WO2006012788A1

WO2006012788A1 - Procede d'autorisation d'abonnes et systeme d'autorisation

Info

Publication number: WO2006012788A1
Application number: PCT/CN2005/001092
Authority: WO
Inventors: Jinming Liu; Degang Ju; Junling Hu; Yonghong Xu; Jun Yao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2004-08-02
Filing date: 2005-07-21
Publication date: 2006-02-09
Also published as: CN100384251C; CN1735192A

Description

用户授权方法及授权系统

技术领域

本发明涉及广播电视领域的有线电视技术，尤其涉及一种用户授权方法及授权系统。

背景技术目前，随着广播电视系统面向数字化、产业化的发展，用户为自身收看的电视节目内容付费已成为这一发展的必然，而要实现用户为自身收看的电视节目内容付费的目的，首要解决的技术问题是应该对收看电视节目的用户进行有效管理。

条件接收系统（CAS， Condi t iona l Acces s Sys tem )就是在现有广播电视网中实施的用于对用户进行有效管理的方式之一，而由 CAS技术实现的对用户进行管理的主要过程如下：

广播电视网的前端（ HE, Head End )对要发送给用户的电视节目数据进行加扰处理，然后再对用户能够收看的节目进行授权，并且授权处理后的授权数据还要进行加密处理后才能传送到最终用户端；

用户端接收到电视节目后，只有合法用户才能对加密处理的授权数据进行解密，得到相应的授权数据，然后使用授权数据对加扰处理的电视节目进行解扰处理，以正常收看电视节目；而非法用户或者没有正常接收到自身授权数据的用户由于无法对加扰处理的电视节目进行解扰，因此就不能正常收看电视节目，这样就到达了对用户收看的电视节目内容进行控制和管理的目的，进而驱使用户为自己所收看的电视节目内容进行付费。

参照图 1，该图是现有技术在广播电视网中实现对电视节目进行加解扰及加解密处理的原理示意图；其对电视节目数据进行加解扰处理及加解密处理的过程如下：

在广播电视网的前端 HE 10中进行如下操作：

1 )电视节目在播出前，加扰器使用控制字（CW, Control Words )对电视节目数据复用处理后传输流（TS， Transport Stream)进行加扰处理，可以表示为：

TS + CW -> TS';

2 ) CAS技术的核心实际上是对控制字 CW的传输进行控制，因此在前端 HE 10 中还要使用业务密钥（SK， Service Key)对控制字 CW进行加密处理，形成授权控制信息（ECM, Entitlement Control Message ), 可以表示为：

CW + S -> ECM;

其中由业务密钥 SK加密处理后的控制字 CW封装在 ECM中传送，其中 ECM中还包括节目来源、内容分类和节目收费价格等信息；

3)前端 HE 10再根据用户注册时的授权信息，使用用户的个人分配密钥（PDK, Personal Distribute Keyword )对业务密钥 SK进行加密处理，形成授权管理信息 ( EMM, Entitlement Management Message ), 可以表示为：

SK + PDK -> EMM;

其中由个人分配密钥 PDK加密处理的业务密钥 SK封装在中传送， EMM中还包括接收方地址信息、用户授权信息和用户可以收看的电视节目时间段信息等。

其中上述的 EMM数据主要针对用户而生成， ECM数据主要针对电视节目数据而生成，生成的 ΕΝίΜ数据和 ECM数据与电视节目数据一起复用在传输流 TS 里通过光纤同轴混合有线电视网络（ HFC , Hybrid Fiber-Coaxial )传输到用户端。

用户端的机顶盒（STB, Set-Top Box) 20接收到广播电视网的前端 HE 10发来的传输流 TS后，使用智能卡（Smart Card) 中存有的用户注册授权数据对传输流 TS进行如下的解密及解扰处理：

4) STB 20从传输流 TS中过滤出 ECM数据和 EMM数据；

5 )通过智能卡的接口将 ECM数据和 EMM数据送到智能卡内部；

6)智能卡读取自身存有的授权数据中的个人分配密钥 PDK，利用 PDK 对 EMM数据进行解密，得到业务密钥 SK，可以表示为：

EMM + PDK -> S ;

7 )智能卡利用得到的业务密钥 SK对 ECM数据进行解码，得到控制字 CW，可以表示为：

ECM + SK -> CW;

智能卡将得到的 CW通过相应接口发送给 STB的解扰引擎；

8 )机顶盒 STB 20的解扰引擎利用控制字 CW对进行了加扰处理的传输流 TS进行解扰处理，以得到电视节目数据的明文形式，可以表示为：

TS， + CW -> TS;

