專利名稱:條件接收系統(tǒng)的制作方法
條件接收系統(tǒng)
背景技術:
在條件接收(conditional access )音頻和視頻傳輸系統(tǒng)中�,通常 以保護的形式傳輸(視聽的或其他)數(shù)據(jù)����。于是,只有選定的客戶設 備(比如�,機頂盒、數(shù)字電視機��、個人計算機或移動電話)才能呈現(xiàn)�、 拷貝或以其他方式使用數(shù)據(jù)。典型地����,這涉及對輸入數(shù)據(jù)進行解碼 (descrambling )或解密(descrypting )。為了安全的原因����,這些解 碼操作通常需要使用智能卡或其他擁有正確解碼密鑰的獨立的條件 接收模塊。
大多數(shù)這樣的條件接收系統(tǒng)是依據(jù)數(shù)字視頻廣播(DVB )公共接 口 ( CI)標準EN50221和ETSI TS101699建立的�����。按照這些標準的 術語��,在下面客戶設備稱為"主機"���,而智能卡或其他條件接收模塊 稱為CAM ("條件接收模塊"的縮寫)�����。應當理解�,本發(fā)明也可以 與根據(jù)其他標準操作的條件接收系統(tǒng)或?qū)S邢到y(tǒng)結合使用���。
CAM對輸入數(shù)據(jù)進行解碼并將結果提供給主機以進一步使用�����。 該方法的問題在于�����,來自CAM的輸出可以明文地(in the clear)捕 獲或轉(zhuǎn)移��,這是不希望的���。
為了解決這個問題�����,已經(jīng)考慮了保護CAM的輸出����。如果CAM 以重新加密加密形式將輸出傳輸?shù)街鳈C��,明文數(shù)據(jù)不再可能從CAM 到主機的傳輸中被捕獲或轉(zhuǎn)移�����。用于重新加密的密鑰優(yōu)選地由CAM 和主機共同確定��,這意味著主機和模塊需要驗證彼此的真實性���。這種 保護方案可能變成由DVB或類似組織限定的新標準的研究內(nèi)容����。
同時�����,需要向后兼容����。如果CAM和主機中任何一個檢測到另一 個不支持上述保護方案,其必須恢復到現(xiàn)有的標準��。
發(fā)明內(nèi)容
本發(fā)明首次認識到�,這種向后兼容性的需要導致了安全的風險。 檢測過程只能通過CAM與主機之間的信息交換來完成�����。該信息必然 處于未保護狀態(tài)(in the clear),因為CAM和主機無法建立安全信 道��。這種安全信道在現(xiàn)有的DVBCI標準中沒有完全限定�����。攻擊者現(xiàn)在可以例如通過攔截用于啟動認證協(xié)議的信息或消息的請求來操縱 該信息交換�����。
所述安全風險在于,缺少適當?shù)捻憫部赡苡上率鍪聦嵰鹆?一方只能根據(jù)現(xiàn)有的DVB標準操作并且不支持數(shù)據(jù)的受保護交換�。 向后兼容性的需要規(guī)定數(shù)據(jù)隨后明文傳輸。從而攻擊者可以取得數(shù) 據(jù)����。
為了解決這個安全風險,本發(fā)明提供一種如權利要求1所要求的 條件接收系統(tǒng)����。該系統(tǒng)基于以下認識檢測嵌入到數(shù)據(jù)流中的唯一代 碼比用于嘗試檢測保護方案是否被支持的CAM與主機之間的任何信 息交換更具魯棒性。根據(jù)該認識��,本發(fā)明提出了在檢測嵌入到輸入 或輸出中的該唯一代碼時���,主機和條件接收模塊參與彼此之間的認證 協(xié)議���。
優(yōu)選地,代碼通過水印的方式嵌入����。由于水印不必攜帶任何信息, 所以它可以是難以刪除的高質(zhì)量、低可見性/可聽性的水印��。滿足這 些要求的水印方案本身是公知的���。
