專利名稱:用于音頻/視頻數(shù)據(jù)處理單元的安全模塊的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及對(duì)有條件訪問(wèn)音頻/視頻數(shù)據(jù)的保護(hù)的領(lǐng)域���,特別是涉及在安全模塊 中所執(zhí)行的安全機(jī)制�����。
背景技術(shù):
音頻/視頻數(shù)據(jù)保護(hù)技術(shù)是公知的����,并且是若干公開出版物的主題�����,如1995年冬 天EBU技術(shù)回顧中的“有條件訪問(wèn)系統(tǒng)的功能模式”�����。在一個(gè)公知的實(shí)施例中,向多媒體單元廣播多個(gè)流����,如向一個(gè)解碼器廣播���,以便瀏 覽收費(fèi)電視事件����,例如是一部電影、一場(chǎng)體育賽事或一場(chǎng)重要的比賽���。這些流,特別的����,在一 方面����,是編碼數(shù)據(jù)流形式的事件文件���,而另一方面���,控制消息流允許對(duì)數(shù)據(jù)流的解密����。數(shù)據(jù) 流的內(nèi)容通過(guò)有規(guī)律地更新“控制字”(控制字=CW)來(lái)編碼�����。第二流被稱作ECM流(權(quán)利 控制消息),并能通過(guò)兩種不同的方式形成。根據(jù)第一種方法�,通過(guò)密鑰��,傳輸密鑰TK對(duì)控 制字進(jìn)行編碼,該密鑰一般屬于位于管理中心和與接收機(jī)/解碼器相關(guān)聯(lián)的安全模塊之間 的傳輸系統(tǒng)。利用傳輸密鑰TK通過(guò)對(duì)控制消息進(jìn)行解密來(lái)獲得控制字�����。根據(jù)第二種方法��,ECM流并不直接包含編碼的控制字����,但是含有使能夠確定控制字 的數(shù)據(jù)���?���?刂谱值倪@種確定���,可以通過(guò)不同的操作來(lái)實(shí)現(xiàn),特別是通過(guò)解密���,這種解密可以 直接導(dǎo)出控制字��,與上述第一種方法相應(yīng),但是解密同樣能夠?qū)С鲆欢伟刂谱值臄?shù)據(jù)����, 而控制字仍必須要從該段數(shù)據(jù)中提取出來(lái)�����。特別地,數(shù)據(jù)段可以包含控制字以及與將要傳播的內(nèi)容相關(guān)聯(lián)的值���,并且特別地���, 也可包括該內(nèi)容的訪問(wèn)條件�����。另一種使能夠確定控制字的操作可以使用�����,例如��,特別是該段 數(shù)據(jù)的單向散列功能�����。一般在與多媒體單元或接收機(jī)相關(guān)聯(lián)的安全模塊中執(zhí)行安全操作。這樣的安全模 塊特別地可以通過(guò)四個(gè)不同的形式來(lái)實(shí)現(xiàn)。所述形式中的一種是一種微處理器卡��、一種智能卡�,或更普遍的采用一種電子模 塊(具有密鑰或標(biāo)記等的形式)���。這樣一種模塊通??蓮慕邮諜C(jī)處移開,并可與接收機(jī)相 連。最常用的是具有電接觸的形式�,但是并不排除不接觸的連接���,如ISO 14443型�����。第二種已知的設(shè)計(jì)�,是將一集成電路芯片,通常通過(guò)確定的不能移動(dòng)的方式置于 接收機(jī)的印刷電路板上�����。一種選擇是安裝在一個(gè)底座或連接器上如SIM模塊的連接器上的 電路�����。在第三種設(shè)計(jì)中���,安全模塊被集成在一個(gè)也具有其他功能的集成電路芯片中,如 安置在解碼器的解擾模塊中或解碼器的微處理器中��。在第四個(gè)實(shí)施例中���,安全模塊沒有通過(guò)硬件形式實(shí)現(xiàn)���,而是其功能僅通過(guò)軟件的 方式實(shí)現(xiàn)。這種軟件可基本歸于(obfuscate)接收器的主要軟件內(nèi)��。假設(shè)四個(gè)例子雖然安全級(jí)別有所區(qū)別�����,但其功能是相同的,我們將以最適合實(shí)現(xiàn) 其功能的方式或是所述模塊能采用的形式來(lái)談及安全模塊��。