專利名稱:安全處理器以及用于寄存訪問授權(quán)和密鑰的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全處理器以及用于寄存訪問授權(quán)和密鑰的方法�。
技術(shù)背景在本說明書中所使用的術(shù)語是目前在加擾的多媒體信號傳送系統(tǒng)領(lǐng)域 中使用的術(shù)語。為了介紹該術(shù)語和加擾的多媒體信號傳送系統(tǒng)��,讀者可以查 閱以下文獻一法國IEEE消費者電子學(xué)報���,1989年8月第35巻第3期"A single conditional access system for satellite-cable and terrestrial TV" ,Fran^oise Coutrot�, Vincent Michon����, Centre Commun d��,Etudes de T616difflision et T616communication����, Cesson-S6vign6 "�。特別地,術(shù)語"授權(quán)控制(ECM)消息"�����、"授權(quán)管理(EMM)消息"�、 "訪問授權(quán)"和"訪問條件"使用的是它們在本技術(shù)領(lǐng)域中的常規(guī)含義。一種安全處理器�����,具有解碼模塊����,能夠?qū)Ρ话贓CM消息(授權(quán)控制消息)中的控制字進 行解碼,從而使加擾的多媒體信號能夠被解擾�����; 包含訪問授權(quán)的可重寫非易失性存儲器��;比較器���,能夠?qū)⒔邮盏降腅CM消息中存在的訪問條件與置于存儲器中 的訪問授權(quán)相比較���,在訪問授權(quán)與接收到的訪問條件不對應(yīng)的情況下避免對 多媒體信號進行解擾,并且在存儲于存儲器中的訪問授權(quán)與接收到的訪問條 件對應(yīng)的情況下批準(zhǔn)對加擾的多媒體信號進行解擾�;模塊,用于響應(yīng)于EMM消息(授權(quán)管理消息)的接收而將新訪問授權(quán) 寄存到可重寫非易失性存儲器中�����,該EMM消息用于新訪問授權(quán)的寄存�����。這些安全處理器通常采用智能卡的形式���。對于給定的解碼器�����,安全處理器可以不同的方式運行�����。例如�,現(xiàn)在有被 認(rèn)為是"一次性"安全處理器,也就是該安全處理器可用于解擾多媒體信號 達固定周期Af�����,接著在該周期之后��,由于該安全處理器不能再被用于解擾多 媒體信號�,因此該安全處理器被棄用。周期^由放置于一次性安全處理器中 的存儲器中的訪問授權(quán)來定義��。為免欺騙���,在一次性安全處理器中的訪問授權(quán)一定不能被修改���。為此目 的,在制造安全處理器時��,用于新訪問授權(quán)的寄存的模塊被永久地禁用��。例 如,記錄在一次性安全處理器的ROM (只讀存儲器)中的程序不包括這種 寄存模塊��。還有一種被稱作"標(biāo)準(zhǔn)"處理器的安全處理器�����。與一次性安全處理器不 同�����,該標(biāo)準(zhǔn)處理器提供有用于新訪問授權(quán)的寄存的模塊�。通過所述模塊���,訪 問授權(quán)可以被有規(guī)律地更新���。用戶可以方便地使用這種標(biāo)準(zhǔn)安全處理器向操 作者廣播加擾的多媒體信號。為了獲得這種結(jié)果�,在制造標(biāo)準(zhǔn)安全處理器時,記錄在安全處理器的ROM存儲器中的程序包括完全可操作寄存模塊�����,該寄 存模塊能夠處理用于新訪問授權(quán)的寄存的EMM消息�����。由此,用于制造標(biāo)準(zhǔn)安全處理器的方法與用于制造一次性安全處理器的 方法并不絕對一致���,因為各種標(biāo)準(zhǔn)安全處理器和一次性安全處理器的ROM 存儲器中所記錄的程序不同��。這使得安全處理器的制造更加復(fù)雜�。上述缺點同樣存在于具有以下結(jié)構(gòu)的安全處理器中解碼模塊�����,能夠?qū)Ρ话贓CM消息(授權(quán)控制消息)中的控制字進 行解碼�,從而使加擾的多媒體信號能夠被解擾;包含密鑰的可重寫非易失性存儲器���;編碼和/或解碼模塊����,能夠?qū)Τ邮盏降陌幋a控制字的ECM消息之外的消息進行編碼或解碼�����;模塊�,用于響應(yīng)于EMM消息(授權(quán)管理消息)的接收而將新密鑰寄存 到可重寫非易失性存儲器中�,該EMM消息用于新密鑰的寄存��。事實上��,在一種操作方法中�,對于通過以上類推此處所說的"一次性", 新密鑰的寄存必須被阻止����,然而在另一種操作方法中�,對于通過以上類推此 處所說的"標(biāo)準(zhǔn)",新密鑰的寄存是可以的�����。在訪問授權(quán)的情況下�����,當(dāng)在制 造安全處理器時�����,通過執(zhí)行提供有用于新密鑰的寄存的模塊的程序或相反地 通過執(zhí)行不具有這種寄存模塊的程序而作出這兩種操作方法之間的選擇�����。發(fā)明內(nèi)容本發(fā)明的目的是通過提供更易制造的安全處理器來克服所述缺點。因此����,本發(fā)明涉及一種安全處理器,該安全處理器包括至少一個可重寫 鎖(lock)�,該鎖的值可以響應(yīng)于EMM消息而至少在第一和第二值之間切換, 且該安全處理器還包括寄存模塊����,該寄存模塊能夠響應(yīng)于與用于新訪問授權(quán) 的寄存相同的EMM消息基于所述鎖的值而批準(zhǔn)或禁止新訪問授權(quán)的寄存。