在實施例中�,條件接收模塊配置為在將輸出提供給主機之前將 代碼嵌入到輸出中��,且其中��,主機配置為在檢測嵌入到輸出中的代 碼時啟動與條件接收模塊的認證協(xié)議��。該實施例允許CAM通過將代 碼嵌入到輸出中來啟動其對于受保護數(shù)據(jù)通信的支持��。
在該實施例中��,優(yōu)選地���,主機進一步地配置為在檢測嵌入到輸 出中的代碼時中斷對輸出的接收。檢測代碼的存在表示主機正與支 持受保護數(shù)據(jù)通信的CAM進行通信���。隨后明文輸出的傳送不是必需 的��,并且甚至表示對主機與CAM之間通信的干擾(tamper)����。因此, 這種傳輸應當終止����,優(yōu)選地盡快地終止。
在另一個實施例中�,條件接收模塊配置為在檢測嵌入到輸出中 的代碼時啟動與主機的i人證協(xié)議(authentication protocol)。在該實 施例中�����,代碼在CAM接收到加密數(shù)據(jù)流之前被插入?��,F(xiàn)在��,代碼用 作這樣的指示在成功認證之后�����,輸出只可能提供給主機�����。通常�����,輸 出隨后將以加密(scrambled)的形式提供���。
在該另一個實施例的變形中�,條件接收模塊配置為避免在認證 協(xié)議已經(jīng)成功完成之前將輸出提供給主機�。
在又一個實施例中,條件接收模塊配置為在認證協(xié)議中使用商定的密鑰加密輸出�,并且將加密輸出提供給主機。許多認證協(xié)議存在 提供商定密鑰的能力�。隨后該密鑰可以用來在將輸出提供給主機之前
對其進行重新加密(rescramble)�����,從而保護數(shù)據(jù)流��。
在一個實施例中�,主機配置為將對于主機是唯一的的另一個代
碼嵌入到由條件接收模塊提供的輸出中。假如使得輸出的明文����、未加
密版本可用而不需要認證,這實現(xiàn)了主機識別���。
優(yōu)選地�,代碼通過水印嵌入到輸出中。在沒有關于水印位于哪里
的特定信息的情況下�����,水印難以檢測并且甚至更加難以刪除��。在某些
情況下��,水印檢測需要知道特定密鑰����。可替代地��,通過在輸出中的元
數(shù)據(jù)字段中記錄代碼來將代碼嵌入到輸出中���。其他嵌入代碼的方法也
是可能的�����。
在一個實施例中�����,主機配置為檢測輸入數(shù)據(jù)流中的嵌入代碼��。 這具有如下優(yōu)點檢測嵌入代碼可以在主機中容易地實現(xiàn)�,因為這種 檢測需要對輸入數(shù)據(jù)流進行很少的處理。
優(yōu)選地��,在該實施例中�����,嵌入代碼表示在輸入數(shù)據(jù)流中存在至少 一個信息元素��,并且其中�,主機配置為當檢測嵌入代碼并且無法獲 得來自由條件接收模塊提供給主機的輸出流中的至少一個信息元素 時,限制其與條件接收模塊的交互�。上述實施例的優(yōu)點在于����,主機可 以快速地檢測嵌入代碼,并且隨后處理標記其存在的信息����。被干擾的 CAM不能保留該信息,因為主機知道期待它�����。當使用認證元素時, CAM甚至不能操縱它����。
參照在附圖中示出的說明性實施例,本發(fā)明的這些和其他方面將 顯而易見并被闡明�,其中
圖1示意性示出條件接收系統(tǒng);
圖2示意性示出該系統(tǒng)的第一實施例��;
圖3示意性示出該系統(tǒng)的第二實施例��;
在整個附圖中�����,相同的參考數(shù)字表示相似或?qū)奶卣?。附圖中 表示的一些特征典型地在軟件中實現(xiàn),并且同樣地代表軟件實體����,比 如,軟件模塊或?qū)ο蟆?br>
具體實施例方式
本發(fā)明具有在需要條件接收數(shù)據(jù)的任何領域中的應用���。這包括但 不限于數(shù)字電視和廣播����。
