国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      使用附加密鑰層的內(nèi)容解密裝置和加密系統(tǒng)的制作方法

      文檔序號:7737683閱讀:219來源:國知局
      專利名稱:使用附加密鑰層的內(nèi)容解密裝置和加密系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      一般地,本發(fā)明涉及使用內(nèi)容加密/加擾和內(nèi)容解密/解擾對內(nèi)容進(jìn)行有條件訪問的領(lǐng)域。更具體地,本發(fā)明涉及一種用于提供和接收包括內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號的加密系統(tǒng)和內(nèi)容解密裝置。
      背景技術(shù)
      有條件訪問系統(tǒng)是眾所周知的,且被廣泛地與當(dāng)前可用的付費電視系統(tǒng)結(jié)合使用。目前,這樣的系統(tǒng)基于使用控制字進(jìn)行加密的服務(wù)的傳輸,所述控制字由具有機(jī)頂盒和智能卡的用戶接收,該智能卡用來存儲觀看一個或多個套餐中的服務(wù)的權(quán)利。廣播流還包括授權(quán)管理消息和授權(quán)控制消息,這兩個消息對于解密廣播服務(wù)是必要的??刂谱?或加密密鑰)是用于保護(hù)服務(wù)數(shù)據(jù)的主要安全機(jī)制,并且相對頻繁地 (例如,每十秒種)改變/輪轉(zhuǎn)(cycle)。授權(quán)控制消息用于以加密格式攜帶控制字,因此也被頻繁地發(fā)送。相反地,授權(quán)管理消息(EMM)(也稱為密鑰管理消息(KMM))被用于傳送用來解密 ECM以提取控制字的機(jī)密密鑰,以及解密與觀看權(quán)/使用權(quán)的添加或去除相關(guān)的其他數(shù)據(jù)和其他用戶特有的數(shù)據(jù)。這樣,存在不同種類的EMM,它們被以不同的頻度發(fā)送,但總是比發(fā)送ECM的頻率略低或低很多。因此,為了提供安全的有條件訪問系統(tǒng),使用分層方法來防止黑客對內(nèi)容進(jìn)行未經(jīng)授權(quán)的訪問。有條件訪問提供者和黑客之間存在著持續(xù)的斗爭,前者持續(xù)地改進(jìn)安全措施,而后者嘗試攻擊安全性壁壘并獲取對內(nèi)容的未經(jīng)授權(quán)的訪問。因此,對于提高安全性并且以在技術(shù)上和經(jīng)濟(jì)上可行的方式來實現(xiàn)它,存在持續(xù)的需求。

      發(fā)明內(nèi)容
      本發(fā)明的一個目的是提供一種提高了安全性的內(nèi)容解密裝置和內(nèi)容加密系統(tǒng)。公開了一種用于接收包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號的內(nèi)容解密裝置。該有條件訪問數(shù)據(jù)包括一個或多個第一密鑰。內(nèi)容數(shù)據(jù)在一個或多個第二密鑰下被加密。該裝置被配置為與安全模塊進(jìn)行通信。該裝置包括信號輸入端,用于直接或間接地從首端(head-end)系統(tǒng)接收信號,該裝置被配置為向安全模塊提供有條件訪問數(shù)據(jù)的至少一部分,以從有條件訪問數(shù)據(jù)獲得所述一個或多個第一密鑰。該裝置還具有解密器,優(yōu)選為硬件解擾器或使用硬件加速的軟件解擾器,該解密器包括信號輸入端,用于至少接收該加密內(nèi)容數(shù)據(jù)。該解密器被配置為在所述一個或多個第二密鑰下對加密內(nèi)容數(shù)據(jù)進(jìn)行解密, 以提供解密內(nèi)容數(shù)據(jù)。在該裝置中提供密鑰提供器(優(yōu)選為硬件元件),該密鑰提供器被配置為從安全模塊接收所述一個或多個第一密鑰并使用該一個或多個第一密鑰向解密器提供所述一個或多個第二密鑰。此外,公開了一種加密系統(tǒng),用于向內(nèi)容解密裝置提供包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號,其中該加密內(nèi)容數(shù)據(jù)在一個或多個第二密鑰下被加密,該有條件訪問數(shù)據(jù)包括一個或多個第一密鑰。內(nèi)容解密裝置被配置為與安全模塊進(jìn)行通信。加密系統(tǒng)包括被配置成為安全模塊生成授權(quán)管理消息的授權(quán)管理消息生成器,授權(quán)管理消息包括一個或多個第三密鑰,該一個或多個第三密鑰允許安全模塊獲得第一密鑰。加密系統(tǒng)還包括被配置為生成第一密鑰的第一密鑰生成器、和被配置為生成包括一個或多個第一密鑰的第一授權(quán)控制消息的第一授權(quán)控制消息生成器。