在上述四種設(shè)計(jì)中,安全模塊 具有用于執(zhí)行存儲(chǔ)在其存儲(chǔ)器中的程序的裝置(CPU)��。此程序使能夠執(zhí)行安全操作����,驗(yàn)證權(quán)限,使進(jìn)行解密或激活一解密模塊等�。某些居心不良的人采取的多種分析這種安全模塊的操作的手段會(huì)是有效的�����,并且 能夠使這些人在裝載必要的機(jī)密消息(密鑰或序列號(hào))后����,就可以實(shí)現(xiàn)對(duì)所述安全模塊的 仿造��。這樣的模塊運(yùn)行如同一可信的模塊,并且也具有處理器和存儲(chǔ)器�。安全模塊的功能 性被仿效以重現(xiàn)原操作�����。
發(fā)明內(nèi)容
因此本發(fā)明的目的是要限制安全模塊的這種類型的仿效器的影響��。這個(gè)目的可以通過(guò)用于通過(guò)數(shù)字音頻/視頻處理單元有條件訪問(wèn)數(shù)據(jù)的安全模 塊實(shí)現(xiàn)���,所述有條件訪問(wèn)數(shù)據(jù)通過(guò)控制字被加密,所述安全模塊負(fù)責(zé)處理安全消息�,該安全 消息包括至少一個(gè)與控制字相關(guān)的密碼和與控制字相關(guān)的指令���,其特征在于���,其還包括用 于通過(guò)安全消息接收至少兩個(gè)微程序的裝置,所述微程序是通過(guò)安全模塊可執(zhí)行的�����,所述 安全模塊包括用于存儲(chǔ)至少兩個(gè)微程序的裝置和用于接收包含在安全消息中的指令���、用于 選擇通過(guò)所述指令指示的微程序、至少以密碼作為執(zhí)行參數(shù)地執(zhí)行所述微程序的裝置���,該 執(zhí)行使得能夠計(jì)算將被送回到音頻/視頻處理單元的控制字����。根據(jù)本發(fā)明����,獲取最終控制字取決于一個(gè)原本不存在于安全模塊中并且被下載到 所述模塊中的程序的運(yùn)行��。安全模塊的仿效器在另一個(gè)中央單元(CPU)的基礎(chǔ)上仿效功能�,并且不能直接執(zhí) 行微程序的機(jī)器碼���。
通過(guò)以下結(jié)合附圖的細(xì)節(jié)說(shuō)明�,將會(huì)更好的理解本發(fā)明圖1示出了本發(fā)明第一實(shí)施例����,圖2示出了本發(fā)明的第二實(shí)施例��,其包括密鑰的操作,圖3示出了兩級(jí)的第三實(shí)施例����,在各級(jí)上都有密碼操作��。
具體實(shí)施例方式本發(fā)明的目的是使得執(zhí)行為了獲得最終的控制字所必需的程序代碼。該代碼開始 時(shí)并不在該模塊中�����,而是在一個(gè)安全消息中被發(fā)送�����。更多地�,多個(gè)微程序是可選擇的以用于 產(chǎn)生控制字CW����,安全消息一方面包括密碼CTG�����,另一方面包括指令��,以用于選擇將要被使用 的微程序����。根據(jù)圖1中公開的第一實(shí)施例�����,ECM安全消息包含密碼��,CTG�����,和指令����,IN�����。需要注意的是�����,這個(gè)安全消息本身是安全的�,也就是說(shuō)它的內(nèi)容通過(guò)一個(gè)密鑰加 密,該密鑰也存儲(chǔ)于安全模塊中�。一旦被解密�,驗(yàn)證數(shù)據(jù)(簽名,散列)使能夠驗(yàn)證它的內(nèi) 容是可靠的和值得信賴的��。包含在ECM安全消息中的指令I(lǐng)N被用作選擇器�,以確定必須使用哪個(gè)微程序 (MPl, MP2��,MPn)��。該微程序被加載在處理器的執(zhí)行存儲(chǔ)器內(nèi)�����,并能夠與其它軟件模塊相關(guān) 聯(lián)��。包含在安全消息中的密碼CTG被用作這個(gè)微程序的輸入變量�����,所述微程序的執(zhí)行使能 夠獲得控制字CW����。
