專利名稱:用于保護廣播消息的安全模塊的撤銷方法
技術領域:
本發(fā)明涉及安全模塊的安全性領域,這些模塊旨在包含允許對服 務或性能進行訪問的個人數據和秘密。本發(fā)明尤其適用于付費電視領域,在該領域中內容以加密形式廣 播,而對該內容的解密則在確定條件下授權。
背景技術:
眾所周知,為了能夠觀看尤其像是電影、體育賽事或比賽之類付 費電視事件,若干流被廣播到多媒體單元,例如解碼器。具體地講,一方面,這些流是具有加密數據流形式的事件文件;另一方面,則是 允許對數據流進行解密的控制消息流。數據流的內容由定期恢復 (renew)的"控制字"(控制字-cw)加密。第二流被稱作ECM (Entitlement Control Message,授4又控制消息)流并且可由兩種不 同方式形成。按照第一種方法,控制字由被稱為傳輸密鑰TK的密鑰 加密,該密鑰通常屬于管理中心和與接收機/解碼器相關聯的安全模塊 之間的傳輸系統(tǒng)??刂谱质墙柚鷤鬏斆荑€TK對控制消息進行解密而 獲得的。按照第二種方法,ECM流不直接包含加密的控制字,而是包含 允許確定控制字的信息。所述對控制字的確定可以借助不同的操作, 特別是解密來執(zhí)行;該解密可以直接產生控制字,這與以上第一種方 法相對應,但該解密也可以產生包含控制字的數據項,而控制字則必 須從數據片段中提取。更具體地,數據可以包含控制字以及與要廣播 的內容相關聯的值,尤其是對該內容的訪問條件。允許確定控制字的 另 一操作例如可以具體使用該信息的單向散列函數。在一種本領域技術人員周知的方法中,安全模塊實質上可以按照四種不同的形式產生。其中一種形式是微處理器卡、智能卡、或更一 般而言的是電子模塊(采取密鑰、標記等形式)。這類模塊通??梢?除并且可以與解碼器相連接。帶有電觸點的形式被最廣泛地使用,但也不排除沒有觸點的連接,例如ISO 14443類型。第二種公知形式是通常以不可移除和確定的方式置于解碼器外殼內的集成電路外殼。 一種變形是由安裝在基板或諸如SIM模塊連接 器的連接器上的電路組成的。在第三種形式中,安全模塊被集成到還具有其他功能的集成電路外殼中,例如解碼器的解擾模塊或解碼器的微處理器中。在第四實施例中,安全模塊不采取實物形式,而是僅以軟件形式 實現其功能。已知在這四種情況下,雖然安全級別不同但功能相同, 因此所關心的是無需考慮其執(zhí)行功能的方式或其采取的形式的安全 模塊。在對控制消息(ECM)進行解密時,在安全模塊中驗證是否有 訪問所述內容的權利。該權利可以由將這一權利栽入到安全模塊中的 授壽又消息(EMM ( Entitlement Management Message )=授權管理消 息)來管理。條件訪問數字數據的廣播被示意性地分為三個模塊。第 一模塊負 責通過控制字cw對數字數據進行加密并廣播該數據。第二模塊準備包含控制字cw以及訪問條件的控制消息ECM,并為用戶廣播這些消息。第三模塊準備并傳送授權消息EMM,該消息負責在與接收機相連接的安全模塊中定義接收權利。雖然前兩個模塊通常獨立于接收者,但是第三模塊管理用戶的集 合并為一個用戶、 一組用戶或所有用戶廣播數據。用于繞過安全性的一種方法的確復雜但卻切實可行,該方法包括 通過短路權利的驗證部分來分析授權的安全模塊的內容(逆向工程), 以便仿制安全部分(對消息進行解密)。于是就可能產生真正安全模 塊的"克隆"。因此這一克隆將處置(dispose)允許對控制消息ECM中包含的控制字CW進行解密的傳輸密鑰。由于權利在該克隆中不用 經過驗證,所以克隆就能像帶有解密裝置的原模塊那樣起作用,因此 無需擁有權利就能執(zhí)行這一解密。在付費電視系統(tǒng)中,可以更換傳輸密鑰。為此,原則上可以使用 兩種方法。