此外,加密系統(tǒng)包括被配置為生成第二密鑰的第二密鑰生成器、和被配置為生成包括一個或多個第二密鑰的第二授權(quán)控制消息的第二授權(quán)控制消息生成器,第二密鑰在第一密鑰下進(jìn)行了加密。加密系統(tǒng)還包括用于在第二密鑰下對內(nèi)容數(shù)據(jù)進(jìn)行加密的加密器、和用于向內(nèi)容解密裝置發(fā)送所述信號的發(fā)送器,該信號至少包括加密內(nèi)容數(shù)據(jù)以及第一和第二授權(quán)控制消息。作為前面段落中定義的加密系統(tǒng)的替代,公開了一種用于向內(nèi)容解密裝置提供包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號的加密系統(tǒng)。該內(nèi)容解密裝置被配置為與安全模塊進(jìn)行通信,以及依照預(yù)定算法生成一個或多個第二密鑰用以解密所述的加密內(nèi)容數(shù)據(jù)。 加密系統(tǒng)包括被配置為生成第一密鑰的第一密鑰生成器、和用于運行預(yù)定算法以使用這些第一密鑰來獲得所述一個或多個第二密鑰的裝置。提供了第一授權(quán)控制消息生成器,其被配置為生成包括一個或多個第一密鑰的第一授權(quán)控制消息,并且提供了用于在第二密鑰下加密內(nèi)容數(shù)據(jù)的加密器。提供了用于發(fā)送所述信號的發(fā)送器,該信號不包含所述第二密鑰。申請人:還提出了一種包括可供選擇的加密系統(tǒng)之一以及多個內(nèi)容解密裝置的系統(tǒng)。本發(fā)明的要旨在于,在通常包括含于授權(quán)控制消息(ECM)中的控制字(如上定義的第二密鑰)與通常包含于授權(quán)管理消息(EMM)中的服務(wù)密鑰或產(chǎn)品密鑰之間的信號內(nèi)提供附加的密鑰層。由于在內(nèi)容數(shù)據(jù)可被訪問前需要獲得更多的密鑰,使用以上定義的第一密鑰的附加的密鑰層加強(qiáng)了安全性。通過在接收側(cè)的內(nèi)容解密裝置內(nèi)實現(xiàn)附加的層,在安全模塊中不需要額外的處理能力??梢詫?nèi)容解密裝置使用軟件防篡改技術(shù),以使該附加層模糊化從而使黑客難以訪問。內(nèi)容解密裝置例如可以為機(jī)頂盒或在諸如機(jī)頂盒或電視機(jī)的裝置中實現(xiàn)的有條件訪問模塊。應(yīng)該注意,在本申請中,術(shù)語加密和加擾以及解密和解擾被用來分別表示相同的操作。還應(yīng)該理解,安全模塊可以為物理裝置,例如,作為具有集成電路(如智能卡)的防篡改或顯竊啟(tamper-evident)裝置被提供。然而,安全模塊也可以是內(nèi)容解密裝置中的軟件模塊,通過例如代碼模糊或其它此類技術(shù)使該軟件模塊相對地防篡改。由于這些裝置所附加的保護(hù)特性,安全模塊比內(nèi)容解密裝置具有更高的安全級別。內(nèi)容解密裝置中的密鑰提供器可使用與安全模塊類似的保護(hù)方式。隨著時間的推移,在安全模塊中包括精密商業(yè)特征已經(jīng)侵占了安全模塊用于基本密鑰管理任務(wù)的可用計算資源。這不利地影響了密鑰輪轉(zhuǎn)速率(cycling rate),因此影響了安全性。如權(quán)利要求2和10中定義的本發(fā)明的實施例在不需要安全模塊的額外處理的同時,允許第二密鑰(控制字)的更高輪轉(zhuǎn)速率,因為第二密鑰僅在內(nèi)容解密裝置內(nèi)獲得和處理。需要安全模塊中的處理的第一密鑰的輪轉(zhuǎn)速率不應(yīng)增加,從而為執(zhí)行其它任務(wù)節(jié)省
      6了處理能力??梢砸愿鞣N方式使用第一密鑰來獲得第二密鑰(控制字)。權(quán)利要求3和11的實施例定義了信號中包括第一密鑰的額外流的實現(xiàn),第一密鑰被用于加密和解密ECM(包含第二密鑰)。第二密鑰可使用內(nèi)容解密裝置中的任意解密器來獲得。權(quán)利要求4的實施例定義了用于從數(shù)據(jù)包獲得第二密鑰的有益方式,其中每個第二密鑰使用相應(yīng)的第一密鑰來進(jìn)行加密(盡管一個第一密鑰可能對應(yīng)于多個第二密鑰)。 在本實施例中,全部有效載荷數(shù)據(jù)使用第一密鑰來解密。這導(dǎo)致僅僅有效載荷數(shù)據(jù)的一部分在解密后通過例如頭部中的比特模式(同步模式)被識別為第二解密密鑰,該被識別的部分隨后可被選擇用于內(nèi)容數(shù)據(jù)的解密操作。內(nèi)容解密裝置被配置為根據(jù)針對所述內(nèi)容數(shù)據(jù)選擇的節(jié)目來選擇用來對加密數(shù)據(jù)包進(jìn)行解密以獲得所述一個或多個的第二密鑰的第一密鑰,也就是說,用于獲得這個第二解密密鑰的第一密鑰是基于所選擇的節(jié)目(對于該節(jié)目應(yīng)該解密內(nèi)容數(shù)據(jù))而選擇的。用于內(nèi)容數(shù)據(jù)的實際解密的第二密鑰不一定包括在信號(即廣播流)內(nèi),而是可在如權(quán)利要求5的實施例定義的內(nèi)容解密裝置內(nèi)生成。