圖1示意性示出條件接收系統(tǒng)100的實施例。系統(tǒng)包括操作地耦 合到條件接收模塊或CAM 110的主機101���。主機在圖1中示出為機 頂盒�����,其接收來自數(shù)據(jù)轉(zhuǎn)發(fā)器(headend) 120的數(shù)字條件接收電視 信號�����,并將輸出電視信號提供給顯示屏130,但是本領域技術人員將 認識到許多其他實施例也是可能的�����。例如��,條件接收系統(tǒng)100可以通 過將主機101設置為顯示屏130的一部分來集成��,例如在集成的數(shù)字 電視或集成的數(shù)字電視機的情況下?����?商娲兀鳈C101可以設置為 移動電話或個人計算機或許多其他設備中任意一種的一部分��。數(shù)字條 件接收信號還可以包括音頻或數(shù)據(jù)���,并且可以從存儲介質(zhì)中讀取或從 因特網(wǎng)或任何其他源中接收���。
主機101包括接收器102,其接收加密數(shù)據(jù)流,并且將該加密數(shù) 據(jù)流提供給CAM110�����。優(yōu)選地�����,該加密數(shù)據(jù)流包含在MPEG-2傳送 流中��,雖然����,當然也可以使用其他傳送和/或編碼協(xié)議或方案。CAM 110對加密數(shù)據(jù)流進行解碼����,并將對應的輸出提供給主機101,其中�, 解碼模塊103例如通過將MPEG-2程序流轉(zhuǎn)換為視聽信號來對輸出 進行解碼�,并且將解碼的輸出提供給顯示屏130。這些操作本身是眾 所周知的��,且將不進行進一步的詳細描述�。
優(yōu)選實施例遵守上述DVB CI標準,雖然原則上任何條件接收系 統(tǒng)和任何加密/解碼或加密/解密機制可以與本發(fā)明一起使用���。最重要 的是��,CAM 110根據(jù)恰當?shù)臋C制操作����,從而使得可以將對應于輸入 數(shù)據(jù)的適當輸出提供給主機101����。
可替代地,代替加密��,輸入數(shù)據(jù)流可以明文提供���。在這種情況下��, 在嵌入代碼之前當然不需要任何解碼���。
才艮據(jù)本發(fā)明,主機101和CAM110配置為在檢測嵌入到輸出 中的代碼時參與彼此之間的認證協(xié)議�����。代碼的存在是表示認證協(xié)議將 被執(zhí)行�。
在圖2中示出的第一實施例中,CAM 110包括嵌入模塊115,其 在將輸出提供給主機之前將代碼嵌入到輸出中���。優(yōu)選地��,通過水印嵌 入代碼���,雖然代碼也可以設置在元數(shù)據(jù)中,比如�����,DVB-CI系統(tǒng)中的表���。嵌入代碼可以要求使用水印密鑰或秘密���,這取決于所使用的水印 算法�。而且��,嵌入代碼通常要求首先將加密的輸入數(shù)據(jù)進行解碼���。
如圖2所示�����,嵌入模塊115耦接到解碼模塊114的輸出���,該解碼 模塊又耦接到接收模塊111,通過該接收模塊從主機101接收加密數(shù) 據(jù)�����。解碼模塊114通?�?梢岳镁哂斜匾慕獯a或解密密鑰的存儲介 質(zhì)113���?�?商娲?����,必要的密鑰可以從智能卡或其他設備中提供��,或 從外部位置下載�。必要的密鑰可以設置與數(shù)字簽名對象相結合或者甚 至在數(shù)字簽名對象中�,所述數(shù)字簽名對象表示關于輸出的一個或多個 容許(許可)動作。
嵌入模塊115的輸出耦合到發(fā)射模塊119的輸入���,該發(fā)射模塊將 具有嵌入代碼的解碼輸出提供給主機101�。在該實施例中�����,主機101 包括代碼檢測器104,其處理輸出�����,以檢測在解碼輸出中存在或者沒 有嵌入代碼����。檢測嵌入代碼可能需要上述的水印密鑰或秘密(secret )。 如果檢測到嵌入代碼���,代碼檢測器104將信號發(fā)送到認證模塊105����, 以啟動與CAM110中的對應的認證模塊118的認證協(xié)議。
