專利名稱:用于接收借助控制字加擾的多媒體內(nèi)容和captcha的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于接收借助控制字加擾(scrambled)的多媒體內(nèi)容的方法����。本發(fā)明還涉及實現(xiàn)該方法的安全處理器�����、終端以及信息記錄介質(zhì)���。本發(fā)明尤其可以應(yīng)用于如在付費電視中用于提供繳費多媒體節(jié)目的訪問控制領(lǐng)域����。
背景技術(shù):
已知存在多種同時廣播若干個多媒體內(nèi)容的方法����。為此目的,每個多媒體內(nèi)容在其自身頻道上廣播�����。用于傳輸多媒體內(nèi)容的頻道也被稱作“臺”�。頻道通常對應(yīng)于電視臺�����。這使用戶能夠簡單地通過改變頻道而選擇他想觀看的多媒體內(nèi)容����。在本說明書中�,術(shù)語“多媒體內(nèi)容”更具體地是指被設(shè)計用來以被人類直接感知和理解的形式呈現(xiàn)的音頻和/或視頻內(nèi)容。通常���,多媒體內(nèi)容對應(yīng)于形成電影����、電視廣播或者廣告的一連串圖像�。多媒體內(nèi)容也可以是諸如游戲的互動內(nèi)容。為了確保多媒體內(nèi)容的觀看�,并使這種觀看受例如扣除付費訂金之類的特定條款支配,以加擾形式而非不加密或者明文明文形式廣播多媒體內(nèi)容��。在本說明書中�,當(dāng)在頻道上廣播的多媒體內(nèi)容被加擾時·該頻道被稱為“被加擾”。更具體地,每個多媒體內(nèi)容被劃分成一連串加擾周期(crytoperiods)�����。在加擾周期的整個持續(xù)時間,對加擾多媒體內(nèi)容的訪問條件保持不變�。具體地,在加擾周期的整個持續(xù)時間�,多媒體內(nèi)容用相同的控制字加擾。一般地���,控制字隨每個加擾周期而改變��。此外,控制字對于多媒體內(nèi)容通常是特定的����,該控制字隨機或者偽隨機地抽取。因此���,如果在給定時刻在N個頻道同時廣播N個多媒體內(nèi)容��,則存在N個不同的獨立的控制字�����,每個控制字用于對多媒體內(nèi)容中的一個加擾�����。在此���,術(shù)語“加擾”和“加密”被認(rèn)為是同義詞����。對于術(shù)語“解密”和“解擾”亦是如此�����。明文明文多媒體內(nèi)容對應(yīng)于多媒體內(nèi)容被加擾之前的多媒體內(nèi)容�。該內(nèi)容可被制作為使人直接理解而不必求助于解擾操作并且不必使觀看受特定條款和條件支配。解擾多媒體內(nèi)容所需的控制字和多媒體內(nèi)容同步傳輸�����。例如,在第t-1個加擾周期期間每個終端接收解擾第t個加擾周期所需的控制字���。為此目的�,例如���,控制字和加擾的多媒體內(nèi)容被復(fù)用�����。為了確??刂谱值膫鬏敚瑢⑦@些字以包含在ECM (授權(quán)控制消息)中的密文的形式傳輸?shù)浇K端���。以下���,術(shù)語“密文”是指單憑自身不足以取回未加密的或者明文明文控制字的信息。因此�����,如果控制字的傳輸被攔截���,僅獲知控制字的密文不能用來取回用以解擾多媒體內(nèi)容的控制字。為了取回明文明文控制字���,亦即可以用來直接解擾多媒體內(nèi)容的控制字����,該控制字必須和秘密信息相結(jié)合���。例如��,通過用密鑰(cryptographic key)對明文明文控制字加密來獲得控制字的密文�����。在此情況下���,該秘密信息就是用于解擾該密文的密鑰��?����?刂谱值拿芪囊部梢允菍Υ鎯υ诒碇械目刂谱值囊?�,該表包含眾多可能的控制字���。在此情況下,該秘密信息就是將明文控制字和每個引用相關(guān)聯(lián)的表��。該秘密信息必須存放在安全的地方��。為此目的���,已經(jīng)提出將該秘密信息存儲在諸如直接連接到每個終端的智能卡的安全處理器中���。此外�����,不同頻道上廣播的多媒體內(nèi)容可以在時間上相互協(xié)調(diào)���。例如,設(shè)置廣播多媒體內(nèi)容的時刻以符合在預(yù)設(shè)的節(jié)目時間表中指示的廣播時間����。因此,給定頻道上的每個終端在感覺上相同的時間接收相同的多媒體內(nèi)容���。這些多媒體內(nèi)容被稱作“直播”或者“線性化的”流����,因為用戶不控制它們的傳輸時刻���。在這種背景下,使用戶能夠解擾他們未合法地獲取訪問權(quán)限的多媒體內(nèi)容的攻擊已經(jīng)被開發(fā)��。這些攻擊之一被稱作“共享卡”。在這種攻擊中�,合法地獲取安全處理器以取得解擾數(shù)個頻道所需的訪問權(quán)限。然后��,該“合法的”的安全處理器被插入到從眾多黑客衛(wèi)星終端接收ECM的黑客服務(wù)器中�����。因而��,當(dāng)黑客衛(wèi)星終端希望非法解擾廣播的多媒體內(nèi)容時�,它接收該多媒體內(nèi)容并將相應(yīng)的ECM傳輸?shù)胶诳头?wù)器。黑客服務(wù)器將這些ECM傳輸?shù)胶戏ǖ陌踩幚砥?����。作為回?yīng)�����,合法的安全處理器解密包含在這些ECM中的控制字�����,并將明文控制字傳回黑客服務(wù)器�����。然后黑客服務(wù)器將這些明文控制字傳輸?shù)胶诳托l(wèi)星終端,該黑客衛(wèi)星終端于是能夠解擾所期望的多媒體內(nèi)容�。在這種攻擊中,安全處理器除了處理來自眾多衛(wèi)星終端的ECM之外正常使用���,而在合法使用中它僅處理一個終端的ECM�����。為檢測每種攻擊�,已經(jīng)提出:—對在預(yù)定時間周期內(nèi)已經(jīng)發(fā)生的頻道變化計數(shù)(參見專利申請EP1575 293)�,一對在預(yù)定時間周期內(nèi)通過安全處理器解擾的不同頻道的數(shù)目計數(shù)(參見專利申請EP I 447 976),以及一對在預(yù)定時間周期內(nèi)通過安全處理器接收到ECM的數(shù)量計數(shù)(參見專利申請WO 2008 049 882)����。這些檢測方法都利用以下事實:共享卡式攻擊導(dǎo)致:-異常大量的頻道變化或者“跳臺(zapping)”事件,和/或—接收到異常大量的ECM�。檢測這種攻擊使得建立防范措施成為可能。另一種攻擊被稱作“共享控制字”���,其也利用合法的安全處理器對一個或更多個頻道解擾�。在這種攻擊中��,將合法的安全處理器引入到控制字服務(wù)器中��。該服務(wù)器接收多媒體內(nèi)容并從中提取ECM����。將提取的ECM傳輸?shù)胶戏ǖ陌踩幚砥鳎缓笤摵戏ǖ陌踩幚砥鹘饷芸刂谱值拿芪牟⑶覍⑦@樣解密的控制字傳回到服務(wù)器�����。然后服務(wù)器將這些控制字廣播給大量的黑客衛(wèi)星終端���,使得它們能夠非法地解擾多媒體內(nèi)容���。例如,在這種攻擊中�,黑客衛(wèi)星終端很簡單地訂閱明文控制字的通過服務(wù)器生成的并且對應(yīng)于其希望解擾的頻道的的流。后提到的攻擊與共享卡攻擊的區(qū)別在于:黑客衛(wèi)星終端不需要向服務(wù)器發(fā)送其希望解擾的頻道的ECM�����。因此����,這種攻擊中的安全處理器處理的ECM的數(shù)量遠(yuǎn)小于共享卡式攻擊中的安全處理器處理的ECM的數(shù)量 �����。然而����,對于這種攻擊�,如果使用相同的安全處理器處理不同頻道的ECM,則可以借助上述現(xiàn)有技術(shù)的檢測方法進一步檢測該攻擊����。在現(xiàn)有技術(shù)中,以下技術(shù)也是已知的:Francis 等人:uCountermeasures for attack on satellite TV cards usingopen receivers”���, Australasian Information Security Workshop:Digital RightsManagement, 6November2004, pagel-6, XP002333719US2006/294547A1,EP2098971A1�����,以及US2010/0373319A1��。所述攻擊使大量黑客能夠獲得對付費頻道的多媒體內(nèi)容的免費訪問�����。因此這些攻擊導(dǎo)致了該多媒體內(nèi)容的提供商的損失����。為了克服這種弊端�����,本發(fā)明尋求使得較難于進行這些攻擊����。