解扰处理后的节目数据经过解复用和解调等处理后，就可以恢复出原始的音视频图像信息，以播放给用户进行收看。

由此可见，上述使用 CAS技术能够实现对电视节目数据进行加解密及加解扰处理，以驱使用户对自身收看的电视节目进行付费，从而实现了使广播电视运营商能够为自身提供的业务进行合理性收费的目的。

但是由于在用户端，用户的授权数据（最主要的是个人分配密钥 PDK ) 都保存在用户手持的智能卡中，这样就容易导致在经济利益的驱使下，不法分子可以采用各种方法对合法用户手持的智能卡进行克隆（包括对个人分配密钥 PDK的复制），再通过非法渠道大量出售克隆的智能卡以牟取暴利，从而导致了广播电视运营商大量客户的流失，造成了不可估量的经济损失：

因为传统的广播电视系统是一个单向传输的广播网络，广播电视运营商根本无法获知用户是否在线的情况，因此就无法对用户身份的合法性与唯一性进行鉴权，所以即使大量持有非法智能卡的身份信息相同的用户同时在线收看电视节目，运营商也无能为力。

目前，广播电视运营商为防止非法用户对智能卡进行克隆，提供了两种处理措施：

第一，加强智能卡本身的物理安全，以降低智能卡被克隆的可能性，但是这种方式必将会增加智能卡的烧制成本；第二，在发现智能卡被克隆后及时进行智能卡升级处理，即更换智能卡中存储的用户授权数据（最主要是更换个人分配密钥 PDK ), 以使非法用户克隆的智能卡在进行了智能卡升级处理后，不能再正常使用。但是这种处理方式却面临着即使一张智能卡被克隆，广播电视运营商也要将整个系统中的所有智能卡全部进行升级处理，并更换全部用户端的智能卡，其主要原因在于运营商并不太容易知道哪些智能卡被克隆了，而哪些智能卡没有被克隆；其次即使只有一张智能卡被克隆，则其他智能卡也存在被克隆的可能性，因此必须更换整个智能卡系统才能避免这种风险。但是如果更换整个系统的所有智能卡，也同样会增加运营商为升级所有智能卡而带来的经济损失。

发明内容

本发明提出一种用户授权方法及其授权系统，以解决现有广播电视系统中因授权技术的不完善而存在的大量非法用户使用克隆智能卡收看电视节目的问题。

为解决上述问题，本发明提出了一种用户授权方法，包括步骤：

( 1 )设置前端和用户端共享的具有生存期的动态个人密钥；

( 2 )检查所述动态个人密钥的生存期是否到达终止时间，如果是继续步骤（3 ); 否则转至步骤（4 );

( 3 ) 更新生存期到达终止时间的所述动态个人密钥后返回步骤（2 ); ( 4 ) 前端基于所述动态个人密钥对传输流实施加密、加扰及授权处理，用户端基于所述动态个人密钥对加扰传输流实施解密及解扰处理。

所述步骤（2 ) 中以周期规律检查动态个人密钥的生存期。

所述步骤（2 )具体包括如下步骤：

( 21 )设置一固定时长值；

( 22 )判断当前检测时间点距动态个人密钥生存期到达时间点的时长值是否小于所述固定时长值，如果是，判定动态个人密钥的生存期已到达；否则判定未到达。

所述步骤（3 )在更新动态个人密钥之前还包括对动态个人密钥生存期到达的用户端进行身份认证的步骤，如果认证通过继续更新动态个人密钥处理，否则结束。

所述步骤（2 ) 中检查动态个人密钥的生存期是由前端完成。

所述步骤（3 )对动态个人密钥生存期到达的用户端进行身份认证的过程具体包括步骤：

( 31 )所述前端发送认证指示命令到动态个人密钥生存期到达的用户端，指示用户端到前端进行身份认证；

( 32 )用户端将自身标识信息上传到前端；

( 33 )前端根据用户端的标识信息对用户端进行身份认证。

所述步骤（ 31 )之前还包括前端判断动态个人密钥生存期到达的用户端是否在线的步骤。

所述步骤（2 ) 中检查动态个人密钥的生存期由用户端完成。

( 3a )动态个人密钥生存期到达的用户端将自身标识信息上传到广播电视网前端；

( 3b )前端根据用户端的标识信息对用户端进行身份认证。

所述步骤（3 ) 更新动态个人密钥的过程具体包括：

( 3-1 )前端利用与用户端共享的个人分配密钥对更新的动态个人密钥进行加密后下发给用户端；

( 3-2 )用户端利用用户身份识别模块中存储的个人分配密钥对加密的动态个人密钥数据进行解密，得到更新的动态个人密钥。所述步骤（3-1 ) 中广播电视网前端将加密后的动态个人密钥数据通过有线通信网的有线传输线路或无线通信网的无线传输线路下发到用户端。