本發(fā)明還涉及一種安全處理器�,該安全處理器包括至少一個可重寫鎖, 該鎖的值可以響應(yīng)于EMM消息而至少在第一和第二值之間切換����,且該安全 處理器還包括寄存模塊,該寄存模塊能夠響應(yīng)于用于新密鑰的寄存的EMM 消息基于所述鎖的值而批準(zhǔn)或禁止新密鑰的寄存����。在上述安全處理器中,通過調(diào)整鎖的值����,相同的安全處理器可被配置為 作為例如一次性安全處理器或標(biāo)準(zhǔn)安全處理器運行��。此外���,由于鎖的值可以 通過EMM消息被修改,因此在制造所述安全處理器的進程期間��,不再需要 提供所述配置�����。例如���,在對安全處理器進行個人化的進程期間或者甚至在安 全處理器在用戶的解碼器中使用的進程期間����,安全處理器可以被配置為一次 性安全處理器或標(biāo)準(zhǔn)安全處理器���。因此,試圖被作為標(biāo)準(zhǔn)安全處理器運行的安全處理器的制造與試圖被作 為一次性安全處理器運行的安全處理器的制造是相同的��。這簡化了安全處理 器的制造��。還可以提供新的運行方法����。例如�,可能的是作為一次性安全處理器運行 的安全處理器可以被標(biāo)記���,且之后如果該安全處理器的用戶進行預(yù)定以變換 該安全處理器的運行�,則之后該安全處理器作為標(biāo)準(zhǔn)安全處理器運行�����。所述安全處理器的制造方式可以包括以下特征的一個或多個所述處理器包括寫入模塊�,該寫入模塊能夠響應(yīng)于EMM消息而將所述 鎖的值(lock value)從第一值切換到第二值,且無論隨后接收到何種EMM 消息��,該寫入模塊均避免所述鎖的值從第二值切換到第一值�;所述處理器包括寫入模塊,僅當(dāng)在EMM消息中存在的當(dāng)前日期早于安 全處理器中寄存的極限激活日期時�,該寫入模塊才能夠響應(yīng)于EMM消息而 將所述鎖的值從第一值切換到第二值;所述處理器包括安全自毀模塊����,該安全自毀模塊使得安全處理器為全部 可用解碼器永久不可用的,其中用于處理ECM或EMM消息的單元可以比 較ECM或EMM消息中存在的當(dāng)前日期�,該ECM或EMM消息于安全處理 器中的存儲器中存儲的絕對屆滿日期被接收,且僅當(dāng)所述當(dāng)前日期在所述絕 對屆滿日期之后時��,所述單元自動激活所述自毀模塊。所述制造安全處理器的方法還具有以下優(yōu)點使用鎖寫入模塊使得不管接收到的EMM消息是否對不可逆寄存模塊的 操作執(zhí)行修改均避免該鎖的值的切換�����;使用用于鎖的值的寫入模塊���,考慮到限制激活日期使得在該限制激活日 期后無法執(zhí)行記錄模塊的操作的修改���,該模塊授權(quán)對該值進行的修改;使用被包含在接收到的ECM或EMM消息中的當(dāng)前日期來激活安全處 理器的毀壞�����,可以避免必須采取發(fā)送具體指令的方式來啟動安全處理器的毀壞����。本發(fā)明還涉及用于在上述安全處理器中的訪問授權(quán)的寄存的方法���,該方 法包括批準(zhǔn)進程或包括禁止進程�,所述新訪問授權(quán)的寄存是基于鎖的值的�����。本發(fā)明還涉及用于在安全處理器中的密鑰的寄存的方法,該方法包括批 準(zhǔn)進程或包括禁止進程��,所述新密鑰的寄存是基于鎖的值的��。
從以下結(jié)合附圖并作為非限制性實例給出的描述中可以更詳細(xì)地了解 本發(fā)明����,其中圖1是顯示了用于傳送加擾的多媒體信號的系統(tǒng)的結(jié)構(gòu)的圖示; 圖2A和2B是用于圖1中的系統(tǒng)的安全處理器中的訪問授權(quán)和/或密鑰 的寄存的方法的流程圖�。
具體實施方式
圖1顯示了用于傳送加擾的多媒體信號的系統(tǒng)2。所述多媒體信號例如 為與電視頻道視聽程序相應(yīng)的視聽信號�。在本說明書其余的部分中,為本領(lǐng)域技術(shù)人員所公知的特征和功能將不 再詳細(xì)描述�����。系統(tǒng)2包括發(fā)射機4�,該發(fā)射機4用于通過信息傳送系統(tǒng)6,使用預(yù)計 供大量接收機使用的控制字CW來加擾多媒體信號�����。 為了簡化圖l�,僅示出了一個接收機8。 系統(tǒng)6例如為此處所示的電磁波系統(tǒng)或長距離電纜系統(tǒng)。 發(fā)射機4可以采用加擾的多媒體信號同時發(fā)送ECM消息和EMM消息�����。 圖1顯示了 ECM消息12和EMM消息14的部分結(jié)構(gòu)的實施例��。 這里,每個ECM消息包括-用于對多媒體信號進行加擾的控制字CW的密碼CW'; 用于加擾的多媒體信號的訪問條件16;以及 用于鑒別ECM消息的裝置18。訪問條件16包括例如以控制字CW進行加擾的多媒體信號內(nèi)容的標(biāo)識 符20以及包含當(dāng)前日期的字段22��。該當(dāng)前日期由發(fā)射機4產(chǎn)生。 裝置18包括例如密碼簽名或由發(fā)射機4產(chǎn)生的密碼冗余。 每個EMM消息還包括標(biāo)識符26,用于使用EMM消息的一個安全處理器或一組安全處理器;字段28�����,包含由發(fā)射機4產(chǎn)生的當(dāng)前日期�����;字段30�����,包含用于更新密鑰和/或訪問授權(quán)的指令����;以及裝置32���,用于鑒別EMM消息�����。