第一種方法包括向所有的解碼器廣播新的傳輸密鑰。解碼 器于是就能被更新,使得一旦新密鑰被使用,這些解碼器就能解碼事 件。這類更新不能排除克隆的解碼器,這是因為克隆的解碼器處置相 關解密密鑰因而也能接收這類更新消息。假設每一個安全模塊包括至少 一個唯一 的密鑰,第二種方法則包 括在由該唯一 的密鑰加密的消息中傳送新的傳輸密鑰。在這種情況 下,消息的數目至少等于所安裝的安全模塊的數目,以便單獨地恢復 該傳輸密鑰。眾所周知,如果模塊被禁用,(也就是說如果不提供主 機設備),那么該模塊在主機設備上電時將不會接收到這一消息并且 也不再能向用戶提供她/他本具有合法權利的服務。為了避免這種情 況,在將消息發(fā)送至模塊的過程中,該消息被重復多次以確保其已經 被其接收者正確接收。由于有限的可用帶寬并且為了確保每一個訂戶都接收到了新密 鑰,有必要在使用該新密鑰之前傳送消息,例如提前一個月在一天中 的不同時間重復每一個消息。其后,克隆模塊的擁有者會向為其提供這一克隆并處置從可信模 塊提取新傳輸密鑰的裝置的技術人員請求該新傳輸密鑰。 一旦提供了 密鑰,例如在互聯網上,所有的克隆于是都能在激活新密鑰之前被更 新。以這種方式,克隆總可保持可用狀態(tài)。其結果是,通過全局地或單獨地傳輸來發(fā)送傳輸密鑰都具有不能 消除克隆模塊的缺點。發(fā)明內容因此,本發(fā)明的目的是提出一種防止濫用條件訪問數據的方法, 尤其是防止借助其安全性已經泄密的安全模塊的克隆所進行的濫用。這個目的是借助一種旨在接收被廣播到多個安全模塊的安全消息的安全模塊的撤銷(revocation)方法來實現的,所述安全模塊包 括至少一個個人密鑰,該方法在撤銷之前包括以下步驟將安全模塊的集合分為至少兩個組;為每一個組確定包括公鑰和多個不同私鑰的非對稱密鑰;為每一個安全模塊載入一個私鑰;根據廣播,為每個組準備一個安全消息,所述安全消息由所述組 的公鑰加密;撤銷包括以下步驟除了 一個或多個要被撤銷的安全模塊之外,向與要被撤銷的安全 模塊相同的組中的每一個成員發(fā)送與另 一組的公鑰相對應的新私鑰, 每一個私鑰由所述安全模塊的個人密鑰加密。生成組非對稱密鑰的一個實例使用Boneh-Franklin系統(tǒng)(Dan Boneh, Matthew K.FrankUn: An Efficient Public Key Traitor Tracing Scheme( —種有效的公鑰,反逆者追蹤方案).CRYPTO 1999:338-353 )。 知道公鑰,就可能從中生成多個私鑰,每個私鑰都允許對由該公鑰加 密的消息進行解密。這允許通過發(fā)送有限數目的不同消息而在每個安全模塊中放置 一個不同的密鑰。
本發(fā)明將借助對作為非限制性示例給出的附圖的詳細說明而得 到更好地理解,在附圖中,圖l示意性地示出了發(fā)射機和付費電視接收機;圖2示出了分成4個組的分配,其中每一個組都包括3個安全模塊;圖3示出了在安全模塊撤銷之后的組的分配。
具體實施方式
7在對由管理中心CG準備并從中發(fā)送到多個STB多媒體單元的 安全消息進行廣播的領域中,需要在全局尋址(即對所有單元使用相 同消息)和單獨尋址(即每一個單元使用一個消息)之間進行折衷。在第一種情況下,由于只有一個消息允許例如要更換的傳輸密 鑰,因此系統(tǒng)速度很快。所述密鑰是對包含控制字cw的消息進行加 密的密鑰。可以想象第二種情況的結果,因為其必須定期將信息傳送至每一 個安全模塊。這就是為什么根據本發(fā)明的方案將安全模塊的集合分組,每一組 能夠包含幾百個模塊。根據一種變形,每一組包括256個成員。因此, 一百萬訂戶表示大約4000個組,于是就需要4000個消息來恢復傳輸 密鑰或更新安全程序。管理中心CG將安全消息發(fā)送到多媒體單元STB。