所述用户端标识信息包括：

用户端机项盒的 ID标识信息；或

用户端用户身份识别模块中存储的用户身份标识信息；或

用户端机顶盒 ID标识信息和用户端用户身份识别模块中存储的用户身份标识信息的绑定关系。

其中步骤（4 ) 中所述基于动态个人密钥对传输流实施加密、加扰及授权处理的过程具体包括：

( 41 ) 所述前端使用控制字对传输流进行加扰处理；

( 42 )使用业务密钥对控制字进行加密处理，得到授权控制信息；

( 43 吏用动态个人密钥对业务密钥进行加密处理，得到授权管理信息； ( 44 )将授权控制信息和授权管理信息复用到传输流中下发到用户端；所述基于动态个人密钥对加扰传输流实施解密及解扰处理的过程具体包括：

( 45 )所述用户端使用动态个人密钥对授权管理信息进行解密处理，得到业务密钥；

( 46 )使用业务密钥对授权控制信息进行解密处理，得到控制字；

( 47 )使用控制字对加扰传输流进行解扰处理。

相应地，本发明还提出了一种用户授权系统，包括用于广播节目流的前端和用于接收节目流的用户端，所述用户端包括用于处理节目流信息的机顶盒和用于存储用户授权数据的用户身份识别模块，所述的系统还包括：

在所述用户端设置有与机顶盒连接的双向通信模块，用于将用户端标识信息上传到所述前端 , 并用于接收前端发来的更新的用户授权数据；在所述前端设置有认证服务器，与所述双向通信模块通过双向传输线路连接，用于根据用户端上传的标识信息对用户端进行身份认证处理，并在认证通过后更新用户端的用户授权数据，并将更新的用户授权数据发送到用户端的双向通信模块。

所述双向通信模块通过设置在机顶盒内部实现与机顶盒的连接。

所述双向通信模块为无线通信模块，通过无线通信网的无线传输线路与所述认证服务器连接；或

所述双向通信模块为有线通信模块，通过有线通信网的有线传输线路与所述认证服务器连接。

本发明能够到达如下有益效果：由于本发明基于广播电视网的用户授权方法通过在前端和用户端分别设置动态个人密钥，前端和用户端基于动态个人密钥对传输流实施加解密及加解扰处理，并在动态个人密钥的生存期到达时，及时对动态个人密钥进行更新，这样由于动态个人密钥的定时更新就可以限制非法用户克隆智能卡的有效时间，为非法用户克隆智能卡带来了操作难度，从而降低了非法用户使用克隆智能卡收看电视节目的机率，同时降低了运营商为维护智能卡所造成的经济损失。

同时，由于本发明基于广播电视网的用户授权系统在用户端设置有双向通信模块，同时在前端设置有认证服务器，认证服务器和双向通信模块之间通过双向传输线路连接，这样可以实现广播电视网前端和用户端双方之间相互传递用户端标识信息和动态更新的用户授权数据，从而为前端动态更新用户端的用户授权数据提供了平台，因此降低了非法用户使用克隆智能卡收看电视节目的机率，并降低了运营商为维护智能卡所造成的经济损失。

附图说明图 1是现有技术在广播电视网中实现对电视节目进行加解扰及加解密处理的原理示意图；

图 2是本发明基于广播电视网的用户授权系统的基本组成结构框图；图 3 是本发明基于广播电视网的用户授权方法的基本实现原理流程图；

图 4是在本发明基于广播电视网的用户授权方法中，由前端发起的对用户端进行身份认证处理的过程示意图；

图 5是在本发明基于广播电视网的用户授权方法中，由用户端发起的对用户端进行身份认证处理的过程示意图。

具体实施方式本发明基于广播电视网的用户授权方法及其授权系统的设计思想是：能够在广播电视网络正常运营过程中，以一种用户不可察觉的方式更换智能卡（智能卡只是用户身份识别模块中的一种特例，为了说明本发明要求的保护范围，下面以用户身份识别模块进行说明，其中现有技术中已存在的智能卡是这里所述的用户身份识别模块中的一种典型的例子）中保存的用户授权数据 , 从而减少非法分子克隆用户身份识别模块所带来的非法经济利益，并降低广播电视网络运营商为维护整个用户身份识别模块系统而造成的经济损失。但是本发明基于广播电视网的用户授权方法及其授权系统只是相对现有技术而言，能够减少非法用户克隆用户身份识别模块的机率，而并不能从根本上杜绝用户身份识别模块被非法克隆的可能性。