發(fā)明內(nèi)容
本發(fā)明涉及一種用于接收借助控制字加擾的多媒體內(nèi)容的方法,該方法包括以下步驟:安全處理器接收包含使得多媒體內(nèi)容能夠被解擾的控制字CW的至少一個密文CW*的ECM (授權(quán)控制消息)Cff,安全處理器解密該密文CW*�,以及借助解密的控制字CW對加擾的多媒體內(nèi)容解擾,從接收終端執(zhí)行至少一次特定用于安全處理器的captcha(全自動區(qū)分計算機和人類的圖靈測試)���,對captcha的正確響應(yīng)被包含在安全處理器的存儲器中并且隨每次執(zhí)行而改變�����,該特定的captcha借助于預(yù)定義的關(guān)系與包含對該captcha的正確響應(yīng)的安全處理器的標(biāo)識符相關(guān)聯(lián)��,以使得能夠借助于該captcha從安全處理器的集合中識別該安全處理器�,安全處理器獲取對該captcha的至少一個響應(yīng)并且安全處理器將該響應(yīng)與包含在安全處理器的存儲器中的正確響應(yīng)進行比較���,以及如果對該captcha的響應(yīng)不對應(yīng)包含在存儲器中的準(zhǔn)確響應(yīng)���,則安全處理器限制對密文CW*的解擾����。上述攻擊的一個共同點是黑客服務(wù)器的工作是完全自動化的�,以便連續(xù)而敏捷地對連接至該服務(wù)器的黑客點播進行響應(yīng)。在本發(fā)明的方法中���,captcha的執(zhí)行阻止了黑客服務(wù)器的這種自動化�。事實上����,僅通過人而非機器就能夠容易地發(fā)現(xiàn)對captcha的正確響應(yīng)。因此����,captcha的執(zhí)行意味著例如在黑客服務(wù)器處的人類干預(yù),因而使得這種攻擊較為困難����。此外,黑客服務(wù)器不能容易地避開該執(zhí)行�����。事實上,與captcha相關(guān)聯(lián)的準(zhǔn)確響應(yīng)被存儲在處理器中�����,因此避免了黑客服務(wù)器提取該響應(yīng)�。此外���,通過安全處理器而非接收終端(黑客服務(wù)器)進行對 captcha的響應(yīng)與正確響應(yīng)的比較���。因此,確保了比較結(jié)果的完整性�。此外,執(zhí)行特定用于黑客處理器的captcha勸阻黑客服務(wù)器將該captcha傳輸至黑客終端����,因為對這種傳輸?shù)腸aptcha的攔截將使得能夠識別出安全處理器,并因此暴露黑客的身份����。該方法的實施例可以包括以下特性中的一個或更多個:■在該方法中:-在執(zhí)行captcha期間維持對密文CW*的解擾,以及-如果在預(yù)定時間間隔DR內(nèi)未接收到對與包含在存儲器中的正確的響應(yīng)相對應(yīng)的captcha的響應(yīng),則處理器限制對密文CW*的解擾��。■每當(dāng)對處理器接收到的ECM或者EMM的數(shù)量計數(shù)的計數(shù)器CR的值達到預(yù)定義的閾值時或者每當(dāng)從前一 captcha的執(zhí)行經(jīng)過了預(yù)定義的持續(xù)時間DP時��,處理器就自動執(zhí)行新的captcha�����?���!鋈绻麖那耙?captcha的執(zhí)行起時間間隔DR還未到期并且如果處理器接收到的對前一 captcha的不正確響應(yīng)的數(shù)量大于預(yù)定義的閾值MRmax,則該方法包括執(zhí)行新的captcha,對新的captcha的正確響應(yīng)區(qū)別于對前一 captcha的正確響應(yīng),并且對新的captcha的正確響應(yīng)必須在時間間隔DR到期之前由處理器接收到,對新的captcha的正確響應(yīng)也包含在處理器的存儲器中�,時間間隔DR在新的captcha的執(zhí)行期間不重新初始化?!鲈摲椒ò?-根據(jù)該安全處理器接收到的ECM或者EMM檢測安全處理器潛在的異常使用,以及-響應(yīng)于潛在的異常使用的這種檢測觸發(fā)captcha的執(zhí)行�����?��!鲈谠摲椒?中�,通過在觀察周期期間對頻道的改變計數(shù)或者對在觀察周期期間接收到的ECM計數(shù)來檢測安全處理器的潛在的異常使用����?���!鲈摲椒òㄔ谔囟╟apcha中包含標(biāo)志�����,該標(biāo)志借助于預(yù)定義的關(guān)系與安全處理器的標(biāo)識符相關(guān)聯(lián)����,該標(biāo)志包括不可缺少的信息,該信息如果被去除��,則人不可能僅憑一次嘗試就發(fā)現(xiàn)對該captcha的正確的響應(yīng)�?��!鲈谠摲椒ㄖ?���,預(yù)定義的關(guān)系是數(shù)據(jù)庫�,該數(shù)據(jù)庫將每個特定captcha、包含對該captcha的正確響應(yīng)的安全處理器的標(biāo)識符或者使得能夠根據(jù)安全處理器的標(biāo)識符構(gòu)建該captcha的預(yù)定義的函數(shù)相關(guān)聯(lián)���。該方法的實施例可以進一步具有以下的優(yōu)勢:■在限制解擾之前設(shè)置響應(yīng)時間限制迫使黑客用戶或者黑客服務(wù)器響應(yīng)該captcha��。而且���,限制了在captcha執(zhí)行期間對用戶造成的不便并且限制了字典式攻擊或者暴力攻擊的成功機會��,■重復(fù)地執(zhí)行captcha進一步干擾了黑客攻擊的自動化����,■對處理器可以接收的對captcha的響應(yīng)的數(shù)量的限制阻止了字典式攻擊或者暴力攻擊的執(zhí)行以便準(zhǔn)確地對captcha進行響應(yīng)���,■當(dāng)檢測到潛在的異常使用時觸發(fā)captcha的執(zhí)行增加了檢測處理器的異常使用的可靠性��,以及■在特定captcha中包括含有對于準(zhǔn)確響應(yīng)該captcha不可缺少的信息的標(biāo)志使得難于隱藏該標(biāo)志����,并且因而在將captcha傳輸至用戶之前難于隱藏安全處理器的標(biāo)識符����。本發(fā)明還涉及包括指令的信息記錄介質(zhì),當(dāng)通過電子計算機執(zhí)行這些指令時��,這些指令用于執(zhí)行上述方法����。