示例包括把第一密鑰用作內(nèi)容解密裝置中的偽隨機(jī)數(shù)生成器的種子以生成第二密鑰的序列?;蛘撸训谝幻荑€應(yīng)用于內(nèi)容解密裝置中執(zhí)行的變換函數(shù),以產(chǎn)生第二密鑰。 連續(xù)的第二密鑰通過使用不同的變換而得到。此外,第一密鑰可在內(nèi)容解密裝置中通過將其與信號中的數(shù)據(jù)(例如,把第一密鑰用于挑選第二密鑰的代碼本,或者與第一密鑰進(jìn)行了異或運算的比特向量)進(jìn)行組合而被變換。權(quán)利要求6和7的實施例允許內(nèi)容解密裝置與遺留加密系統(tǒng)一同使用。需要一些信令來通知內(nèi)容解密裝置對于特定服務(wù)使用了哪個選項。該信令可來自智能卡,或者可包括在信號攜帶的元數(shù)據(jù)中。還公開了用于操作內(nèi)容解密裝置的方法、用于操作如上定義的替代加密系統(tǒng)的方法、計算機(jī)程序、包含這些計算機(jī)程序的數(shù)據(jù)載體,所述計算機(jī)程序包括被配置為在內(nèi)容解密裝置和加密系統(tǒng)中分別運行時執(zhí)行這些方法步驟的軟件代碼部分。還公開了新穎的和有創(chuàng)造性的數(shù)據(jù)包。以下,將更詳細(xì)地說明本發(fā)明的實施例。然而,應(yīng)該理解的是,這一實施例不可被解釋為對本發(fā)明保護(hù)范圍的限制。


      在附圖中圖1是依照本發(fā)明實施例的包括加密系統(tǒng)和內(nèi)容解密裝置的系統(tǒng)的示意圖;圖2A和2B分別描繪了現(xiàn)有技術(shù)系統(tǒng)和依照本發(fā)明實施例的系統(tǒng)的密鑰層的圖;圖3是依照本發(fā)明實施例的如圖1所示的加密系統(tǒng)的示意圖;圖4A和4B是依照本發(fā)明實施例的如圖1所示的內(nèi)容解密裝置的示意圖;以及圖5顯示了依照本發(fā)明實施例對圖3中加密系統(tǒng)的信號的單個數(shù)據(jù)包進(jìn)行加密和解密的方法。
      具體實施例方式圖1提供了依照本發(fā)明實施例的包括加密系統(tǒng)2的首端系統(tǒng)1和內(nèi)容解密系統(tǒng) 3 (例如機(jī)頂盒)的示意圖。首端系統(tǒng)1可以依照數(shù)字視頻廣播的同密(Simulcrypt)標(biāo)準(zhǔn)。首端系統(tǒng)僅僅是提供加擾數(shù)據(jù)的系統(tǒng)的一個示例。圖1所示的首端系統(tǒng)1提供了被廣播的數(shù)據(jù)包流。盡管首端系統(tǒng)1典型地用于經(jīng)由地面、衛(wèi)星或有線廣播系統(tǒng)來廣播依照MPEG-2系統(tǒng)標(biāo)準(zhǔn)(國際標(biāo)準(zhǔn)IS0/IEC 13818-1)的傳輸流包,在這里概述的方法也可以被用來在用于在合適的網(wǎng)絡(luò)中向接收機(jī)進(jìn)行廣播、組播或點對點通信的因特網(wǎng)協(xié)議(IP)包中提供加擾數(shù)據(jù)。"Digital Video Broadcasting(DVB) ;Support for use of scrambling and Conditional Access (CA) with digital broadcasting systems,,(ETSI Technical Report ETR 289, October 1996)是一篇技術(shù)報告,其提出向國際標(biāo)準(zhǔn) IS0/IEC 13818-1 (MPEG-2) 添加有條件訪問(CA)要素。在TS級別加擾的情況下,對傳輸流(化)包的有效載荷運行加擾算法。PES包的構(gòu)成被用于采用相同的加擾算法來執(zhí)行PES級別加擾。MPEG-2規(guī)范的節(jié)目特定信息(PSI)部分包含用于定義在哪里能找到CA系統(tǒng)信息的語法單元。CA表和節(jié)目映射表(PMT)包含CA描述符,所述CA描述符具有CA_PID字段,該字段引用用來攜帶諸如 EMM (授權(quán)管理消息)和ECM (授權(quán)控制消息)的CA信息的TS包的PID值。對于對MPEG-2 部分進(jìn)行加擾的應(yīng)用,該部分的加擾為TS級別,并通過對控制字段比特進(jìn)行加擾來用信號通知。MPEG-2系統(tǒng)規(guī)范包含兩個比特的加擾控制字段,該字段既在TS包的頭部(header) 中也在PES(節(jié)目基本流)的頭部中。第一加擾控制比特指示有效載荷是否被加擾。第二比特指示使用偶密鑰還是奇密鑰。如圖1所示,接收側(cè)包括與內(nèi)容呈現(xiàn)裝置4(諸如電視機(jī))通信地連接的內(nèi)容解密裝置3。安全模塊5 (以下也稱為智能卡5)通信地連接至內(nèi)容解密裝置3。內(nèi)容解密裝置3包括用于從首端1接收廣播信號的信號輸入端6。