根據(jù)圖2中公開的第二實(shí)施例,由指令I(lǐng)N選擇出的微程序MP接收密碼CTG作為 一個(gè)變量,并接收包含在安全模塊中的密鑰K�����。w�。這個(gè)密鑰最好通過(guò)另一個(gè)安全消息如EMM 權(quán)限管理消息發(fā)送到安全模塊�����。其后微程序MP作為一個(gè)特別的解密模塊,其使用密鑰Kct 作為密碼CTG的解碼密鑰。根據(jù)圖3中公開的第三實(shí)施例����,密碼被分成兩個(gè)部分�,第一部分CTGl與由指令I(lǐng)N 所選出的微程序MP —起使用�����,執(zhí)行微程序或微程序的一部分的操作結(jié)果被傳送到密碼模 塊 DEC。該模塊也接收密碼的第二部分CTG2作為變量���。通過(guò)模塊DEC實(shí)現(xiàn)密碼操作�����,一方 面基于由微程序MP處理密碼第一部分CTGl的結(jié)果,另一方面基于密碼的第二部分CTG2����,使 能夠獲得控制字CW�����。需要注意的是,指令I(lǐng)N不會(huì)干擾后面的步驟�����。密碼模塊DEC可以是IDEA型���,AES型�����,TDES型或其他型。微程序MP的結(jié)果可以被 用作一個(gè)密鑰���,或是密碼模塊的一個(gè)輸入�����。在第一種情況中�,密碼的第二部分CTG2被用作 一個(gè)輸入,而在第二種情況中���,它被用作一個(gè)密鑰��。如上所述���,一個(gè)或多個(gè)微程序MP從一個(gè)管理中心被傳送到與安全模塊相連的接 收機(jī)/解碼器����。微程序MP可在一個(gè)特定安全消息(EMM)中并通過(guò)一個(gè)合適的密鑰進(jìn)行加密 地傳送給所述安全模塊���。因此只有這個(gè)安全模塊能夠訪問(wèn)它的內(nèi)容��。根據(jù)另一個(gè)實(shí)施例�����, 微程序被包含在與密碼和指令所在的消息相同的消息中���。因此該消息的處理允許微程序的 操作,并且它的執(zhí)行用密碼作為一個(gè)參數(shù)�。根據(jù)另一個(gè)實(shí)施例,微程序由所述微程序的特定密鑰加密。微程序被發(fā)送到安全 消息中���,并且當(dāng)它在安全模塊中被接收到時(shí)��,它以加密形式被存儲(chǔ)��。包含密碼的安全消息也 將包含能解密微程序的密鑰���。根據(jù)本發(fā)明的優(yōu)選實(shí)施例,每個(gè)微程序都被標(biāo)記以確保其真實(shí)性��。微程序以加密 的形式被存儲(chǔ)在安全模塊的存儲(chǔ)器中。在執(zhí)行前���,微程序通過(guò)一個(gè)密鑰被解密,該密鑰在安 全模塊的安全存儲(chǔ)器中或是在已激活此操作的安全消息中�。一旦解密��,要根據(jù)包含微程序 的一組數(shù)據(jù)的簽名來(lái)進(jìn)行認(rèn)證。為驗(yàn)證簽名��,就需要一個(gè)已標(biāo)記該數(shù)據(jù)的來(lái)自權(quán)力機(jī)構(gòu)的 公共密鑰�����,該權(quán)力機(jī)構(gòu)使用專用的和秘密的密鑰來(lái)產(chǎn)生簽名���。微程序的數(shù)量是至少兩個(gè)或者可以更多�����。它們可以優(yōu)選地以加密的形式存儲(chǔ)在安 全模塊的非可執(zhí)行的存儲(chǔ)器中����。一旦其中一個(gè)微程序通過(guò)指令I(lǐng)N被選中����,該微程序就被解 密�����、認(rèn)證以及被發(fā)送到安全模塊的處理器的可執(zhí)行區(qū)域內(nèi)�。處理器代碼的其它部分能夠用 于微程序的執(zhí)行��。需要注意的是如果沒有微程序執(zhí)行的操作,就不能獲得密碼的轉(zhuǎn)換結(jié)果�����。根據(jù)一個(gè)實(shí)施例,安全消息包含一組由密鑰加密的微程序。該密鑰既可以是安全 模塊初始化時(shí)所存儲(chǔ)的密鑰��,也可以通過(guò)安全消息更新���。各微程序由一個(gè)適當(dāng)?shù)拿荑€加密�����。 在接收到安全消息時(shí)�����,安全模塊提取微程序塊���,并通過(guò)相應(yīng)的密鑰對(duì)其進(jìn)行解密����。