本發(fā)明最后涉及用于執(zhí)行上述方法的安全處理器���,該處理器被編程為:-接收包含控制字CW的至少一個密文CW*的ECM(授權(quán)控制消息),該控制字使得多媒體內(nèi)容能夠被解擾��,-解密該密文CW*���,以及-將解密的控制字傳輸至解擾器以借助該解密的控制字對加擾的多媒體內(nèi)容解擾�����。該處理器具有包含對特定用于安全處理器的captcha的至少一個正確響應(yīng)的存儲器����,特定的captcha借助于預(yù)定義的關(guān)系與包含對該captcha的正確響應(yīng)的該安全處理器的標(biāo)識符相關(guān)聯(lián)��,使得能夠通過該captcha從安全處理器的集合中識別出該安全處理器����,并且響應(yīng)于來自接收終端的該captcha的至少一個執(zhí)行���,該處理器還被編程為:-獲取對該capcha的至少一個響應(yīng)�,并將該響應(yīng)與包含在處理器的存儲器中的正確響應(yīng)相比較����,以及-如果對該captcha的響應(yīng)不對應(yīng)包含在存儲器中的準(zhǔn)確響應(yīng)�,則限制密文CW*的解擾����。本發(fā)明最后涉及用于接收借助控制字加擾的多媒體內(nèi)容以執(zhí)行上述的方法的終端,該終端包括用于和安全處理器接口的電子模塊�,該模塊被編程為:-向安全處理器傳輸包含使得多媒體內(nèi)容能夠被解擾的控制字CW的至少一個密文CW*的ECM (授權(quán)控制消息),-接收安全處理器解密的控制字CW并且將其傳輸至解擾器以對借助該解密的控制字CW加擾的多媒體內(nèi)容解擾�����, -執(zhí)行至少一次特定用于安全處理器的captcha,對該captcha的正確響應(yīng)包含在安全處理器的存儲器中并且隨每次執(zhí)行而改變���,該特定captcha借助預(yù)定義的關(guān)系與包含對該captcha的正確響應(yīng)的該安全處理器的標(biāo)識符相關(guān)聯(lián)�����,以使得可以借助該captcha從安全處理器的集合中識別該安全處理器��,-獲取對該captcha的至少一個響應(yīng)���,并且將該響應(yīng)傳輸至安全處理器,使得安全處理器能夠?qū)⑵渑c包含在安全處理器的存儲器中的正確響應(yīng)相比較�。
參考附圖����,根據(jù)下文以例示的方式而非無遺漏的方式給出的后續(xù)描述����,本發(fā)明的其它特征和優(yōu)勢將清楚顯現(xiàn),其中:圖1是用于發(fā)送和接收加擾的多媒體內(nèi)容的系統(tǒng)的示意圖��;圖2是圖1的系統(tǒng)執(zhí)行的captcha的示意圖��;圖3是構(gòu)建圖2的captcha的流程圖����;圖4是用于接收圖1的系統(tǒng)中的多媒體內(nèi)容的流程圖;以及圖5是圖4的方法的替選實施例的流程圖�。 在這些附圖中,相同的附圖標(biāo)記用于表示相同的元件��。
具體實施例方式以下在本說明書中����,對本領(lǐng)域技術(shù)人員熟知的特性和功能將不詳細(xì)描述�。此外,所用的術(shù)語是針對多媒體內(nèi)容訪問的有條件訪問系統(tǒng)的術(shù)語���。關(guān)于這種術(shù)語的更多信息���,讀者可以參考以下文獻:“Functional Model of Conditional Access System”����, EBU Review, TechnicalEuropean Broadcasting Union���,Brussels�,BE��,n0 266����,21Decemberl995圖1示出用于發(fā)送和接收加擾的多媒體內(nèi)容的系統(tǒng)2。多媒體內(nèi)容是線性化多媒體內(nèi)容�。例如,多媒體內(nèi)容對應(yīng)于諸如電視廣播或者電影的一系列視聽節(jié)目����。明文多媒體內(nèi)容由一個或更多個源4生成并被傳輸?shù)綇V播裝置6。廣播裝置6通過信息傳輸網(wǎng)絡(luò)8將多媒體內(nèi)容同時廣播給眾多接收終端���。廣播的多媒體內(nèi)容在時間上彼此同步����,例如使它們符合預(yù)設(shè)的節(jié)目時間表。網(wǎng)絡(luò)8通常是諸如互聯(lián)網(wǎng)或者衛(wèi)星網(wǎng)絡(luò)或者諸如用于傳輸數(shù)字地面電視(DTTV)的任何其他廣播網(wǎng)絡(luò)的長距離信息傳輸網(wǎng)絡(luò)�。為了簡化圖1,僅示出了三個接收終端10-12��。裝置6包括編碼器16����,編碼器16壓縮其接收的多媒體內(nèi)容。編碼器16處理數(shù)字多媒體內(nèi)容����。例如,該編碼器根據(jù)MPEG2 (運動圖像專家組-2)標(biāo)準(zhǔn)或者ΠΤ-Τ H264標(biāo)準(zhǔn)工作����。將壓縮的多媒體內(nèi)容發(fā)送至加擾器22的輸入端20。加擾器22對每個壓縮的多媒體內(nèi)容加擾以使其觀看以特定的條款為條件�,諸如接收終端的用戶購買訪問資格。加擾的多媒體內(nèi)容在連接至復(fù)用器26的輸入端的輸出端24上被提供����。加擾器22借助控制字CWiit對每個壓縮的多媒體內(nèi)容加擾,通過密鑰生成器32將控制字CWi, t提供至加擾器22以及有條件訪問系統(tǒng)28�����。系統(tǒng)28以其縮寫CAS更為熟知���。下標(biāo)i是廣播加擾的多媒體內(nèi)容的頻道的標(biāo)識符���,并且下標(biāo)t是識別用該控制字加擾的加擾周期的序號。 通常�����,該加擾器符合諸如DVB-CSA(數(shù)字視頻廣播-通用加擾算法)�、ISMA Cryp(互聯(lián)網(wǎng)流媒體聯(lián)盟Cryp)、SRTP (安全實時傳輸協(xié)議)����、AES (高級加密標(biāo)準(zhǔn))等的標(biāo)準(zhǔn)。對于每個頻道i��,系統(tǒng)28生成至少包含控制字CWi, t的密文CW*i, t的�、被表示為ECMi, t的ECM(授權(quán)控制消息),控制字CWi, t由生成器32生成并被加擾器22用于對頻道i的加擾周期t加擾����。這些消息和加擾的多媒體內(nèi)容通過復(fù)用器26進行復(fù)用�,后者分別由有條件訪問系統(tǒng)28和加擾器22提供����,并且這些消息和加擾的多媒體內(nèi)容隨后在網(wǎng)絡(luò)8上傳輸。系統(tǒng)28還在每個ECM中插入以下內(nèi)容: 頻道的標(biāo)識符i ; 控制字CWi,t和CWiM1的密文CWtt和CWtw�����,其使頻道i加擾周期t和緊隨之后的加擾周期t+Ι能夠被解擾���; 時間戳TSt和TSt+1�,其識別加擾周期t和t+Ι必須被播放的時刻�����; 訪問條件CA�,其被設(shè)計為與用戶獲取的訪問資格比較;以及.MAC加密簽章或者冗余�����,用于驗證ECM的完整性�����。在以下描述中,包含控制字對CWw/CWw+i的ECM被表示為ECMiit��,其中: 下標(biāo)i識別頻道���,以及 下標(biāo)t是識別該ECM相對于被發(fā)送用以對頻道i解擾的其他不同的ECM的時間位置的序號。