裝置32例如為與裝置18相同�。在用于新訪問授權(quán)的寄存的EMM消息的特殊情況下��,字段30包括用 于修改已經(jīng)在安全處理器中寄存的訪問授權(quán)的指令或用于增加新訪問授權(quán) 的指令����。在用于新密鑰的寄存的EMM消息的情況下,字段30包括指令�,通過 所述指令,己經(jīng)在安全處理器中寄存的密鑰可以被修改���,或者可以添加新密 鑰���。接收機8能夠接收加擾的多媒體信號和ECM以及EMM消息。為此目 的��,接收機8包括與安全處理器42相關(guān)聯(lián)的解碼器40���。處理器42通常為可 移動處理器���,例如��,可以插入解碼器40的智能卡��。處理器42通過處理器/ 解碼器界面與解碼器40通信��。典型地�����,所述界面包括電接插件�,每個電接 插件具有陽性和陰性構(gòu)件����,每個陽性和陰性構(gòu)件構(gòu)成解碼器或處理器不可或 缺的部分。解碼器40和處理器42之間的界面遵從例如標(biāo)準(zhǔn)ISO 7816��。此處的解碼器40安裝有天線44,該天線44用于接收由發(fā)射機4廣播的各種信號����。天線44連接到塊46以用于對所述信號進行解復(fù)用,且如果適當(dāng)�����, 則對所述信號進行過濾����。在所述塊46的輸出端,加擾的多媒體信號被傳送 到解擾器48����。所述EMM和ECM消息被傳送到處理器42。解擾器48可以對使用由處理器42解碼的控制字CW而被加擾的多媒體 信號進行解擾��。解碼器40連接到裝置50�����,該裝置50顯示解擾多媒體信號�,該裝置50 例如為電視機。處理器42提供有寄存有訪問授權(quán)的非易失性可重寫存儲器54; 寄存有密鑰的非易失性可重寫存儲器56;ROM存儲器(只讀存儲器)58�,試圖包含由處理器42執(zhí)行的各種程序指令;以及三個可重寫鎖62到64����。存在于存儲器54中的訪問授權(quán)的實施例將參考圖2的描述而被提供。 為了簡化圖1,此處僅有一個被標(biāo)記為運行密鑰70的密鑰����,該運行密鑰 70被顯示為被寄存在存儲器56中�����。運行密鑰70試圖在ECM消息被傳送到 解擾器48之前����,對在ECM消息中接收的控制字CW進行解碼����。 鎖62至64例如為在非易失性可重寫存儲器74中的預(yù)定區(qū)段。 鎖62至64中的每一個均在存儲器中設(shè)置有一個值�。此處每個所述鎖的 值響應(yīng)于接收用于明確寫入相應(yīng)類型的EMM消息或作為處理EMM消息的 結(jié)果而僅可被在第一值和第二值之間切換,所述第一值此時為零��,所述第二 值此時為單位量(unity)���。鎖62至64獨立地存在于訪問授權(quán)和密鑰���,所述 訪問授權(quán)和密鑰已經(jīng)或即將被寄存在安全處理器的存儲器中。當(dāng)鎖62的值等于單位量時����,意味著處理器42作為一次性安全處理器運 行��,也就是說�,沒有新訪問授權(quán)能被寄存在存儲器54中�����,且沒有新密鑰能被寄存在存儲器56中�。此外����,在EMM消息的全部可能的功能中,處理器 42僅可以處理該EMM消息的一小部分功能��,例如無效或刪除數(shù)據(jù)或機密用 戶密碼的管理��。當(dāng)鎖63的值等于單位量時�����,意味著安全處理器的個人化進程已完成�。 該個人化進程將參考圖2作更詳細(xì)的描述。當(dāng)所述鎖63的值等于零時����,意 味著安全處理器還未被個人化��。當(dāng)鎖64的值等于零時����,意味著處理器42作為標(biāo)準(zhǔn)安全處理器運行����,也 就是說,可以在存儲器54中寄存新訪問授權(quán)�,且也可以在存儲器56中寄存 新密鑰。當(dāng)鎖64的值等于單位量時��,意味著處理器42作為類似于被稱為可"激 活"的安全處理器運行�����?���?杉せ畹陌踩幚砥髯畛跻耘c一次性安全處理器相 同的方式運行。在EMM消息所有可能的功能中����,處理器42僅可以處理該 EMM消息的一小部分功能。然而,與一次性安全處理器不同�,所述可激活 的安全處理器不能響應(yīng)于EMM消息而被轉(zhuǎn)換為標(biāo)準(zhǔn)安全處理器。處理器42還包括單元76和單元78����,單元76用于處理接收到的ECM 消息,單元78用于處理接收到的EMM消息��。單元76還包括比較器80��,用于將接收到的ECM消息中存在的訪問條件與被置于存儲 器54中的存儲中的訪問授權(quán)進行比較以確定對多媒體信號的解擾是否應(yīng)當(dāng) 被批準(zhǔn)或相反地被禁止���;模塊82,用于對密碼CW'進行解碼以使用運行密鑰70獲取控制字CW;單元76�����,連接到存儲器54���、 56和74;單元78��,特別地���,該單元78包括用于寫入鎖62的模塊88;用于寫入鎖64的模塊89;用于寫入鎖63的模塊90;模塊94,用于響應(yīng)于EMM消息的接收而將新訪問授權(quán)寄存到存儲器 54中��,該EMM消息用于新訪問授權(quán)的寄存;以及模塊96,用于存儲器56中新的密鑰的記錄��,該記錄響應(yīng)于用于新的密 鑰記錄的EMM消息的收條��。單元78連接到存儲器54���、 56和74���。最后,處理器42包括用于處理器42的自毀的模塊100���。該模塊100能 夠使處理器42被永久禁用����。