下面首先结合附图对本发明提出的基于广播电视网的用户授权系统的基本原理进行详细阐述。参照图 2 , 该图是本发明基于广播电视网的用户授权系统的基本组成结构框图，其中用户授权系统的工作原理如下：由于目前的广播电视网是由用于广播节目流的前端 HE 2和用于接收节目流的用户端所组成的，其中用户端一般包括用于处理节目流信息的机顶盒 4和用于存储用户授权数据和用户身份标识信息的用户身份识别模块 5，而目前广播电视网的工作模式都是由前端 HE 2通过广播信道单向对所有用户端来进行广播节目流信息的，而用户端并不能通过广播信道向前端 HE 2来发送反向通信信息，因此为增加广播电视网的前端 HE 2和用户端之间的双向认证功能，需作如下设置：

在用户端设置一个与机顶盒 4连接的双向通信模块 3，以用于将用户端标识信息上传到前端 HE 2 , 同时还用于接收前端 HE 2发来的更新的用户授权数据；其中双向通信模块 3可以通过设置在机顶盒 4的内部来实现与机顶盒 4的连接，这样就会构成一个带交互通信模块功能的机顶盒；当然双向通信模块 3也可以通过设置在机顶盒 4的外部来实现与机顶盒 4的外置连接；

同时在广播电视网的前端 HE 2设置一个认证服务器 1，该设置的认证服务器 1与用户端侧的双向通信模块 3之间通过双向传输线路进行连接，其用于根据用户端上传的标识信息对用户端进行身份认证处理，并在认证通过后更新用户端的用户授权数据 , 并将更新的用户授权数据发送到用户端的汉向通信模块 3。

其中用于连接广播电视网前端设置的认证服务器 1和用户端机顶盒 4 处设置的汉向通信模块 3 的双向传输线路的物理形态可以为无线传输线路，如为 GSM通信网中的无线传输信道或为 3G通信网中的无线传输信道等，这时双向通信模块 3为具有无线通信功能的无线通信模块；也可以为有线传输线路，如为 PSTN通信网中的有线传输信道或为广播电视网中的有线传输信道（即 Cable信道）等，这时双向通信模块 3就为有线通信模块。

基于上述在广播电视网上建立的用户授权系统，广播电视网前端 HE 2 就可以通过单向广播信道单向广播传输流 TS到所有用户端的机顶盒 4，而用户端需要到前端 HE 2进行身份认证时，就可以通过设置的双向通信模块 3将自身的标识信息通过双向传输线路上传到前端 HE 2侧的认证服务器 1，由认证服务器 1对用户端的身份合法性进行认证，并在用户端身份认证通过后，将对其更新的用户授权数据通过认证服务器 1和双向通信模块 3之间的汉先传输线路下发到用户端侧的双向通信模块 3，用户端根据双向通信模块 3接收的更新后的用户授权数据来实现对自身用户授权数据的更新。

相应地，本发明还提出了一种基于广播电视网的用户授权方法，下面详细阐述。参照图 3，该图是本发明基于广播电视网的用户授权方法的基本实现原理流程图；其基本实现过程如下：

步骤 S10 , 设置具有生存期的动态个人密钥（DPK, Dynamic Persona l

Key ), 即广播电视网的前端为每个用户分别设置一个 DPK，其中 DPK是有生存期的，需要在其生存一段时间后对其进行更新处理；其中为每个用户设置的 DPK, 前端和用户端都共享这个 DPK, 即针对每一用户，前端存有为该用户设置的 DPK, 用户端也存有该设置的 DPK, —般用户端会将该设置的 DPK存放在自身携带的用户身份识别模块中。

步骤 S20，检测每个用户的 DPK是否到达其生存期，其中可以采取周期规律对每个用户的 DPK生存期进行检查，如果某个用户的 DPK到达了其生存期，执行步骤 S30; 否则执行步骤 S60; 其中判断每个 DPK是否到达其生存期的方法可以采取如下方式： 1 )预先设置一个固定时长值（如 1小时）；