雖然微程 序塊在安全模塊的存儲(chǔ)器中已經(jīng)被解密,各微程序仍由它們自身的密鑰加密���。在包含使能 夠獲得控制字的密碼的安全消息到達(dá)時(shí)���,該消息也會(huì)包含用于解密由指令所指示的微程序 的密鑰����。根據(jù)一個(gè)特定的實(shí)施例,安全模塊具有可支配的處理器���,其上加載有虛擬軟件���,也 就是由類語(yǔ)言編寫的指令由處理器經(jīng)過(guò)虛擬化層來(lái)執(zhí)行。一個(gè)公知的虛擬化層例子就是 Java���。安全消息中所包含的微程序由與虛擬化層兼容的指令構(gòu)成���。它們由虛擬化層執(zhí)行���,
6也就因此可被不同類型的處理器執(zhí)行����,如同這些處理器都有這樣一個(gè)共同的虛擬化層�����。根據(jù)本發(fā)明的另一個(gè)特定實(shí)施例���,安全模塊包括一個(gè)可編程的硬件元件��,例如所 知的作為可編程邏輯模塊的FPGA族的元件����。這些電路執(zhí)行一個(gè)功能,這是由內(nèi)部連接的配 置程序所定義的����。該程序允許電路里不同內(nèi)部元件的連接��,以形成觸發(fā)器、移位寄存器或是 其它邏輯功能塊�����。因此一個(gè)微程序包括如此一個(gè)可編程邏輯的配置程序���,其允許可編程邏 輯模塊行為的改變����,和依據(jù)一個(gè)變量執(zhí)行特定功能,該變量此處是密碼����。以上通過(guò)不同密碼操作獲得的被稱做“控制字”的結(jié)果,都可在被傳送到音頻/視 頻數(shù)字?jǐn)?shù)據(jù)處理單元之前進(jìn)行再次改變�,例如被加密或解密,或甚至是與一個(gè)寄存值進(jìn)行 簡(jiǎn)單混合(XOR)���。也可以由音頻/視頻數(shù)字?jǐn)?shù)據(jù)處理單元進(jìn)行改變�����,例如由音頻/視頻流的 解密模塊中的解密來(lái)改變。根據(jù)一個(gè)實(shí)施例�����,以上所述的方法是由一個(gè)接收機(jī)_解碼器執(zhí)行的,其包括音頻/ 視頻流的解碼單元和處理單元�。處理單元負(fù)責(zé)安全操作(接收和處理安全消息)��,也負(fù)責(zé)接 收機(jī)-解碼器(EPG�,切換頻道等)的整體管理�。當(dāng)位于處理單元核心的處理器與所編寫的 微程序所用于的處理器不一樣時(shí)����,處理單元會(huì)模仿執(zhí)行安全微代碼�。如上所述,用高級(jí)語(yǔ)言(例如JAVA��,C)編寫微程序以及因此由處理單元執(zhí)行是可 能的。
權(quán)利要求
一種用于由控制字(CW)加密的有條件訪問(wèn)的音頻/視頻數(shù)字?jǐn)?shù)據(jù)的處理單元的安全模塊(SM),負(fù)責(zé)處理至少包含與控制字(CW)相關(guān)的密碼(CTG)和與所述控制字相關(guān)的指令(IN)的安全消息(ECM���,EMM)�����,其特征在于還包括通過(guò)安全消息(ECM,EMM)接收至少兩個(gè)微程序(MP)的裝置�,所述微程序能夠由所述安全模塊執(zhí)行�,所述安全模塊(SM)包括用于存儲(chǔ)至少兩個(gè)微程序(MP)的裝置��,和用于接收包含在所述安全消息中的所述指令(IN)��、用于選擇由所述指令(IN)指示的微程序(MP)���、至少以所述密碼(CTG)作為執(zhí)行參數(shù)來(lái)執(zhí)行所述微程序的裝置���,該執(zhí)行使得能夠計(jì)算將返回給音頻/視頻處理單元的控制字(CW)。
2.根據(jù)權(quán)利要求1所述的安全模塊(SM),其特征在于����,所述微程序(MP)以被加密和/ 或被認(rèn)證的形式存在于所述安全消息中��,并且所述安全模塊還包括用于在所述微程序(MP) 執(zhí)行之前解密和/或認(rèn)證所述微程序的裝置�����。
3.根據(jù)權(quán)利要求2所述的安全模塊(SM)�����,其特征在于所述微程序包含在第一安全消息 中�,所述微程序的解密裝置包含在第二安全消息中��。