為此目的���,例如�����,模塊100可以刪除所有可重 寫存儲器的內(nèi)容�,且特別地,可以刪除促使處理器42運行的數(shù)據(jù)�����。模塊IOO 還可以使用處理器42中的內(nèi)部功能��,該內(nèi)部功能可以改變或刪除用于對存 儲器58中記錄的可執(zhí)行編碼進行解碼的主密鑰���。典型地����,單元76和78被構(gòu)造為使用能夠執(zhí)行ROM存儲器58中記錄 的程序指令的可編程電子計算器���。為此目的��,特別地,存儲器58包含指令�����, 所述指令由可編程計算器執(zhí)行時用于執(zhí)行圖2A和2B中的方法?���,F(xiàn)在將通過圖2A和2B中的特定情況的處理器42和解碼器40的幫助 來描述接收機8的運行。最初,在進程120期間��,處理器42被制造�����。在該進程120期間���,用于 執(zhí)行所述方法所必須的指令被寄存到存儲器58中��。鎖62至64的缺省值為 零�����。存儲器54和56被清空�。一旦被制造����,處理器42將在進程122期間通過可靠的權(quán)限被個人化。 該進程122實質(zhì)上包括在處理器42的各個可重寫存儲器中的解碼器中寄存 制定銷售(maketing)該進程122和該進程122的運行所需的信息���。例如����,此處在進程122期間,在進程124�����,可調(diào)權(quán)限(sliding right)被 作為存儲器54中的訪問授權(quán)進行記錄���?����;瑒訖?quán)是預(yù)定類型的訪問授權(quán)���,在 該滑動權(quán)限有效的特定周期期間,該滑動權(quán)限允許訪問特定程序�。與標(biāo)準(zhǔn)預(yù)訂權(quán)限(subscription right)不同,參考固定權(quán)限(fixed right),滑動權(quán)限不 包括由明確的起始日期和明確的終止日期(或持續(xù)時間)指定的有效周期�����。 相反地�,當(dāng)可由滑動權(quán)限滿足的第一訪問條件被處理器42處理時�,滑動權(quán) 限通過處理器42被自動轉(zhuǎn)換為固定權(quán)限,該固定權(quán)限的有效周期以所述第 一訪問條件的接收日期作為起始日期且以計算出的日期DFDF (固定權(quán)限的 終止日期)作為終止日期����,該終止日期與通過數(shù)量NBDAY(或周期NBDAY) 而增加的接收日期相同�。所述滑動權(quán)限通過以下信息表征-天數(shù)NBDAY定義了一個周期�,在該周期中,處理器42可被用于解 擾來自發(fā)射機4的操作者的多媒體信號�����;-標(biāo)識符����,用于可通過滑動權(quán)限被解擾的視聽程序或視聽程序組;-日期DPDG (滑動權(quán)限的屆滿日期)����,在該日期之后,處理器42不再 能將滑動權(quán)限轉(zhuǎn)換為固定權(quán)限�����。如果合適的話���,在處理器42被配置為作為可激活的安全處理器運行的 情況下�����,周期DA(激活周期)被寄存到存儲器54中��。周期DA定義了周期��, 在該周期期間���,處理器42能夠被激活以從運行模式轉(zhuǎn)到新運行模式����,在所 述運行模式下���,處理器42作為一次性安全處理器運行�,而在所述新運行模 式下�,處理器42作為標(biāo)準(zhǔn)安全處理器運行。更特別地��,當(dāng)所述滑動權(quán)限被 轉(zhuǎn)換為固定權(quán)限時�,所述處理器計算日期DLA(限制激活日期),該日期DLA 等于通過周期DA而增加的日期DFDF����。在該計算未被執(zhí)行時,日期DLA 具有與非常陳舊的日期相對應(yīng)的缺省值以禁止激活�,所述非常陳舊的日期例如為1900年1月1日。在進程124�����,運行密鑰(operating key)也被寄存在存儲器56中��。該運 行密鑰例如由來自同一操作者的全部解碼器所知��。接著在進程126���,發(fā)射機4的操作者的特定參數(shù)被寄存在可重寫存儲器 中���。特別地,其中一個參數(shù)為日期DPA (絕對屆滿日期)��,在該日期DPA之后�����,處理器42應(yīng)當(dāng)自毀�。在下一進程128期間,對鎖62及64寫入的EMM消息被發(fā)送到處理器 42以進行切換��,如果必要��,鎖62和64的值也可被發(fā)送到處理器42中進行 切換。典型地�,在進程128,這些寫入消息由寫入模塊88和89進行處理��。 此處在個人化進程期間被發(fā)送的這些EMM寫入消息使得可對處理器42進 行配置��,由此該處理器42作為一次性安全處理器(鎖62的值等于單位量) 運行或作為可激活的安全處理器運行(鎖62的值等于零且鎖64的值等于單 位量)或作為標(biāo)準(zhǔn)安全處理器(鎖62的值等于零且鎖64的值等于零)運行�����。 等于單位量的兩個鎖62和64的組合也是被禁止的��,因為根據(jù)定義����, 一次性 處理器不能被激活。一旦鎖62和64的值被置于存儲器�����,則在進程130��,對鎖63寫入的EMM 消息被發(fā)送到處理器42�。接著,該消息被寫入模塊90處理,從而使"單位 量"值被存儲在鎖63的存儲器中以表示處理器42己被個人化�。從這時起,無論隨后接收到何種EMM消息�,鎖62和63的值將不能再 改變。