當執(zhí)行協(xié)議時���,對輸出的傳輸�����、解碼和/或進一步處理可以暫停 或不暫停����。該選擇取決于許多因素�����,比如���,完全執(zhí)行協(xié)議所需的時間�����。 如果這至多耗費幾秒��,可以接受的是�����,在執(zhí)行協(xié)議的同時繼續(xù)進行對 輸出的傳輸�����、解碼和進一步處理���。這確保了如果協(xié)議是成功的,用 戶的觀看體驗不被打斷�����。如果協(xié)議不能成功完成�����,用戶將僅僅得到幾 秒鐘價值的信息�����。
如果協(xié)議成功完成���,認證模塊105向解碼模塊103發(fā)送信號對 輸出的解碼和進一步處理可以開始或繼續(xù)����。
優(yōu)選地,主機101在檢測嵌入到輸出中的代碼時中斷對明文輸出 的接收�。這減少了對該明文輸出的非授權獲取的可能性。隨后��,輸出 可以以加密或編碼(scramble)的形式來代替提供���。
在圖3中示出的第二實施例中����,CAM110包括代碼檢測器104��, 其耦合到認證模塊118���。在該實施例中�����,CAM IIO在檢測嵌入到由解 碼模塊114提供的解碼數(shù)據(jù)中的代碼時啟動與主機的認證協(xié)議�。在成 功認證之后����,輸出將提供給主機IOI�����。
在該實施例中�,假設在CAM接收數(shù)據(jù)流之前已經(jīng)嵌入了代碼�。 實現(xiàn)該假設的優(yōu)選的方法是,使得數(shù)據(jù)轉(zhuǎn)發(fā)器(DVB中的術語)或其他發(fā)射器嵌入代碼�。可替代地�����,代碼可以由有關音頻或視頻數(shù)據(jù)的 提供者來嵌入���。
對于該實施例的一個選項是配置發(fā)射模塊119,以避免在認證 協(xié)議已經(jīng)成功完成之前將輸出提供給主機101�����。這確保了輸出將不提 供給非授權主機101��。這可以通過例如配置代碼檢測器104來向發(fā)射 模塊119發(fā)出何時可以向主機101提供輸出的信號來實現(xiàn)����。
另一個選項是配置CAM 110以在認證協(xié)議中使用商定的密鑰 加密輸出��,并且將加密輸出提供給主機�。這當然要求使用也規(guī)定密鑰 商定或密鑰建立的認證協(xié)議����。可能的選項是Diffie-Hellman和 Guillou-Quisquater,雖然�,當然也可以4吏用其他協(xié)i義。
個選項存在于該實施例中����。第一選項是根本不提供任何輸出。第二選 項是提供降級的�����、低質(zhì)量版本的輸出���。例如�,視頻質(zhì)量可以從例如高 清降低到標準電視質(zhì)量�,或可以提供所有視頻幀的僅僅一部分。音頻 質(zhì)量可以通過類似的方法降低。音頻甚至可以完全省略��,因此提供僅 有視頻的輸出��。
操作可以限制于僅僅所謂的"免費播放(free-to-air)"內(nèi)容��, 僅僅以非加密形式提供的內(nèi)容����,或保護要求低的其他內(nèi)容。這種非加 密或"免費播放"內(nèi)容可以表示如果在重傳之前對內(nèi)容進行加密才 允許進行重傳���。在這種情況下�����,當認證不成功時�����,這種內(nèi)容的輸出可 以停止。
另一個選項是向CAM 110提供嵌入模塊(未示出)���,通過該 嵌入模塊可以在將輸出提供給主機之前將唯一的代碼嵌入到輸出中�。 雖然現(xiàn)在輸出可以通過非授權方式處理�,但是輸出的分配現(xiàn)在可以至 少歸因于該特定的CAM�����。
又一個選項是在認證協(xié)議中使用商定的密鑰加密輸出����,并且將 加密輸出提供給主機101�,正如以上已經(jīng)敘述的。