包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的廣播信號首先被解調(diào)并被數(shù)字化。信號輸入端6連接至解復(fù)用器 7,該解復(fù)用器7被配置為分離信號并向智能卡5傳送有條件訪問數(shù)據(jù)的至少一部分。加密內(nèi)容數(shù)據(jù)被送給硬件解密器8 (或具有硬件加速的軟件解密器),該硬件解密器8 (或具有硬件加速的軟件解密器)當(dāng)接收到正確的解密密鑰時可以向內(nèi)容呈現(xiàn)裝置4提供解密內(nèi)容數(shù)據(jù)(可能在解壓縮裝置10中的處理之后)。應(yīng)該注意,一個或多個上述裝置可被安裝于內(nèi)容呈現(xiàn)裝置4中,例如信號輸入端6 與解壓縮裝置10。內(nèi)容解密裝置3也可是內(nèi)容呈現(xiàn)裝置4的一部分。為了向解密器8提供正確的解密密鑰,內(nèi)容解密裝置3包括密鑰提供器9。密鑰提供器9被配置為從智能卡5接收第一密鑰,并使用一個或多個第一密鑰向解密器8提供一個或多個第二密鑰(以下也稱為控制字(CW)),以允許解密器8對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。以下,參照圖2A至圖5,將更詳細(xì)地描述本發(fā)明的實施例,其中,第一密鑰和第二密鑰都包括在在內(nèi)容解密裝置3的信號輸入端6處接收的廣播信號中。然而,應(yīng)該理解,已想到的可供選擇的方法和系統(tǒng)將落入本發(fā)明的范圍之內(nèi),例如廣播信號沒有第二密鑰(CW) 的實施例。作為示例,在這樣的實施例中,加密系統(tǒng)2和內(nèi)容解密裝置3都包括能夠運行用于根據(jù)從智能卡5接收的一個或多個第一密鑰而得到一個或多個第二密鑰的相應(yīng)的同步的預(yù)定算法的處理器(未示出)。例如,第一授權(quán)控制消息可以在包括一個或多個第一密鑰的加密系統(tǒng)2中生成。這些第一密鑰在加密系統(tǒng)2中也被用作預(yù)定算法的輸入,用以獲得第二密鑰。這些第二密鑰可被用于對內(nèi)容數(shù)據(jù)進(jìn)行加密。首端系統(tǒng)1中的發(fā)送器然后發(fā)送包括加密的內(nèi)容數(shù)據(jù)和攜帶第一密鑰的第一授權(quán)控制消息的廣播信號。該廣播信號在信號輸入端6處被接收,并且使用解復(fù)用器7將第一授權(quán)控制消息傳送給智能卡5。智能卡5從第一授權(quán)控制消息中提取第一密鑰,并將這些第一密鑰提供給密鑰提供器9。運行與首端側(cè)算法對應(yīng)的算法的控制解密裝置(例如密鑰提供器9)基于第一密鑰生成第二密鑰。然后,解密器8可以使用第二密鑰來對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。該處理可以以各種方式來實現(xiàn)。示例包括把第一密鑰用作內(nèi)容解密裝置3中的偽隨機(jī)數(shù)生成器的種子,以生成第二密鑰的序列?;蛘撸瑢Φ谝幻荑€應(yīng)用在內(nèi)容解密裝置3 中執(zhí)行的變換函數(shù),以產(chǎn)生一個或多個第二密鑰。連續(xù)的(成組的)第二密鑰可通過使用不同的變換而得到。此外,第一密鑰可在內(nèi)容解密裝置3中通過將其與信號中的數(shù)據(jù)(例如,使用第一密鑰來挑選第二密鑰的代碼本,或者與第一密鑰進(jìn)行了異或運算的比特向量) 進(jìn)行組合而被變換,其中,將第一密鑰用作參量,使用預(yù)定算法對內(nèi)容數(shù)據(jù)的適當(dāng)部分進(jìn)行定位。參照圖2A至圖5,現(xiàn)在將討論依照本發(fā)明的一個更詳細(xì)的實施例。在這個實施例中,廣播信號包括包含第一密鑰(縮寫為虛擬控制字VCW)的、被稱為第一授權(quán)控制消息或虛擬授權(quán)控制消息(VECM)的消息,以及包含第二密鑰(常規(guī)CW)的、按常規(guī)方式被稱為授權(quán)控制消息(ECM)的消息。圖2A描述了公知的現(xiàn)有技術(shù)的密鑰層棧,其中使用控制字CW對內(nèi)容數(shù)據(jù)進(jìn)行加擾??刂谱諧W借助于在會話密鑰或產(chǎn)品密鑰1 下加密的ECM而包括在廣播信號中。在組密鑰( 下加密的授權(quán)管理消息包括會話密鑰或產(chǎn)品密鑰1 、以及指示分配給智能卡5的用戶授權(quán)的權(quán)利。在接收側(cè),接收加密內(nèi)容,ECM被傳送給智能卡5。在智能卡5中,驗證用戶是否被授權(quán)使用智能卡上存儲的權(quán)利來對加密內(nèi)容進(jìn)行解密。如果被授權(quán),則使用產(chǎn)品密鑰1 對ECM進(jìn)行解密以獲得CW。CW然后被傳送至內(nèi)容解密裝置3',在內(nèi)容解密裝置3' 中使用該CW對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。