在此��,下標(biāo)t還識別可以借助包含在消息ECMi,,中的控制字CWi,t解擾的加擾周期CPi,t��。下標(biāo)t對于每個加擾周期CPi,t是唯一的���。時間戳是相對于多媒體內(nèi)容廣播和廣播該多媒體內(nèi)容的頻道的獨立絕對原點而而定義的���。相同的標(biāo)識符i插入到包含密文CWtt的全部消息ECMiit中以解擾在該頻道i上廣播的多媒體內(nèi)容。通過圖示�����,此處多媒體內(nèi)容的加擾和復(fù)用符合DVB-Simulcrypt (ETSITS 103 197)協(xié)議�����。在該情況下,標(biāo)識符i可以對應(yīng)于單一的“頻道ID/流ID”對����,在該“頻道ID/流ID”對上發(fā)送針對該頻道生成ECM的全部請求。每個消息ECMi, t包括控制字密文對CWh, t/CW*i, t+1��。解擾之后���,該密文對CW*i, JCW*i, t+1用于獲取控制字對CWi, t/CWi, t+1���。在示例中 ,終端10-12相同��。因此�����,以下更詳細(xì)地描述終端10���。在此描述在特定情況下的終端10:其中�,終端10僅能同時解擾單個頻道i����。為此目的�,終端10具有單個的對頻道i解擾的解擾線路60��。例如��,線路60解擾頻道i以將其顯示在顯示單元84上��。例如�����,顯示單元84是電視機�����、計算機或者仍為陸線電話或者手機�����。此處�,顯示單元是電視機�。線路60具有廣播的多媒體內(nèi)容的接收器70。該接收器70連接至復(fù)用器72的輸入端���,復(fù)用器72 —方面將多媒體內(nèi)容傳輸至解擾器74����,另一方面將消息ECMiit和EMM(授權(quán)管理消息)傳輸至安全處理器76。通常����,終端10和處理器76之間的接口由訪問控制模塊85管理。具體地���,模塊85管理處理器76傳輸至終端10的數(shù)據(jù)在顯示單元84上的顯示以及借助人/機接口獲取的信息向處理器76的傳輸���。例如,人/機接口由屏幕84和遙控單元構(gòu)成���。解擾器74通過處理器76傳輸?shù)目刂谱謱訑_的多媒體內(nèi)容解擾���。解擾的多媒體內(nèi)容被傳輸至對其解碼的解碼器80。解壓或者解碼的多媒體內(nèi)容被傳輸至驅(qū)動該多媒體內(nèi)容在顯示單元84上的顯示的圖形卡82,顯示單元84裝備有屏幕86���。顯示單元84在屏幕86上以明文形式顯示多媒體內(nèi)容����。處理器76處理諸如密鑰的保密信息�����。為保持該信息的保密性,其被設(shè)計為盡可能魯棒的����,以應(yīng)對計算機黑客的試圖攻擊。因此它比終端10的其它部件對這些攻擊更為魯棒��。例如�����,為此目的�����,處理器76是智能卡��。例如����,處理器76借助能夠執(zhí)行記錄在信息記錄介質(zhì)上的指令的可編程電子計算機77制成�����。為此目的,處理器76具有包含執(zhí)行圖4的方法所需的指令的存儲器78�����。存儲器78還包含數(shù)據(jù)庫79�,數(shù)據(jù)庫79包括預(yù)先記錄的全自動區(qū)分計算機和人類的圖靈測試(Completely Automated Public Turing test to tell Computers and HumansApart,以下簡記為captcha)。在本說明書中��,術(shù)語“captcha”用于指能夠?qū)⑷祟惡蜋C器區(qū)分開來的任何測試�。因此,在本說明書中���,captcha不限于必須將一串字符的圖像抄寫到為此效果而分開設(shè)置的區(qū)域中的情況����。captcha可以包括例如音頻序列�、圖像、謎語甚或游戲�����。謎語是例如諸如乘法的簡單數(shù)學(xué)運算或者多選問題���。游戲是例如帶有一個輸入端和數(shù)個輸出端的迷宮���,其中只有一個輸出端和輸入端相關(guān)聯(lián)�����。每個輸出端和用戶響應(yīng)于captcha而必須輸入的非平凡(non-trivial)字符串相關(guān)聯(lián)���。然而,諸如顯示請求用戶改變頻道并且隨后回到初始頻道的消息的captcha被排除�。數(shù)據(jù)庫79中的每個captcha和一個準(zhǔn)確響應(yīng)相關(guān)聯(lián)。該準(zhǔn)確響應(yīng)也被與相應(yīng)的captcha相關(guān)聯(lián)地存儲在數(shù)據(jù)庫79中�����。在處理器79中準(zhǔn)確響應(yīng)的記錄確保在處理器79中進行響應(yīng)驗證�����,因此使得通過間諜軟件取回準(zhǔn)確響應(yīng)更為困難����。庫79中的captcha特定用于處理器76��。術(shù)語“特定”指以下事實:存在將處理器76的標(biāo)識符唯一地和庫79的captcha相關(guān)聯(lián)的預(yù)定義的關(guān)系。因此��,從庫79和預(yù)定義的關(guān)系出發(fā)�����,可以從系統(tǒng)2的安全處理器的集合中識別出該處理器76?����,F(xiàn)在將參考圖2描述預(yù)先記錄在庫79中的captcha87�����。captcha87包括驗證碼(challenge)872�����。術(shù)語captcha的“驗證碼”是指為了使人憑單次努力就能夠系統(tǒng)地找到對該captcha的準(zhǔn)確響應(yīng)而不可缺少的關(guān)于captcha的全部信息��。在該示例中�,驗證碼872是為此目的設(shè)計的用戶必須抄寫到區(qū)域874中的一串字符的圖像。在一種已知方式中�����,驗證碼872的字符串的字符包括字體形式、大小���、從一個字符到另一個字符變化的變形�。在這些條件下�����,通過計算機自動辨識該字符串變得較為困難�����。為了簡化圖2�����,未示出字符串的全體字符�����。
captcha87還包括上下文876���。術(shù)語“captcha的上下文”是指不屬于驗證碼872的信息集合。上下文876包括邀請用戶將驗證碼872中示出的字符串抄寫到區(qū)域874中的說明性的句子879���。Captcha87還包括識別處理器76的標(biāo)志878�。在此,標(biāo)志878是字符串�。該標(biāo)志878是借助函數(shù)F的處理器76的標(biāo)識符的圖像。通常��,處理器76的標(biāo)識符是處理器的制造編號或者序列號�,其使得該處理器76能夠從系統(tǒng)2的全部處理器中無歧義地被識別。此處函數(shù)F是可逆函數(shù)����。在此情況下,將作為函數(shù)F的逆的函數(shù)應(yīng)用于captcha87足以用于識別包含對captcha87的準(zhǔn)確響應(yīng)的處理器76��。優(yōu)選地���,函數(shù)F是諸如密鑰函數(shù)的加密函數(shù)����。例如�����,可以使用DES (數(shù)據(jù)加密標(biāo)準(zhǔn))或者AES (高級加密標(biāo)準(zhǔn))函數(shù)對處理器76的標(biāo)識符加密以便獲得標(biāo)志878�。再次地�,在優(yōu)選方式中�,除了標(biāo)識符外,函數(shù)F取得處理器76偽隨機抽取的隨機值I作為輸入?yún)?shù)����。因此,盡管處理器76的標(biāo)識符是常數(shù)�����,但是每當(dāng)構(gòu)建captcha時�,包括在特定captcha中的標(biāo)志(根據(jù)函數(shù)F的標(biāo)識符的圖像)彼此不同。在此�����,隨機值r也包括在預(yù)定位置的字符串圖像中���,以使得能夠根據(jù)該特定captcha并且根據(jù)函數(shù)F的逆唯一地識別處理器76���。例如,隨機值r在此包括在位置880處的驗證碼872中���。在圖2中�,位置880由字符串圖像的前四個字符形成。在該示例中�,標(biāo)志878有利地包括在驗證碼872中�����。在這些條件下��,標(biāo)志878以及因而處理器76的標(biāo)識符不能容易地從captcha87去除����。通常,如果去除該標(biāo)志878�����,人就不能憑單次努力正確地響應(yīng)captcha�。事實上,在此情況下,驗證碼872是不完整的。標(biāo)志878也放置于驗證碼872內(nèi)的預(yù)定位置��。例如����,在此標(biāo)志878由驗證碼872的最后兩個字符構(gòu)成。現(xiàn)在參考圖3描述構(gòu)建captcha87的方法�。在該特定情況下���,借助于諸如網(wǎng)絡(luò)8的信息傳輸網(wǎng)絡(luò)通過連接到系統(tǒng)2的每個處理器的服務(wù)器完成captcha87的構(gòu)建。