除了上述任何方案之外或在上述任何方案的可替代的方案中��, CAM 110可以例如通過將主機101的標識符加入到黑名單或從白名 單中刪除�,或通過將主機101的標識符報告給受信的第三方(其隨后 將標識符加入到黑名單或從白名單中刪除)來撤銷主機101。
在另一個實施例中�,主機101包括另一個代碼嵌入器(未示出),
9其將對于主機是唯一的另一個代碼嵌入到由CAM110提供的輸出中��。 這種另一個唯一代碼可以是例如設置在主機101中只讀存儲器中的 序列號�����。這再次實現(xiàn)了在輸出非授權的另一個分配情況下的跟蹤���。
在可替代實施例中����,代碼已經(jīng)嵌入到輸入數(shù)據(jù)流中。如上參照圖 l所述��,輸入數(shù)據(jù)流首先由主機101接收����,并且隨后傳給CAM110。 在該實施例中�����,主機101在數(shù)據(jù)流傳給CAM 110之前檢測嵌入代碼�����。 如果檢測到代碼�����,主機101參與與CAM110的上述i人證協(xié)i義����。
在該實施例中����,優(yōu)選地�����,嵌入代碼包括具有認證元素的信息���,從 而允許如源自授權服務提供者的信息的認證,比如�����,由服務提供者創(chuàng) 建的數(shù)字簽名或者信息認證代碼(MAC)����。
在該實施例中,優(yōu)選地����,嵌入代碼包括一個或多個信息元素,比 如版本號��、表示黑名單或白名單信息在流中可用的標記����、表示拷貝管 理信息或正確數(shù)據(jù)在流中可用的標記����、或表示需要對數(shù)據(jù)進行重新加 密的標記����。如果檢測到標記中的任何一個,主機101預期所表示的信 息在流中可用�����,如由CAM110中的發(fā)射模塊119所返回的���。
嵌入標記可以設置在輸入數(shù)據(jù)流中的某個預定位置處��,例如�����,每 隔幾秒鐘或在特定類型的每個表或幀之后�。這使嵌入標記更容易檢 測���。
受干擾的(tampered) CAM 110不能刪除流中的黑名單��、白名 單���、拷貝管理或其他信息,因為主機101預期該信息在輸出中�。如果 信息設有認證元素,比如��,由服務提供商創(chuàng)建的數(shù)字簽名或消息認證 碼(MAC),信息也不能被操控���。
當然����,主機101還可以直接從輸入流中提取黑名單��、白名單�����、拷 貝管理或其他信息����。然而,這具有如下缺點提取這樣的信息是復雜 且耗時的�����。
如果代碼存在但在輸出中沒有找到被認為如標記表示的、存在的 信息���,對于主機101與CAM 110之間認證失敗的情況����,主機101應 當通過與上述選項相似的方式來限制其與條件接收模塊的交互�。
應當注意,上述實施例說明而非限制本發(fā)明��,并且本領域技術人 員將能夠設計出許多可替代的實施例而不脫離所附權利要求的范圍���。 例如���,雖然上面已經(jīng)在DVB類型的條件接收系統(tǒng)的情況下提出了本 發(fā)明,但是本發(fā)明同樣可以很好地用在提供更復雜形式的數(shù)字版權管理的系統(tǒng)中���,比如開放移動聯(lián)盟(OMA)數(shù)字版權管理2.0版�����。特別 是當DRM用于具有單向通信的系統(tǒng)(比如�,電視機或無線電廣播) 中時���,本發(fā)明可以適用���。
作為另一個實例�,代碼檢測器104可以嘗試以多個時間間隔檢測 代碼�。這允許檢測器104忽略在多個檢測嘗試的一些處檢測代碼的失 敗����。它還允i午主機101和CAM 110周期性地彼此重新i人證。
雖然上面已經(jīng)使用了單詞"加密"����,但是這表示在沒有特定知識 (比如密鑰)的情況下使得信號不可理解的任何信號轉(zhuǎn)換。在適于 DVB的條件接收系統(tǒng)中���,將使用通用加密算法���。DRM系統(tǒng)通常使用 諸如AES、 3DES或DES等的加密方案���。