如果控制字CW改變,就像頻繁發(fā)生的一樣,智能卡 5需要有處理能力以向內(nèi)容解密裝置3'提供新的CW。圖2B示出了依照本發(fā)明實施例的密鑰層棧。應(yīng)該注意的是,與現(xiàn)有技術(shù)的智能卡 5相比,不必改動智能卡5。智能卡5不知道輸出密鑰是否被直接用于對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。此外,如在現(xiàn)有技術(shù)的密鑰層棧中一樣,使用控制字CW(第二密鑰)對內(nèi)容數(shù)據(jù)進(jìn)行加擾??刂谱諧W借助于第二 ECM(第二授權(quán)控制消息)而包括在廣播信號中。然后,附加層被添加至該密鑰層棧,以使對內(nèi)容數(shù)據(jù)的訪問更困難,也就是提高了安全性。該附加層使用虛擬控制字(VCW,第一密鑰)來加密第二 ECM,并在廣播信號中提供發(fā)送包括VCW的第一或虛擬授權(quán)管理消息(VECM)。VECM使用產(chǎn)品密鑰1 被加密。在組密鑰Gk下加密的授權(quán)管理消息包括會話密鑰或產(chǎn)品密鑰Pk、以及指示分配給智能卡5的用戶授權(quán)的權(quán)利。在接收側(cè),接收加密內(nèi)容,使用解復(fù)用器7將VECM傳送給智能卡5,而包含用于對加密內(nèi)容數(shù)據(jù)進(jìn)行解密的控制字CW的第二 ECM不被傳送給智能卡5。這些常規(guī)的ECM保留在內(nèi)容解密裝置3中,并可被發(fā)送給密鑰提供器9。在智能卡5中,驗證用戶是否被授權(quán)使用存儲于智能卡上的權(quán)利對加密內(nèi)容進(jìn)行解密。如果被授權(quán),則使用產(chǎn)品密鑰1 來解密 VECM以獲得VCW。VCW然后被傳送至內(nèi)容解密裝置3,或者更具體地說是被傳送至密鑰提供器9。密鑰提供器9然后使用第一密鑰/VCW,從廣播信號中取回ECM,以產(chǎn)生CW。CW然后可再次被用于在解密器8中對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。應(yīng)該注意,在將VCW傳送至內(nèi)容解密裝置3之前,可對其加密以避免VCW被容易地攔截。然后,可在內(nèi)容解密裝置3中應(yīng)用對VCW的解密。在無需智能卡5的額外的計算資源的情況下,圖2B中的密鑰層棧允許第二密鑰的輪轉(zhuǎn)速率的增加,這是特別有利的。這是從內(nèi)容解密裝置3而不是從智能卡5提供CW的結(jié)果。作為示例,VCW可以每10秒鐘被輪轉(zhuǎn),而兩個或更多個(例如4個)不同的CW可被用于在這一時間間隔內(nèi)對加密內(nèi)容數(shù)據(jù)進(jìn)行解密。換句話說,從智能卡5向密鑰提供器9提供的單個的VCW可以導(dǎo)致從廣播信號中取回可用于解密過程的多個CW。在不要求智能卡5 的大量計算資源的同時,第二密鑰的增加的輪轉(zhuǎn)速率大大地提高了安全性。圖3提供了用于實現(xiàn)圖2B的密鑰層棧的首端系統(tǒng)1的示意性實施例。存儲系統(tǒng) 20被安排提供屬于節(jié)目的內(nèi)容數(shù)據(jù)的一個或多個基本流。這些基本流包括諸如節(jié)目的視頻和音頻元素的組成部分。在該上下文中的節(jié)目是數(shù)據(jù)流的集合。設(shè)置有時間基的那些數(shù)據(jù)流具有一個共同的時間基,以用于如基本流中的定時信息所指示的同步呈現(xiàn)。復(fù)用系統(tǒng)21執(zhí)行輸入數(shù)據(jù)的時間復(fù)用,并提供MPEG-2傳輸流作為輸出。MPEG-2 傳輸流由具有頭部和有效載荷的傳輸流包(TS包)的序列形成,該有效載荷攜帶了特定基本流的數(shù)據(jù)單元。除了來自存儲系統(tǒng)20的基本流之外,復(fù)用系統(tǒng)21還接收來自VECM生成器22的第一或虛擬授權(quán)控制消息(VECM)的流、來自ECM生成器23的第二授權(quán)控制消息(ECM)的流以及來自EMM生成器M的授權(quán)管理消息(EMM)的流。首端系統(tǒng)1還包括VCW生成器25和CM生成器沈,用于分別生成第一和第二加密密鑰的序列,第一和第二加密密鑰在這里分別被稱為VCW和CW。1 生成器27提供產(chǎn)品密鑰沖。網(wǎng)絡(luò)管理系統(tǒng)(未示出)控制各個部件的操作。由生成器沈生成的CW被提供給同步系統(tǒng)28。同步系統(tǒng)28將CW提供給ECM生成器23,并接收ECM作為回饋。同步系統(tǒng)27還將控制字提供給加擾系統(tǒng)四,加擾系統(tǒng)四對作為復(fù)用系統(tǒng)21的輸出而獲得的MPEG-2傳輸流進(jìn)行加擾。同步系統(tǒng)觀執(zhí)行的一個功能是以已知的方式將ECM 的流與加擾的MPEG-2傳輸流進(jìn)行同步。