4.根據(jù)權(quán)利要求1或2所述的安全模塊(SM),包括密碼模塊��,其特征在于所述密碼 (CTG)包括第一部分(CTGl)和第二部分(CTG2)���,第一部分作用在由所述指令(IN)選擇的 微程序上�,第二部分作用在接收通過(guò)所選擇的微程序獲得的結(jié)果的密碼模塊上以用于產(chǎn)生 所述控制字(CW)����。
5.根據(jù)權(quán)利要求1至4所述的安全模塊(SM),其特征在于包括處理器和虛擬化軟件���, 使得能夠執(zhí)行類指令,所述微程序由類指令形成����。
6.根據(jù)權(quán)利要求1至4所述的安全模塊(SM)��,其特征在于包括可編程邏輯模塊,所述 微程序是可編程邏輯的配置程序��。
7.一種用于接收要由接收機(jī)_解碼器處理的音頻/視頻內(nèi)容的方法����,所述接收機(jī)_解 器包括解碼單元和處理單元�����,所述內(nèi)容由控制字CW加密�,與所述控制字相關(guān)的密碼(CTB) 在還包含至少一個(gè)指令(IN)的安全消息(ECM)中被接收��,所述方法的特征在于包括以下步 驟a.接收包含在安全消息(ECM�,EMM)中的至少兩個(gè)微程序(MP),這些微程序能夠由所述 處理單元執(zhí)行����,b.在所述處理單元的微程序存儲(chǔ)器中存儲(chǔ)所述微程序(MP)���,c.接收安全消息(ECM)��,并提取所述密碼(CTG)和所述指令(IN)�,d.根據(jù)所述指令(IN)的值在所述微程序中選擇一個(gè)微程序,e.以至少一個(gè)密碼作為執(zhí)行參數(shù)地執(zhí)行被選出的微程序����,該執(zhí)行使得能夠計(jì)算將返回 給所述音頻/視頻解碼單元的控制字(CW)���。
8.根據(jù)權(quán)利要求7所述的控制訪問(wèn)音頻/視頻內(nèi)容的方法����,其特征在于所述微程序 (MP)以被加密和/或被認(rèn)證的形式存在于所述安全消息中�����,所述方法在所述微程序執(zhí)行前 還包括微程序的解碼和/或認(rèn)證頻驟����。
9.根據(jù)權(quán)利要求8所述的控制訪問(wèn)音頻/視頻內(nèi)容的方法,其特征在于所述微程序被 加密密鑰加密并被第一安全消息接收��,所述微程序的加密密鑰在第二安全消息中傳送。
10.根據(jù)權(quán)利要求7或8所述的控制訪問(wèn)音頻/視頻內(nèi)容的方法����,其特征在于所述密 碼(CTG)包括第一部分(CTGl)和第二部分(CTG2),第一部分作用在由所述指令(IN)選擇 的微程序上��,第二部分作用在接收通過(guò)被選擇的微程序獲得的結(jié)果的密碼模塊上以用于產(chǎn)生所述控制字(CW)。
全文摘要
本發(fā)明的目的是要限制安全漏洞所產(chǎn)生的影響�����,而該安全漏洞是安全模塊的仿效器。該目的可通過(guò)以下單元得以實(shí)現(xiàn)一種有雜件訪問(wèn)的數(shù)字音頻/視頻數(shù)據(jù)的處理單元����,該數(shù)據(jù)被控制字加密,負(fù)責(zé)處理包括至少一個(gè)與控制字相關(guān)的密碼和與控制字相關(guān)的指令的安全消息,其特征在于��,包括通過(guò)安全消息接收至少兩個(gè)微程序的裝置�,所述微程序能夠由安全模塊執(zhí)行��,所述安全模塊包括存儲(chǔ)至少兩個(gè)微程序的裝置和接收安全消息中指令�����、用于選擇所述指令指示的微程序��、用于至少以所述密碼作為執(zhí)行參數(shù)地執(zhí)行所述微程序的裝置�����,該執(zhí)行使能夠計(jì)算將被返回給音頻/視頻處理單元的控制字�。
文檔編號(hào)H04N7/167GK101981927SQ200980110887
公開日2011年2月23日 申請(qǐng)日期2009年4月2日 優(yōu)先權(quán)日2008年4月3日
發(fā)明者H·庫(kù)戴爾斯基, J·科納斯, L·格拉代茜, R·克桑迪尼 申請(qǐng)人:納格拉影像股份有限公司