2 )判断当前检测时间点距动态个人密钥 DPK生存期到达时间点的时长值是否小于 1 ) 中设置的固定时长值，如果是，则可以判定动态个人密钥 DPK的生存期已到达；否则可以判定 DPK的生存期未到达（其中当前检测时间点可以在 DPK生存期到达时间点的前面，也可以在到达时间点的后面，即在检测 DPK生存期时，其 DPK可能即将到达生存期或已经到达了生存期）。

另外，根据具体情况，可以选择由广播电视网的前端来检查每个 DPK 的生存期；也可以选择由广播电视网的用户端来检查每个 DPK的生存期。

步骤 S30, 广播电视网的前端对 DPK生存期到达的用户端进行身份认证，一般情况下，前端可以通过对用户端的 ID标识信息进行认证，来判断用户端的身份是否合法，如前端可以通过对用户端机顶盒的 ID标识信息进行认证，来判定用户端是否为合法用户；也可以通过对用户端用户身份识别模块中存储的用户身份标识信息进行认证，来判定用户端是否为合法用户；当然更为安全的认证方式是前端通过认证用户端的机顶盒 ID标识信息和用户身份识别模块中存储的用户身份标识信息的绑定关系，来判断用户端是否为合法用户。

步骤 S40, 如果前端对用户端进行身份认证通过，执行步骤 S50, 否则结束，执行下一次的 DPK生存期检测。

步骤 S50, 广播电视网前端更新生存期已经到达的 DPK后，到达结束程序，等待执行下一次的 DPK生存期检测。其中广播电视网前端对到达生存期的 DPK进行更新的过程如下：

a. 前端利用与用户端共享的个人分配密钥 PDK (其中 PDK是在用户入网注册时，由网络运营商为其分配的静态个人授权数据， PDK也分别保存在前端和用户端手持的用户身份识别模块中）对更新后的动态个人密钥 DPK进行加密处理后下发给用户端；

b. 用户端接收到 a 中的加密数据后，利用自身用户身份识别模块中存储的个人分配密钥 PDK对加密的动态个人密钥数据进行解密处理，得到更新后的动态个人密钥 DPK。利用这种方式传输更新的 DPK，可以保证更新的 DPK的安全性，其中加密处理的 DPK数据可以选择通过有线通信网的有线传输线路或者无线通信网的无线传输线路来传输下发到用户端，这样其安全性也会得到较好的保证；当然也可以选择使用广播信道（Cable信道）来传输下发加密处理后的 DPK数据到用户端，但是这样传输数据的安全性保证会稍差一些。

步骤 S60，广播电视网前端基于动态个人密钥 DPK对传输流 TS实施加密、加扰及授权处理，对应地用户端基于该共享的动态个人密钥 DPK对前端通过广播信道下发的加扰传输流 TS 实施解密及解扰处理，以得到解扰后的 TS，然后用户端的机顶盒对解扰处理的 TS进行解复用及解码等处理，以显示给用户观看，然后到达结束程序，等待执行下一次的 DPK生存期检测。

其中广播电视网前端基于动态个人密钥 DPK对要发送到用户端机顶盒的传输流 TS实施加密、加扰及授权处理的过程如下：

A、广播电视网前端使用控制字 CW对传输流 TS进行加扰处理，得到加扰传输流 TS，；可以表示为： TS + CW ->TS，；

B、前端再使用业务密钥 SK对控制字 CW进行加密处理，得到授权控制信息 ECM, 可以表示为: CW+S ->ECM;

C、前端再使用动态个人密钥 DPK对业务密钥 SK进行加密处理，得到授权管理信息 EMM，可以表示为： SK + DPK -〉 EMM;

相应地，广播电视网用户端基于动态个人密钥 DPK对接收的加扰传输流 TS，实施解密及解扰处理的过程如下：

D、用户端将接收到的 ECM和 EMM数据发送到用户身份识别模块中，用户身份识别模块通过自身存储的 DPK对 EMM进行解密，得到 SK, 可以表示为： EMM + DPK -〉 SK;

E、用户端的用户身份识别模块利用得到的 SK对 ECM进行解密，得到

CW, 可以表示为： ECM + SK -〉 CW;