同步可借助于MPEG-2 TS包中的時間戳來實現(xiàn),由此提供具有共同時間基的攜帶ECM的TS包和加擾的TS包。同步可結(jié)合一個系統(tǒng)按照攜帶 ECM的TS包的流和加擾的TS包的流被復(fù)用的順序來實現(xiàn),該系統(tǒng)用于保持復(fù)用的TS包的順序??梢钥吹?,在其它實施例中,一個或多個密鑰消息在單獨的信道上放出,而基準(zhǔn)時間被用于對密鑰消息的流與加擾數(shù)據(jù)單元的流進(jìn)行同步。在圖3示出的實施方式中,VECM攜帶了代表VCW并在產(chǎn)品密鑰1 下加密了的數(shù)據(jù)。VECM生成器22從EMM生成器M獲得產(chǎn)品密鑰Pk,EMM生成器M將產(chǎn)品密鑰包括在以用戶或用戶組為目的地址的EMM中。EMM以已知的方式在由復(fù)用系統(tǒng)21產(chǎn)生的MPEG-2 傳輸流中被發(fā)送給用戶。ECM攜帶了代表CW并在VCW下加密了的數(shù)據(jù)。ECM生成器23從 VECM生成器22獲得密鑰VCW,VECM生成器22將VCW包括在VECM中。
      圖4A和4B是依照本發(fā)明實施例的如圖1所示的內(nèi)容解密裝置3的示意圖。相同的附圖標(biāo)記指示裝置的相同部件。實際上,有條件訪問數(shù)據(jù)在內(nèi)容解密裝置3內(nèi)被分離,將 VECM傳送至智能卡5,而將攜帶CW的ECM直接饋送給密鑰提供器9。攜帶產(chǎn)品密鑰1 的 EMM也被傳送至智能卡5。如果觀看者被授權(quán)觀看特定節(jié)目,則在智能卡5內(nèi)獲得產(chǎn)品密鑰Pk,隨后在智能卡5內(nèi)借助于該產(chǎn)品密鑰1 可從VECM取回第一密鑰(VCW)。然后,在智能卡5與內(nèi)容解密裝置3之間的接口上傳送VCW,并在密鑰提供器9中處理該VCW以從被直接饋送給密鑰提供器9的ECM中獲得CW。一個VCW可被用于獲得多個 Cff,因此實現(xiàn)了增加的輪轉(zhuǎn)速率。如圖4A所示,VCff也可被直接饋送給解密器8,以使內(nèi)容解密裝置有助于遺留加密系統(tǒng)。最后,圖5示意性地示出了對依照本發(fā)明實施例的圖3的加密系統(tǒng)的信號的單個 TS數(shù)據(jù)包30進(jìn)行加密和解密的方法。圖5的TS包30表示包括在廣播信號中的依照本發(fā)明實施例的一系列組合的ECM。TS包30具有頭部31和有效載荷32。頭部31包括用于在內(nèi)容解密裝置3中處理TS包的各種信息。有效載荷32包含多個控制字CW,其中,每個控制字CW由加密系統(tǒng)2使用不同的 VCff進(jìn)行了加密。也就是說,使用VCWl加密了 CW1,使用VCW2加密了 CW2,使用VCW3加密了 CW3,等等。應(yīng)該注意,為了提高例如CW的密鑰輪轉(zhuǎn)速率,可以使用單個VCW來加密多個 CW。包括多個ECM的TS數(shù)據(jù)包30然后以復(fù)用方式被傳送至內(nèi)容解密裝置3。ECM可以例如包括具有同步模式和加擾密鑰指示符的頭部,該同步模式可用于識別一 ECM,該加擾密鑰指示符識別用于對該ECM進(jìn)行加擾的VCW。在內(nèi)容解密裝置3處,為了從ECM導(dǎo)出有效的控制字CW,獲得一種特殊的方法。傳統(tǒng)上,首先使用頭部信息對相關(guān)的ECM進(jìn)行搜索,隨后,將使用相應(yīng)的密鑰VCW對獲得的ECM 進(jìn)行加密。然而,在圖5所示的方法中,全部的有效載荷32首先在一密鑰(這里是VCW2) 下解密。通過選擇需要VCW2來解密的節(jié)目(使用對應(yīng)于VCW2的CW),由呈現(xiàn)裝置4的觀看者間接選擇VCW2。由于使用來自智能卡5的VCW2僅僅加密了 ECM2,所以在解密后,僅僅與ECM2對應(yīng)的部分產(chǎn)生CW2,作為密鑰提供器9的輸出。對其它ECM使用VCW2僅僅產(chǎn)生隨機(jī)數(shù)據(jù)??赏ㄟ^基于例如控制字的頭部(未單獨示出)中的例如可識別模式的一些后處理來找到CW2。 如果VCW2將被用于加密攜帶多個控制字的多個ECM以提高密鑰輪轉(zhuǎn)速率,則使用該過程將獲得多個控制字。在圖5中需要注意,為了說明的目的,示出了使用通用塊密碼算法的加密和解密。 然而,加密系統(tǒng)2和解密器8當(dāng)然也可以使用更高級的密碼運算來實現(xiàn),諸如密碼塊鏈接 (chaining)。對于利用反饋的密碼,加密過程可能需要在用合適的VCW加密ECM之前獲得合適的鏈接信息,并可能涉及對消息中已加密部分進(jìn)行解密以獲得相關(guān)的鏈接數(shù)據(jù)。也可以使用密碼算法的組合。
      權(quán)利要求