為此目的�,例如��,僅當(dāng)鎖63的值不同于單位量�����,也就是說當(dāng)處理器 42未被個人化時��,模塊88和90才啟動對鎖62和63的寫入����。同樣從這時開始,鎖64的值僅能被切換到零值��。例如��,為了避免該鎖 的值被切換到單位量值�,模塊89在執(zhí)行這種寫入操作之前檢查鎖63的值, 并且當(dāng)鎖63的值等于單位量�,也就是說當(dāng)處理器42已被個人化時,模塊89 禁止"單位量"值被寫入所述鎖。一旦進程122被完成���,被個人化的處理器42在被歸屬于用戶之前由操 作者或發(fā)行商暫存����。接著開始在解碼器40中使用處理器42的進程136���。更特別地���,在進程140中,處理器42被插入到解碼器40中����。接著,單元76執(zhí)行處理ECM消息的步驟142�,且并行的,單元78執(zhí) 行處理用于新訪問授權(quán)和/或新密鑰的寄存的EMM消息的步驟144以及處理其它EMM消息的步驟145�����。在步驟142的進程146�����,單元78接收ECM消息。接著在進程148期間�����,單元76檢查當(dāng)前日期22是否等于或遲于日期 DPA��。如果是�����,則在進程150����,自毀模塊100被激活����。由此,在進程150����, 處理器42在其可以插入的任何解碼器中被永久禁用。如果存在于被處理的ECM消息中的當(dāng)前日期仍未遲于日期DPA��,則單 元76在進程152檢查與標(biāo)識符20相關(guān)聯(lián)的訪問條件16是否能夠由被寄存 在處理器42的存儲器54中的滑動權(quán)限滿足�。如果能夠滿足,則單元76進 行到進程154,在該進程154���,單元76檢查存在于被處理的ECM消息中的 當(dāng)前日期22是否早于在個人化進程期間被寄存在存儲器54中的滑動權(quán)限的 曰期DPDG��。如果被處理的ECM消息的當(dāng)前日期早于日期DPDG��,則在進程156, 滑動權(quán)限被轉(zhuǎn)換為固定權(quán)限���,該固定權(quán)限的起始日期為當(dāng)前日期22,且其終 止日期DFDF (固定權(quán)限的終止日期)通過在進程122將被寄存在存儲器54 中的天數(shù)NBDAY增加到當(dāng)前日期而被計算出�,且對于滑動權(quán)限來說,程序 標(biāo)識符是在進程122期間被寄存在存儲器54中的標(biāo)識符�����。在轉(zhuǎn)換為固定權(quán) 限之后����,該滑動權(quán)限不再存在于存儲器54中。此外�,如果鎖62和64的值分別等于0和1,也就是說這是一個可激活 的處理器�����,則單元76還計算DLA日期(限制激活日期)并將其寄存到存儲 器54中。接著�,在進程158,單元76確定在ECM消息中的當(dāng)前日期22是否遲 于日期DFDF�����。如果當(dāng)前日期22遲于日期DFDF��,則在進程164,禁止對多 媒體信號進行解擾���。例如�,在進程164���,模塊82被禁用,從而密碼CW,不 被解碼��,使得不能解擾多媒體信號����。如果當(dāng)前日期22不遲于日期DFDF,則在進程160,單元76批準(zhǔn)對多媒體信號進行解擾����。更特別地��,在進程160��,模塊82使用運行密鑰70來解 碼密碼CW'以獲取控制字CW����,該控制字CW由模塊82傳送至解擾器48�。 為了對加擾的多媒體信號進行解擾,在將多媒體信號傳送到裝置50以用于 正常顯示前����,解擾器48使用控制字CW對加擾的多媒體信號進行解擾。如果在進程152期間���,單元76確定接收到的ECM消息中存在的訪問條 件不滿足滑動權(quán)限(例如��,因為在存儲器54中不再有任何滑動權(quán)限)����,則單 元76進行到進程162�,在該進程162中,單元76檢查所述訪問條件是否能 夠由被寄存在存儲器54中的另一個權(quán)限(right)滿足�。如果所述訪問條件能夠由被寄存在存儲器54中的另一個權(quán)限滿足,則 單元76批準(zhǔn)對多媒體信號進行解擾�,并且進行到以下描述的進程160�。如果所述訪問條件不能由被寄存在存儲器54中的另一個權(quán)限所滿足�, 則禁止對加擾的多媒體信號進行解擾,并且進行到以下描述的進程164�����。在完成進程160或進程164之后�,所述方法返回到進程146以接收并處 理下一個ECM消息。并行地���,在步驟144的開始��,在進程176期間���,單元78接收用于新訪 問授權(quán)的寄存的EMM消息。接著在進程178期間�,單元78檢查當(dāng)前日期 28是否等于或遲于日期DPA����。如果當(dāng)前日期28等于或遲于日期DPA,則在 進程180���,自毀模塊100被激活��。由此在進程180期間����,處理器42在其可以 插入的任何解碼器中被永久禁用。如果被處理的EMM消息中存在的當(dāng)前日期不遲于日期DPA��,則在進程 182����,模塊94檢査處理器42是否應(yīng)當(dāng)作為一次性安全處理器運行。為此目 的���,模塊94在進程182檢查鎖62的值是否等于單位量�����。如果鎖62的值等 于單位量����,則模塊94在進程184阻止新訪問授權(quán)的寫入��。例如����,在進程184���, 接收到的EMM消息未被處理,從而沒有新訪問授權(quán)被寄存在存儲器54中���。