在步驟90����,服務(wù)器偽隨機地抽取隨機值I:。 在步驟92���,服務(wù)器通過對隨機值I和處理器76的標(biāo)識符應(yīng)用函數(shù)F來生成處理器76的標(biāo)識符的密文Id*��。為此目的�,處理器76的標(biāo)識符被預(yù)備地記錄在服務(wù)器中��。在步驟94��,通過將隨機值r和密文Id*連結(jié)在同一字符串中來獲得對驗證碼的正確響應(yīng)�。在步驟96,服務(wù)器通過對在步驟94期間構(gòu)建的每個字符串應(yīng)用幾何變換以使其變形并且使得計算機較為困難對其進行識別�����。術(shù)語“幾何變換”在此指例如對于這些字符中的每個字符的字體或者失真度的選擇����。標(biāo)志878是通過幾何變換的密文Id*的圖像�����。在例如專利申請US2008/0072293中描述了應(yīng)用這樣的變換生成驗證碼872�。在步驟98,由服務(wù)器存儲captcha以及與該captcha相關(guān)聯(lián)的正確響應(yīng)����。然后����,在步驟99,在工廠中制造處理器76期間在處理器76的庫79中記錄captcha87和正確的響應(yīng)�����,或者在處理器76的使用期間借助EMM傳輸captcha87和正確的響應(yīng)�����。響應(yīng)于該EMM,處理器在庫79中記錄captcha87?��,F(xiàn)在將參考圖4描述借助系統(tǒng)2接收多媒體內(nèi)容的方法�����。在使用階段100���,用戶在顯示單元84的屏幕86上觀看明文的多媒體內(nèi)容����。例如���,用戶觀看電影��。為此目的����,在步驟101a���,終端10接收借助接收器70復(fù)用的多媒體內(nèi)容�。該內(nèi)容通過解復(fù)用器72解復(fù)用�,并ECM借助模塊85被傳輸至處理器76。例如�����,模塊85僅傳輸涉及頻道i的消息ECMi,t,該頻道i上正在廣播用戶觀看的電影��。這些消息ECMiit包含控制字Cffi, t的密文CWh, t����,使得能夠解擾在頻道i上廣播的多媒體內(nèi)容以及使能授權(quán)或者不授權(quán)對密文CW*i,t解密的訪問權(quán)限。在步驟101b�����,處理器76檢查用戶是否具有與接收的消息ECMiit中包含的訪問權(quán)限相對應(yīng)的訪問資格�。如果不是��,處理器76不對CW*,, t解密并且不將控制字CWi, t傳輸至解擾器74���。方法返回至步驟101a���。多媒體內(nèi)容的解擾被中斷。如果用戶具有與接收的訪問權(quán)限相對應(yīng)的訪問資格�����,則處理器76前進至步驟102����。在步驟102���,處理器76檢測潛在的異常使用。在本說明書中�����,當(dāng)處理器76似乎正在上述攻擊之一的背景中使用時處理器76的使用被視作潛在異常���。在此���,如果處理器76似乎正在共享卡式攻擊或者共享控制字攻擊的背景中使用,處理器76的使用尤其更被認(rèn)為潛在異常�����。在該示例中���,在操作106中��,處理器76計算每單位時間處理器76接收的ECM的數(shù)量Νκμ����。為此目的,例如實現(xiàn)了專利申請W02008049882中描述的檢測方法���。在操作108中��,處理器76通過將數(shù)量Neqi與閾值Sieqi和S2eqi比較來確定處理器的使用是正常����、潛在異常還是異常��。如果數(shù)量Nm低于閾值Sieqi���,則使用正常���。如果數(shù)量Necm在閾值S2ecm以上�����,則使用異常���。如果數(shù)量Neqi被包括在閾值Siecm和S2eqi之間���,則使用是潛在異常。潛在的異常使用對應(yīng)于處理器76所進行的測量不能肯定地斷定使用是正常或者異常的不確定區(qū)域���。必 須最大程度地減小這個不確定區(qū)域以避免對正常用戶施加制裁以及對異常用戶不施加制裁��。
如果處理器76檢測到其使用正常�����,則在步驟110�����,處理器76解密密文CW*i,t��。然后�,處理器76將控制字CWi, t傳輸至終端10以解擾多媒體內(nèi)容���,并且用戶繼續(xù)以明文形式觀看電影�。如果處理器76檢測到其使用異常�����,則在步驟111�����,處理器76不解密密文CW*i,t。終端10因而不能解擾多媒體內(nèi)容���,并且用戶不再以明文形式觀看電影���。如果處理器76檢測到其使用潛在異常,則處理器76前進至步驟112���,在步驟112期間執(zhí)行額外的測試以減小不確定區(qū)域�。在操作114,處理器從數(shù)據(jù)庫79中預(yù)先記錄的captcha中選擇captcha�。例如,處理器76在數(shù)據(jù)庫79中偽隨機地選擇captcha。以下�����,在描述中��,假設(shè)處理器76已經(jīng)選擇了captcha87���。在該操作114期間,處理器76將captcha87傳輸至模塊85�,模塊85命令終端10在屏幕86上顯示captcha87�����。同時�,處理器76啟動對預(yù)定的時間間隔DR進行計數(shù)的計數(shù)器��。例如����,一旦處理器76選擇了 captcha,則計數(shù)器CDdk被初始化并且隨后啟動����。通常,時間間隔DR超過兩分鐘���,并且優(yōu)選地超過五分鐘�。在此���,時間間隔DR等于15分鐘���。此外,在該操作114期間�,還初始化對處理器76接收到的不正確的響應(yīng)進行計數(shù)的計數(shù)器crmk���。·然后請求用戶對顯示的captcha做出響應(yīng)���。在此,邀請用戶將驗證碼872抄寫到區(qū)域874中��。在該示例中��,用戶具有預(yù)定的時間間隔DR用于對所選擇的captcha提供正確的響應(yīng)�����。在操作116中�����,用戶借助于連接至終端10的人/機接口(例如遙控單元的鍵盤)對captcha做出響應(yīng)��。該響應(yīng)然后通過終端10和模塊85被傳輸至處理器76��。有利地是���,如果在操作116����,用戶不理解所顯示的captcha��,則他或她可以要求通過處理器76選擇新的captcha����。在此情況下����,計數(shù)器CDdk不被重新初始化。在操作118�����,處理器76接收響應(yīng)��,并將其與數(shù)據(jù)庫79中包含的對于該captcha的正確的響應(yīng)比較�����。每次處理器76接收到不正確的響應(yīng)��,計數(shù)器CRme就被增加預(yù)定的步長���。如果處理器76接收的關(guān)于所選擇的captcha的不正確響應(yīng)的數(shù)量在預(yù)定的閾值MRmax以上,或者如果用戶請求改變captcha,貝U處理器76返回至步驟114以從庫79中預(yù)先記錄的captcha中選擇新的captcha����。