這些單元STB 包括在圖1中被示例為插入式智能卡的安全裝置SC。當對此安全模塊進行私人化時,載入屬于每一個模塊的密鑰。每 一個模塊攜帶一個標識號碼UA,用以追蹤被引入模塊中的密鑰。管理中心CG處置數據庫,該數據庫則帶有用于每一個安全模塊 的個人密鑰的列表。可以在私人化模塊(通常是在遞送之前)的過程中或在啟動過程 中的站點上執(zhí)行將模塊分成組的管理。根據本發(fā)明,密鑰或信息片段 對于訪問由管理中心控制的服務是必需的。其對于權利管理來說可以 是獨立的或補充的步驟。該密鑰或信息對于所有安全模塊都是可訪問 的這一事實不意味著該服務對于處置這些安全模塊的訂戶來說是可 i方問的。如上所述,將安全模塊指定給一個組,例如組GrA。指定可以 在安裝模塊時進行,或者可以通過發(fā)送與該組GrA相對應的個人私 鑰進行。這一密鑰的發(fā)送通過由該安全模塊的個人密鑰之一對所述密 鑰進行加密而得到保護。根據圖2中的示例,安全模塊SC1A、 SC2A 和SC3A是組GrA的一部分。秘密信息在管理中心CG中由密鑰KGrA加密并且由安全模塊的每一個私鑰解密。按照相同方式,其它組GrB、 GrC或GrD也包括安全模塊SC..B、 SC..C或SC"D。因此,安全模塊的集合通過發(fā)送與組一樣多的不同消息來接收對 于條件訪問系統(tǒng)的正確運行所必需的秘密信息。請注意在機頂盒不具 有返回信道的情況下不能避免消息的重復。管理中心將根據預定時間 表重復消息,例如每天在隨機選擇的不同時間重復一次消息。當檢測到安全模塊克隆時,例如,如果這一模塊已經因為密鑰提 取而泄密,則會在所有克隆中發(fā)現該個人私鑰。一旦克隆已知,就可以通過將該克隆模塊的私鑰和管理中心中存 儲的私鑰相比較來確定哪個安全模塊已泄密。管理中心保留著載入到 每一個安全模塊中的私鑰的副本。在本發(fā)明的示例中,要撤銷的模塊 是模塊SC1A。因此組GrA將在其再也無法發(fā)送借助公鑰KGrA加密 的秘密消息時消失。在停止發(fā)送由組密鑰KGrA加密的消息之前,除 了已被破壞的安全模塊之外的所有安全模塊必需換組。在圖3的示例中,安全模塊SC2A被移入組B,模塊SC2A被移 入組D。這一操作通過發(fā)送其新成員資格的組密鑰來執(zhí)行。這一組密 鑰由安全模塊的個人密鑰加密,使得該消息只能被有關的安全模塊所 解釋。 一旦從泄密組中移除了未被破壞的成員,就中斷具有組密鑰A 的消息發(fā)送。此時,由于不再能接收秘密消息,所有的克隆都將停止 運行。未撤銷的成員向其它組的移動可以被執(zhí)行為向其它現有組移動, 或者可以通過創(chuàng)建新組來實現。組成員資格的確定則是遵循在帶有公鑰和多個私鑰的非對稱系 統(tǒng)中生成的唯一私鑰的存在狀態(tài)的指示。根據另一個實施例,組標識 符也被傳送,以便從屬于其它組的消息中濾出屬于該組的消息。秘密 信息由所述組的公鑰加密,并且組標識符被添加到所述消息中。這樣 就允許對消息進行解密,并且能夠實現若使用錯誤密鑰則相同內容變 為隨機的效果。該組標識符優(yōu)選地由已從安全模塊接收該標識符的主機設備進行測試。該安全消息只有在包含與安全模塊的標識符相同的 標識符時才被傳送至安全模塊。
秘密信息可以采取幾種形式。文獻WO0156287描述了組合信息 以獲得控制字的方法。秘密信息可以是將要與控制消息中包含的控制 字CW相組合的主控制字,或者是用于對包含主控制字的消息進行解 密的密鑰。
秘密信息的另一種形式是傳輸密鑰的形式。該密鑰用于對控制消 息ECM進行解密以及提取控制字。該傳輸密鑰例如可以每月更換。