如果鎖62的值不等于單位量�����,則在進程186期間���,模塊94測試鎖64的值是否等于零。如果鎖64的值等于零����,則意味著處理器42應(yīng)當(dāng)作為標(biāo)準(zhǔn) 安全處理器運行,并且在進程188����,模塊94批準(zhǔn)新訪問授權(quán)的寄存。典型地���, 在進程188,模塊94寄存被包括在EMM消息中的新訪問授權(quán)����,該EMM消 息在存儲器54中被接收�����。在鎖64的值等于單位量的情況下��,在完成進程186之后��,在進程190���, 模塊89檢查接收到的EMM消息中存在的當(dāng)前日期是否早于日期DLA。如 果接收到的EMM消息中存在的當(dāng)前日期早于日期DLA����,則在進程192,模 塊89將鎖64的值從單位量值切換到零值�����,這意味著自此以后處理器42將 作為標(biāo)準(zhǔn)處理器運行����。在完成進程192之后,步驟144通過執(zhí)行進程188而繼續(xù)。如果在進程190期間�����,模塊89確定用于新權(quán)限的寄存的EMM消息已 在日期DLA之后被接收���,則進行到進程184����,且接收到的EMM消息不被處 理���,從而沒有新訪問授權(quán)被寄存在存儲器54�����。由此��,貫穿以上用于在個人化進程期間的權(quán)限寄存的方法���,處理器42 可以被作為一次性安全處理器個人化。在該運行模式下��,處理器42必須在 日期DPDG之前被插入到解碼器中�。接著�, 一旦處理器42被插入到解碼器 中���,處理器42就使得可以僅在周期NBDAY期間對加擾的多媒體信號進行 解擾。在該周期的結(jié)尾�����,處理器42不能被轉(zhuǎn)換為標(biāo)準(zhǔn)安全處理器并且因此 也不能被使用�。在個人化進程122期間,處理器42還可以被個人化以作為可激活的安 全處理器運行�。在此情況下,在日期DPDG之前被首次插入到解碼器40中 之后�����,處理器42作為近似于一次性處理器運行�。然而,與一次性安全處理 器不同�����,該處理器42可以在日期DLA之前通過將鎖64的值切換到零值而 被轉(zhuǎn)換為標(biāo)準(zhǔn)安全處理器���。最后�����,當(dāng)新訪問授權(quán)能夠被自由寄存時����,處理器42 —被投入服務(wù)就可以在進程122期間被配置為作為標(biāo)準(zhǔn)安全處理器運行。圖2A中的步驟還被應(yīng)用于密鑰寄存EMM的處理���。在此情況下在進程176期間��,處理器42接收密鑰寄存EMM;在進程188�,處理器42進行到將運行密鑰70的新值寄存到存儲器56中�����。在進程184�,處理器42執(zhí)行無密鑰寄存。 模塊94被模塊96替代�����。處理器42執(zhí)行步驟145以處理EMM而不是訪問授權(quán)或密鑰寄存EMM���。在步驟145開始時���,在進程294期間��,單元78接收所述EMM消息����, 該EMM消息既不是用于新訪問授權(quán)的寄存的消息�����,也不是用于密鑰的寄存 的消息����。接著在進程296��,單元78檢査在該EMM消息中存在的當(dāng)前日期是 否早于日期DPA�����。如果該EMM消息中存在的當(dāng)前日期不早于日期DPA�����,則 在進程298,單元78激活自毀模塊100��。所述進程298例如與進程180相同。如果所述EMM消息中存在的當(dāng)前日期早于日期DPA���,則在進程302期 間���,單元78檢查安全處理器是否是一次性處理器。由此�����,在該進程302期 間����,單元78檢査鎖62的值是否等于單位量。如果處理器42不是一次性處理器���,則在進程304��,單元78檢査處理器 42是否是可激活的處理器����。由此���,在進程304期間�����,單元78檢查鎖64的值 是否等于單位量����。如果處理器42是可激活的處理器,則單元78進行到進程306�,在該進 程306期間,單元78檢査被處理的EMM消息中存在的當(dāng)前日期是否早于 日期DLA�。如果被處理的EMM消息中存在的當(dāng)前日期早于日期DLA����,則 在進程308,所述可激活的處理器被轉(zhuǎn)換為標(biāo)準(zhǔn)處理器�����。更特別地���,在進程 308��,模塊89使得鎖64的值從單位量值切換到零值�。該進程308例如與進 程192相同��。在完成進程308之后,接收到的EMM消息在進程310被處理����。如果在進程302期間,單元78確定處理器是一次性處理器����,則單元78 進行到進程312,在該進程312期間����,單元78檢査在EMM消息中被請求的 處理是否是為一次性安全處理器所批準(zhǔn)的處理操作中的一者。如果在EMM 消息中被請求的處理是為一次性安全處理器所批準(zhǔn)的處理操作中的一者�,則 單元78進行到進程310。如果在EMM消息中被請求的處理不是為一次性安 全處理器所批準(zhǔn)的處理操作中的一者���,則接收到的EMM消息不被處理且步 驟返回到進程294�����。如果在進程304期間���,單元78確定處理器不是可激活的處理器,也就 是說所述處理器是標(biāo)準(zhǔn)安全處理器�,則單元78直接進行到進程310�����。