然而,在此情況下,處理器76重新初始化計數(shù)器CRmk,但不重新初始化計數(shù)器CDdk。通常���,閾值MRmax大于或者等于I并且小于或者等于5���。在此,閾值MRmax大于2��。其等于3����。優(yōu)選地,由處理器76選擇每個新captcha使得對該新選擇的captcha的正確響應(yīng)區(qū)別于對所選擇的前一 captcha的正確響應(yīng)�。這樣,字典式攻擊���,亦即試驗將根據(jù)過去提交的captcha的記錄的響應(yīng)進行組合的攻擊���,不能被黑客服務(wù)器用于對所選擇的captcha進行正確響應(yīng)。字典式攻擊不同于將所有可能響應(yīng)逐一試驗的暴力攻擊�����。在操作118,如果處理器76在時間間隔DR到期之前接收到對所選擇的captcha的正確響應(yīng)�����,則處理器76推斷使用正常并且其繼續(xù)前進至步驟110����。再次地���,在操作118期間��,如果時間間隔DR到期并且處理器76沒有接收到對所選擇的captcha的正確響應(yīng),則處理器76推斷這是異常使用���。因此,在步驟122�,處理器76從數(shù)據(jù)庫79中偽隨機地選擇新的captcha,并且命令模塊85在屏幕86上顯不該captcha����。然后,在操作124中���,處理器76啟動執(zhí)行防范措施����。例如,在此�����,處理器76限制密文CW*的解密�。在此,“限制密文的解密”指單獨暫停當(dāng)前觀看的頻道i的密文CW*i, t的解密或者在預(yù)定持續(xù)時間內(nèi)暫停全部頻道的密文CW*的解密�����。此外���,只要處理器76未接收到任何對在操作122期間顯示的captcha的正確的響應(yīng)��,則該方法保持在操作124��。在這些條件下�����,終端10不能再解擾多媒體內(nèi)容�,并且用戶不能繼續(xù)以明文形式觀看電影。如果處理器接收到對在操作122期間顯示的captcha的正確響應(yīng),則其前進至步驟110���。因此對多媒體內(nèi)容的解擾不受阻礙�。例如�,在步驟124中該captcha的執(zhí)行與參考步驟114、116和118描述的情況相同�。具體地�����,實現(xiàn)了對captcha做出響應(yīng)的有限的時間間隔DR和錯誤響應(yīng)的最大數(shù)量��。圖4的方法使得可以高效地抵御通過共享卡式或者共享控制字式的黑客攻擊���。事實上���,假設(shè)處理器76正被黑客服務(wù)器使用。在此情況下����,黑客用戶集合正借助于通過網(wǎng)絡(luò)8連接至例如黑客服務(wù)器的機器非法地觀看付費多媒體內(nèi)容。在這種背景下�����,當(dāng)處理器76檢測到(步驟102)潛在的異常使用時,處理器76通過黑客服務(wù)器(在此情況下���,黑客服務(wù)器完成終端10的功能)選擇captcha并激活(步驟114)該captcha在顯示單元上的顯示�����。如果黑客服務(wù)器是基本服務(wù)器(在平凡情況下)�,其不能處理處理器76生成的命令���,并且服務(wù)器不在顯示單元上顯示captcha�����。結(jié)果���,處理器76沒有接收到任何正確響應(yīng)而時間間隔DR到期。因此�����,處理器76限制密文CW*的解密(步驟122)�。這樣����,黑客服務(wù)器不能再向黑客發(fā)送解密的控制字��。黑客不能再以明文形式觀看多媒體內(nèi)容����。如果黑客服務(wù)器是高度開發(fā)的類型(在非平凡情況下),當(dāng)黑客從處理器76接收到顯示captcha的命令時,黑客服務(wù)器試圖阻止應(yīng)用該captcha��?����?梢栽O(shè)想兩種策略��。在第一種策略中���,服務(wù)器在本地連接至黑客服務(wù)器的屏幕上顯示處理器76選擇的captcha。這樣��,一個或更多個操作員不得不長期出現(xiàn)在該機器的屏幕前以便對該機器屏幕上正在顯示的captcha做出準(zhǔn)確響應(yīng)從而防止處理器76限制對密文CW*的解密���。這樣的策略有阻止黑客服務(wù)器的自動化的弊端�����。在第二種策略中�,服務(wù)器將處理器76選擇的captcha重指向至連接至網(wǎng)絡(luò)8的黑客終端,使得非法用戶可以給出對于該captcha的正確響應(yīng)�。通常,非法用戶在其終端上輸入正確的響應(yīng)并通過黑客服務(wù)器將此響應(yīng)發(fā)送回處理器76�。這樣,處理器76不限制密文CW*的解擾并且網(wǎng)絡(luò)的黑客集合可以繼續(xù)觀看明文形式的多媒體內(nèi)容�����。出于黑客的觀點����,該策略具有使黑客服務(wù)器能夠自動化工作的優(yōu)勢。然而�����,付費電視運營商自此以后可以識別處理器76���。事實上�,既然從數(shù)據(jù)庫79中選擇captcha��,它們對于處理器76就是特定的,并且因此使得處理器76能夠被識別�����。更具體地�,攔截在網(wǎng)絡(luò)8上傳輸?shù)膩碜载飧`(pirate)服務(wù)器的captcha足以識別處理器76。這可以通過直接鏈接至黑客服務(wù)器非法地觀看明文形式的多媒體內(nèi)容而容易地完成����。接著,運營商可以根據(jù)包括在攔截的captcha中的標(biāo)志878和隨機值880識別處理器76��。此外�����,一旦處理器76被肯定 地識別�,運營商可以對處理器76的用戶施加制裁��。例如�����,運營商停止向處理器76發(fā)送解密密文CW*的密鑰����。如此�����,黑客服務(wù)器不能再被用于解擾多媒體流���。圖5示出了用于接收借助控制字加擾的多媒體內(nèi)容的方法。除了步驟102被步驟140代理以及省略步驟111之外�����,該方法和圖2方法相同�����。在步驟140�����,處理器對接收到的ECM的數(shù)量進行計數(shù)�����。如果該數(shù)量超過閾值Smax,則其自動地去往步驟112�。如果不是,則其去往步驟110���。因此���,步驟122被例行地和有規(guī)律地執(zhí)行。在每次新執(zhí)行步驟112時,選擇新的captcha�����。許多實施例是可能的����。例如,預(yù)先記錄在數(shù)據(jù)庫79中的captcha可以借助ECM或者EMM由付費電視運營商定期更新��。術(shù)語“特定captcha”并非唯一地指僅一個處理器包含對captcha的正確響應(yīng)的情況��。特定用于兩個不同的處理器的兩個captcha可以有相同的響應(yīng)���。在此情況下,例如����,處理器的標(biāo)識符通過施加到每個字符的變換而不是通過選擇的字符來進行編碼���。數(shù)據(jù)庫79不一定包含預(yù)先記錄的captcha。例如,數(shù)據(jù)庫79包含使處理器76能夠從付費電視運營商的服務(wù)器下載captcha的地址��。在此情況下����,將對與這些地址相關(guān)聯(lián)的captcha的各個正確響應(yīng)預(yù)先記錄在存儲器78中。通常��,地址是URL (統(tǒng)一資源定位符)�。例如,存儲器78包含將每個URL與各個預(yù)先記錄的響應(yīng)相關(guān)聯(lián)的表�����。