F、用户端的用户身份识别模块将得到的 CW反馈给用户端的机顶盒，机顶盒中的解扰引擎利用得到的 CW对加扰传输流 TS，实施解扰处理，得到传输流 TS，可以表示为： TS， + CW->TS。由上述可见，本发明基于广播电视网的用户授权方法是在传统 CAS三层加密的体系下，增加了一层动态个人密钥（DPK)作为工作密钥，同时按照一定的有效期限制与更新策略对这个工作密钥进行更新，从而完成了对用户身份识别模块中存储的用户授权数据的更新；在双向传输线路传递 DPK的时候再利用用户的个人分配密钥（ PDK )对其进行加密，即密钥体系变为四层，如下：

TS + CW -> TS，

CW + SK —> ECM

SK + DPK -> EMM

这三层加密体制用于传输流的加密及加扰处理；

DP + PDK -> EMM2

这层加密体制用于动态个人密钥 DPK 更新传输时的加密处理，其中 EMM2优选使用汉向传输线路进行传输。

其中由广播电视网前端对用户端进行身份认证的过程可以由前端发起，也可以由用户端发起，下面对这两种情况进行详细说明。

参照图 4，该图是在本发明基于广播电视网的用户授权方法中，由前端发起的对用户端进行身份认证处理的过程示意图；其处理过程如下：步骤 S100, 广播电视网的前端检测下一个用户的 DPK生存期，其中对于初始状态，该下一个用户即为第一个用户，后续逐一对每一用户端的 DPK 进行生存期检查处理，其中可以采用周期规律对每一用户端的 DPK进行一次轮回检查操作；

步骤 S110, 前端判断检测的该用户的 DPK生存期是否到达，如果是，执行步骤 S130, 否则执行步骤 S120;

步骤 S120,前端再次判断检测的该用户的 DPK距离其生存期的到达是否小于 1小时，如果是执行步骤 S130, 否则转至执行步骤 S195;

步骤 S130, 前端再判断该 DPK已到达其生存期的用户是否在线，如果在线，执行步骤 S140; 否则转至执行步骤 S195; 其中判断 DPK已到达生存期的用户是否在线的实现方式如下：

前端对上次认证通过的用户，将默认这个用户是在线用户，并为每一个用户保存一个关于是否在线的状态变量，直到下次认证过程用户端无响应或者认证失败，前端将认定当前用户为离线状态。

步骤 S140, 前端发送认证指示命令到 DPK生存期已到达的该用户端；步骤 S150, 该用户端接收到前端发来的认证指示命令后，将自身的标识信息通过汉向传输线路上传到前端，其中用户端上传的标识信息可以为用户端机顶盒的 ID标识信息，也可以为用户端用户身份识别模块中存储的用户身份标识信息，也可以为机顶盒 ID标识信息和用户身份识别模块中存储的用户身份标识信息的绑定关系；

步骤 S160, 前端根据该用户端发来的标识信息，采用认证服务器对其身份进行认证处理；

步骤 S170, 前端根据步骤 S160的认证结果，判断该用户端的身份认证是否通过，如果认证通过执行步骤 S180，否则转至执行步骤 S195;

步骤 S180, 前端对生存期到达的 DPK进行更新，并用前端和用户端共享的 PDK对更新后的 DPK进行加密处理，即 DPK + PDK->EMM2 ,得到加密数据 EMM2 , 然后将 EMM2发送到相应的用户端；

步骤 S190, 用户端机顶盒接收到前端发来的加密数据 EMM2后，将其发送至用户身份识别模块，用户身份识别模块利用自身存储的 PDK对 EMM2 数据进行解密处理，得到更新的 DPK, 并将其存储，其解密过程可以表示为： EMM2 + PDK -〉 DPK;

步骤 S195 ,前端判断该次轮回检测每个用户的 DPK是否到达其生存期的操作是否完成，即判断每个用户端的 DPK是否都已检测到，如果是则结束，以等待下一轮的对每个用户端的 DPK生存期进行检测的操作；否则返回执行步骤 S100, 继续检测下一个用户的 DPK的生存期是否到达。

参照图 5，该图是在本发明基于广播电视网的用户授权方法中，由用户端发起的对用户端进行身份认证处理的过程示意图；其处理过程如下：步骤 S200, 用户端将自身机顶盒 STB开机后，用户端将自动检查自身的 DPK生存期；用户端可以采用周期规律对自身的 DPK生存期进行检查；步骤 S210, 用户端判断自身的 DPK是否到达其生存期，如果是，执行步骤 S230; 否则执行步骤 S220; 步骤 S220，用户端再次判断自身 DPK距离其生存期到达时长值是否小于 1小时，如果是，执行步骤 S230; 否则结束，以等待下一次 DPK生存期是否到达的检测；