如果在進程306期間�����,單元78確定接收到的EMM消息中的當(dāng)前日期 遲于日期DLA����,則進行到進程314����,在該進程314�,單元78確定在接收到 的EMM消息中被請求的處理操作是否是為可激活的安全處理器所批準(zhǔn)的處 理操作中的一者。如果在接收到的EMM消息中被請求的處理操作是為可激 活的安全處理器所批準(zhǔn)的處理操作中的一者��,則單元78進行到進程310��。如 果在接收到的EMM消息中被請求的處理操作不是為可激活的安全處理器所 批準(zhǔn)的處理操作中的一者����,則單元78返回到進程194而不處理接收到的 EMM消息。一旦進程310被完成����,步驟145就返回進程294以接收并處理另一個 EMM消息����。許多其它的實施方式也是可行的��。特別地����,以上描述被提供于鎖被用于 配置處理器42的特定情況,所述處理器42被作為一次性安全處理器運行或 作為可激活的安全處理器運行或作為標(biāo)準(zhǔn)安全處理器運行�。其它操作模式可 以被定義且將導(dǎo)致鎖、例如鎖62和64的添加和去除�����。步驟144可以被修改��,從而該步驟144僅處理用于新訪問授權(quán)的寄存的EMM消息或僅處理用于新密鑰的寄存的EMM消息���。在此情況下��,不再由 步驟144處理的EMM消息由步驟145進行處理����。這使得可以簡化處理器42 的結(jié)構(gòu)。例如�,模塊96或模塊94可以適當(dāng)?shù)乇皇÷浴4颂?����,處理?2和圖2A和2B中的步驟已在特定情況下進行描述�,這 所述特定情況下,無論存儲器具有何種功能�,可以將鎖64的值切換到零值 的EMM消息為被尋址到處理器42且由處理器42接收的第一 EMM消息。在一種變形中���,只有特定類型的EMM消息�����、例如用于訪問授權(quán)的寄存 或密鑰的寄存的EMM消息可以激活處理器42���。在圖2B中的進程306則還 包括檢查EMM消息的類型是否可以引起對處理器42的激活�����。例如,這可 以在操作者向處理器42發(fā)送用于再次初始化機密用戶編碼的EMM消息時 避免激活處理器42��。在另一種變形中���,響應(yīng)于模塊89將鎖64的值切換到零值�,發(fā)射機4向 處理器42發(fā)送特定激活EMM消息���。該特定激活EMM消息不包括任何新訪 問授權(quán)或任何新密鑰�����,且例如僅使得可以配置處理器42�����,從而使該處理器 42作為標(biāo)準(zhǔn)安全處理器運行����。自此����,從鎖64的值被切換到零值的那一刻起,新訪問授權(quán)或密鑰可以與特定情況下所描述的相類似的方式被寄存在存儲 器54中�����,在所述特定情況下,在進程122���,處理器42被直接配置為作為標(biāo) 準(zhǔn)安全處理器運行����。此外�����,無論如上所述的何種激活裝置�����,激活可以包括滑動權(quán)限應(yīng)當(dāng)達到 其有效性的末端的額外條件���。在此情況下���,在進程190和306,單元78不僅 檢查EMM消息中存在的當(dāng)前日期是否早于激活限制日期DLA���,還檢查該當(dāng) 前日期是否遲于固定權(quán)限終止的日期DFDF,如果存在滑動權(quán)限的話,所述 固定權(quán)限來自滑動權(quán)限�。在上述實施例中,在個人化進程122期間���,例如滑動權(quán)限或鎖62至64 的初始值的不同數(shù)據(jù)被使用EMM消息而寄存在處理器42中��。這些EMM消息的結(jié)構(gòu)���,特別是在個人化進程期間,可以與此處以實施例的方式描述的EMM消息的結(jié)構(gòu)不同�。特別地,作為一種變形��,在個人化進程期間所使用 的EMM消息可以包括由處理器42直接執(zhí)行的低級指令���。然而����,無論用于 改變鎖的值的EMM消息的結(jié)構(gòu)如何�,該EMM消息總是通過處理器/解碼器 界面來接收。在上述實施例中�����,通過將存在于被處理的消息中的日期22、 28與日期 DPA相比較的處理器42的自毀條件被檢查以用于ECM消息和EMM消息����。 根據(jù)一種變形,該自毀條件可以僅被限制為ECM消息���,也就是說僅當(dāng)處理 器42被用于對內(nèi)容進行有效訪問時���。這使得可以簡化處理器42的程序。在另一種變形中��,當(dāng)ECM或EMM消息中的日期存在時���,該自毀條件 可以被擴展到將存在于ECM或EMM消息中的日期與日期DLA相比較�����。當(dāng) 表示處理器42可以被激活的截至日期的日期DLA已過時����,自毀被啟動�����。
權(quán)利要求
1.一種用于多媒體信號的解碼器的安全處理器,所述多媒體信號使用控制字來加擾�,該處理器包括解碼模塊(82)�����,能夠?qū)κ跈?quán)控制消息中存在的所述控制字進行解碼以允許加擾的多媒體信號被解擾�����;包含訪問授權(quán)的可重寫非易失性存儲器(54)���;比較器(80)�,能夠?qū)邮盏降氖跈?quán)控制消息中存在的訪問條件與被置于存儲器中的所述訪問授權(quán)進行比較����,且在所述訪問授權(quán)不與接收到的訪問條件對應(yīng)的情況下避免對所述多媒體信號的解擾,在存儲器中的所述訪問授權(quán)與所述接收到的訪問條件對應(yīng)的情況下批準(zhǔn)對所述加擾的多媒體信號的解擾���;模塊(94)�����,用于響應(yīng)于授權(quán)管理消息的接收而將新訪問授權(quán)寄存在所述可重寫非易失性存儲器中�,所述授權(quán)管理消息用于新訪問授權(quán)的寄存;其特征在于�����,所述處理器包括至少一個可重寫鎖(62��,64)����,該鎖(62,64)的值可以響應(yīng)于授權(quán)管理消息而至少在第一和第二值之間切換����,其中所述寄存模塊能夠基于所述鎖的值,響應(yīng)于用于新訪問授權(quán)的寄存的給定授權(quán)管理消息而批準(zhǔn)或禁止所述新訪問授權(quán)的寄存���。