當(dāng)處理器希望啟動captcha的顯示時����,其將URL傳輸至模塊85,模塊85下載它并在該URL地址執(zhí)行下載的captcha�。在該實施例中,每個終端通過互聯(lián)網(wǎng)連接至運營商的captcha服務(wù)器��。用于識別處理器76的標(biāo)志不一定包括在captcha的驗證碼中。其可以包括在該captcha的上下文中 ����。在此情況下,標(biāo)志在上下文中的位置優(yōu)選地隨每個captcha而變化以使得使其隱藏自動化進行較為困難��。該標(biāo)志不一定是字符串�����。其可以是圖形����、字符串或者聲音。函數(shù)F可以是恒等函數(shù)��。在此情況下����,處理器76的標(biāo)識符被包括在captcha中。函數(shù)可以是不可逆函數(shù)�����。例如�����,函數(shù)F是SHAl (安全哈希算法I)型哈希函數(shù)����。在此情況下,為了識別包含對captcha的正確響應(yīng)的處理器��,必須將取得處理器76的標(biāo)識符作為參數(shù)的函數(shù)F的結(jié)果與取得系統(tǒng)2的每個處理器的標(biāo)識符作為其參數(shù)的函數(shù)的結(jié)果集合相比較�����。實踐中�����,付費電視運營商了解系統(tǒng)2的每個處理器的標(biāo)識符��。因此��,在情況下����,該運營商能夠根據(jù)captcha識別處理器76。在本發(fā)明提供的一個實施例中����,captcha特定用于處理器76但沒有任何標(biāo)志或者借助函數(shù)F構(gòu)建的其它元素�。例如����,預(yù)定義的關(guān)系是將包含對該captcha的正確響應(yīng)的安全處理器的標(biāo)識符與每個captcha相關(guān)聯(lián)的運營商的數(shù)據(jù)庫。這樣,根據(jù)攔截的captcha并且根據(jù)該數(shù)據(jù)庫�����,運營商可以找到所使用的處理器的標(biāo)識符�����。使用的captcha不一定特定用于處理器��。在圖4的方法中���,captcha不一定由處理器76選擇����。例如�,由付費電視運營商借助EMM或者ECM選擇captcha。時間間隔DR不一定是預(yù)定義的持續(xù)時間�����。例如,其可以與從選擇captcha的時刻起處理器76接收到的預(yù)定數(shù)量的ECM有關(guān)���。時間間隔DR優(yōu)選地從預(yù)定值的范圍內(nèi)隨機或者偽隨機地抽取。
當(dāng)處理器76命令顯示所選擇的captcha時��,后者不一定顯示在屏幕86上���。作為變型��,終端裝備有其自己的屏幕��,并且在執(zhí)行步驟112期間captcha直接顯示在終端的控制屏幕上以避免對用戶造成不便���。captcha不一定被顯示。例如,如果captcha包括僅音頻序列�����,貝U其可以通過揚聲器播放��。用于檢測處理器76的潛在異常使用的操作106可以以不同方式進行�。例如���,處理器76可以在預(yù)定義的觀察周期期間對頻道的改變進行計數(shù)。根據(jù)包含在從處理器76接收到的ECM中的頻道標(biāo)識符i來完成對頻道改變的計數(shù)�����。在另一個實施例中���,以不同方式獲得被監(jiān)測的頻道的標(biāo)識符i���。如果潛在的異常使用的檢測不使用包含在ECM消息中的頻道標(biāo)識符i,則可以從ECM中省略該標(biāo)識符��。也可以通過對接收到的EMM或者解密的密文的數(shù)量進行計數(shù)來完成以顯示captcha的規(guī)則間隔系統(tǒng)性地啟動的步驟140�。在另一變型中,在步驟140���,處理器測量自從執(zhí)行先前步驟112起經(jīng)過的持續(xù)時間DP�,并且只有在該持續(xù)時間DP超越預(yù)定的閾值時�����,處理器76才執(zhí)行步驟112�。如果不是這樣�,則不執(zhí)行步驟112���,并且處理器執(zhí)行步驟110�。在圖4和圖5的方法中����,處理器76在執(zhí)行captcha的過程中維持對密文CW*的解密,并且只有在時間間隔DR到期之前處理器76接收不到對應(yīng)于正確的響應(yīng)的captcha的響應(yīng)時����,解擾才受到限制�����。在一個變型中����,一旦處理器76選擇了 captcha,對密文CW*的解密就受到限制�。只有當(dāng)處理器76接收到對顯示的captcha的正確響應(yīng)時,才恢復(fù)對密文CW*的解密��。在步驟122�,也可以通過 修改存儲器78中記錄的訪問資格獲得對解密密文CW*的限制����?���?梢蕴峁┎襟E102或者140的執(zhí)行的短時暫停。當(dāng)暫停這些步驟時���,captcha的應(yīng)用被停用��。當(dāng)用戶是兒童時這會有用���。圖4和圖5的方法以及它們的變型的參數(shù)(DR時間間隔、DP持續(xù)時間��、閾值MRmax���,Smax等)可以在處理器76的制造期間永久性地預(yù)先記錄在存儲器78中���。作為變型,運營商可以動態(tài)地改變它們����,例如借助EMM����。例如����,可以使用時間戳來測量時間間隔DR。在另一變型中�����,從ECM中省略時間戳��。不一定通過付費電視運營商的服務(wù)器構(gòu)建基本的captcha79���。處理器76可以直接構(gòu)建它們。作為變型�,引入到captcha中的標(biāo)志878僅對處理器的標(biāo)識符的一個個別的部分進行編碼。因此����,必須攔截數(shù)個captcha以獲得處理器76的完整的標(biāo)識符。包括特定用于處理器的標(biāo)志的Captcha的使用可以在其它技術(shù)領(lǐng)域中實現(xiàn)�,并且與用于接收加擾的多媒體內(nèi)容的方法無關(guān)。
權(quán)利要求
1.一種用于接收借助控制字加擾的多媒體內(nèi)容的方法,所述方法包括以下步驟: -安全處理器接收(IOla)包含使得多媒體內(nèi)容能夠被解擾的控制字CW的至少一個密文CW*的ECM (授權(quán)控制消息)�, -所述安全處理器對所述密文CW*解密(110),以及 -借助于解密的控制字CW對所述加擾的多媒體內(nèi)容解擾(110)�����, 其特征在于所述方法還包括以下步驟: -從接收終端執(zhí)行(114)至少一次特定用于所述安全處理器的captcha(全自動區(qū)分計算機和人類的圖靈測試)���,對所述captcha的正確響應(yīng)包含在所述安全處理器的存儲器中并且隨每次執(zhí)行而改變����,所述特定的captcha借助于預(yù)定義的關(guān)系與包含對所述captcha的正確響應(yīng)的所述安全處理器的標(biāo)識符相關(guān)聯(lián)����,以使得能夠借助于所述captcha從安全處理器的集合中識別所述安全處理器, -所述安全處理器獲取(116)對所述captcha的至少一個響應(yīng)并且所述安全處理器將所述響應(yīng)與包含在所述安全處理器的存儲器中的所述正確響應(yīng)進行比較(118)����,以及 -如果對所述captcha的響應(yīng)不對應(yīng)于包含在所述存儲器中的準(zhǔn)確響應(yīng),則所述安全處理器限制(122)對所述密文CW*的解擾����。
