MPEG-2傳輸層或者其他傳輸格式可實現傳輸。文件格式可以使用不同的數據包格式但是在基層具有ES數據。消息可被包含於這些報頭之中，將所述消息裝載在視頻和音頻ES層中可以具有以下優勢：一旦視頻/音頻通過CA加密，消息是不可見的，並且因此就不能從數據流中移除。

如果數據包是拒絕使用主機CPU 270的首端訊息，則傳輸CPU 260可以向儲存器230的受保護區域280寫入消息(350)。傳輸CPU 260還可以中斷諸如安全性CPU B的第二處理單元220以使得第二處理單元220知道該訊息(360)。第二處理單元220可以通過執行消息中的指令來讀取消息並且處理該消息，例如，以防止入侵或複製情況(370)。如果消息不拒絕使用主機CPU 270，則該消息不被儲存到受保護區域280並且主機270可以存取所述訊息(380)。

這個方法的好處是不依賴於主機CPU 270處理訊息，首端可以向安全處理單元發送消息從而配置訊息家電設備。該首端消息可以直接傳播至第一處理單元210和第二處理單元220，並且繞過主機CPU 270。兩個安全CPU被用於諸如在多信任系統中的第一處理單元210和第二處理單元220。第一處理單元210可以包括有權使用高值秘密的常規安全CPU，並且正常地從主機CPU 270接收命令。第二處理單元220可以包括中間等級安全性CPU。第一處理單元210可以控制儲存器230的受保護區域280以及第二處理單元220可以執行基於安全訊息的操作。基於所述訊息的操作可以包括關閉被侵入或複製的訊息家電設備。另外或可選地，可以或多或少使用安全性CPU。

在包括首端和訊息家電設備之間的雙向通訊的廣播系統100中，首端可以指示第二處理單元220返回訊息到首端，而該返回訊息不通過訊息家電設備的主機270。例如，電纜電視首端110可以指示機上盒122的安全CPU B返回一次性可編程(OTP)的配置訊息或其它設置。OTP配置訊息可以指示關於被盜用機上盒的訊息以便允許叛逆者追踪，例如，識別正執行複製的機上盒。安全CPU B可以形成包括OTP配置訊息的消息並且在不涉及主機270的情況下將該訊息發送回首端。

儘管已經描述了不同的實施方式，將清楚的是，更多的實施方式與實現都是可行的。因此，除了根據所附申請專利範圍和其等價物，本系統和方法外不受限制。