步骤 S230,为避免同时有大量 DPK到达生存期的 STB同时发起认证流程而导致前端认证服务器过载，所以用户端在这里将采取退避一段时间的处理方式；

步骤 S240, 退避时间过后，用户端将自身的标识信息通过双向传输线路上传到前端，其中用户端上传的标识信息可以为用户端机顶盒的 ID标识信息，也可以为用户端用户身份识别模块中存储的用户身份标识信息，当然也可以为机顶盒 ID标识信息和用户身份识别模块中存储的用户身份标识信息的绑定关系；

步骤 S250, 前端根据用户端发来的标识信息，采用认证服务器对其身份进行认证处理；

步骤 S260, 前端根据步骤 S250的认证结果，判断用户端的身份认证是否通过，如果认证通过执行步骤 S270, 否则结束，以等待下一次 DPK 生存期是否到达的检测；

步骤 S270, 前端对生存期到达的 DPK进行更新，并用前端和用户端共享的 PDK对更新后的 DPK进行加密处理，即 DPK + PD ->EMM2 ,得到加密数据 EMM2 , 然后将 EMM2发送到发起认证的用户端；

步骤 S280, 用户端机顶盒接收到前端发来的加密数据 EMM2后，将其发送至用户身份识别模块，用户身份识别模块利用自身存储的 PDK对 EMM2 数据进行解密处理，得到更新的 DPK，并将其存储，其解密过程可以表示为： EMM2 + PDK -〉 DPK; 然后结束，以等待下一次 DPK生存期是否到达的检测。

综上所述，本发明基于广播电视网的用户授权方法及其授权系统的基本思想就是广播电视网的前端依旧利用单向的广播信道（Cable信道）广播电视节目传输流 TS,而单独使用在用户端机顶盒中设置的双向通信模块和前端与用户端之间设置的双向传输线路来完成用户端的身份认证处理和动态个人密钥 DPK的更新处理；从而可以实现通过周期性更改动态个人密钥 DPK来降低非法用户利用克隆用户身份识别模块来获得非法经济利益的目的，即只要控制 DPK的更新周期就能够有效限制非法用户克隆用户身份识别模块的有效时间 , 而使非法用户克隆用户身份识别模块的操作难度系数加大。同时也降低了运行商为维护整个用户身份识别模块系统所造成的成本损失，因为只要通过周期更新每个用户身份识别模块的 DPK, 就不再需要在部分用户身份识别模块被克隆的情况下，还要更换所有实际的物理用户身份识别模块，所以其经济成本一定会降低。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

权利要求

1、一种用户授权方法，其特征在于，包括步骤：

( 1)设置前端和用户端共享的具有生存期的动态个人密钥；

(2)检查所述动态个人密钥的生存期是否到达终止时间，如果是继续步骤（ 3); 否则转至步骤（4);

( 3) 更新生存期到达终止时间的所述动态个人密钥后返回步骤（2);

(4) 前端基于所述动态个人密钥对传输流实施加密、加扰及授权处理，用户端基于所述动态个人密钥对加扰传输流实施解密及解扰处理。

2、根据权利要求 1所述的用户授权方法，其特征在于，所述步骤（ 2 ) 中以周期规律检查动态个人密钥的生存期。

3、根据权利要求 1 所述的基于广播电视网的用户授权方法，其特征在于，所述步骤（2 )具体包括如下步驟：

(21 )设置一固定时长值；

(22)判断当前检测时间点距动态个人密钥生存期到达时间点的时长值是否小于所述固定时长值，如果是，判定动态个人密钥的生存期已到达；否则判定未到达。

4、根据权利要求 1所述的用户授权方法，其特征在于，所述步骤（ 3 ) 在更新动态个人密钥之前还包括对动态个人密钥生存期到达的用户端进行身份认证的步骤，如果认证通过继续更新动态个人密钥处理，否则结束。

5、才艮据权利要求 4所述的用户授权方法，其特征在于，所述步骤（2) 中检查动态个人密钥的生存期是由前端完成。

6、根据权利要求 5所述的基于广播电视网的用户授权方法，其特征在于，所述步骤（3)对动态个人密钥生存期到达的用户端进行身份认证的过程具体包括步骤： (( 3311 ))所所述述前前端端发发送送认认证证指指示示命命令令到到动动态态个个人人密密钥钥生生存存期期到到达达的的用用户户端端，，指指示示用用户户端端到到前前端端进进行行身身份份认认证证；；