在權利要求中��,位于括號之間的任何附圖標記不應當被解釋為限 制權利要求�。單詞"包括"不排除存在不同于權利要求中所列出的元 件或步驟。在元件之前的單詞"一"不排除存在多個這樣的元件���。本 發(fā)明可以通過包括若干分立元件的硬件�,及通過適當編程的計算機實 現(xiàn)����。
在列出若干裝置的設備權利要求中,這些裝置中的若干個可以由 一個或者相同項的硬件來體現(xiàn)���。在相互不同的從屬權利要求中敘述某 些措施的這個起碼事實不表示這些措施的組合不能被有利地使用��。
權利要求
1.一種條件接收系統(tǒng)���,包括配置為接收輸入數(shù)據(jù)流并將該輸入數(shù)據(jù)流提供給條件接收模塊的主機,所述條件接收模塊配置為處理輸入數(shù)據(jù)流并且將對應的輸出流提供給主機�,其特征在于所述主機和條件接收模塊配置為在檢測嵌入到輸入數(shù)據(jù)流中或輸出流中的代碼時參與彼此之間的認證協(xié)議。
2. 權利要求1的系統(tǒng)����,其中,所述條件接收模塊配置為在將輸出 流提供給主機之前將代碼嵌入到輸出流中�,并且其中,所述主機配置為在檢測嵌入到輸出流中的代碼時啟動與條 件接收模塊的認證協(xié)議。
3. 權利要求2的系統(tǒng)����,其中,所述主機進一步配置為在檢測嵌入 到輸出流中的代碼時中斷對輸出流的接收����。
4. 權利要求1的系統(tǒng),其中�����,所述條件接收模塊配置為在檢測嵌 入到輸出流中的代碼時啟動與主機的i人證協(xié)議����。
5. 權利要求4的系統(tǒng)��,其中����,所述條件接收模塊配置為,避免在 認證協(xié)議已經(jīng)成功完成之前將輸出流提供給主機��。
6. 權利要求4的系統(tǒng)���,其中����,所述條件接收模塊配置為,在未能 成功i人證主機時撤銷主才幾�����。
7. 權利要求1的系統(tǒng)����,其中,所述條件接收模塊配置為����,在認證 協(xié)議中使用商定的密鑰加密輸出流,并且將加密輸出流提供給主機���。
8. 權利要求1的系統(tǒng)��,其中���,所述主機配置為將對主機是唯一的 另 一個代碼嵌入到由條件接收模塊提供的輸出流中。
9. 權利要求1的系統(tǒng)����,其中�,所述代碼已經(jīng)通過水印嵌入到輸出 流中���。
10. 權利要求1的系統(tǒng)�,其中�����,所述主機配置為檢測輸入數(shù)據(jù)流 中的嵌入代碼�。
11. 權利要求1的系統(tǒng),其中�,所述嵌入代碼表示在輸入數(shù)據(jù)流 中存在至少一個信息元素,并且其中���,所述主機配置為在檢測嵌入 代碼并且未能從由條件接收模塊提供給主機的輸出流中獲得所述至 少一個信息元素時,限制其與條件接收模塊的交互��。
12.權利要求1的系統(tǒng)�,其中,用于嵌入代碼的認證元素與嵌入 代碼一起提供�。
全文摘要
一種條件接收系統(tǒng),其包括配置為接收輸入數(shù)據(jù)流并且將該輸入數(shù)據(jù)流提供給條件接收模塊的主機�,所述條件接收模塊配置為處理輸入數(shù)據(jù)流并且將對應的輸出流提供給主機,其特征在于,主機和條件接收模塊配置為在檢測嵌入到輸出流中的代碼時參與彼此之間的認證協(xié)議�����。
文檔編號H04N5/00GK101617520SQ200880005780
公開日2009年12月30日 申請日期2008年2月18日 優(yōu)先權日2007年2月21日
發(fā)明者B·C·W·卡格, J·A·C·伯恩森, M·C·M·繆詹, M·C·夫洛特 申請人:皇家飛利浦電子股份有限公司