2. 根據(jù)權(quán)利要求1所述的處理器���,其中所述寄存模塊能夠基于所述鎖 的值,響應(yīng)于給定授權(quán)管理消息而批準(zhǔn)或禁止所述新訪問授權(quán)的寄存而不避 免使用其它已經(jīng)被寄存在所述非易失性存儲器中的訪問授權(quán)�����,所述給定授權(quán) 管理消息用于新訪問授權(quán)的寄存。
3. —種用于多媒體信號的解碼器的安全處理器�����,所述多媒體信號使用 控制字來加擾���,該處理器包括解碼模塊(82)����,能夠?qū)κ跈?quán)控制消息中存在的所述控制字進行解碼以允許加擾的多媒體信號被解擾����;包含密鑰的可重寫非易失性存儲器(56);模塊(96)���,用于響應(yīng)于授權(quán)管理消息的接收而將新密鑰寄存在可重寫 非易失性存儲器中�����,所述授權(quán)管理消息用于新密鑰的寄存�����;其特征在于����,所述處理器包括至少一個可重寫鎖(62, 64)����,該鎖(62, 64)的值可以響應(yīng)于授權(quán)管理消息而至少在第一和第二值之間切換,其中所 述寄存模塊(96)能夠基于所述鎖的值�����,響應(yīng)于用于新密鑰的寄存的授權(quán)管 理消息而批準(zhǔn)或禁止所述新密鑰的寄存�����。
4. 根據(jù)權(quán)利要求3所述的處理器�,其中所述加密模塊能夠基于所述鎖 的值,響應(yīng)于給定授權(quán)管理消息而批準(zhǔn)或禁止所述新密鑰的加密而不避免使 用已經(jīng)被寄存在所述非易失性存儲器中的密鑰��,所述給定授權(quán)管理消息用于 新密鑰的寄存���。
5. 根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的處理器���,其中所述處理 器包括寫入模塊(89),該寫入模塊(89)用于響應(yīng)于授權(quán)管理消息而將所 述寄存器的值從所述第一值切換到所述第二值�����,并且無論隨后接收到何種授 權(quán)管理消息,均避免所述鎖的值從所述第二值切換到所述第一值�����。
6. 根據(jù)權(quán)利要求1-5中任一項權(quán)利要求所述的處理器���,其中所述處理 器包括寫入模塊(89)�����,該寫入模塊(89)用于僅在所述授權(quán)管理消息中存 在的當(dāng)前日期早于被寄存在所述安全處理器中的激活限制日期的情況下響 應(yīng)于所述授權(quán)管理消息而將所述鎖存器的值從所述第一值切換到所述第二 值。
7. 根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的處理器�����,其中所述處理 器包括模塊(100)���,該模塊(100)用于所述安全處理器的自毀以使所述安 全處理器永久地不能被所有可用的解碼器使用���,其中用于處理授權(quán)控制或授 權(quán)管理消息的單元(76, 78)能夠?qū)邮盏降氖跈?quán)控制或授權(quán)管理消息中存 在的當(dāng)前日期與被置于所述安全處理器中的存儲器中的絕對屆滿日期進行 比較���,且僅在所述當(dāng)前日期遲于所述絕對屆滿日期的情況下自動地激活所述 自毀模塊�����。
8. —種用于響應(yīng)于用于新訪問授權(quán)的寄存的授權(quán)管理消息而將訪問授 權(quán)寄存在根據(jù)權(quán)利要求1�、 2和5至7中任一項權(quán)利要求所述的安全處理器 中的方法,其特征在于�����,所述方法包括用于基于所述鎖的值而批準(zhǔn)所述新訪 問授權(quán)的寄存的進程(188)或用于基于所述鎖的值而避免所述新訪問授權(quán) 的寄存的進程(184)�����。
9. 一種用于響應(yīng)于用于新密鑰的寄存的授權(quán)管理消息而將新密鑰寄存 在根據(jù)權(quán)利要求3-7中任一項權(quán)利要求所述的安全處理器中的方法�����,其特征 在于�,所述方法包括用于基于所述鎖的值而批準(zhǔn)所述新密鑰的寄存的進程(218)或用于基于所述鎖的值而避免所述新密鑰的寄存的進程(224)。
全文摘要
該用于加擾的多媒體信號解碼器的安全方法包括至少一個可重寫鎖(62�,64),該鎖(62�,64)的值可以響應(yīng)于EMM消息而至少在第一和第二值之間切換,其中寄存模塊能夠基于所述鎖的值�,響應(yīng)于用于寫入新訪問授權(quán)或新密鑰的一個和相同的EMM寄存消息而批準(zhǔn)或禁止所述寄存����。
文檔編號H04N7/167GK101331770SQ200680047135
公開日2008年12月24日 申請日期2006年12月12日 優(yōu)先權(quán)日2005年12月13日
發(fā)明者G·迪布勒克, J·佩拉尼, L·貝克, P·達努瓦 申請人:威爾塞斯