      1.一種用于接收包括內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號的內(nèi)容解密裝置,所述有條件訪問數(shù)據(jù)包括一個或多個第一密鑰并且所述內(nèi)容數(shù)據(jù)使用一個或多個第二密鑰進(jìn)行了加密,所述裝置被配置為與安全模塊通信并且包括-用于接收所述信號的信號輸入端;-用于向所述安全模塊提供所述有條件訪問數(shù)據(jù)的至少一部分以從所述有條件訪問數(shù)據(jù)獲得所述一個或多個第一密鑰的裝置;-解密器,包括用于接收至少所述加密內(nèi)容數(shù)據(jù)的信號輸入端,并且被配置為在所述一個或多個第二密鑰下對所述加密內(nèi)容數(shù)據(jù)進(jìn)行解密以提供解密的內(nèi)容數(shù)據(jù),其中,所述裝置包括密鑰提供器,該密鑰提供器被配置為從所述安全模塊接收所述一個或多個第一密鑰并且使用所述一個或多個第一密鑰向所述解密器提供所述一個或多個^ ·~-"iS" O
      2.如權(quán)利要求1所述的內(nèi)容解密裝置,其中,所述密鑰提供器被配置為從所述智能卡接收第一數(shù)量的第一密鑰并且向所述解密器提供第二數(shù)量的第二密鑰,其中第二密鑰的所述第二數(shù)量大于第一密鑰的所述第一數(shù)量。
      3.如權(quán)利要求1或2所述的內(nèi)容解密裝置,其中,所述有條件訪問數(shù)據(jù)包括加密的第二密鑰,所述密鑰提供器被配置為接收包括所述加密的第二密鑰的所述有條件訪問數(shù)據(jù),所述密鑰提供器被配置為在所述一個或多個第一密鑰下對所述加密的第二密鑰進(jìn)行解密以獲得所述一個或多個解密的第二密鑰并且向所述解密器提供所述一個或多個解密的第二密鑰用以解密所述內(nèi)容數(shù)據(jù)。
      4.如權(quán)利要求3所述的內(nèi)容解密裝置,其中,所述有條件訪問數(shù)據(jù)包括至少一個加密數(shù)據(jù)包,所述加密數(shù)據(jù)包包括多個第二密鑰,一個或多個所述第二密鑰在不同的第一密鑰下進(jìn)行了加密,所述密鑰提供器被配置為使用所述第一密鑰對所述加密數(shù)據(jù)包進(jìn)行解密并且隨后選擇對應(yīng)于所述使用的第一密鑰的所述一個或多個第二密鑰以向所述解密器提供所述一個或多個選擇的第二密鑰。
      5.如權(quán)利要求1或2所述的內(nèi)容解密裝置,其中,所述有條件訪問數(shù)據(jù)不具有所述第二密鑰,所述內(nèi)容解密裝置被配置為響應(yīng)于從所述安全模塊接收到所述一個或多個第一密鑰而產(chǎn)生所述一個或多個所述第二密鑰。
      6.如一個或多個在前權(quán)利要求所述的內(nèi)容解密裝置,其中,所述解密器進(jìn)一步被配置為還從所述安全模塊接收所述一個或多個第二密鑰。
      7.如權(quán)利要求6所述的內(nèi)容解密裝置,其中,所述裝置還被配置為從信號和安全模塊中的至少一個接收用于解密所述內(nèi)容數(shù)據(jù)的所述第二密鑰是源自所述密鑰提供器還是直接源自所述安全模塊的信息。
      8.一種在內(nèi)容解密裝置中對加密內(nèi)容數(shù)據(jù)進(jìn)行解密的方法,包括以下步驟-接收包括包含一個或多個第一密鑰的有條件訪問數(shù)據(jù)以及在一個或多個第二密鑰下加密了的所述內(nèi)容數(shù)據(jù)的信號;-向安全模塊提供所述有條件訪問數(shù)據(jù)的至少一部分;-在所述內(nèi)容解密裝置中從所述安全模塊接收所述一個或多個第一密鑰,并使用所述一個或多個第一密鑰向所述內(nèi)容解密裝置的解密器提供所述一個或多個第二密鑰;-在所述解密器中在所述一個或多個第二密鑰下對所述加密內(nèi)容數(shù)據(jù)進(jìn)行解密。
      9.一種加密系統(tǒng),用于向如一個或多個在前權(quán)利要求所述的內(nèi)容解密裝置提供包括在一個或多個第二密鑰下加密的加密內(nèi)容數(shù)據(jù)以及包括一個或多個第一密鑰的有條件訪問數(shù)據(jù)的信號,所述內(nèi)容解密裝置被配置為與安全模塊通信,所述加密系統(tǒng)包括-授權(quán)管理消息生成器,被配置成為所述安全模塊生成包括一個或多個第三密鑰的授權(quán)管理消息,所述一個或多個第三密鑰允許所述安全模塊獲得所述第一密鑰;-第一密鑰生成器,被配置為生成第一密鑰;-第一授權(quán)控制消息生成器,被配置為生成包括一個或多個所述第一密鑰的第一授權(quán)控制消息;-第二密鑰生成器,被配置為生成第二密鑰;-第二授權(quán)控制消息生成器,被配置為生成包括一個或多個所述第二密鑰的第二授權(quán)控制消息,所述第二密鑰在所述第一密鑰下進(jìn)行了加密;-加密器,用于在所述第二密鑰下加密所述內(nèi)容數(shù)據(jù);-發(fā)送器,用于向所述內(nèi)容解密裝置發(fā)送所述信號,所述信號包括所述加密內(nèi)容數(shù)據(jù)和所述第一與第二授權(quán)控制消息。