2.根據(jù)權(quán)利要求1所述的方法,其中�, -在所述captcha的執(zhí)行(114)期間中維持對所述密文CW*的解擾���,以及 -如果在預(yù)定時間間隔DR內(nèi)未接收到對與包含在所述存儲器中的正確的響應(yīng)相對應(yīng)的所述captcha的響應(yīng),則所述處理器限制對所述密文CW*的解擾。
3.根據(jù)前述權(quán)利要求中任一項所述的方法��,其中���,所述方法包括:每當(dāng)對所述處理器接收到的ECM或者EMM的數(shù)量計數(shù)的計數(shù)器CR的值達到預(yù)定義的閾值時或者每當(dāng)自前一captcha的執(zhí)行經(jīng)過了預(yù)定義的持續(xù)時間DP時,所述處理器就自動執(zhí)行新的captcha�。
4.根據(jù)權(quán)利要求2到3任一項所述的方法�����,其中�����,如果自前一captcha的執(zhí)行起所述時間間隔DR還未到期并且如果所述處理器接收到的對所述前一 captcha的不正確響應(yīng)的數(shù)量大于預(yù)定義的閾值MRmax,則所述方法包括執(zhí)行新的captcha,對所述新的captcha的正確響應(yīng)區(qū)別于對所述前一 captcha的正確響應(yīng),并且對所述新的captcha的正確響應(yīng)必須在所述時間間隔DR到期之前被所述處理器接收到,對所述新的captcha的正確響應(yīng)也包含在所述處理器的存儲器中���,所述時間間隔DR在所述新的captcha的執(zhí)行期間不重新初始化。
5.根據(jù)前述權(quán)利要求任一項所述的方法����,其中所述方法包括: -根據(jù)所述安全處理器接收到的ECM或者EMM檢測(102)所述安全處理器潛在的異常使用,以及 響應(yīng)于潛在的異常使用的這種檢測觸發(fā)(112)所述captcha的執(zhí)行��。
6.根據(jù)權(quán)利要求5所述的方法,其中通過在觀察周期期間對頻道的改變計數(shù)或者對在觀察周期期間接收到的所述ECM計數(shù)來檢測所述安全處理器的潛在的異常使用�����。
7.根據(jù)前述權(quán)利要求任一項所述的方法��,其中所述方法包括在特定capcha中包含標(biāo)志���,所述標(biāo)志借助于所述預(yù)定義的關(guān)系與所述安全處理器的標(biāo)識符相關(guān)聯(lián)���,所述標(biāo)志包括不可缺少的信息,所述信息如果被去除����,則人將可能僅憑一次嘗試就發(fā)現(xiàn)對所述captcha的正確的響應(yīng)。
8 .根據(jù)前述權(quán)利要求任一項所述的方法���,其中所述預(yù)定義的關(guān)系是數(shù)據(jù)庫�,所述數(shù)據(jù)庫將每個特定captcha�����、包含對所述captcha的正確的響應(yīng)的所述安全處理器的標(biāo)識符或者使得能夠根據(jù)安全處理器的標(biāo)識符構(gòu)建所述captcha的預(yù)定義的函數(shù)相關(guān)聯(lián)���。
9.一種信息記錄介質(zhì)�����,其特征在于所述介質(zhì)包括指令�,當(dāng)通過電子計算機執(zhí)行所述指令時,所述指令用于執(zhí)行根據(jù)前述權(quán)利要求的任一項的方法���。
10.一種電子安全處理器(76)����,用于執(zhí)行根據(jù)權(quán)利要求1-8中任一項所述的方法����,所述處理器被編程為: -接收包含控制字CW的至少一個密文CW*的ECM(授權(quán)控制消息),所述控制字使得多媒體內(nèi)容能夠被解擾�, -解密所述密文CW*,以及 -將解密的控制字傳輸至解擾器以借助所述解密的控制字CW對加擾的多媒體內(nèi)容解擾�����,其特征在于所述處理器包括存儲器(78)���,所述存儲器包含對特定用于所述安全處理器的captcha的至少一個正確響應(yīng),所述特定的captcha借助于預(yù)定義的關(guān)系與包含對所述captcha的正確響應(yīng)的所述安全處理器的標(biāo)識符相關(guān)聯(lián),使得能夠通過所述captcha從安全處理器的集合中識別出所述安全處理器�,并且響應(yīng)于來自接收終端的所述captcha的至少一個執(zhí)行�����,所述處理器還被編程為: -獲取對所述capcha的至少一個響應(yīng)��,并將所述響應(yīng)與包含在所述處理器的存儲器中的正確響應(yīng)相比較�,以及 -如果對所述captcha的響應(yīng)不對應(yīng)包含在所述存儲器中的準(zhǔn)確響應(yīng),則限制(122)所述密文CW*的解擾�����。
11.根據(jù)權(quán)利要求10所述的處理器����,其中所述處理器還被編程為根據(jù)所述處理器的標(biāo)識符構(gòu)建所述特定的captcha ,然后將所述特定的標(biāo)識符傳輸至所述接收終端以觸發(fā)其在屏幕上的顯示�����。
12.—種終端(10)��,用于接收借助控制字加擾的多媒體內(nèi)容�����,以執(zhí)行根據(jù)權(quán)利要求1-8中任一項所述的方法,所述終端包括用于和安全處理器接口的電子模塊(85)��,所述模塊(85)被編程為: -向所述安全處理器傳輸包含使得多媒體內(nèi)容能夠被解擾的控制字CW的至少一個密文CW*的ECM (授權(quán)控制消息)����, -接收所述安全處理器解密的控制字CW并且將其傳輸至解擾器以對借助所述解密的控制字CW加擾的多媒體內(nèi)容解擾, 其特征在于�,所述模塊(85)還被編程為: -至少一次執(zhí)行特定用于所述安全處理器的captcha,對所述captcha的正確響應(yīng)包含在所述安全處理器的存儲器中并且隨每次執(zhí)行而改變,所述特定captcha借助預(yù)定義的關(guān)系與包含對所述captcha的正確響應(yīng)的所述安全處理器的標(biāo)識符相關(guān)聯(lián)����,以使得可以借助所述captcha從安全處理器的集合中識別所述安全處理器, -獲取對所述captcha的至少一個響應(yīng)�,并且將所述響應(yīng)傳輸至所述安全處理器,使得所述安全處理器能夠?qū)⑵渑c包含在所述安全處理器的存儲器中的正確響應(yīng)相比較��。
全文摘要
本發(fā)明涉及一種用于接收借助控制字加擾的多媒體內(nèi)容的方法���,該方法包括以下步驟安全處理器接收(101a)包含控制字CW的至少一個密文CW*的ECM(授權(quán)控制消息)��,安全處理器解密(110)該密文CW*����,以及借助解密的控制字CW對加擾的多媒體內(nèi)容解擾(110),從接收終端執(zhí)行(114)至少一次captcha�,對captcha的正確響應(yīng)被包含在安全處理器的存儲器中并且隨每次執(zhí)行而改變,安全處理器獲取(116)對該captcha的至少一個響應(yīng)并且安全處理器將該響應(yīng)與包含在安全處理器的存儲器中的正確響應(yīng)進行比較(118)�����,以及如果對該captcha的響應(yīng)不對應(yīng)包含在存儲器中的準(zhǔn)確響應(yīng)��,則安全處理器限制(122)對密文CW*的解擾�。
文檔編號H04N21/418GK103250423SQ201180052220
公開日2013年8月14日 申請日期2011年10月25日 優(yōu)先權(quán)日2010年10月27日
發(fā)明者艾達·高達戈 申請人:維亞塞斯公司