(( 3322 ))用用户户端端将将自自身身标标识识信信息息上上传传到到前前端端；；

(( 3333 ))前前端端根根据据用用户户端端的的标标识识信信息息对对用用户户端端进进行行身身份份认认证证。。

55 77、、根根据据权权利利要要求求 66所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述步步骤骤（（ 3311 )) 之之前前还还包包括括前前端端判判断断动动态态个个人人密密钥钥生生存存期期到到达达的的用用户户端端是是否否在在线线的的步步骤骤。。

88、、根根据据权权利利要要求求 44所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述步步骤骤（（22 )) 中中检检查查动动态态个个人人密密钥钥的的生生存存期期由由用用户户端端完完成成。。

99、、根根据据权权利利要要求求 88所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述步步骤骤（（ 33 )) 1100 对对动动态态个个人人密密钥钥生生存存期期到到达达的的用用户户端端进进行行身身份份认认证证的的过过程程具具体体包包括括步步骤骤：：

(( 33aa ))动动态态个个人人密密钥钥生生存存期期到到达达的的用用户户端端将将自自身身标标识识信信息息上上传传到到广广播播电电视视网网前前端端；；

(( 33bb ))前前端端居居用用户户端端的的标标识识信信息息对对用用户户端端进进行行身身份份认认证证。。

1100、、根根据据权权利利要要求求 11所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述步步骤骤（（ 33 )) 1155 更更新新动动态态个个人人密密钥钥的的过过程程具具体体包包括括：：

(( 33--11 ))前前端端利利用用与与用用户户端端共共享享的的个个人人分分配配密密钥钥对对更更新新的的动动态态个个人人密密钥钥进进行行加加密密后后下下发发给给用用户户端端；；

(( 33--22 ))用用户户端端利利用用用用户户身身份份识识别别模模块块中中存存储储的的个个人人分分配配密密钥钥对对加加密密的的动动态态个个人人密密钥钥数数据据进进行行解解密密，，得得到到更更新新的的动动态态个个人人密密钥钥。。

2200 1111、、根根据据权权利利要要求求 1100所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述步步骤骤

(( 33--11 )) 中中广广播播电电视视网网前前端端将将加加密密后后的的动动态态个个人人密密钥钥数数据据通通过过有有线线通通信信网网的的有有线线传传输输线线路路或或无无线线通通信信网网的的无无线线传传输输线线路路下下发发到到用用户户端端。。

1122、、根根据据权权利利要要求求 66或或 99所所述述的的用用户户授授权权方方法法，，其其特特征征在在于于，，所所述述用用户户端端标标识识信信息息包包括括：：

2255 * 用户端用户身份识别模块中存储的用户身份标识信息；或

13、根据权利要求 1所述的用户授权方法，其特征在于，

步骤（4 ) 中所述基于动态个人密钥对传输流实施加密、加扰及授权处理的过程具体包括：

( 41 ) 所述前端使用控制字对传输流进行加扰处理；

( 43 M吏用动态个人密钥对业务密钥进行加密处理，得到授权管理信息； ( 44 )将授权控制信息和授权管理信息复用到传输流中下发到用户端；所述基于动态个人密钥对加扰传输流实施解密及解扰处理的过程具体包括：

( 46 )使用业务密钥对授权控制信息进行解密处理，得到控制字； ( 47 )使用控制字对加扰传输流进行解扰处理。

14、一种用户授权系统，包括用于广播节目流的前端和用于接收节目流的用户端，所述用户端包括用于处理节目流信息的机顶盒和用于存储用户授权数据的用户身份识别模块，其特征在于，所述的系统还包括：在所述用户端设置有与机顶盒连接的双向通信模块，用于将用户端标识信息上传到所述前端，并用于接收前端发来的更新的用户授权数据；在所述前端设置有认证服务器，与所述双向通信模块通过双向传输线路连接，用于根据用户端上传的标识信息对用户端进行身份认证处理，并在认证通过后更新用户端的用户授权数据，并将更新的用户授权数据发送到用户端的双向通信模块。 15、根据权利要求 14所述的用户授权系统，其特征在于，所述双向通信模块通过设置在机顶盒内部实现与机顶盒的连接。

16、根据权利要求 14所述的用户授权系统，其特征在于，所述双向通信模块为无线通信模块，通过无线通信网的无线传输线路与所述认证服务器连接；或