      10.如權(quán)利要求9所述的加密系統(tǒng),其中,所述加密系統(tǒng)被配置為以第一速率輪轉(zhuǎn)所述第一密鑰并且以第二速率輪轉(zhuǎn)所述第二密鑰,所述第一速率低于所述第二速率。
      11.如權(quán)利要求9或10所述的加密系統(tǒng),其中,所述系統(tǒng)被配置為提供所述信號的至少一個加密數(shù)據(jù)包,所述加密數(shù)據(jù)包包括多個所述第二密鑰,每個第二密鑰在一個不同的第一密鑰下進(jìn)行了加密。
      12.—種向如在前權(quán)利要求1-7中的一個或多個所述的內(nèi)容解密裝置提供包括在一個或多個第二密鑰下加密的加密內(nèi)容數(shù)據(jù)以及包括一個或多個第一密鑰的有條件訪問數(shù)據(jù)的信號的方法,所述內(nèi)容解密裝置被配置為與安全模塊通信,所述方法包括以下步驟-為所述安全模塊生成包括一個或多個第三密鑰的授權(quán)管理消息,所述一個或多個第三密鑰允許所述安全模塊獲得所述一個或多個第一密鑰;-生成包括一個或多個所述第一密鑰的一個或多個第一授權(quán)控制消息;-生成包括一個或多個所述第二密鑰的一個或多個第二授權(quán)控制消息,所述第二密鑰在所述第一密鑰下進(jìn)行了加密;-在所述第二密鑰下加密所述內(nèi)容數(shù)據(jù);-向所述內(nèi)容解密裝置發(fā)送所述信號,所述信號包括所述加密內(nèi)容數(shù)據(jù)和所述第一和第二授權(quán)控制消息。
      13.一種加密系統(tǒng),用于向如一個或多個在前權(quán)利要求所述的內(nèi)容解密裝置提供包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號,所述內(nèi)容解密裝置被配置為與安全模塊通信以及根據(jù)預(yù)定算法生成用于解密所述加密內(nèi)容數(shù)據(jù)的一個或多個第二密鑰,所述加密系統(tǒng)包括-第一密鑰生成器,被配置為生成第一密鑰;-使用所述第一密鑰運行所述預(yù)定算法以獲得所述一個或多個第二密鑰的裝置;-第一授權(quán)控制消息生成器,被配置為生成包括一個或多個所述第一密鑰的第一授權(quán)控制消息;-加密器,用于在所述第二密鑰下加密所述內(nèi)容數(shù)據(jù);-發(fā)送裝置,用于發(fā)送所述信號,所述信號不具有所述第二密鑰。
      14.一種從被配置為運行預(yù)定算法的加密系統(tǒng)向如在前權(quán)利要求1-7中的一個或多個所述的內(nèi)容解密裝置提供包括在一個或多個第二密鑰下加密的加密內(nèi)容數(shù)據(jù)以及包括一個或多個第一密鑰的有條件訪問數(shù)據(jù)的信號的方法,所述內(nèi)容解密裝置被配置為與安全模塊通信并且根據(jù)所述預(yù)定算法產(chǎn)生用于解密所述加密內(nèi)容數(shù)據(jù)的一個或多個第二密鑰,所述方法包括以下步驟-生成包括一個或多個所述第一密鑰的第一授權(quán)控制消息;-使用所述一個或多個第一密鑰運行所述預(yù)定算法以獲得所述一個或多個第二密鑰; -在所述第二密鑰下加密所述內(nèi)容數(shù)據(jù); -發(fā)送所述信號,所述信號不具有所述第二密鑰。
      15.一種包括被配置為解密廣播信號的一部分的多個第二密鑰的數(shù)據(jù)包,其中至少兩個所述第二密鑰在不同的第一密鑰下進(jìn)行了加密。
      全文摘要
      本發(fā)明涉及用于接收包括加密內(nèi)容數(shù)據(jù)和有條件訪問數(shù)據(jù)的信號的內(nèi)容解密裝置。該有條件訪問數(shù)據(jù)包括一個或多個第一密鑰。內(nèi)容數(shù)據(jù)在一個或多個第二密鑰下被加密。該裝置被配置為與安全模塊通信。該裝置包括用于從首端系統(tǒng)接收所述信號的信號輸入端,并被配置為向安全模塊提供有條件訪問數(shù)據(jù)的至少一部分以從有條件訪問數(shù)據(jù)獲得一個或多個第一密鑰。該裝置還具有解密器,優(yōu)選為硬件解擾器,該解密器包括用于至少接收加密內(nèi)容數(shù)據(jù)的信號輸入端。該解密器被配置為在所述一個或多個第二密鑰下對加密內(nèi)容數(shù)據(jù)進(jìn)行解密以提供解密的內(nèi)容數(shù)據(jù)。在該裝置中提供了密鑰提供器,優(yōu)選為硬件部件,被配置為從安全模塊接收所述一個或多個第一密鑰并使用所述一個或多個第一密鑰向解密器提供所述一個或多個第二密鑰。
      文檔編號H04N5/00GK102369736SQ200980148052
      公開日2012年3月7日 申請日期2009年11月6日 優(yōu)先權(quán)日2008年12月1日
      發(fā)明者R·施皮爾 申請人:耶德托公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1