實踐中,例如在更換傳輸密鑰的過程中,將新密鑰發(fā)送到所有安 全模塊會耗費一定時間。安全模塊于是將處置兩條秘密信息, 一個是 當前使用而另一個則準備接管。在傳輸密鑰的情況下,控制消息的頭 部將包含一個指示,用來表示將要使用哪一個傳輸密鑰。 一個簡單的 系統(tǒng)將定義偶數傳輸密鑰和奇數傳輸密鑰??刂葡CM將包含定 義奇偶的位,由此確定要使用的密鑰。
為了避免給惡意第三方留有發(fā)現該條秘密信息的時間,根據發(fā)明 的一個變形做出設定以便借助釋放密鑰來對該條秘密消息進行加密。 該密鑰是全局的并且無需考慮安全模塊分組狀態(tài)就可使用。因此,每 一個安全模塊將接收由其組密鑰和全局密鑰加密的消息。還可以發(fā)送 帶有由全局密鑰加密并且還由組密鑰額外加密的釋放密鑰的釋放消
在激活例如傳輸密鑰的該條秘密信息之前不久,管理中心CG發(fā) 送包含根據上述實施例之一加密的全局密鑰的消息。此時,每一個模 塊都將能夠處置這條秘密信息,從而允許其處理相對應的安全數據。
10
權利要求
1. 一種旨在接收被廣播到多個安全模塊的安全消息的安全模塊的撤銷方法,所述安全模塊包括至少一個個人密鑰,該方法在撤銷之前包括以下步驟將安全模塊的集合分為至少兩個組;為每一個組確定包括公鑰和多個不同私鑰的非對稱密鑰;為每一個安全模塊載入一個私鑰;為每一個組傳輸一個安全消息,所述消息由所述組的公鑰加密;撤銷包括以下步驟除了一個或多個要被撤銷的安全模塊之外,向與要被撤銷的安全模塊相同的組中的每一個成員發(fā)送與另一個組的公鑰相對應的新私鑰,每一個私鑰由所述安全模塊的個人密鑰加密。
2. 根據權利要求1所述的撤銷方法,用于付費電視系統(tǒng),其中 音頻/視頻數據流由控制字(CW)加密,該控制字在控制消息(ECM) 中被傳送,所述消息由傳輸密鑰加密,其特征在于所述安全消息包含 對控制消息(ECM)進行解密所必需的傳輸密鑰。
3. 根據權利要求1所述的撤銷方法,用于付費電視系統(tǒng),其中 音頻/視頻數據流由控制字(CW)加密,該控制字在控制消息(ECM) 中被傳送,所述消息由傳輸密鑰加密,其特征在于所述安全消息包含 控制字(CW)的主加密密鑰。
4. 根據權利要求1所述的撤銷方法,其特征在于所述安全消息 包含所述安全模塊的軟件的更新。
5. 根據權利要求1所述的撤銷方法,其中所述安全模塊包含公 用密鑰,其特征在于所述安全消息的內容被釋放密鑰過加密,所述釋 放密鑰被該安全模塊的公用密鑰加密并且在激活該安全消息的內容 之前立刻被傳送。
6. 根據權利要求1至5中任一個所述的撤銷方法,其特征在于 除了 一個或多個要被撤銷的安全模塊之外,撤銷組的成員被重新指定到不同的現有組。
7.根據權利要求1至5中任一個所述的撤銷方法,其特征在于 除了 一個或多個要被撤銷的安全模塊之外,撤銷組的成員被重新指定 到新組。
全文摘要
本發(fā)明的目的是提出一種防止濫用條件訪問數據的方法,尤其是防止借助其安全性已被泄密的安全模塊的克隆所進行的濫用。該目的是通過旨在接收被廣播到多個安全模塊的安全消息的安全模塊的撤銷方法來實現的,所述安全模塊包括至少一個個人密鑰,該方法在撤銷之前包括將安全模塊的集合分為至少兩個組;為每一個組確定包括公鑰和多個不同私鑰的非對稱密鑰;為每一個安全模塊載入一個私鑰;為每一個組傳輸一個安全消息,所述安全消息由所述組的公鑰加密;撤銷步驟包括除了一個或多個要被撤銷的安全模塊之外,向與要被撤銷的安全模塊相同的組中的每一個成員發(fā)送與另一個組的公鑰相對應的新私鑰,每一個私鑰由所述安全模塊的個人密鑰加密。
文檔編號H04N7/16GK101507272SQ200780030334
公開日2009年8月12日 申請日期2007年8月15日 優(yōu)先權日2006年8月17日
發(fā)明者P·朱諾 申請人:納格拉卡德股份有限公司